Computerviren: Ursprung, tatsächliche Bedrohung und Schutzmethoden. Computer Virus. Definition, Klassifizierung und Schutzmethoden Computerviren und ihre Typen kurz

Sektor Haushaltsviren Bootstrap. Programme, die in das Ende des Boot-Programms auf Laufwerk C: geschrieben werden oder es ersetzen und ab dem Zeitpunkt der Infektion sowohl dieses als auch ihre eigenen Funktionen ausführen. Diese Viren dringen beim Booten von einer infizierten Diskette in den Computer ein. Wenn das Bootprogramm gelesen und ausgeführt wird, wird der Virus in den Speicher geladen und infiziert alles, wofür es „entworfen“ ist.

Bootviren des Master-Boot-Records. Infizieren Sie den Hauptteil Boot-Eintrag Systeme (Master Boot Record) auf Festplatten und den Bootsektor auf Disketten. Diese Art von Virus übernimmt die Kontrolle über das System auf der untersten Ebene, indem er Anweisungen zwischen der Hardware des Computers und dem Betriebssystem abfängt.

• · Makroviren: Einige Computerprogramme verwenden Makrosprachen, um häufig ausgeführte Vorgänge zu automatisieren. Je leistungsfähiger Computer wurden, desto komplexer wurden auch die von ihnen gelösten Probleme. Einige Makrosprachen bieten die Möglichkeit, Dateien in anderen Formaten als dem Originaldokument zu schreiben. Mit dieser Funktion können Virenautoren Makros erstellen, die Dokumente infizieren. Makroviren werden in der Regel durch Viren verbreitet Microsoft-Dateien Word und Excel.
• · Kombinationsviren: Viren, die eine Kombination der oben aufgeführten Eigenschaften aufweisen. Sie können Dateien, Bootsektoren und Master-Boot-Records infizieren.
• · Dateiviren: Schauen wir uns nun an, wie ein einfacher Dateivirus funktioniert. Im Gegensatz zu Bootviren, die fast immer resident sind, sind Dateiviren nicht unbedingt resident. Betrachten wir das Funktionsschema eines nicht residenten Dateivirus. Nehmen wir an, wir haben eine infizierte ausführbare Datei. Wenn eine solche Datei gestartet wird, erlangt der Virus die Kontrolle, führt einige Aktionen aus und überträgt die Kontrolle an den „Host“.

Welche Aktionen führt der Virus aus? Es sucht nach einem neuen zu infizierenden Objekt – einer Datei eines geeigneten Typs, die noch nicht infiziert wurde. Durch die Infektion einer Datei schleust sich der Virus in deren Code ein, um bei der Ausführung der Datei die Kontrolle zu erlangen. Zusätzlich zu seiner Hauptfunktion – der Fortpflanzung – kann der Virus durchaus etwas Kompliziertes tun (z. B. fragen, spielen) – dies hängt bereits von der Vorstellungskraft des Autors des Virus ab. Wenn der Dateivirus resident ist, installiert er sich im Speicher und kann Dateien infizieren und andere Fähigkeiten entfalten, nicht nur, während die infizierte Datei ausgeführt wird. Wenn ein Virus eine ausführbare Datei infiziert, ändert er immer seinen Code – daher kann eine Infektion einer ausführbaren Datei immer erkannt werden. Durch die Änderung des Dateicodes führt der Virus jedoch nicht unbedingt zu weiteren Änderungen:

• · er ist nicht verpflichtet, die Dateilänge zu ändern
• ungenutzte Codeabschnitte
• · Es ist nicht erforderlich, den Anfang der Datei zu ändern

Schließlich umfassen Dateiviren häufig Viren, die „irgendeinen Bezug zu Dateien haben“, aber nicht in deren Code eingebettet sein müssen.

Wenn also eine Datei gestartet wird, übernimmt der Virus die Kontrolle (das Betriebssystem startet sie selbst), installiert sich resident im Speicher und überträgt die Kontrolle an die aufgerufene Datei.

• · Boot-File-Viren: Wir werden das Boot-File-Virus-Modell nicht berücksichtigen, da Sie keine neuen Informationen erfahren. Aber hier bietet sich eine günstige Gelegenheit, kurz auf das äußerst „populäre“ Thema einzugehen. In letzter Zeit Der OneHalf-Bootdateivirus infiziert den Master-Bootsektor (MBR) und ausführbare Dateien. Der größte zerstörerische Effekt ist die Verschlüsselung von Festplattensektoren. Jedes Mal, wenn der Virus gestartet wird, verschlüsselt er einen weiteren Teil der Sektoren und verschlüsselt die Hälfte Festplatte, berichtet dies gerne. Das Hauptproblem bei der Behandlung dieses Virus besteht darin, dass es nicht ausreicht, den Virus einfach aus dem MBR und den Dateien zu entfernen; Sie müssen die von ihm verschlüsselten Informationen entschlüsseln.
• · Polymorphe Viren: Die meisten Fragen beziehen sich auf den Begriff „polymorpher Virus“. Diese Art von Computervirus scheint heute die gefährlichste zu sein. Lassen Sie uns erklären, was es ist.

Polymorphe Viren sind Viren, die ihren Code in infizierten Programmen so verändern, dass zwei Kopien desselben Virus möglicherweise nicht in einem einzigen Bit übereinstimmen.

Solche Viren verschlüsseln ihren Code nicht nur mit unterschiedlichen Verschlüsselungspfaden, sondern enthalten auch Code zur Generierung von Ver- und Entschlüsselern, was sie von gewöhnlichen Verschlüsselungsviren unterscheidet, die ebenfalls Teile ihres Codes verschlüsseln können, aber gleichzeitig über einen konstanten Ver- und Entschlüsselungscode verfügen .

Polymorphe Viren sind Viren mit selbstmodifizierenden Entschlüsselern. Der Zweck einer solchen Verschlüsselung: Wenn Sie über eine infizierte Originaldatei verfügen, können Sie deren Code durch regelmäßige Demontage immer noch nicht analysieren. Dieser Code ist verschlüsselt und besteht aus einem bedeutungslosen Befehlssatz. Die Entschlüsselung wird während der Ausführung vom Virus selbst durchgeführt. In diesem Fall sind Optionen möglich: Er kann sich auf einmal entschlüsseln, oder er kann eine solche Entschlüsselung „on the fly“ durchführen, er kann bereits verwendete Abschnitte erneut verschlüsseln. All dies geschieht, um die Analyse des Virencodes zu erschweren.

· Stealth-Viren: Während eines Computerscans Antivirenprogramme Daten lesen - Dateien und Systembereiche aus Festplatte und Disketten unter Verwendung des Betriebssystems und des grundlegenden BIOS-Eingabe-/Ausgabesystems. Es bleiben eine Reihe von Viren zurück Arbeitsspeicher Computer-Spezialmodule, die Programme abfangen, die auf das Festplatten-Subsystem des Computers zugreifen. Wenn ein solches Modul erkennt, dass ein Programm versucht, eine infizierte Datei oder einen infizierten Systembereich der Festplatte zu lesen, ersetzt es die gelesenen Daten im Handumdrehen, als ob sich kein Virus auf der Festplatte befände.

Stealth-Viren täuschen Antivirenprogramme vor und bleiben so unentdeckt. Es gibt jedoch eine einfache Möglichkeit, den Tarnmechanismus von Stealth-Viren zu deaktivieren. Es reicht aus, den Computer von einer nicht infizierten Systemdiskette zu starten und den Computer sofort mit einem Antivirenprogramm zu scannen, ohne andere Programme von der Computerdiskette (die ebenfalls infiziert sein kann) zu starten.

