Мазмұны
Кiрiспе.................................................................................................................4 1.
Компьютерлiк вирустар...............................................................................5
1.1 Вирустар және олардың түрлерi......................................................................5
1.2 Вирустардың пайда болуы...............................................................................6
1.2.1 Жалпы байланыс желiсi – электрондық почта............................................6
1.2.2 Жергiлiктi байланыс желiлерi.......................................................................7
1.2.3 Жалпы қолданыстағы дербес компьютерлер..............................................7
2. Вирустарды табу әдiстерi................................................................................8
2.1 Жұмыс жүктейтiн вирустарды табу................................................................8
2.2 Файлдық вирусты табу.....................................................................................9
2.3 Макровирустарды табу...................................................................................10
2.4 Резиденттi вирусты табу.................................................................................11
2.4.1 DOS-вирустар...............................................................................................11
2.4.2 WINDOWS–вирустар...................................................................................13 3.
Вирустарға қаpсы күрес...................................................................................13
3.1 Антивирустық бағдарламалар........................................................................13
3.2 Антивирусты таңдау.......................................................................................13
3.3 Антивирус түрлерi..........................................................................................15
3.3.1 Касперский антивирусы…..........................................................................15
3.3.2 Antivirus Doctor-Web…………...................................................................17
3.3.3 Иммунитеттендiрушiлер.............................................................................18
3.4 Вирусқа қарсы бағдарламаларды қолдану әдiстемесi................................18
4. Бұзылған объекттердi қайта қалпына келтiру...........................................20
4.1 Файл-құжаттар және таблицаларды қайта қалпына келтiру......................20
4.2 Жұмыс жүктеу секторларын қайта қалпына келтiру. ................................20
4.3 Файлдарды қайта қалпына келтiру...............................................................21
4.4 Компьютерлік вирустардың қызметі............................................................21
5. Компьютерлiк вирустардан сақтанудың негiзгi тәсiлдерi.......................22
5.1 Детектор-бағдарламалар және докторлар....................................................22
5.1.1 Вирустардан емдеу......................................................................................22
5.2 Ревизор- бағдарламалар.................................................................................23
5.2.1 Өзгерістер талдауы......................................................................................23
5.2.2 Көзге көрінбейтін вирустар........................................................................23
5.3 Доктор- ревизор..............................................................................................24
5.4 Вирус жұқтыру кезіндегі әрекеттер............................................................24 Қорытынды..........................................................................................................26
Пайдаланған әдебиеттер ................................................................................... 27
1 Компьютерлiк вирустар
1.1 Вирустар
Компьютерлiк вирустар – арнайы жазылған шағын көлемдi (кiшiгiрiм) программа. Ол өзiнен-өзi басқа программалар соңына немесе алдына қосымша жазылады да, оларды «бүлдiруге» кiрiседi, сондай-ақ компьютерде келеңсiз тағы да басқа әрекеттердi iстеуi мүмкiн. Iшiнен осындай вирус табылған программа «ауру жұққан» немесе «бүлiнген» деп аталады, мұндай программаны iске қосқанда алдымен вирус жұмысқа кiрiсiп, оның негiзгi функциясы орындалмайды немесе қате орындалады. Вирус басқа iске қосылған жұмыс iстеуге тиiс программаларға да керi әсер етiп, оларға да «жұғады» және де жалпы басқа да зиянды iс-әрекеттер жасай бастайды. Мысалы, файлдарды немесе дискiдегi файлдардың орналасу кестесiн бүлдiредi, жедел жадтағы бос орынды жайлап алады және т. с. с.
Өзiнiң жабысқанын жасыру мақсатында вирустың басқа программаларды бүлдiруi және оларға зиян ету әрекеттерi көбiнесе сырт көзге бiлiне бермейдi. Оның керi әсерi белгiлi бiр шарттарды орындағанда ғана iске асады. Вирус өзiне қажеттi бүлдiру әрекеттерiн орындаған соң, жұмысты басқаруды негiзгi пограммаға бередi, ал ол программа алғашында әдеттегiдей жұмыс iстей бередi. Сөйтiп ол программа бұрынғы қалпынша жұмыс жалғастырып, сырт көзге «вирус жұққандығы» бастапқы кезде байқалмай қалады.
Вирустың көптеген түрлерi ЭЕМ жадында ДОS-ты қайта жүктегенше тұрақты сақталып, оқтын-оқтын өзiнiң зиянды әсерiн жүргiзiп отырады. Вирустың зиянды iс-әрекеттерi алғашқы кезде жұмыс iстеп отырған адамға байқалмайды,өйткенi ол өте тез орындалып әсерi онша бiлiнбеуi мүмкiн, сондықтан көбiнесе адамдардың компьютерде әдеттегiден өзгеше жағдайлардың болып жатқанын сезуi өте қиынға соғады.
Компьютерде “вирус жұққан” программалар саны көбеймей тұрғанда, онда вирустың бар екенi сырт көзге ешбiр байқалмайды, бiрақ бiраз уақыт өткен соң, компьютерде әдеттегiден тыс, келеңсiз құбылыстар басталғаны бiлiнедi, олар, мысалы, мынадай iс-әрекеттер iстеуi мүмкiн:
• Кейбiр программалар жұмыс iстемей қалады немесе дұрыс жұмыс iстемейдi;
• Экранға әдеттегiден тыс бөтен мәлiметтер, символдар, т.б. шығады;
• Компьютердiң жұмыс iстеу жылдамдығы баяулайды;
• Көптеген файлдардың бүлiнгенi байқалады және т.с.с.
Компьютерге вирус жұққанын байғаған кезде кейбiр файлдар мен каталогтар, дискiдегi мәлiметтер бұзылып үлгередi, оның үстiне пайдаланылған дискеттер арқылы немесе жергiлiктi байланыс желiлерi бойымен компьютердегi вирус басқа компьютерлерге таралып кеткенi байқалмай да қалады.
