Реактивное движение

    безопасности: апплеты в частности, не имеют  почти никакого  досту-

    па  к файловой системе компьютера (в отличии от случая со скритами,

    отключить  данное ограничение в браузере невозможно).  таким  обра-

    зом, JAVA-вирусы могут быть оформлены  только как приложения и   для

    подавляющего  большинства пользователей опасности  не предоставляют. 

     Как  правило, каждая конкретная разновидность  вируса  может  зара-

    жать  только один или два типа  файлов. Чаще всего встречаются  виру-

    сы,  заражающие  исполнимые  файлы.  Некоторые  вирусы    заражают

    только EXE файлы, некоторые - только COM , а  большинство - и те  и

    другие. На втором месте по распространенности загрузочные  вирусы.

    Некоторые  вирусы заражают и файлы, и  загрузочные  области  дисков.

    Вирусы, заражающие драйверы устройств,  встречаются  крайне  редко;

    обычно  такие вирусы умеют заражать  и исполнимые файлы. 

          Вирусы, меняющие файловую систему. 

     В  последнее время получили распространение  вирусы нового  типа  -

    вирусы, меняющие файловую систему на  диске. Эти вирусы обычно  на-

    зываются DIR. Такие вирусы прячут свое  тело  в  некоторый  участок

    диска  ( обычно - в последний кластер диска ) и помечают его в таб-

    лице  размещения файлов (FAT) как конец   файла.  Для  всех  COM-  и

    EXE-файлов  содержащиеся в соответствующих  элементах каталога  ука-

    затели  на первый участок файла заменяются  ссылкой на участок  дис-

    ка, содержащий  вирус, а правильный указатель  в закодированном  ви-

    де  прячется в неиспользуемой части  элемента каталога. Поэтому  при

    запуске  любой программы в память загружается  вирус, после чего  он

    остается  в памяти резидентно, подключается к программам  DOS  для

    обработки  файлов на диске и при всех  обращениях к элементам  ката-

    лога  выдает правильные ссылки.

     Таким  образом, при работающем вирусе  файловая  система  на  диске

    кажется  совершенно нормальной. При поверхностном  просмотре  зара-

    женного  диска на "чистом" компьютере  также  ничего  странного   не

    наблюдается.  Разве лишь при попытке прочесть  или скопировать с за-

    раженной  дискеты программные файлы из  них будут прочтены или   ско-

    пированы  только 512 или 1024 байта, даже если файл  гораздо  длин-

    нее.  А при запуске любой исполнимой  программы с зараженного  таким

    вирусом  диска этот диск, как по волшебству, начинает казаться  ис-

    правным  (неудивительно, ведь компьютер  при этом  становится  зара-

    женным).

     При  анализе на "чистом" компьютере  с помощью программ ChkDsk  или

    NDD файловая  система зараженного DIR-вирусом  диска кажется  совер-

    шенно  испорченной. Так, программа ChkDsk выдает кучу  сообщений  о

    пересечениях файлов ( "... cross linked on cluster..." ) и о це-

    почках  потерянных  кластеров  ("...  lost  clusters  found  in...

    chains"). Не следует исправлять эти ошибки программами ChkDsk  или

    NDD - при  этом диск окажется совершенно  испорченным. Для исправле-

    ния  зараженных этими вирусами дисков  надо использовать только спе-

    циальные  антивирусные  программы  (  например,  последние  версии

    Aidstest). 

         "Невидимые" и самомодифицирующиеся  вирусы. 

     Чтобы  предотвратить свое обнаружение, некоторые  вирусы  применяют

    довольно  хитрые приемы маскировки. Я расскажу  о двух из них:  "не-

    видимых" (Stealth) и самомодифицирующихся вирусах: 

         "Невидимые" вирусы. 

     Многие  резидентные вирусы (и файловые, и загрузочные)  предотвра-

    щают  свое обнаружение тем, что перехватывают  обращения DOS (и  тем

    самым  прикладных программ) к зараженным  файлам и областям диска   и

    выдают  их в исходном виде.  Разумеется,  этот  эффект  наблюдается

    только  на зараженном компьютере - на "чистом"  компьютере  измене-

    ния  в загрузочных областях диска  можно легко обнаружить.

     Замечу, что некоторые антивирусные программы  могут все же обнару-

    живать "невидимые" вирусы даже  на  зараженном  компьютере.  Такие

    программы для этого выполняют чтение диска, не пользуясь услугами

    DOS (например, ADinf ).

     Некоторые  антивирусные программы (например, AVSP) используют  для

    борьбы  с вирусами свойство "невидимых"  файловых  вирусов  "вылечи-

    вать" зараженные файлы. Они считывают (при работающем вирусе)  ин-

    формацию  из зараженных файлов и записывают  их на диск в  файл  или

    файлы,  где эта информация хранится  в неискаженном виде. Затем, уже

    после  загрузки с "чистой" дискеты,  исполнимые  файлы  восстанавли-

    ваются  в исходном виде. 