Wenn der Virus von einer Systemdiskette geladen wird, kann er nicht die Kontrolle erlangen und ein residentes Modul im RAM installieren, das den Stealth-Mechanismus implementiert. Ein Antivirenprogramm kann die tatsächlich auf der Festplatte geschriebenen Informationen lesen und den Virus leicht erkennen.

· Trojanische Pferde, Software-Lesezeichen und Netzwerkwürmer: Ein Trojanisches Pferd (siehe Anhang 2, Abb. 2) ist ein Programm, das eine zerstörerische Funktion enthält, die aktiviert wird, wenn eine bestimmte Auslösebedingung eintritt. Normalerweise werden solche Programme als eine Art getarnt nützliche Dienstprogramme. Viren können Trojaner übertragen oder andere Programme „trojanisieren“ – also destruktive Funktionen in sie einführen.

„Trojanische Pferde“ sind Programme, die zusätzlich zu den in der Dokumentation beschriebenen Funktionen auch einige andere Funktionen implementieren, die mit Sicherheitsverletzungen und zerstörerischen Aktionen verbunden sind. Es gab Fälle, in denen solche Programme erstellt wurden, um die Verbreitung von Viren zu erleichtern. Listen solcher Programme werden in großem Umfang in der ausländischen Presse veröffentlicht. Meist werden sie als Spiel- oder Unterhaltungssendungen getarnt und richten mit schönen Bildern oder Musik begleitet Schaden an.

· Software-Lesezeichen enthalten auch eine Funktion, die für das Flugzeug schädlich ist, aber diese Funktion versucht im Gegenteil so unauffällig wie möglich zu sein, weil Je länger das Programm keinen Verdacht erregt, desto länger kann das Lesezeichen funktionieren.

Wenn Viren und Trojanische Pferde durch lawinenartige Selbstverbreitung oder völlige Zerstörung Schaden anrichten, besteht die Hauptfunktion wurmartiger Viren, die in Computernetzwerken agieren, darin, das angegriffene System zu hacken, d. h. Überwindung des Schutzes, um Sicherheit und Integrität zu gefährden.

Bei mehr als 80 % der vom FBI untersuchten Computerkriminalität dringen „Cracker“ über das Internet in das angegriffene System ein. Wenn ein solcher Versuch gelingt, kann die Zukunft eines Unternehmens, dessen Aufbau Jahre gedauert hat, innerhalb von Sekunden gefährdet sein.

Dieser Vorgang kann mithilfe eines Virus namens Netzwerkwurm automatisiert werden.

· Würmer sind Viren, die sich über globale Netzwerke verbreiten und ganze Systeme und nicht einzelne Programme infizieren. Dies ist die gefährlichste Art von Virus, da es sich in diesem Fall um Angriffsobjekte handelt Informationssysteme auf nationaler Ebene. Mit dem Aufkommen des globalen Internets stellt diese Art von Sicherheitsverletzung die größte Bedrohung dar, da jeder der 40 Millionen Computer, die mit diesem Netzwerk verbunden sind, jederzeit diesem Risiko ausgesetzt sein kann.

COMPUTERVIREN, IHRE KLASSIFIZIERUNG. ANTIVIREN SOFTWARE

Computer Virus - Das Sonderprogramm, Kann sich spontan an andere Programme anhängen und beim Start des letzteren verschiedene unerwünschte Aktionen ausführen: Beschädigung von Dateien und Verzeichnissen; Verzerrung der Berechnungsergebnisse; Verstopfen oder Löschen des Speichers; Beeinträchtigung des Computerbetriebs. Das Vorhandensein von Viren äußert sich in verschiedenen Situationen.

1. Einige Programme funktionieren nicht mehr oder funktionieren nicht mehr richtig.
2. Auf dem Bildschirm werden überflüssige Meldungen, Signale und andere Effekte angezeigt.
3. Der Computer wird deutlich langsamer.
4. Es stellt sich heraus, dass die Struktur einiger Dateien beschädigt ist.

Es gibt mehrere Anzeichen für die Klassifizierung vorhandener Viren:

• nach Lebensraum;
• je nach betroffenem Gebiet;
• entsprechend den Merkmalen des Algorithmus;
• nach Infektionsmethode;
• nach destruktiven Möglichkeiten.

Anhand ihres Lebensraums unterscheiden sie zwischen Datei-, Boot-, Makro- und Netzwerkviren.

Dateiviren sind die häufigste Virenart. Diese Viren sind in ausführbare Dateien eingebettet, erstellen Begleitdateien (Begleitviren) oder nutzen Organisationsfunktionen aus Dateisystem(Link-Viren).

Bootviren schreiben sich selbst in den Bootsektor der Festplatte oder in den Bootsektor der Festplatte. Sie beginnen zu arbeiten, wenn der Computer hochfährt, und werden normalerweise resident.

Makroviren infizieren Dateien häufig verwendeter Datenverarbeitungspakete. Bei diesen Viren handelt es sich um in Programmiersprachen geschriebene Programme, die in diese Pakete integriert sind. Am weitesten verbreitet sind Makroviren für Microsoft-Anwendungen Büro.

Netzwerkviren nutzen zur Verbreitung Protokolle oder Befehle von Computernetzwerken und E-Mails. Das Hauptfunktionsprinzip eines Netzwerkvirus ist die Fähigkeit, seinen Code unabhängig auf einen Remote-Server oder eine Remote-Workstation zu übertragen. Ausgewachsene Computerviren haben die Fähigkeit, ihren Code zur Ausführung auf einem Remote-Computer zu starten.

In der Praxis gibt es verschiedene Kombinationen von Viren – zum Beispiel File-Boot-Viren, die sowohl Dateien als auch Boot-Sektoren von Festplatten infizieren, oder Netzwerk-Makroviren, die bearbeitete Dokumente infizieren und Kopien von sich selbst per E-Mail versenden.

In der Regel infiziert jeder Virus Dateien eines oder mehrerer Betriebssysteme. Viele Bootviren auchkonzentrieren sich auf bestimmte Formate für den Speicherort von Systemdaten in Bootsektoren von Festplatten. Basierend auf den Eigenschaften des Algorithmus werden residente unterschieden; Viren, Stealth-Viren, polymorphe Viren usw. Residente Viren können Kopien von sich selbst im Betriebssystem hinterlassen, die Ereignisverarbeitung abfangen (z. B. den Zugriff auf Dateien oder Datenträger) und Prozeduren zur Infektion von Objekten (Dateien oder Sektoren) veranlassen. Diese Viren sind nicht nur während der Ausführung des infizierten Programms im Speicher aktiv, sondern auch danach. Residente Kopien solcher Viren bleiben bis zum Neustart des Betriebssystems lebensfähig, selbst wenn alle infizierten Dateien auf der Festplatte zerstört werden. Wenn ein residenter Virus auch bootfähig ist und beim Booten des Betriebssystems aktiviert wird, wird die Festplatte auch durch Formatieren nicht gelöscht, wenn dieser Virus im Speicher vorhanden ist.

Makroviren sollten ebenfalls als residente Viren eingestuft werden, da sie ständig im Speicher des Computers vorhanden sind, während der infizierte Editor ausgeführt wird.