Вирустардың кейбiр түрлерiнiң керi әсерi тiптi одан да терең болады, олар бастапқы кезде өзiнiң жұққанын ешбiр әсерiн бiлдiртпей, көптеген программалармен дискiлерге үндемей таралып өтедi де, сонан соң бiрден бел шешiп зиянкестiк жасауға кiрiседi. Мысалға, компьютердегi қатты дискiнi өздiгiнен қайта форматтап шығады. Ал зиянкестiк әсерiн программаларға өте
өздiгiнен қайта форматтап шығады. Ал зиянкестiк әсерiн программаларға өте аз тигiзiп, бiрақ қатты дискiдегi мәлiметтердi iштен “ мүжiп” құртып жататын вирустарға не iстеуге болады?
Осының бірi вирустан дер кезiнде қорғанбасақ, оның артқы әсерi өте жағдайсыз кезеңдерге душар ететiнi талас тудырмаса керек.
Вирус программасының байқалмау себебi олардыѕң көлемi кiшiгiрiм ғана болады да, өздерi ассембiлер тiлiнде жазылады. Кез келген жағдайда вирус программасы қай компьютерге арналып жазылса да, ол мәлiмет алмасып жұмыс iстейтiн басқа компьютерлерге де тез тарап кетедi және өте көп зиянкестiк әрекеттер жасауы мүмкiн.
Қазiргi кездегi вирустар екi топқа бөлiнедi:
• Резиденттiк (компьютер жадында тұрақты сақталынатын) вирустар;
• Резиденттiк емес вирустар;
Вирус жұққан программа iске қосылғанда резиденттiк вирустар әсерлене әрекет етедi. Олар жедел жадқа көшiрiлiп жазылып, алғашқы бiрсыпыра уақытта әсерi сезiлмегенмен, артынан бiрден қатты iске кiрiседi. Бұл вирустарды тез анықтау iсiн қиындатады.
Дискiлерге мәлiмет жазу кезiнде вирус өзiнiң жабысуына қолайлы сәт iздеп негiзгi операциялар орындалып жатқанда солармен қосылып дискiге жазылып алады да, оның қалай “жққанын” адамдар бiлмей де қалады. Ал резиденттiк емес вирус жедел жадқа тұрақты күйде жазылмайды, бiрақ вирустың әсерi тиген программа iске қосылғанда ол екпiндене түседi де, өзi жұмыс iстеп тұрған каталогтан немесе РАТН командасында көрсетiлген каталогтардан өзi iшiне байқаусыз еніп кететiн файл iздейдi. Ондай файлды тауып, оның iшiне кiрiп алып, ол кейiн жұмыс iстейтiн кезде соған зиянды әрекетiн тигiзедi.
1.2 Вирустардың пайда болуы
1.2.1 Жалпы байланыс желiсi – электрондық почта
Вирустардың негiзгi шығу көзi бүгiнгi күнде INTERNET жалпы байланыс жүйесi болып табылады. Вирустардың әсер етуiнiң көпшiлiгi Word/Office 97 форматтарында хат алмасу кезiнде болады. Макровирус әсер еткен редакторды пайдаланушы өзi де байқамай, вирус әсер еткен хаттарды адресаттарға жiбередi, ал олар өз кезегiнде вирус әсер еткен жаңа хаттарды жiбередi, т.с.с.
Мысалға алсақ, пайдаланушы бес адресатпен хат алысады. Вирус әсер еткен хатты жiбергеннен кейiн оны алған бес компьютердiң бәрi де вирус әсер еткен болып шығады. Содан соң вирус жаңадан әсер еткен әр компьютерден тағы бес хат жiберiледi. Бiреуi вирус алдында әсер еткен компьютерге артқа, ал төртеуi – жаңа адресаттарға кетедi.
Осылай, хат таратудың екiншi деңгейiнде 1+5+20 =26 компьютерге әсер етiлдi. Егер байланыс жүйесiнiң адресаттары күнiне 1 рет хат алмасса, онда жұмыс аптасының соңында (бес күн iшiнде) ең кемi 1+5+20+80+320=426 компьютер әсерлеген болып шығады. Сонда он күннiң iшiнде 100 мыңнан астам компьютер әсерленетiнiн есептен шығару қиынүйдегi компьютерге вирус әкелiп, соның нәтижесiнде вирус ата-аналар жұмыс iстейтiн фирманың компьютерлiк байланыс желiлерiне түсетiн жағдайлар аз емес.
Әр күн сайын олардың саны төрт есе көбейiп отырады. Вирус таратылуының суреттелiп отырған жағдайын вирусқа қарсы компаниялар жиi тiркейдi. Аяғына дейiн дұрыс қарамау себептерiнен қандай да бiр iрi компанияның коммерциялық ақпаратты тарату тiзiмдерiне әсерленген файл- құжат немесе EXCEL таблицасы түскен жағдайлар аз емес – бұндай жағдайда осындай таратулардың бес емес, жүз немесе тiптi мың абонент зиян шегедi, содан соң әсерленген файлдардың өздерiнiң он мыңдаған абоненттерiне жiберiледi.
1.2.2 Жергiлiктi байланыс желiлерi
Жылдам әсерленудiң үшiншi жолы – жергiлiктi байланыс желiлерi. Егер қажеттi қорғаy шараларын қолданбаса зақымдалған жұмыс станциясы байланыс жүйесiне кiредi серверлердегi бiр немесе бiрнеше қызмет файлдарын зақымдайды. Келесi күнi пайдаланушылар байланыс жүйесiне кiрерде зақымдалған файлдарды серверден жiбередi және осылай вирус зақымдалмаған станцияға кiру мүмкiндiгiн алады. LOGIN.COM қызмет файлының орнына сервердегi әртүрлi бағдармалалық қамтамасыздандырулар стандартты құжат-шаблондар немесе фирмада қолданылатын EXCEL- таблицалар, т. б. жүруi мүмкiн.
1.2.3 Жалпы қолданыстағы дербес компьютерлер
Сондай-ақ оқу орындарында орнатылған компьютерлер де қауiптi. Егер студенттердiң бiреуi өз дискетасымен вирус әкелсе және қандай да бiр оқу компьютерiне жұқтырса, онда кезектi “жұқпалыны” осы компьютермен жұмыс iстеген басқа студенттердiѕ бәрiнiң дискеталары да дербес компьютерден мәлiметтердi алу кезiнде жұқтырады. Егер бiр адамнан артық жұмыс iстесе, үйдегi компьютерге де бұл қатысты болады. Институттағы
1.2.4 Жөндеу қызметтерi
Компьютердiң вируспен әсерленуi оның жөнделуi немесе алдын ала тексерiстен өтуi кезiнде де болуы қазiргi күнде де сирек болса да кездеседi. Жөндеушiлер де – адамдар, олардың кейбiреулерi компьютерлiк қауiпсiздiктiң қарапайым ережелерiне де немқұрайлы қарайды.