         Самомодифицирующиеся вирусы. 

     Другой  способ, применяемый вирусами для  того, чтобы  укрыться  от

    обнаружения, -  модификация  своего  тела.  Многие  вирусы  хранят

    большую  часть своего тела в закодированном виде, чтобы с помощью

    дизассемблеров  нельзя было разобраться в  механизме их работы.  Са-

    момодифицирующиеся  вирусы используют этот прием  и часто меняют па-

    раметры  этой кодировки, а кроме того, изменяют  и  свою  стартовую

    часть,  которая служит для раскодировки  остальных команд  вируса.

    Таким  образом, в теле подобного вируса  не имеется  ни  одной   пос-

    тоянной  цепочки байтов, по которой можно  было бы  идентифицировать

    вирус.  Это, естественно, затрудняет  нахождение таких вирусов прог-

    раммами-детекторами.

     Однако  программы-детекторы все же научились  ловить "простые"  са-

    момодифицирующиеся  вирусы. В этих вирусах вариации  механизма  рас-

    шифровки  закодированной части вируса  касаются  только  использова-

    ния  тех или иных регистров компьютера, констант шифрования, добав-

    ления  "незначащих" команд и т.д.  И программы-детекторы приспособи-

    лись  обнаруживать команды в стартовой  части  вируса,  несмотря  на

    маскирующие  изменения в них. Но в последнее  время появились  виру-

    сы  с чрезвычайно сложными механизмами  самомодификации. В них стар-

    товая  часть вируса генерируется автоматически   по  весьма  сложным

    алгоритмам: каждая значащая  инструкция  расшифровщика  передается

    одним  из сотен тысяч возможных вариантов,  при  этом  используется

    более  половины всех команд Intel-8088. Проблема  распознования  та-

    ких  вирусов надежного решения пока  не получила. 

            Что могут и чего не могут  компьютерные вирусы. 

      У многих пользователей ЭВМ из-за незнания механизма работы  ком-

    пьютерных  вирусов, а также под влиянием  различных слухов и  неком-

    петентных  публикаций  в  печати  создается   своеобразный  комплекс

    боязни  вирусов ("вирусофобия"). Этот  комплекс имеет два проявления: 

     1. Склонность приписывать любое  повреждение данных или  необычное

    явление  действию вирусов. Например, если  у "вирусофоба" не  форма-

    тируется  дискета, то он объясняет это  не  дефектами дискеты или

    дисковода,  а действием вирусов. Если на  жестком  диске  появляется

    сбойный  блок, то в этом тоже, разумеется, виноваты вирусы. На  са-

    мом  деле необычные явления на  компьютере  чаще  вызваны   ошибками

    пользователя, программ или дефектами оборудования,  чем  действием

    вирусов. 

     2. Преувеличенные представления о  возможностях  вирусов.  Некото-

    рые  пользователи думают, например, что  достаточно вставить в  дис-

    ковод  зараженную дискету, чтобы компьютер заразился вирусом.  Рас-

    пространено  также мнение, что для компьютеров  просто стоящих в од-

    ной  комнате, заражение одного компьютера  обязательно тут же приво-

    дит  к заражению остальных. 

     Лучшим "лекарством" от вирусофобии  является знание того, как  ра-

    ботают  вирусы, что они могут и   чего  не  могут.  Вирусы  являются

    обычными  программами, и они не могут  совершать  никаких  сверхъес-

    тественных  действий.

     Для  того чтобы компьютер заразился  вирусом, необходимо, чтобы  на

    нем  хотя бы один раз была выполнена  программа,  содержащая  вирус.

    Поэтому  первичное заражение компьютера  вирусом может  произойти   в

    одном  из следующих случаев:

     * на компьютере была выполнена зараженная программа типа COM  или

    EXE или зараженный модуль оверлейной программы (типа OVR или OVL);

     * компьютер загружался с дискеты, содержащей зараженный загрузоч-

    ный  сектор;

     * на компьютере была установлена зараженная операционная  система

    или  зараженный драйвер устройства. 

     Отсюда  следует, что нет никаких оснований  бояться заражения  ком-

    пьютера  вирусом, если:

     * на незараженном компьютере производится  копирование файлов  с

    одной  дискеты на другую. Если компьютер  "здоров", то ни он сам,  ни

    копируемые дискеты не будут заражены  вирусом.  Единственный  ва-

    риант  передачи вируса в этой ситуации - это копирование зараженно-

    го  файла: при этом его копия,  разумеется, тоже  будет  "заражена",

    но  ни компьютер, ни какие-то другие  файлы заражены не будут; 

           Основные методы защиты от  компьютерных вирусов.