Stealth-Algorithmen ermöglichen es Viren, ihre Präsenz ganz oder teilweise zu verbergen. Der gebräuchlichste Stealth-Algorithmus besteht darin, Betriebssystemanforderungen zum Lesen/Schreiben infizierter Objekte abzufangen. Stealth-Viren heilen diese Objekte entweder vorübergehend oder ersetzen sie durch nicht infizierte Informationen. Zu den Stealth-Viren gehört teilweise eine kleine Gruppe von Makroviren, die ihren Hauptcode nicht in Makros, sondern in anderen Bereichen des Dokuments speichern – in seinen Variablen oder im Autotext.

Polymorphismus (Selbstverschlüsselung) wird verwendet, um das Virenerkennungsverfahren zu erschweren. Polymorphe Viren sind Viren, die schwer zu erkennen sind und keinen konstanten Codeabschnitt haben. Im Allgemeinen stimmen zwei Proben desselben Virus nicht überein. Dies wird durch die Verschlüsselung des Hauptkörpers des Virus und die Änderung des Entschlüsselungsprogramms erreicht.

Bei der Erstellung von Viren werden häufig nicht standardmäßige Techniken verwendet. Ihr Einsatz soll die Erkennung und Entfernung des Virus möglichst erschweren.

Je nach Art der Infektion wird zwischen Trojanern, versteckten Verwaltungsdienstprogrammen, beabsichtigten Viren usw. unterschieden.

Trojanische Pferde haben ihren Namen in Anlehnung an das Trojanische Pferd. Der Zweck dieser Programme besteht darin, nützliche Programme, neue Versionen beliebter Dienstprogramme oder Ergänzungen dazu zu imitieren. Wenn der Benutzer sie auf seinen Computer schreibt, werden Trojaner-Programme aktiviert und führen unerwünschte Aktionen aus.

Versteckte Verwaltungsprogramme sind eine Art Trojaner-Programme. In ihrer Funktionalität und Schnittstelle ähneln sie in vielerlei Hinsicht den entwickelten und vertriebenen Netzwerk-Computerverwaltungssystemen verschiedene Unternehmen- Hersteller von Softwareprodukten. Während der Installation installieren diese Dienstprogramme selbstständig ein verstecktes System auf dem Computer. Fernbedienung. Dadurch wird es möglich, diesen Computer heimlich zu steuern. Durch die Implementierung der zugrunde liegenden Algorithmen können die Dienstprogramme ohne Wissen des Benutzers Dateien empfangen, starten oder senden, Informationen zerstören, den Computer neu starten usw. Diese Dienstprogramme können verwendet werden, um Passwörter und andere vertrauliche Informationen zu erkennen und zu übertragen, Viren zu starten und Daten zu zerstören .

Zu den beabsichtigten Viren zählen Programme, die sich aufgrund von Fehlern nicht reproduzieren lassen. Zu dieser Klasse gehören auch Viren, die sich nur einmal vermehren. Wenn eine Datei infiziert ist, verlieren sie die Möglichkeit, sie weiter zu reproduzieren.

Entsprechend ihrer zerstörerischen Fähigkeiten werden Viren unterteilt in:

1. ungefährlich, dessen Auswirkungen durch eine Verringerung des freien Festplattenspeichers, eine Verlangsamung des Computers sowie Grafik- und Soundeffekte begrenzt werden;
2. gefährlich, was möglicherweise zu Unregelmäßigkeiten in der Dateistruktur und Computerstörungen führen könnte;
3. Sehr gefährlich, dessen Algorithmus insbesondere Verfahren zur Datenvernichtung und die Fähigkeit umfasst, einen schnellen Verschleiß beweglicher Teile von Mechanismen sicherzustellen, indem er die Lese-/Schreibköpfe einiger Festplatten in Resonanz bringt und zerstört.

Zur Bekämpfung von Viren gibt es Programme, die sich in Hauptgruppen einteilen lassen: Monitore, Detektoren, Ärzte, Prüfer und Impfstoffe.

Überwachen Sie Programme(Filterprogramme) befinden sich resident im Betriebssystem des Computers und werden abgefangenund den Benutzer über Betriebssystemaufrufe informieren, die von Viren zur Reproduktion und zum Anrichten von Schäden genutzt werden. Der Benutzer hat die Möglichkeit, die Ausführung dieser Aufrufe zuzulassen oder zu verweigern. Der Vorteil solcher Programme ist die Fähigkeit, unbekannte Viren zu erkennen. Mithilfe von Filterprogrammen können Sie Viren in einem frühen Stadium der Infektion Ihres Computers erkennen. Die Nachteile der Programme sind die Unfähigkeit, Viren zu verfolgen, die direkt auf das BIOS zugreifen, sowie Bootviren, die vor dem Start des Antivirenprogramms beim Laden von DOS aktiviert werden, und die häufige Ausgabe von Anfragen zur Ausführung von Vorgängen.

DetektorprogrammeÜberprüfen Sie, ob Dateien und Festplatten eine Kombination von Bytes enthalten, die für einen bestimmten Virus spezifisch sind. Wenn es erkannt wird, wird eine entsprechende Meldung angezeigt. Der Nachteil besteht darin, dass es nur vor bekannten Viren schützen kann.

Arztprogramme Stellen Sie infizierte Programme wieder her, indem Sie den Virenkörper daraus entfernen. Typischerweise sind diese Programme für bestimmte Arten von Viren konzipiert und basieren auf dem Vergleich der im Körper des Virus enthaltenen Codesequenz mit den Codes der gescannten Programme. Arztprogramme müssen regelmäßig aktualisiert werden, um neue Versionen zu erhalten, die neue Arten von Viren erkennen.

Auditor-Programme Analysieren Sie Änderungen im Status von Dateien und Systembereichen der Festplatte. Überprüfen Sie den Status des Bootsektors und der FAT-Tabelle. Länge, Attribute und Erstellungszeit der Dateien; Prüfsummencodes. Der Benutzer wird benachrichtigt, wenn Unstimmigkeiten festgestellt werden.

Impfprogramme verändern Programme und Risiken in einer Weise, die keine Auswirkungen hat Programmarbeit, aber der Virus, gegen den die Impfung durchgeführt wird, betrachtet die Programme oder Datenträger als bereits infiziert. Bestehende Antivirenprogramme gehören hauptsächlich zur Hybridklasse (Detektor-Ärzte, Arzt-Auditoren usw.).

In Russland sind Kaspersky Lab (Anti-IViral Toolkit Pro) und DialogScience (Adinf, Dr.Web) die am weitesten verbreiteten Antivirenprogramme. Das Antivirenpaket AntiViral Toolkit Pro (AVP) umfasst den AVP-Scanner, den Resident Guard AVP Monitor und ein Verwaltungsprogramm für installierte Komponenten. Kontrollzentrum und eine Reihe anderer. AVP Scanner verarbeitet zusätzlich zum herkömmlichen Scannen ausführbarer Dateien und Dokumentdateien auch E-Mail-Datenbanken. Mit dem Scanner können Sie Viren in gepackten und archivierten Dateien (nicht durch Passwörter geschützt) erkennen. Erkennt und entfernt Makroviren, polymorphe Viren, Stealth-Viren, Trojaner und bisher unbekannte Viren. Dies wird beispielsweise durch den Einsatz heuristischer Analysatoren erreicht. Solche Analysatoren simulieren den Betrieb des Prozessors und analysieren die Aktionen der diagnostizierten Datei. Abhängig von diesen Aktionen wird eine Entscheidung über das Vorhandensein eines Virus getroffen.