2 Вирустарды табу әдiстерi
Пайдаланушының компьютерi вируспен зақымдалғанын сезiктенiп, бiрақ оған белгiлi бiрде-бiр вирусқа қарсы бағдармалар дұрыс жауап бермеген жағдайлармен кездесiп қалса, вирусты қайда және қалай iздеу керек?
Вирусқа қарсы бағдармаларды және утилиттердi пайдаланар алдында вирусы жоқ екендiгiн бiле тұрып, жазудан қорғалған дискетадағы DOS резервтiк көшiрмесiнен жұмыс жүктеп алуды және ары қарай тек осы дискеталардағы бағдарламаларды қолдануды ұмытпау керек. Бұл резиденттi вирустан қауiпсiздену үшiн қажет, өйткенi ол бағдармалар жұмысын қоршап алуы немесе олардың жұмысын тексерiлiп отырған файлдар, дисктердi әсерлендiру үшiн пайдаланып қалуы мүмкiн. әрi өздерiнiң кодтары табылып қалуы мүмкiн екендiгiнен “сезiктенсе”, дисктегi мәлiметтердi жойып жiберетiн көп вирустар бар.Әрине бұл талаптың жаңа форматтардың бiрiмен (NTFS, HPFS) белгiленген макровирустар мен дисктерге қатысы жоқ. DOS жұмыс жүктеуiнен кейiн бұндай винчестер DOS-бағдармалар үшiн жабық болып шығады.
2.1 Жұмыс жүктейтiн вирустарды табу
Дисктердiң жұмыс жүктейтiн секторларында, әдетте, мiндетi логикалық дисктердiң көлемдерi мен шекараларын анықтау немесе операциялық жүйенiң жұмыс жүктеуi болып табылатын аса үлкен емес бағдарламалар орналасады.
Ең басында вирустың бар екендiгiнен сезiктенетiн сектордың құрамын тексерiп алу қажет. Бұл мақсат үшiн “Нортон утилиттерiнен” DISKEDIT немесе AVP кәсiби комплектiнен AVPUTIL-дi қолданған ыңғайлы.
Кейбiр жұмыс жүктейтiн вирустарды әр тїүлi мјәiндiк жолдарының болуы бойынша бiрден табуға болады мысалы, Stoned вирусында “Your PC is now Stoned”, “LEGALISE MARIJUANA!” жолдары болады. Дисктiң жұмыс жүктеу секторын бұзатын кейбiр вирустар, керiсiнше, жұмыс жүктеу секторында мiндеттi түрде болуы тиiс жолдардың жоқтығы бойынша анықталады. Бұндай жолдарға жүйелiк файлдардың аттары және қателер жайлы хабарлау жолы жатады. Егер компьютерде Windows 95/NT орнатылған болса, жұмыс жүктеу секторының тақырыпша-жолыныѕ DOS-версиясының нөмiрi бар жол немесе бағдарламалық қамтамасыздандыруды
жасаушы фирманың атауы, мысалы, MSDOS5.0 немесе MSWIN4.0 болмауы немесе өзгеруi де вирус жұққандығы жайлы белгi болуы мүмкiн, өйткенi бұл жүйелер белгiсiз себептер бойынша дискеталардың жұмыс жүктеу секторының тақырыпшасына мәтiннiң кез келген жолдарын жазады.
MBR-де орналасқан MS-DOS стандартты жұмыс жүктеушiсi сектордың жартысынан аз бөлiгiн алады, және MBR- винчестердi бұзатын көптеген вирустарды MBR секторындағы код ұзындығының өсуi бойынша оңай байқап қалуға болады.
Алайда, мәтiндiк жолдары жұмыс жүктеушiге өзгерiссiз енгiзiлетiн және жұмыс жүктеушi кодының өзгерiстерi ең аз болатын вирустар да бар. Бұндай вирусты табу үшiн көп жағдайларда әсерленбегенi белгiлi компьютерде дискетаны форматтап алу, оның жұмыс жүктеу секторын файл түрiнде сақтау, содан соң бiраз уақыт оны әсерленген компьютерде пайдалану, ал содан кейiн әсерленбеген компьютерде оның жұмыс жүктеу секторын нағыз сектормен салыстыру жеткiлiктi. Егер жұмыс жүктеу секторының кодында өзгерiстер болса – вирус ұсталғаны. Жұқтырудың күрделiрек тәсiлдерiн қолданатын вирустар да бар, мысалы, MBR-ге вирус жұқтыру кезiнде белсендi жұмыс жүктеу секторының мекен-жайына сәйкес келетiн Disk Partition Table–дiң бар болғаны үш байтын ғана өзгертетiн вирустар. Бұндай вирусты ұқсастыру үшiн жұмыс жүктеу секторы кодтарын оның кодының жұмыс алгоритмiн толық талдауға дейiн егжей-тегжейлi зерттеу керек.
2.3 Файлдық вирусты табу
Жоғарыда айтып өткендей, вирустар резиденттi және резиденттi емес болып бөлiнедi. Сондықтан ең алдымен қарапайым оқиғаны – компьютердiң белгiсiз резиденттi емес вируспен әсерленуiн қарастырайық. Бұндай вирус қандай да бiр әсерленген бағдарламаны жiберген кезде белсенедi, ол не iстеу керек болса, соны iстейдi, басқаруды бағдарлама таратушыға бередi және ары қарай (резиденттi вирустардан айырмашылыєы) оның жұмысына кедергi жасамайды. Бұндай вирусты табу үшiн винчестердегi және дистрибутивтi көшiрмелердегi файлдар ұзындығын салыстыру қажет. Егер бұл көмектеспесе, дистрибутивтi көшiрмелердi пайдаланатын бағдармалармен әр байтымен салыстырулар үшiн көптеген утилиттер жасалып шығарылған, солардың iшiндегi ең қарапайымы COMP утилитi DOS - та орналасқан.
