Обязательным свойством компьютерного вируса является способность к размножению (самокопированию). Вирусы могут также незаметно для пользователя внедряться в исполняяемые файлы, загрузочные секторы дисков и документы. Название «вирус» по отношению к компьютерным программам пришло из биологии именно по признаку способности к саморазмножению.

После заражения компьютера вирус может начать выполнение вредоносных действий и распространение своих копий, а также заставить компьютер выполнять какие-либо действия. Активизация вируса может быть связана с различными событиями (наступлением определенной даты или дня недели, запуском программы, открытием документа и т. д.).

Компьютерные вирусы являются вредоносными программами, которые могут «размножаться» и скрытно внедрять свои копии в исполнимые файлы, загрузочные секторы дисков и документы. Активизация компьютерного вируса может вызывать уничтожение программ и данных.

Разнообразны последствия действия вирусов. По величине вредных воздействий вирусы можно разделить на:

• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, графическими, звуковыми и другими внешними эффектами;

• опасные, которые могут привести к сбоям и «зависаниям» при работе компьютера;

• очень опасные, активизация которых может привести к потере программ и данных (изменению или удалению файлов и каталогов), форматированию винчестера и т. д.

В настоящее время известно несколько десятков тысяч вирусов, заражающих компьютеры различных операционных систем. По способу сохранения и исполнения своего кода вирусы можно разделить на загрузочные, файловые, макро-вирусы и скрипт-вирусы.

Загрузочные вирусы. Загрузочные вирусы заражают загрузочный сектор гибкого или жесткого диска. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера. После необходимых тестов установленного оборудования программа системной загрузки считывает первый физический сектор загрузочного диска (гибкого, жесткого, оптического или флэш-диска в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

При заражении дисков загрузочные вирусы «подставляют» свой код вместо программы, получающей управление при загрузке системы, и отдают управление не оригинальному коду загрузчика, а коду вируса. При инфицировании диска вирус в большинстве случаев переносит оригинальный загрузочный сектор в какой-либо другой сектор диска (например, в первый свободный).

Первая эпидемия загрузочного компьютерного вируса произошла в 1986 году, когда вирус «Brain» «заражал» загрузочный сектор дискет для персональных компьютеров. Вирус «Brain» являлся также и первым вирусом-невидимкой, так как при попытке обнаружения зараженного загрузочного сектора вирус незаметно «подставлял» его незараженный оригинал.

Профилактическая защита от таких вирусов состоит в отказе от загрузки операционной системы с гибких дисков и установке в BIOS вашего компьютера защиты загрузочного сектора от изменений. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.

Файловые вирусы. Файловые вирусы различными способами внедряются в исполнимые файлы (командные файлы *.bat, программы *.ехе, системные файлы *.сот и *.sys, программные библиотеки *.dll и др.) и обычно активизируются при их запуске. После запуска зараженного файла вирус находится в оперативной памяти компьютера и является активным (т. е. может заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки операционной системы.

По способу заражения файловые вирусы разделяют на:

• перезаписывающие вирусы, которые записывают свой код вместо кода программы, не изменяя названия исполнимого файла. При запуске программы выполняется код вируса, а не сама программа;

• вирусы-компаньоны, которые, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передается оригинальной программе;

• паразитические вирусы — это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. Код может внедряться в начало, середину или конец программы и выполняется перед, вместе или после программы. При этом зараженная программа сохраняет полную или частичную работоспособность.

В 1999 году произошла эпидемия очень опасного файлового вируса Win95.CIH, названного «Чернобыль» из-за даты активации 26 апреля. Вирус уничтожал данные на жестком диске, а на системных платах стирал содержимое BIOS, что приводило к необходимости их замены.

Практически все загрузочные и файловые вирусы резидентны, т. е. они находятся в оперативной памяти компьютера, и в процессе работы пользователя могут осуществлять опасные действия (стирать данные на дисках, изменять названия и другие атрибуты файлов и т. д.). Лечение от резидентных вирусов затруднено, так как даже после удаления зараженных файлов с дисков вирус остается в оперативной памяти и возможно повторное заражение файлов.

Профилактическая защита от файловых вирусов состоит в том, что не рекомендуется запускать на исполнение файлы, полученные из сомнительного источника и предварительно не проверенные антивирусными программами.