Der Monitor überwacht typische Vireneindringpfade, wie z. B. Datei- und Sektorzugriffe.

AVP Control Center – eine Service-Shell zum Festlegen der Startzeit des Scanners, Automatisches Update Paketkomponente usw.

Wenn Ihr Computer infiziert ist oder der Verdacht besteht, dass er mit einem Virus infiziert ist, müssen Sie:

1. die Situation einschätzen und keine Maßnahmen ergreifen, die zum Verlust von Informationen führen;
2. Starten Sie das Betriebssystem des Computers neu. Verwenden Sie in diesem Fall eine spezielle, vorgefertigte und schreibgeschützte Systemdiskette. Dadurch wird die Aktivierung von Boot- und residenten Viren von der Festplatte des Computers verhindert;
3. Führen Sie vorhandene Antivirenprogramme aus, bis alle Viren erkannt und entfernt wurden. Wenn der Virus nicht entfernt werden kann und die Datei wertvolle Informationen enthält, archivieren Sie die Datei und warten Sie, bis sie beendet wird neue Version Antivirus. Wenn Sie fertig sind, starten Sie Ihren Computer neu.

E. KASPERSKY und D. ZENKIN

Die im Mai dieses Jahres ausgebrochene Computerviren-Epidemie „LoveLetter“ hat die Gefahr, die von einer solchen „Computerfauna“ ausgeht, noch einmal bestätigt. Nachdem der Virus in Hunderttausende Computer auf der ganzen Welt eingedrungen war, zerstörte er eine große Anzahl davon wichtige Informationen, was die Arbeit der größten kommerziellen und staatlichen Organisationen buchstäblich lahmlegt.

So sehen „Liebesbriefe“ aus, die der „LoveLetter“-Virus per E-Mail verschickt. Um den Virus zu starten, klicken Sie einfach auf das Symbol.

Dieses Bild zeigt den „Tentacle“-Virus, wenn Sie versuchen, eine Datei mit der Erweiterung GIF auf infizierten Computern anzuzeigen. Die Inschrift auf dem Bild: „Ich bin der Tentakelvirus.“

Der „Marburg“-Virus zeigt diese schönen Kreuze und... löscht Dateien von Datenträgern.

Der Skriptvirus „Monopoly“ machte sich über den Kopf lustig Microsoft Bill Gates. Der Virus zeigt nicht nur ein lustiges Bild an, sondern sendet auch stillschweigend geheime Informationen vom Computer.

Leider weckt das Phänomen „Computervirus“ immer noch eher abergläubische Ehrfurcht als den Wunsch, die Situation nüchtern zu verstehen und Sicherheitsmaßnahmen zu ergreifen. Was sind das für Viren? Wie gefährlich sind sie? Welche Virenschutzmethoden gibt es heute und wie effektiv sind sie? Über diese und weitere Themen diskutieren Experten des führenden russischen Herstellers von Antivirenprogrammen, Kaspersky Lab.

Was ist ein Computervirus?

Eine eindeutige Antwort auf diese scheinbar einfache Frage konnte bisher nicht gefunden werden. In der Fachliteratur findet man Hunderte von Definitionen des Begriffs „Computervirus“, von denen sich viele nahezu diametral unterscheiden. Die inländische „Virologie“ folgt in der Regel der folgenden Definition: Ein Computervirus ist ein Programm, das ohne Wissen des Benutzers in Computer eindringt und dort verschiedene unerlaubte Aktionen ausführt. Diese Definition wäre unvollständig, wenn wir nicht noch eine weitere Eigenschaft erwähnen würden, die für einen Computervirus zwingend erforderlich ist. Dies ist seine Fähigkeit zur „Vervielfältigung“, das heißt, Duplikate von sich selbst zu erstellen und diese einzuführen Computernetzwerke und/oder Dateien, Systembereiche des Computers und andere ausführbare Objekte. Darüber hinaus stimmen Duplikate des Virus möglicherweise nicht mit dem Original überein.

Die Fähigkeit von Viren, sich zu „reproduzieren“, lässt manche Menschen sie mit einer „besonderen Lebensform“ vergleichen und diese Programme sogar mit einer Art „böser Intelligenz“ ausstatten, die sie zu abscheulichen Tricks zwingt, um ihr Ziel zu erreichen. Dies ist jedoch nichts weiter als Fiktion und ein Fantasy-Spiel. Diese Wahrnehmung von Ereignissen erinnert an mittelalterliche Vorstellungen von bösen Geistern und Hexen, die niemand sah, vor denen aber jeder Angst hatte. Die „Reproduktion“ von Viren unterscheidet sich nicht davon, dass beispielsweise ein Programm Dateien von einem Verzeichnis in ein anderes kopiert. Der einzige Unterschied besteht darin, dass diese Aktionen ohne Wissen des Benutzers ausgeführt werden, d. h. es erscheinen keine Meldungen auf dem Bildschirm. Im Übrigen ist ein Virus ein ganz gewöhnliches Programm, das bestimmte Computerbefehle verwendet.

Computerviren sind einer der Untertypen einer großen Klasse von Programmen namens Schadcodes. Heutzutage werden diese Konzepte oft identifiziert, aus wissenschaftlicher Sicht ist dies jedoch nicht wahr. Zur Gruppe der Schadcodes zählen auch sogenannte „Würmer“ und „Trojanische Pferde“. Ihr Hauptunterschied zu Viren besteht darin, dass sie sich nicht „vermehren“ können.

Der Wurm breitet sich aus Computernetzwerke(lokal oder global), ohne auf „Reproduktion“ zurückzugreifen. Stattdessen verschickt es automatisch und ohne Wissen des Nutzers sein Original, beispielsweise per E-Mail.

Trojaner-Programme verfügen in der Regel über keine eingebauten Verbreitungsfunktionen: Sie gelangen ausschließlich mit Hilfe ihrer Urheber oder Personen, die sie illegal nutzen, auf Computer. Erinnern wir uns an Homers Ilias. Nach vielen erfolglosen Versuchen, Troja im Sturm zu erobern, griffen die Griechen zu List. Sie bauten eine Pferdestatue und überließen sie den Trojanern und taten so, als würden sie sich zurückziehen. Das Pferd war jedoch innen leer und verbarg eine Abteilung griechischer Soldaten. Die Trojaner, die die Gottheit in Form eines Pferdes verehrten, schleppten die Statue selbst in die Stadttore. „Trojaner“-Programme nutzen eine ähnliche Einführungsmethode: Sie dringen unter dem Deckmantel nützlicher, lustiger und oft sehr profitabler Programme in Computer ein. Beispielsweise erhält der Benutzer eine E-Mail mit dem Angebot, die gesendete Datei auszuführen, die beispielsweise eine Million Rubel enthält. Nach dem Ausführen dieser Datei dringt ein Programm unbemerkt in den Computer ein und führt verschiedene unerwünschte Aktionen aus. Es kann beispielsweise den Besitzer eines infizierten Computers ausspionieren (überwachen, welche Websites er besucht, mit welchen Passwörtern er auf das Internet zugreift usw.) und die empfangenen Daten dann an den Autor senden.