Сондай-ақ орындалып отырған файлдардың дамптарын қарастырып өтуге болады. Кейбiр жағдайларда вирустың бар екендiгiн оны кодында мәтiндiк жолдардың болуы бойынша бiрден тауып алуға болады. Мысалы, көптеген вирустарда “COM”, “*COM”, “EXE”, “*EXE”, “**”, “MZ”, “COMMAND”, т. б. жолдар болады. Бұл жолдар көбiне зақымдалған файлдардың бас жағында немесе аяқ жағында кездеседi.
Вируспен зақымдалған DOS-файлды анықтаудың тағы бiр тәсiлi бар. Ол шығу мәтiнi жоғары деңгейлi тiлмен жазылған, орындалып отырған файлдардың белгiлi бiр құрылымы болатындығына негiзделген. Borland немесе Microsoft С/C++ болғанда бағдарлама кодының сегментi файлдың бас жағында компиляторды дайындап шығарушы фирманың копирайт жолы
тұрады. Егер бұндай файлдың дампында мәлiметтер сегментiнен кейiн тағы бiр код учаскесi болса, онда – файлдың вирус жұқтырып алғандығы.
Осы Windows және OS/2 файлдарын әсерлендiретiн вирустардың көпшiлiгi үшiн де әдiл. Осы операциялық жүйелердiң орындалып отырған файлдарындағы сегменттердiң орналасуы мына тәртiпте стандартты болады: код сегментi, одан соң мәлiметтер сегменттерi. Егер мәлiметтер сегментiнен кейiн тағы бiр код сегментi болса, онда бұл да вирус бар екендiгiнiң белгiсi бола алады.
Ассембiлер тiлiн бiлетiн пайдаланушыларға күмәндi бағдармалар кодтарын ұғынып алуға әрекет жасап көруге болады. Жылдам қарап шығу үшiн HIEW (Hacker's VIEW) немесе AVPUTIL еѕ жақсы болады. Толығырақ зерттеу үшiн дизассембiлер – Sourcer немесе IDA-қажет болады.
Резиденттi вирусқа қарсы бағдарлама мониторлардың бiреуiн жiберу және олардың бағдарламалардың күмәнді әрекеттерi жайлы хабарлауын бақылау ұсынылады (COM немесе EXE-файлєа жазу, абсолюттi мекен-жай бойынша дискке жазу, т.с.с.). Тек осындай әрекеттердi iлiп әкетiп қоймай, сонымен бiрге күмәндi шақыру қайдан келiп түскендiгiн де хабарлайтын мониторлар бар (осындай мониторларєа AVPTSR.COM жатады). Осындай хабарды көрген соң, оның қандай бағдарламадан келгенiн анықтап алып, резиденттi дизассамбiлердiң (мысалы, AVPUTIL.COM) көмегiмен оның кодтарын талдау кезiнде 13h жјне 21h үзiлiстерiн трассалап белгiлеу көп көмек көрсетедi.
Егер жұмыс WINDOWS/95 NT–ның DOS-бөлiмiнде жүргiзiлсе, резиденттi DOS-мониторлар көбiнесе әлсiз болып шығады, өйткенi WINDOWS/95 NT вирустың мониторды айналып өтiп жұмыс iстеуiне жол бередi. DOS-мониторлар, сондай-ақ, WINDOWS вирустардың таратылуын да тоқтата алмайды.
Жоғарыда қарастырылған файлдық және жұмыс жүктеу вирустарын табу әдiстерi резиденттi де, резиденттi емес те вирустардың көпшiлiгiне жарайды. Алайда бұл әдiстер, егер вирус “стелс” технологиясы бойыншa орындалса, iстемей қалады, бұл резиденттiк мониторлардың, файлдарды салыстыру және секторларды оқу утилиттерiнiң көпшiлiгiн пайдалануды пайдасыз етедi.
2.4 Макровирустарды табу
Макровирустарға тән көрiнулер мыналар болып табылады:
1. WORD құжаттарында:
• әсерленген WORD құжатын басқа форматқа конверсиялаудың мүмкін болмауы.
• әсерленген файлдардың EMPLATE форматы болады, өйткені WORD вирустар әсерленген кезде файлдарды WORD DOKUMENT-тен EMPLATE-ке конверсиялайды.
2. Тек WORD 6–да:
• Құжатты басқа каталогқа/басқа дискке бұйрығы бойынша жазудың мүмкін болмауы
3. Excel/Word-та:
• STARTUP-каталогта бөтен файлдар болуы.
4. 5- және7-версиялы Excel таблицаларында:
• Кiтапта (Book) артық және жасырын беттердің (Sheets) болуы
Жүйеде вирус барлығын тексеру үшiн Tools/Macro менюi пунктiн қолдануға болады. Егер бөтен макростар табылса, олардың вирус макростары болып шығуы мүмкiн. Алайда бұл әдiс бұл меню пунктiнiң жұмысына тыйым салатын “стелс”-вирустар болғанда жұмыс iстемейдi, бұл, өз кезегiнде, жүйенi әсерленген деп есептеуге негiз бола алады.
Көптеген вирустар Word және Excel-дiң әртүрлi версияларында қате жiбередi немесе жаңылыс жұмыс iстейдi, осының нәтижесiнде бағдарламалар қате жайлы хабар бередi, мысалы:
Word Basic Err = қате нөмiрi.
Егер бұндай хабар жаңа құжатты немесе таблицаны редакциялау кезiнде пайда болса, әрi қандай да бiр пайдаланушылық макростар бiле тұрып пайдаланылмаса, онда бұл да жүйе әсерленгенiнiң белгiсi болып табыла алады.
Word, Excel және Windows файлдары және жүйелiк кескiн үйлесiмдерiндегi өзгерiстер де вирус жайлы белгi болып табылады. Көптеген вирустар Tools/Options менюi пунктерiн ауыстырады. Prompt to Save Normal Template, Allow Fast Save, Virus Protection атқарымына рұқсат бередi немесе тыйым салады. Кейбiр вирустар файлдарға олар әсерленгенде парольдер бекiтедi. Жаңа секциялар және Windows (WIN.INI) kескiн үйлесiмi файлындағы опциялар көп вирустар жасайды.
Word немесе Excel бекiтiлген версиялы тiлiмен сәйкес келмейтiн тiлде немесе түсiнiксiз мазмұнды диалогта........