Макро-вирусы. Наибольшее распространение получили макро-вирусы для интегрированного офисного приложения Microsoft Office (Word, Excel, PowerPoint и Access). Макро-вирусы фактически являются макрокомандами (макросами) на встроенном языке программирования Visual Basic for Applications (VBA), которые помещаются в документ.

При работе с документом пользователь выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом приложение ищет и выполняет соответствующие стандартные макросы. Макро-вирусы содержат стандартные макросы, вызываются вместо них и заражают каждый открываемый или сохраняемый документ. Вредные действия макро-вирусов реализуются с помощью встроенных макросов (вставки текстов, запрета выполнения команд меню приложения и т. д.).

Макро-вирусы являются ограниченно резидентными, т. е. они находятся в оперативной памяти и заражают документы, пока открыто приложение. Кроме того, макро-вирусы заражают шаблоны документов и поэтому активизируются уже при запуске зараженного приложения.

В августе 1995 года началась эпидемия первого макро вируса «Concept» для текстового процессора Microsoft Word. Макро-вирус «Concept* до сих пор имеет широкое распространение, и на сегодняшний момент извест-- но около 100 его модификаций.

Профилактическая защита от макро-вирусов состоит в предотвращении запуска вируса. При открытии документа в приложениях Microsoft Office сообщается о присутствии в них макросов (потенциальных вирусов) и предлагается запретить их загрузку. Выбор запрета на загрузку макросов надежно защитит ваш компьютер от заражения макро-вирусами, однако отключит и полезные макросы, содержащиеся в документе.

Скрипт-вирусы. 

Особой разновидностью вирусов являются активные элементы (программы) на языках JavaScript или VBScript, которые могут содержаться в файлах Web- страниц. Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера.

В ноябре 1998 года появился первый скрипт-вирус VBScript.Rabbit, заражающий скрипты Web-страниц, а через полтора года, в мае 2000 года грянула глобальная эпидемия скрипт-вируса «LoveLetter». Сейчас этот тип вирусов прочно удерживает первое место в списке наиболее распространенных и опасных вирусов.

Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.

С помощью антивирусной программы (например, AntiVir Personal Edition) проверить компьютер на наличие вирусов и при их обнаружении вылечить или удалить зараженные файлы.

Защита от компьютерных вирусов

Прежде всего, необходимо через Интернет обновить саму антивирусную программу и вирусную базу данных.

1. Соединиться с Интернетом.

На панели задач в контекстном меню значка антивирусной программы AntiVir Personal Edition выбрать пункт Start Update.

В появившемся диалоговом окне (рис. 1.34) будет отображаться процесс обновления антивирусной программы и вирусной базы данных.

Рис. 1.34. Обновление антивирусной программы

Настроим параметры антивирусного монитора (Guard) и сканера (Scanner).

2. В контекстном меню значка антивирусной программы выбрать пункт Configure AntiVir.

В появившемся диалоговом окне (рис. 1.35) выбрать экспертный режим, установив флажок Expert mode. В левой части окна в иерархическом меню выбрать пункт Guard, а в правой установить необходимые параметры антивирусного монитора.

Для выбора типов проверяемых файлов щелкнуть по кнопке File extensions и в появившемся раскрывающемся списке добавить или удалить типы файлов.

Рис. 1.35. Настройка параметров антивирусного монитора (Guard)

3. В иерархическом меню выбрать пункт Scan (рис. 1.36), а в правой части окна установить необходимые параметры антивирусного сканера.

Проведем проверку на вирусы выбранных дисков.

Рис. 1.36. Настройка параметров антивирусного сканера (Scanner)

4. В контекстном меню значка антивирусной программы выбрать пункт Start AntiVir.

В появившемся диалоговом окне (рис. 1.37) выбрать вкладку Scanner.

В иерархической файловой системе отметить флажком диски, выбранные для проверки. Щелкнуть по кнопке Start scan.

Рис. 1.37. Проверка на вирусы выбранных дисков

5. Появится диалоговое окно, в котором будет отображаться процесс 

антивирусной проверки файлов на выбранном диске.

Для получения результатов проверки щелкнуть по кнопке Report.