In letzter Zeit kommt es immer häufiger zu sogenannten „Mutanten“, also Schadcodes, die die Merkmale mehrerer Klassen gleichzeitig vereinen. Ein typisches Beispiel ist das Melissa-Makrovirus, das im März letzten Jahres eine große Epidemie auslöste. Er verbreitete sich wie ein klassischer Internet-Wurm über Netzwerke. „LoveLetter“ ist ebenfalls eine Kreuzung aus einem Netzwerkwurm und einem Virus. In komplexeren Fällen Schadsoftware kann Merkmale aller drei Typen enthalten (zum Beispiel das „BABYLONIA“-Virus).

URSPRUNG VON COMPUTERVIREN

Seltsamerweise entstand die Idee von Computerviren lange vor dem Aufkommen von persönliche Computer. 1959 veröffentlichte der amerikanische Wissenschaftler L. S. Penrose in der Zeitschrift Scientific American einen Artikel über selbstreplizierende mechanische Strukturen. In diesem Artikel wurde das einfachste Modell zweidimensionaler Strukturen beschrieben, die aktiviert, reproduziert, mutiert und eingefangen werden können. Bald darauf implementierte der US-Forscher F. G. Stahl dieses Modell mithilfe von Maschinencode auf einer IBM 650.

Damals waren Computer riesig, komplex in der Bedienung und äußerst leistungsstark teure Autos Daher könnten nur große Unternehmen oder staatliche Rechen- und Forschungszentren ihre Eigentümer werden. Doch am 20. April 1977 kam es zum ersten „Volks“-Personal Apple Computer II. Preis, Zuverlässigkeit, Einfachheit und Benutzerfreundlichkeit prägten seine weite Verbreitung in der Welt. Das Gesamtverkaufsvolumen der Computer dieser Serie belief sich auf mehr als drei Millionen Einheiten (ohne die zahlreichen Exemplare wie Pravets 8M/S, Agat usw.) und war damit um eine Größenordnung höher als die Anzahl aller anderen verfügbaren Computer damals. So erhielten Millionen Menschen unterschiedlicher Berufe, sozialer Schichten und Mentalitäten Zugang zu Computern. Es ist nicht verwunderlich, dass zu diesem Zeitpunkt die ersten Prototypen moderner Computerviren auftauchten, da zwei der wichtigsten Bedingungen für ihre Entwicklung erfüllt waren – die Erweiterung des „Lebensraums“ und die Entstehung von Verbreitungsmitteln.

In der Folge wurden die Bedingungen für Viren immer günstiger. Das Angebot an Personalcomputern, die dem Durchschnittsbenutzer zur Verfügung stehen, wurde erweitert; neben flexiblen 5-Zoll-Magnetplatten erschienen auch Festplatten und lokale Netzwerke sowie Technologien zur Übermittlung von Informationen über normale DFÜ-Telefonleitungen. Es entstanden die ersten Netzwerkdatenbanken BBS (Bulletin Board System) oder „Bulletin Boards“, die den Austausch von Programmen zwischen Benutzern erheblich erleichterten. Später entwickelten sich viele von ihnen zu großen Online-Hilfesystemen (CompuServe, AOL usw.). All dies trug zur Erfüllung der drittwichtigsten Bedingung für die Entwicklung und Verbreitung von Viren bei – es begannen Einzelpersonen und Personengruppen aufzutauchen, die an ihrer Entstehung beteiligt waren.

Wer schreibt Virenprogramme und warum? Diese Frage (mit der Bitte um Angabe einer Adresse und Telefonnummer) beschäftigt insbesondere diejenigen, die bereits Opfer eines Virenbefalls geworden sind und die Ergebnisse jahrelanger mühevoller Arbeit verloren haben. Heute sieht das Porträt eines durchschnittlichen „Virenautors“ so aus: männlich, 23 Jahre alt, Angestellter einer Bank oder Finanzorganisation, verantwortlich für Informationssicherheit oder Netzwerkadministration. Allerdings ist er unseren Daten zufolge etwas älter (14-20 Jahre), er studiert oder hat überhaupt keinen Unterricht. Das Wichtigste, was alle Virenentwickler eint, ist der Wunsch, sich abzuheben und zu beweisen, auch im heroischen Bereich. Im Alltag wirken solche Menschen oft wie berührende, ruhige Menschen, die keiner Fliege etwas zuleide tun würden. All ihre Lebensenergie, ihr Hass auf die Welt und ihr Egoismus finden in der Erschaffung kleiner „Computerschurken“ ein Ventil. Sie zittern vor Freude, als sie erfahren, dass ihre „Idee“ eine regelrechte Epidemie in der Computerwelt ausgelöst hat. Dies ist jedoch bereits der Kompetenzbereich von Psychiatern.

Die 90er Jahre, geprägt vom Aufstieg des globalen Internets, erwiesen sich als die fruchtbarste Zeit für Computerviren. Hunderte Millionen Menschen auf der ganzen Welt sind wohl oder übel zu „Benutzern“ geworden, und Computerkenntnisse sind fast ebenso notwendig geworden wie die Fähigkeit, lesen und schreiben zu können. Während sich Computerviren früher überwiegend extensiv entwickelten (d. h. ihre Zahl wuchs, nicht aber ihre Qualitätsmerkmale), können wir heute dank der Verbesserung der Datenübertragungstechnologien das Gegenteil sagen. Die „primitiven Vorfahren“ werden durch immer „intelligentere“ und „listigere“ Viren ersetzt, die viel besser an neue Lebensbedingungen angepasst sind. Heutzutage beschränken sich Virenprogramme nicht mehr nur darauf, Dateien oder Bootsektoren zu beschädigen oder harmlose Musik abzuspielen. Einige von ihnen sind in der Lage, Daten auf Motherboard-Chips zu zerstören. Gleichzeitig überraschen Technologien zur Maskierung, Verschlüsselung und Verbreitung von Viren manchmal selbst die erfahrensten Spezialisten.

WAS SIND VIREN?

Bis heute wurden etwa 55.000 Computerviren registriert. Ihre Zahl wächst ständig und es tauchen völlig neue, bisher unbekannte Arten auf. Die Klassifizierung von Viren wird von Jahr zu Jahr schwieriger. Im Allgemeinen können sie nach folgenden Hauptmerkmalen in Gruppen eingeteilt werden: Lebensraum, Betriebssystem, Merkmale des Betriebsalgorithmus. Nach diesen drei Klassifizierungen kann beispielsweise der bekannte Tschernobyl-Virus als dateiresidenter, nicht polymorpher Windows-Virus eingestuft werden. Lassen Sie uns genauer erklären, was das bedeutet.

1. Lebensraum

Je nach Lebensraum werden Datei-, Boot- und Makroviren unterschieden.

Zunächst war die häufigste Form der Computer-„Infektion“. Dateiviren, „lebend“ in Dateien und Ordnern des Betriebssystems des Computers. Hierzu zählen beispielsweise „überschreibende“ Viren (von englisch „to write over“). Sobald sie in den Computer gelangen, schreiben sie ihren Code anstelle des Codes der infizierten Datei und zerstören so deren Inhalt. In diesem Fall funktioniert die Datei natürlich nicht mehr und wird nicht wiederhergestellt. Dabei handelt es sich jedoch um eher primitive Viren: Sie offenbaren sich in der Regel sehr schnell und können keine Epidemie auslösen.