Кiрiспе.................................................................................................................4 1.
Компьютерлiк вирустар...............................................................................5
1.1 Вирустар және олардың түрлерi......................................................................5
1.2 Вирустардың пайда болуы...............................................................................6
1.2.1 Жалпы байланыс желiсi – электрондық почта............................................6
1.2.2 Жергiлiктi байланыс желiлерi.......................................................................7
1.2.3 Жалпы қолданыстағы дербес компьютерлер..............................................7
2. Вирустарды табу әдiстерi................................................................................8
2.1 Жұмыс жүктейтiн вирустарды табу................................................................8
2.2 Файлдық вирусты табу.....................................................................................9
2.3 Макровирустарды табу...................................................................................10
2.4 Резиденттi вирусты табу.................................................................................11
2.4.1 DOS-вирустар...............................................................................................11
2.4.2 WINDOWS–вирустар...................................................................................13 3.
Вирустарға қаpсы күрес...................................................................................13
3.1 Антивирустық бағдарламалар........................................................................13
3.2 Антивирусты таңдау.......................................................................................13
3.3 Антивирус түрлерi..........................................................................................15
3.3.1 Касперский антивирусы…..........................................................................15
3.3.2 Antivirus Doctor-Web…………...................................................................17
3.3.3 Иммунитеттендiрушiлер.............................................................................18
3.4 Вирусқа қарсы бағдарламаларды қолдану әдiстемесi................................18
4. Бұзылған объекттердi қайта қалпына келтiру...........................................20
4.1 Файл-құжаттар және таблицаларды қайта қалпына келтiру......................20
4.2 Жұмыс жүктеу секторларын қайта қалпына келтiру. ................................20
4.3 Файлдарды қайта қалпына келтiру...............................................................21
4.4 Компьютерлік вирустардың қызметі............................................................21
5. Компьютерлiк вирустардан сақтанудың негiзгi тәсiлдерi.......................22
5.1 Детектор-бағдарламалар және докторлар....................................................22
5.1.1 Вирустардан емдеу......................................................................................22
5.2 Ревизор- бағдарламалар.................................................................................23
5.2.1 Өзгерістер талдауы......................................................................................23
5.2.2 Көзге көрінбейтін вирустар........................................................................23
5.3 Доктор- ревизор..............................................................................................24
5.4 Вирус жұқтыру кезіндегі әрекеттер............................................................24 Қорытынды..........................................................................................................26
Пайдаланған әдебиеттер ................................................................................... 27
1 Компьютерлiк вирустар
1.1 Вирустар
Компьютерлiк вирустар – арнайы жазылған шағын көлемдi (кiшiгiрiм) программа. Ол өзiнен-өзi басқа программалар соңына немесе алдына қосымша жазылады да, оларды «бүлдiруге» кiрiседi, сондай-ақ компьютерде келеңсiз тағы да басқа әрекеттердi iстеуi мүмкiн. Iшiнен осындай вирус табылған программа «ауру жұққан» немесе «бүлiнген» деп аталады, мұндай программаны iске қосқанда алдымен вирус жұмысқа кiрiсiп, оның негiзгi функциясы орындалмайды немесе қате орындалады. Вирус басқа iске қосылған жұмыс iстеуге тиiс программаларға да керi әсер етiп, оларға да «жұғады» және де жалпы басқа да зиянды iс-әрекеттер жасай бастайды. Мысалы, файлдарды немесе дискiдегi файлдардың орналасу кестесiн бүлдiредi, жедел жадтағы бос орынды жайлап алады және т. с. с.
Өзiнiң жабысқанын жасыру мақсатында вирустың басқа программаларды бүлдiруi және оларға зиян ету әрекеттерi көбiнесе сырт көзге бiлiне бермейдi. Оның керi әсерi белгiлi бiр шарттарды орындағанда ғана iске асады. Вирус өзiне қажеттi бүлдiру әрекеттерiн орындаған соң, жұмысты басқаруды негiзгi пограммаға бередi, ал ол программа алғашында әдеттегiдей жұмыс iстей бередi. Сөйтiп ол программа бұрынғы қалпынша жұмыс жалғастырып, сырт көзге «вирус жұққандығы» бастапқы кезде байқалмай қалады.
Вирустың көптеген түрлерi ЭЕМ жадында ДОS-ты қайта жүктегенше тұрақты сақталып, оқтын-оқтын өзiнiң зиянды әсерiн жүргiзiп отырады. Вирустың зиянды iс-әрекеттерi алғашқы кезде жұмыс iстеп отырған адамға байқалмайды,өйткенi ол өте тез орындалып әсерi онша бiлiнбеуi мүмкiн, сондықтан көбiнесе адамдардың компьютерде әдеттегiден өзгеше жағдайлардың болып жатқанын сезуi өте қиынға соғады.
Компьютерде “вирус жұққан” программалар саны көбеймей тұрғанда, онда вирустың бар екенi сырт көзге ешбiр байқалмайды, бiрақ бiраз уақыт өткен соң, компьютерде әдеттегiден тыс, келеңсiз құбылыстар басталғаны бiлiнедi, олар, мысалы, мынадай iс-әрекеттер iстеуi мүмкiн:
• Кейбiр программалар жұмыс iстемей қалады немесе дұрыс жұмыс iстемейдi;
• Экранға әдеттегiден тыс бөтен мәлiметтер, символдар, т.б. шығады;
• Компьютердiң жұмыс iстеу жылдамдығы баяулайды;
• Көптеген файлдардың бүлiнгенi байқалады және т.с.с.
Компьютерге вирус жұққанын байғаған кезде кейбiр файлдар мен каталогтар, дискiдегi мәлiметтер бұзылып үлгередi, оның үстiне пайдаланылған дискеттер арқылы немесе жергiлiктi байланыс желiлерi бойымен компьютердегi вирус басқа компьютерлерге таралып кеткенi байқалмай да қалады.