Noch „listiger“ verhalten sich „Companion“-Viren (vom englischen „buddy“, „companion“). Sie verändern nicht die Datei selbst, sondern erstellen ein Duplikat für sie, so dass beim Start der infizierten Datei dieses Duplikat, also der Virus, die Kontrolle übernimmt. Beispielsweise nutzen „Begleiter“-Viren, die unter DOS laufen, die Funktion dieses Betriebssystems, um zuerst Dateien mit der COM-Erweiterung und dann mit der EXE-Erweiterung auszuführen. Solche Viren erstellen Duplikate für EXE-Dateien mit demselben Namen, aber mit der Erweiterung COM. Der Virus wird in die COM-Datei geschrieben und verändert die EXE-Datei in keiner Weise. Wenn Sie eine infizierte Datei ausführen, erkennt DOS zunächst die COM-Datei, also den Virus, und führt sie aus. Erst dann startet der Virus die Datei mit der Erweiterung EXE.

Manchmal benennen „Begleitviren“ die Datei, die sie infizieren, einfach um und schreiben ihren eigenen Code unter dem alten Namen auf die Festplatte. Beispielsweise wird die Datei XCOPY.EXE in XCOPY.EXD umbenannt und der Virus wird unter dem Namen XCOPY.EXE erfasst. Wenn die Datei gestartet wird, übernimmt der Virencode die Kontrolle, der dann das ursprüngliche XCOPY startet, das unter dem Namen XCOPY.EXD gespeichert ist. Viren dieser Art wurden in vielen Fällen gefunden Betriebssysteme Ah – nicht nur unter DOS, sondern auch unter Windows und OS/2.

Es gibt andere Möglichkeiten, doppelte Dateien zu erstellen. Beispielsweise „spielen“ „Path-Companion“-Viren mit den Funktionen von DOS PATH – einer hierarchischen Aufzeichnung des Dateispeicherorts im DOS-System. Der Virus kopiert seinen Code unter dem Namen der infizierten Datei, platziert ihn jedoch nicht im selben Verzeichnis, sondern eine Ebene höher. In diesem Fall wird DOS als erstes die Virendatei erkennen und starten.

Funktionsprinzip Bootviren basierend auf Betriebssystem-Startalgorithmen. Diese Viren infizieren den Bootsektor einer Diskette oder Festplatte – einen speziellen Bereich auf der Festplatte, der das Bootprogramm des Computers enthält. Wenn Sie den Inhalt des Bootsektors ändern, können Sie Ihren Computer möglicherweise nicht einmal starten.

Makroviren- eine Art Computervirus, der mithilfe von Makrosprachen erstellt wurde, die in populäre Sprachen integriert sind Büroanwendungen wie Word, Excel, Access, PowerPoint, Project, Corel Draw usw. (siehe „Wissenschaft und Leben“ Nr. 6, 2000). Mit Makrosprachen werden spezielle Programme (Makros) geschrieben, um die Effizienz von Office-Anwendungen zu verbessern. Sie können beispielsweise in Word ein Makro erstellen, das das Ausfüllen und Versenden von Faxen automatisiert. Dann muss der Benutzer nur noch Daten in die Formularfelder eingeben und auf eine Schaltfläche klicken – den Rest erledigt das Makro selbst. Das Problem besteht darin, dass neben nützlichen auch schädliche Makros in den Computer gelangen können, die Kopien von sich selbst erstellen und ohne Wissen des Benutzers bestimmte Aktionen ausführen können, beispielsweise den Inhalt von Dokumenten ändern, Dateien löschen usw Verzeichnisse. Das sind Makroviren.

Je umfassender die Fähigkeiten einer bestimmten Makrosprache sind, desto raffinierter, ausgefeilter und gefährlicher können darin geschriebene Makroviren sein. Die heute am häufigsten verwendete Makrosprache ist Visual Basic for Applications (VBA). Seine Fähigkeiten nehmen mit jeder neuen Version rapide zu. Je ausgereifter die Office-Anwendungen sind, desto gefährlicher wird die Arbeit damit. Daher stellen Makroviren heutzutage eine echte Bedrohung für Computerbenutzer dar. Unseren Prognosen zufolge werden sie von Jahr zu Jahr schwerer zu fassen und gefährlicher, und die Geschwindigkeit ihrer Ausbreitung wird bald ein noch nie dagewesenes Ausmaß erreichen.

2. Verwendetes Betriebssystem.

Jeder Datei- oder Netzwerkvirus infiziert Dateien eines oder mehrerer Betriebssysteme – DOS, Windows, OS/2, Linux, MacOS usw. Dies ist die Grundlage für die zweite Methode zur Klassifizierung von Viren. Beispielsweise wird der „BOZA“-Virus, der nur unter Windows und nirgendwo anders funktioniert, als Windows-Virus eingestuft. Virus „BLISS“ – für Linux-Viren usw.

3. Arbeitsalgorithmen.

Viren lassen sich auch anhand der von ihnen verwendeten Betriebsalgorithmen unterscheiden, also verschiedener Software-Tricks, die sie so gefährlich und schwer fassbar machen.

Erstens können alle Viren unterteilt werden in Resident und Nicht-Resident. Ein residenter Virus ist wie ein Spion, der ständig in einem fremden Land arbeitet. Sobald der Virus beim Booten in den Arbeitsspeicher des Computers gelangt, verbleibt er dort, bis der Computer ausgeschaltet oder neu gestartet wird. Von dort aus führt der residente Virus alle seine zerstörerischen Aktionen aus. Nicht residente Viren infizieren den Computerspeicher nicht und können sich nur dann „vermehren“, wenn sie gestartet werden.

Alle Makroviren können auch als resident eingestuft werden. Sie bleiben während der gesamten Ausführungszeit der von ihnen infizierten Anwendung im Speicher des Computers vorhanden.

Zweitens gibt es Viren sichtbar und unsichtbar. Für den Normalbürger ist die Unsichtbarkeit des Virus vielleicht seine geheimnisvollste Eigenschaft. Daran ist jedoch nichts Dämonisches. „Unsichtbarkeit“ bedeutet, dass der Virus durch Software-Tricks verhindert, dass der Benutzer oder das Antivirenprogramm die Änderungen bemerkt, die er an der infizierten Datei vorgenommen hat. Der Stealth-Virus ist ständig im Speicher des Computers vorhanden und fängt Anfragen des Betriebssystems zum Lesen und Schreiben solcher Dateien ab. Nachdem die Anfrage abgefangen wurde, ersetzt es die infizierte Datei durch ihre ursprüngliche, unbeschädigte Version. Somit sieht der Benutzer immer nur „saubere“ Programme, während der Virus still und leise seine „schmutzige Tat“ ausführt. Einer der ersten File-Stealth-Viren war „Frodo“, und der erste Boot-Stealth-Virus war der „Brain“-Virus.

Um sich möglichst gut vor Antivirenprogrammen zu tarnen, nutzen fast alle Viren Methoden Selbstverschlüsselung oder Polymorphie, das heißt, sie können sich selbst verschlüsseln und ändern. Ändern Sie Ihre Aussehen(Programmcode) behalten Viren die Fähigkeit, bestimmte böswillige Aktionen auszuführen, vollständig. Bisher konnten Antivirenprogramme Viren nur „auf den ersten Blick“, also anhand ihres einzigartigen Programmcodes, erkennen. Daher löste das Auftauchen polymorpher Viren vor einigen Jahren eine echte Revolution in der Computervirologie aus. Mittlerweile gibt es universelle Methoden zur Bekämpfung solcher Viren.