Вирустардың кейбiр түрлерiнiң керi әсерi тiптi одан да терең болады, олар бастапқы кезде өзiнiң жұққанын ешбiр әсерiн бiлдiртпей, көптеген программалармен дискiлерге үндемей таралып өтедi де, сонан соң бiрден бел шешiп зиянкестiк жасауға кiрiседi. Мысалға, компьютердегi қатты дискiнi өздiгiнен қайта форматтап шығады. Ал зиянкестiк әсерiн программаларға өте
өздiгiнен қайта форматтап шығады. Ал зиянкестiк әсерiн программаларға өте аз тигiзiп, бiрақ қатты дискiдегi мәлiметтердi iштен “ мүжiп” құртып жататын вирустарға не iстеуге болады?
Осының бірi вирустан дер кезiнде қорғанбасақ, оның артқы әсерi өте жағдайсыз кезеңдерге душар ететiнi талас тудырмаса керек.
Вирус программасының байқалмау себебi олардыѕң көлемi кiшiгiрiм ғана болады да, өздерi ассембiлер тiлiнде жазылады. Кез келген жағдайда вирус программасы қай компьютерге арналып жазылса да, ол мәлiмет алмасып жұмыс iстейтiн басқа компьютерлерге де тез тарап кетедi және өте көп зиянкестiк әрекеттер жасауы мүмкiн.
Қазiргi кездегi вирустар екi топқа бөлiнедi:
• Резиденттiк (компьютер жадында тұрақты сақталынатын) вирустар;
• Резиденттiк емес вирустар;
Вирус жұққан программа iске қосылғанда резиденттiк вирустар әсерлене әрекет етедi. Олар жедел жадқа көшiрiлiп жазылып, алғашқы бiрсыпыра уақытта әсерi сезiлмегенмен, артынан бiрден қатты iске кiрiседi. Бұл вирустарды тез анықтау iсiн қиындатады.
Дискiлерге мәлiмет жазу кезiнде вирус өзiнiң жабысуына қолайлы сәт iздеп негiзгi операциялар орындалып жатқанда солармен қосылып дискiге жазылып алады да, оның қалай “жққанын” адамдар бiлмей де қалады. Ал резиденттiк емес вирус жедел жадқа тұрақты күйде жазылмайды, бiрақ вирустың әсерi тиген программа iске қосылғанда ол екпiндене түседi де, өзi жұмыс iстеп тұрған каталогтан немесе РАТН командасында көрсетiлген каталогтардан өзi iшiне байқаусыз еніп кететiн файл iздейдi. Ондай файлды тауып, оның iшiне кiрiп алып, ол кейiн жұмыс iстейтiн кезде соған зиянды әрекетiн тигiзедi.
1.2 Вирустардың пайда болуы
1.2.1 Жалпы байланыс желiсi – электрондық почта
Вирустардың негiзгi шығу көзi бүгiнгi күнде INTERNET жалпы байланыс жүйесi болып табылады. Вирустардың әсер етуiнiң көпшiлiгi Word/Office 97 форматтарында хат алмасу кезiнде болады. Макровирус әсер еткен редакторды пайдаланушы өзi де байқамай, вирус әсер еткен хаттарды адресаттарға жiбередi, ал олар өз кезегiнде вирус әсер еткен жаңа хаттарды жiбередi, т.с.с.
Мысалға алсақ, пайдаланушы бес адресатпен хат алысады. Вирус әсер еткен хатты жiбергеннен кейiн оны алған бес компьютердiң бәрi де вирус әсер еткен болып шығады. Содан соң вирус жаңадан әсер еткен әр компьютерден тағы бес хат жiберiледi. Бiреуi вирус алдында әсер еткен компьютерге артқа, ал төртеуi – жаңа адресаттарға кетедi.
Осылай, хат таратудың екiншi деңгейiнде 1+5+20 =26 компьютерге әсер етiлдi. Егер байланыс жүйесiнiң адресаттары күнiне 1 рет хат алмасса, онда жұмыс аптасының соңында (бес күн iшiнде) ең кемi 1+5+20+80+320=426 компьютер әсерлеген болып шығады. Сонда он күннiң iшiнде 100 мыңнан астам компьютер әсерленетiнiн есептен шығару қиынүйдегi компьютерге вирус әкелiп, соның нәтижесiнде вирус ата-аналар жұмыс iстейтiн фирманың компьютерлiк байланыс желiлерiне түсетiн жағдайлар аз емес.
Әр күн сайын олардың саны төрт есе көбейiп отырады. Вирус таратылуының суреттелiп отырған жағдайын вирусқа қарсы компаниялар жиi тiркейдi. Аяғына дейiн дұрыс қарамау себептерiнен қандай да бiр iрi компанияның коммерциялық ақпаратты тарату тiзiмдерiне әсерленген файл- құжат немесе EXCEL таблицасы түскен жағдайлар аз емес – бұндай жағдайда осындай таратулардың бес емес, жүз немесе тiптi мың абонент зиян шегедi, содан соң әсерленген файлдардың өздерiнiң он мыңдаған абоненттерiне жiберiледi.
1.2.2 Жергiлiктi байланыс желiлерi
Жылдам әсерленудiң үшiншi жолы – жергiлiктi байланыс желiлерi. Егер қажеттi қорғаy шараларын қолданбаса зақымдалған жұмыс станциясы байланыс жүйесiне кiредi серверлердегi бiр немесе бiрнеше қызмет файлдарын зақымдайды. Келесi күнi пайдаланушылар байланыс жүйесiне кiрерде зақымдалған файлдарды серверден жiбередi және осылай вирус зақымдалмаған станцияға кiру мүмкiндiгiн алады. LOGIN.COM қызмет файлының орнына сервердегi әртүрлi бағдармалалық қамтамасыздандырулар стандартты құжат-шаблондар немесе фирмада қолданылатын EXCEL- таблицалар, т. б. жүруi мүмкiн.
1.2.3 Жалпы қолданыстағы дербес компьютерлер
Сондай-ақ оқу орындарында орнатылған компьютерлер де қауiптi. Егер студенттердiң бiреуi өз дискетасымен вирус әкелсе және қандай да бiр оқу компьютерiне жұқтырса, онда кезектi “жұқпалыны” осы компьютермен жұмыс iстеген басқа студенттердiѕ бәрiнiң дискеталары да дербес компьютерден мәлiметтердi алу кезiнде жұқтырады. Егер бiр адамнан артық жұмыс iстесе, үйдегi компьютерге де бұл қатысты болады. Институттағы
1.2.4 Жөндеу қызметтерi
Компьютердiң вируспен әсерленуi оның жөнделуi немесе алдын ала тексерiстен өтуi кезiнде де болуы қазiргi күнде де сирек болса да кездеседi. Жөндеушiлер де – адамдар, олардың кейбiреулерi компьютерлiк қауiпсiздiктiң қарапайым ережелерiне де немқұрайлы қарайды.
2 Вирустарды табу әдiстерi
Пайдаланушының компьютерi вируспен зақымдалғанын сезiктенiп, бiрақ оған белгiлi бiрде-бiр вирусқа қарсы бағдармалар дұрыс жауап бермеген жағдайлармен кездесiп қалса, вирусты қайда және қалай iздеу керек?
Вирусқа қарсы бағдармаларды және утилиттердi пайдаланар алдында вирусы жоқ екендiгiн бiле тұрып, жазудан қорғалған дискетадағы DOS резервтiк көшiрмесiнен жұмыс жүктеп алуды және ары қарай тек осы дискеталардағы бағдарламаларды қолдануды ұмытпау керек. Бұл резиденттi вирустан қауiпсiздену үшiн қажет, өйткенi ол бағдармалар жұмысын қоршап алуы немесе олардың жұмысын тексерiлiп отырған файлдар, дисктердi әсерлендiру үшiн пайдаланып қалуы мүмкiн. әрi өздерiнiң кодтары табылып қалуы мүмкiн екендiгiнен “сезiктенсе”, дисктегi мәлiметтердi жойып жiберетiн көп вирустар бар.Әрине бұл талаптың жаңа форматтардың бiрiмен (NTFS, HPFS) белгiленген макровирустар мен дисктерге қатысы жоқ. DOS жұмыс жүктеуiнен кейiн бұндай винчестер DOS-бағдармалар үшiн жабық болып шығады.
2.1 Жұмыс жүктейтiн вирустарды табу
Дисктердiң жұмыс жүктейтiн секторларында, әдетте, мiндетi логикалық дисктердiң көлемдерi мен шекараларын анықтау немесе операциялық жүйенiң жұмыс жүктеуi болып табылатын аса үлкен емес бағдарламалар орналасады.
Ең басында вирустың бар екендiгiнен сезiктенетiн сектордың құрамын тексерiп алу қажет. Бұл мақсат үшiн “Нортон утилиттерiнен” DISKEDIT немесе AVP кәсiби комплектiнен AVPUTIL-дi қолданған ыңғайлы.
Кейбiр жұмыс жүктейтiн вирустарды әр тїүлi мјәiндiк жолдарының болуы бойынша бiрден табуға болады мысалы, Stoned вирусында “Your PC is now Stoned”, “LEGALISE MARIJUANA!” жолдары болады. Дисктiң жұмыс жүктеу секторын бұзатын кейбiр вирустар, керiсiнше, жұмыс жүктеу секторында мiндеттi түрде болуы тиiс жолдардың жоқтығы бойынша анықталады. Бұндай жолдарға жүйелiк файлдардың аттары және қателер жайлы хабарлау жолы жатады. Егер компьютерде Windows 95/NT орнатылған болса, жұмыс жүктеу секторының тақырыпша-жолыныѕ DOS-версиясының нөмiрi бар жол немесе бағдарламалық қамтамасыздандыруды
жасаушы фирманың атауы, мысалы, MSDOS5.0 немесе MSWIN4.0 болмауы немесе өзгеруi де вирус жұққандығы жайлы белгi болуы мүмкiн, өйткенi бұл жүйелер белгiсiз себептер бойынша дискеталардың жұмыс жүктеу секторының тақырыпшасына мәтiннiң кез келген жолдарын жазады.
MBR-де орналасқан MS-DOS стандартты жұмыс жүктеушiсi сектордың жартысынан аз бөлiгiн алады, және MBR- винчестердi бұзатын көптеген вирустарды MBR секторындағы код ұзындығының өсуi бойынша оңай байқап қалуға болады.
Алайда, мәтiндiк жолдары жұмыс жүктеушiге өзгерiссiз енгiзiлетiн және жұмыс жүктеушi кодының өзгерiстерi ең аз болатын вирустар да бар. Бұндай вирусты табу үшiн көп жағдайларда әсерленбегенi белгiлi компьютерде дискетаны форматтап алу, оның жұмыс жүктеу секторын файл түрiнде сақтау, содан соң бiраз уақыт оны әсерленген компьютерде пайдалану, ал содан кейiн әсерленбеген компьютерде оның жұмыс жүктеу секторын нағыз сектормен салыстыру жеткiлiктi. Егер жұмыс жүктеу секторының кодында өзгерiстер болса – вирус ұсталғаны. Жұқтырудың күрделiрек тәсiлдерiн қолданатын вирустар да бар, мысалы, MBR-ге вирус жұқтыру кезiнде белсендi жұмыс жүктеу секторының мекен-жайына сәйкес келетiн Disk Partition Table–дiң бар болғаны үш байтын ғана өзгертетiн вирустар. Бұндай вирусты ұқсастыру үшiн жұмыс жүктеу секторы кодтарын оның кодының жұмыс алгоритмiн толық талдауға дейiн егжей-тегжейлi зерттеу керек.
2.3 Файлдық вирусты табу
Жоғарыда айтып өткендей, вирустар резиденттi және резиденттi емес болып бөлiнедi. Сондықтан ең алдымен қарапайым оқиғаны – компьютердiң белгiсiз резиденттi емес вируспен әсерленуiн қарастырайық. Бұндай вирус қандай да бiр әсерленген бағдарламаны жiберген кезде белсенедi, ол не iстеу керек болса, соны iстейдi, басқаруды бағдарлама таратушыға бередi және ары қарай (резиденттi вирустардан айырмашылыєы) оның жұмысына кедергi жасамайды. Бұндай вирусты табу үшiн винчестердегi және дистрибутивтi көшiрмелердегi файлдар ұзындығын салыстыру қажет. Егер бұл көмектеспесе, дистрибутивтi көшiрмелердi пайдаланатын бағдармалармен әр байтымен салыстырулар үшiн көптеген утилиттер жасалып шығарылған, солардың iшiндегi ең қарапайымы COMP утилитi DOS - та орналасқан.