METHODEN ZUR BEKÄMPFUNG VON COMPUTERVIREN

Es ist notwendig, sich an die wichtigste Voraussetzung im Kampf gegen Computerviren zu erinnern: Keine Panik. Tausende hochqualifizierte Antiviren-Spezialisten bewachen rund um die Uhr die Computersicherheit, deren Professionalität das gemeinsame Potenzial aller Computer-Hooligans – Hacker – um ein Vielfaches übersteigt. In Russland wird die Antivirenforschung von zwei Personen durchgeführt Computerfirmen- Kaspersky Lab (www.avp.ru) und SalD (www.drweb.ru).

Um den Versuchen von Viren, in Ihren Computer einzudringen, erfolgreich zu widerstehen, müssen Sie zwei einfache Bedingungen erfüllen: Befolgen Sie die Grundregeln der „Computerhygiene“ und verwenden Sie Antivirenprogramme.

Seit es die Antivirenindustrie gibt, wurden viele Möglichkeiten erfunden, Computerviren entgegenzuwirken. Die Vielfalt und Vielfalt der heute angebotenen Schutzsysteme ist wirklich erstaunlich. Versuchen wir herauszufinden, welche Vor- und Nachteile bestimmte Schutzmethoden haben und wie wirksam sie im Verhältnis dazu sind verschiedene Arten Viren.

Heutzutage gibt es fünf Hauptansätze zur Gewährleistung der Virenschutzsicherheit.

1. Antivirenscanner.

Der Pionier der Antiviren-Bewegung ist ein Scannerprogramm, das fast gleichzeitig mit den Computerviren selbst geboren wurde. Das Funktionsprinzip des Scanners besteht darin, alle Dateien, Bootsektoren und den Speicher mit einer Kette zur Erkennung der darin enthaltenen Virensignaturen, also des einzigartigen Programmcodes des Virus, zu durchsuchen.

Der Hauptnachteil des Scanners besteht darin, dass er nicht in der Lage ist, verschiedene Modifikationen des Virus zu verfolgen. Beispielsweise gibt es mehrere Dutzend Varianten des Melissa-Virus, und zwar für fast jede davon Antiviren-Unternehmen musste ein separates Update veröffentlichen Antiviren-Datenbank.

Dies führt zum zweiten Problem: In der Zeit zwischen dem Erscheinen einer neuen Modifikation des Virus und der Veröffentlichung des entsprechenden Antivirenprogramms bleibt der Benutzer praktisch ungeschützt. Zwar haben spätere Experten einen originellen Algorithmus zur Erkennung unbekannter Viren entwickelt und in Scanner implementiert – einen heuristischen Analysator, der den Programmcode auf die Möglichkeit des Vorhandenseins eines Computervirus überprüfte. Allerdings weist diese Methode eine hohe Falsch-Positiv-Rate auf, ist nicht zuverlässig genug und beseitigt darüber hinaus erkannte Viren nicht.

Und schließlich besteht der dritte Nachteil eines Antivirenscanners darin, dass er Dateien nur dann scannt, wenn Sie ihn dazu auffordern, d. h. wenn Sie das Programm ausführen. Mittlerweile vergessen Benutzer sehr oft, zweifelhafte Dateien zu überprüfen, die beispielsweise aus dem Internet heruntergeladen wurden, und infolgedessen ihre mit meinen eigenen Händen Ihren Computer infizieren. Der Scanner kann die Tatsache einer Infektion erst dann feststellen, wenn der Virus bereits im System aufgetreten ist.

2. Antiviren-Monitore.

Im Kern sind Antivirenmonitore eine Art Scanner. Im Gegensatz zu letzteren befinden sie sich jedoch ständig im Speicher des Computers und führen in Echtzeit Hintergrundscans von Dateien, Bootsektoren und Speicher durch. Um den Virenschutz zu aktivieren, muss der Benutzer beim Laden des Betriebssystems lediglich den Monitor starten. Alle gestarteten Dateien werden automatisch auf Viren überprüft.

3. Auditoren wechseln.

Die Arbeit dieser Art von Antivirenprogrammen basiert auf der Erfassung originaler „Fingerabdrücke“ (CRC-Summen) von Dateien und Systemsektoren. Diese „Fingerabdrücke“ werden in einer Datenbank gespeichert. Beim nächsten Start prüft der Prüfer die „Fingerabdrücke“ anhand ihrer Originale und informiert den Nutzer über die eingetretenen Änderungen.

Change-Auditoren haben auch Nachteile. Erstens sind sie nicht in der Lage, den Virus in dem Moment abzufangen, in dem er im System auftritt, sondern tun dies erst einige Zeit später, nachdem sich der Virus im Computer ausgebreitet hat. Zweitens können sie keinen Virus in neuen Dateien (E-Mails, Disketten, wiederhergestellte Dateien) erkennen Sicherheitskopie, oder beim Entpacken von Dateien aus einem Archiv), da in den Auditor-Datenbanken keine Informationen über diese Dateien vorhanden sind. Einige Viren machen sich dies zunutze, indem sie nur neu erstellte Dateien infizieren und so für Prüfer unsichtbar bleiben. Drittens verlangen Prüfer eine regelmäßige Einführung – je häufiger dies geschieht, desto zuverlässiger ist die Kontrolle der Virusaktivität.

4. Immunisatoren.

Antiviren-Immunisierungsprogramme werden in zwei Typen unterteilt: Immunisierungsprogramme, die eine Infektion melden, und Immunisierungsprogramme, die eine Infektion durch jede Art von Virus blockieren.

Die ersten werden normalerweise an das Ende von Dateien geschrieben (basierend auf dem Prinzip eines Dateivirus) und jedes Mal, wenn die Datei gestartet wird, wird sie auf Änderungen überprüft. Solche Immunisierer haben nur einen, aber grundlegenden Nachteil: Sie sind absolut nicht in der Lage, unsichtbare Viren zu erkennen, die ihre Anwesenheit in einer infizierten Datei geschickt verbergen.

Die zweite Art von Immunisator schützt das System vor Schäden durch ein bestimmtes Virus. Dazu werden die Dateien so verändert, dass der Virus sie als bereits infiziert wahrnimmt. Um beispielsweise zu verhindern, dass eine COM-Datei mit dem „Jerusalem“-Virus infiziert wird, reicht es aus, die Zeile MsDos hinzuzufügen. Und zum Schutz vor einem residenten Virus wird ein Programm in den Speicher des Computers eingegeben, das eine Kopie des Virus simuliert. Beim Start trifft der Virus darauf und geht davon aus, dass das System bereits infiziert ist und keine Notwendigkeit besteht, sich darum zu kümmern.

Natürlich ist es unmöglich, Dateien gegen alle bekannten Viren zu immunisieren: Jeder von ihnen verfügt über seine eigenen Methoden zur Feststellung einer Infektion. Aus diesem Grund haben sich Immunisierungsmittel nicht durchgesetzt und werden derzeit praktisch nicht eingesetzt.

5. Verhaltensblocker.

Alle oben aufgeführten Arten von Antivirenprogrammen lösen das Problem nicht Hauptproblem- Schutz vor unbekannten Viren. Daher sind Computersysteme ihnen schutzlos ausgeliefert, bis die Hersteller von Antivirenprogrammen Gegenmittel entwickeln. Manchmal dauert dies mehrere Wochen. In dieser Zeit können Sie alle wichtigen Informationen verlieren.

Eine klare Antwort auf die Frage „Was tun mit unbekannten Viren?“ Das wird uns erst im kommenden Jahrtausend gelingen. Heute können wir jedoch einige Vorhersagen treffen. Der unserer Meinung nach vielversprechendste Bereich des Virenschutzes ist die Schaffung sogenannter Verhaltensblocker. Sie sind diejenigen, die den Angriffen neuer Viren mit nahezu hundertprozentiger Sicherheit standhalten können.