Сондай-ақ орындалып отырған файлдардың дамптарын қарастырып өтуге болады. Кейбiр жағдайларда вирустың бар екендiгiн оны кодында мәтiндiк жолдардың болуы бойынша бiрден тауып алуға болады. Мысалы, көптеген вирустарда “COM”, “*COM”, “EXE”, “*EXE”, “**”, “MZ”, “COMMAND”, т. б. жолдар болады. Бұл жолдар көбiне зақымдалған файлдардың бас жағында немесе аяқ жағында кездеседi.
Вируспен зақымдалған DOS-файлды анықтаудың тағы бiр тәсiлi бар. Ол шығу мәтiнi жоғары деңгейлi тiлмен жазылған, орындалып отырған файлдардың белгiлi бiр құрылымы болатындығына негiзделген. Borland немесе Microsoft С/C++ болғанда бағдарлама кодының сегментi файлдың бас жағында компиляторды дайындап шығарушы фирманың копирайт жолы
тұрады. Егер бұндай файлдың дампында мәлiметтер сегментiнен кейiн тағы бiр код учаскесi болса, онда – файлдың вирус жұқтырып алғандығы.
Осы Windows және OS/2 файлдарын әсерлендiретiн вирустардың көпшiлiгi үшiн де әдiл. Осы операциялық жүйелердiң орындалып отырған файлдарындағы сегменттердiң орналасуы мына тәртiпте стандартты болады: код сегментi, одан соң мәлiметтер сегменттерi. Егер мәлiметтер сегментiнен кейiн тағы бiр код сегментi болса, онда бұл да вирус бар екендiгiнiң белгiсi бола алады.
Ассембiлер тiлiн бiлетiн пайдаланушыларға күмәндi бағдармалар кодтарын ұғынып алуға әрекет жасап көруге болады. Жылдам қарап шығу үшiн HIEW (Hacker's VIEW) немесе AVPUTIL еѕ жақсы болады. Толығырақ зерттеу үшiн дизассембiлер – Sourcer немесе IDA-қажет болады.
Резиденттi вирусқа қарсы бағдарлама мониторлардың бiреуiн жiберу және олардың бағдарламалардың күмәнді әрекеттерi жайлы хабарлауын бақылау ұсынылады (COM немесе EXE-файлєа жазу, абсолюттi мекен-жай бойынша дискке жазу, т.с.с.). Тек осындай әрекеттердi iлiп әкетiп қоймай, сонымен бiрге күмәндi шақыру қайдан келiп түскендiгiн де хабарлайтын мониторлар бар (осындай мониторларєа AVPTSR.COM жатады). Осындай хабарды көрген соң, оның қандай бағдарламадан келгенiн анықтап алып, резиденттi дизассамбiлердiң (мысалы, AVPUTIL.COM) көмегiмен оның кодтарын талдау кезiнде 13h жјне 21h үзiлiстерiн трассалап белгiлеу көп көмек көрсетедi.
Егер жұмыс WINDOWS/95 NT–ның DOS-бөлiмiнде жүргiзiлсе, резиденттi DOS-мониторлар көбiнесе әлсiз болып шығады, өйткенi WINDOWS/95 NT вирустың мониторды айналып өтiп жұмыс iстеуiне жол бередi. DOS-мониторлар, сондай-ақ, WINDOWS вирустардың таратылуын да тоқтата алмайды.
Жоғарыда қарастырылған файлдық және жұмыс жүктеу вирустарын табу әдiстерi резиденттi де, резиденттi емес те вирустардың көпшiлiгiне жарайды. Алайда бұл әдiстер, егер вирус “стелс” технологиясы бойыншa орындалса, iстемей қалады, бұл резиденттiк мониторлардың, файлдарды салыстыру және секторларды оқу утилиттерiнiң көпшiлiгiн пайдалануды пайдасыз етедi.
2.4 Макровирустарды табу
Макровирустарға тән көрiнулер мыналар болып табылады:
1. WORD құжаттарында:
• әсерленген WORD құжатын басқа форматқа конверсиялаудың мүмкін болмауы.
• әсерленген файлдардың EMPLATE форматы болады, өйткені WORD вирустар әсерленген кезде файлдарды WORD DOKUMENT-тен EMPLATE-ке конверсиялайды.
2. Тек WORD 6–да:
• Құжатты басқа каталогқа/басқа дискке бұйрығы бойынша жазудың мүмкін болмауы
3. Excel/Word-та:
• STARTUP-каталогта бөтен файлдар болуы.
4. 5- және7-версиялы Excel таблицаларында:
• Кiтапта (Book) артық және жасырын беттердің (Sheets) болуы
Жүйеде вирус барлығын тексеру үшiн Tools/Macro менюi пунктiн қолдануға болады. Егер бөтен макростар табылса, олардың вирус макростары болып шығуы мүмкiн. Алайда бұл әдiс бұл меню пунктiнiң жұмысына тыйым салатын “стелс”-вирустар болғанда жұмыс iстемейдi, бұл, өз кезегiнде, жүйенi әсерленген деп есептеуге негiз бола алады.
Көптеген вирустар Word және Excel-дiң әртүрлi версияларында қате жiбередi немесе жаңылыс жұмыс iстейдi, осының нәтижесiнде бағдарламалар қате жайлы хабар бередi, мысалы:
Word Basic Err = қате нөмiрi.
Егер бұндай хабар жаңа құжатты немесе таблицаны редакциялау кезiнде пайда болса, әрi қандай да бiр пайдаланушылық макростар бiле тұрып пайдаланылмаса, онда бұл да жүйе әсерленгенiнiң белгiсi болып табыла алады.
Word, Excel және Windows файлдары және жүйелiк кескiн үйлесiмдерiндегi өзгерiстер де вирус жайлы белгi болып табылады. Көптеген вирустар Tools/Options менюi пунктерiн ауыстырады. Prompt to Save Normal Template, Allow Fast Save, Virus Protection атқарымына рұқсат бередi немесе тыйым салады. Кейбiр вирустар файлдарға олар әсерленгенде парольдер бекiтедi. Жаңа секциялар және Windows (WIN.INI) kескiн үйлесiмi файлындағы опциялар көп вирустар жасайды.
Word немесе Excel бекiтiлген версиялы тiлiмен сәйкес келмейтiн тiлде немесе түсiнiксiз мазмұнды диалогта........