Was ist ein Verhaltensblocker? Hierbei handelt es sich um ein Programm, das sich ständig im RAM des Computers befindet und verschiedene Ereignisse im System „abfängt“. Wenn er „verdächtige“ Aktionen erkennt (die von einem Virus oder einem anderen Schadprogramm ausgeführt werden könnten), verbietet der Blocker diese Aktion oder fordert die Erlaubnis des Benutzers an. Mit anderen Worten: Der Blocker sucht nicht nach dem Virencode, sondern überwacht und verhindert dessen Aktionen.

Theoretisch kann ein Blocker die Ausbreitung jedes bekannten oder unbekannten Virus verhindern (nach dem Blocker geschrieben). Das Problem besteht jedoch darin, dass „virenähnliche“ Aktionen auch vom Betriebssystem selbst ausgeführt werden können nützliche Programme. Ein Verhaltensblocker (hier meinen wir einen „klassischen“ Blocker, der zur Bekämpfung von Dateiviren eingesetzt wird) kann nicht selbstständig feststellen, wer genau eine verdächtige Aktion ausführt – ein Virus, ein Betriebssystem oder ein Programm – und ist daher gezwungen, den Benutzer danach zu fragen Bestätigung. Daher muss der endgültige Entscheidungsträger über ausreichende Kenntnisse und Erfahrung verfügen, um die richtige Antwort geben zu können. Aber solche Leute gibt es nur wenige. Aus diesem Grund sind Blocker noch nicht populär geworden, obwohl die Idee zu ihrer Schaffung schon vor langer Zeit auftauchte. Die Vorteile dieser Antivirenprogramme wurden oft zu ihren Nachteilen: Sie wirkten zu aufdringlich, störten den Benutzer mit ihren ständigen Anfragen und wurden von Benutzern einfach deinstalliert. Leider kann diese Situation nur durch den Einsatz künstlicher Intelligenz korrigiert werden, die die Gründe für diese oder jene verdächtige Aktion selbstständig versteht.

Heutzutage können Verhaltensblocker jedoch erfolgreich zur Bekämpfung von Makroviren eingesetzt werden. In Programmen, die in der VBA-Makrosprache geschrieben sind, ist es mit sehr hoher Wahrscheinlichkeit möglich, bösartige Aktionen von nützlichen zu unterscheiden. Ende 1999 entwickelte Kaspersky Lab ein einzigartiges Makroviren-Schutzsystem für das MS Office-Paket (Versionen 97 und 2000), das auf neuen Ansätzen zu den Prinzipien eines Verhaltensblockers basiert – AVP Office Guard. Dank der Analyse des Verhaltens von Makroviren wurden die häufigsten Abfolgen ihrer Aktionen ermittelt. Dies ermöglichte die Einführung eines neuen, hochintelligenten Systems zum Filtern von Makroaktionen in das Blockerprogramm, das nahezu genau diejenigen identifiziert, die eine echte Gefahr darstellen. Dadurch stellt der AVP Office Guard-Blocker dem Benutzer einerseits viel weniger Fragen und ist nicht so „aufdringlich“ wie seine Dateigegenstücke, andererseits schützt er den Computer fast zu 100 % vor Makroviren. sowohl bekannt als auch noch nicht geschrieben.

AVP Office Guard fängt selbst Multiplattform-Makroviren ab und blockiert deren Ausführung, also Viren, die in mehreren Anwendungen gleichzeitig ausgeführt werden können. Darüber hinaus steuert das Programm AVP Office Guard den Betrieb von Makros mit externen Anwendungen, einschließlich Mailprogramme. Dadurch wird die Möglichkeit einer Ausbreitung von Makroviren ausgeschlossen Email. Doch auf diese Weise infizierte der LoveLetter-Virus im Mai dieses Jahres Zehntausende Computer auf der ganzen Welt.

Die Wirksamkeit des Blockers wäre gleich Null, wenn Makroviren ihn nach dem Zufallsprinzip deaktivieren könnten. (Dies ist einer der Mängel des in MS Office-Anwendungen integrierten Virenschutzes.) AVP Office Guard verfügt über einen neuen Mechanismus zur Abwehr von Makrovirus-Angriffen auf sich selbst mit dem Ziel, ihn zu deaktivieren und aus dem System zu entfernen. Dies kann nur der Benutzer selbst tun. Somit erspart Ihnen die Verwendung von AVP Office Guard die ewigen Kopfschmerzen beim Herunterladen und Verbinden von Antiviren-Datenbankaktualisierungen zum Schutz vor neuen Makroviren. Nach der Installation schützt dieses Programm Ihren Computer zuverlässig vor Makroviren, bis eine neue Version der Programmiersprache VBA mit neuen Funktionen zum Schreiben von Viren veröffentlicht wird.

Obwohl der Verhaltensblocker das Problem der Erkennung und Verhinderung der Ausbreitung von Makroviren löst, ist er nicht dazu gedacht, diese zu entfernen. Daher muss es in Verbindung mit einem Antivirenscanner verwendet werden, der den erkannten Virus erfolgreich zerstören kann. Mit dem Blocker können Sie den Zeitraum zwischen der Entdeckung eines neuen Virus und der Veröffentlichung eines Updates der Antiviren-Datenbank für den Scanner sicher abwarten, ohne den Betrieb von Computersystemen aus Angst vor einem dauerhaften oder ernsthaften Verlust wertvoller Daten zu unterbrechen Beschädigung der Computerhardware.

REGELN DER „COMPUTERHYGIENE“

„Öffnen Sie unter keinen Umständen Dateien, die per E-Mail von Ihnen unbekannten Personen gesendet wurden. Auch wenn Ihnen der Empfänger bekannt ist, seien Sie vorsichtig: Ihre Freunde und Partner vermuten möglicherweise nicht einmal, dass auf ihrem Computer ein Virus steckt, der heimlich Kopien von sich selbst sendet.“ Adressen von ihren Adressbuch.

" Stellen Sie sicher, dass Sie alle Disketten, CDs und andere mobile Medien sowie aus dem Internet und anderen öffentlichen Ressourcen (BBS, elektronische Konferenzen usw.) empfangene Dateien mit einem Antivirenscanner mit maximaler Scanstufe scannen.

" Führen Sie einen vollständigen Antiviren-Scan Ihres Computers durch, nachdem Sie ihn von einem Reparaturdienst erhalten haben. Reparaturbetriebe verwenden dieselben Disketten, um alle Computer zu scannen – sie können sehr leicht eine „Infektion“ von einem anderen Computer einschleusen!

„Installieren Sie rechtzeitig Patches von den Herstellern der von Ihnen verwendeten Betriebssysteme und Programme.

„Seien Sie vorsichtig, wenn Sie anderen Benutzern Zugriff auf Ihren Computer gewähren.

„Um die Sicherheit Ihrer Daten zu erhöhen, sichern Sie regelmäßig Informationen auf unabhängigen Medien.

Systemviren dringen in Systemmodule und Peripheriegerätetreiber ein und infizieren Interpreterprogramme.

In der Computerwelt gibt es eine spezielle Gruppe von Viren, die darauf abzielen, das Generierungssystem zum Scheitern zu bringen. Die Erscheinungsformen können unterschiedlich sein: Neustart, Einfrieren, fehlerhafte Arbeit Anwendungen und mehr.