вірусів, що можуть шифрувати ділянки свого коду, але маючи при цьому постійний код шифрувальника і расшіфровальщіка.
Поліморфні віруси - це віруси з самомодіфіцірующіміся расшіфровальщікамі. Мета такого шифрування: маючи заражений і оригінальний файли, ви все одно не зможете проаналізувати його код за допомогою дизассемблирования. Цей код зашифрований і становить безглуздий набір команд. Розшифровка виробляється самим вірусом вже безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе всього відразу, а може виконати таку розшифровку «по ходу справи», може знову шифрувати вже відпрацьовані ділянки. Все це робиться заради труднощі аналізу коду вірусом.
1.4.6 Макровіруси
Макровіруси (macro viruses) є програмами на мовах (макро-мовах), вбудованих в деякі системи обробки даних (текстові редактори, електронні таблиці і т.д.). Для свого розмноження віруси використовують можливості макромов і при їх допомозі переносять себе з одного зараженого файлу в інші. Найбільшого поширення отримували макровіруси для Microsoft Word, Excel і Office. Існують також макровіруси заражають документи баз даних Microsoft Access.
1.5 Шляхи проникнення вірусів у комп'ютер і механізм розподілу вірусних програм
Основними прийомами проникнення вірусів у комп'ютер є знімні диски (лазерні та гнучкі), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може відбутися при завантаженні програми з дискети, що містить вірус. Таке зараження може бути і випадковим, наприклад, якщо дискети вийняли з дисковода А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету вставили в заражений комп'ютер і, наприклад, прочитали її зміст.
Вірус, як правило, впроваджується в робочу програму таким чином, щоб при її запуску управління спочатку передавалося йому і тільки після виконання його команд знову повернулося до робочої програми. Отримавши доступ до управління вірус, насамперед, переписує сам в себе в іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найбільш часто вірусами заражаються завантажувальний сектор диска і виконувані файли, що мають розширення EXE, COM, SYS і BAT. Вкрай рідко заражаються текстові файли.
Після зараження програми вірус може виконати якусь диверсію, не надто серйозну, щоб не привернути інтересу. І, нарешті, не забуває повернути управління тій програмі, з якої був запущений. Кожне виконання зараженої програми переносить вірус в наступну програму. Таким чином, заразиться все програмне забезпечення.
1.6 Антивірусні програми
Способи протидії комп'ютерним вірусам можна розділити на кілька груп:
. профілактика вірусного зараження і зменшення передбачуваного збитку від такого зараження;
. методика використання антивірусних програм, у тому числі знешкодження та видалення відомого вірусу;
. способи виявлення і видалення невідомого вірусу.
З давніх часів відомо, що до будь яду рано чи пізно можна знайти протиотруту. Таким протиотрутою в комп'ютерному світі стали програми, звані антивірусними. Дані програми можна класифікувати за п'ятьма основними групами: фільтри, детектори, ревізори, доктора і вакцинатори. Антивіруси-фільтри - це резидентні програми, які сповіщають користувача про всі спроби якої-небудь програми записатися на диск, а вже тим більше відформатувати його, а також про інших підозрілих діях (наприклад про спроби змінити установки CMOS). При цьому виводиться запит про дозвіл або заборону даної дії. Принцип роботи цих програм заснований на перехоплення відповідних векторів переривань. До переваги програм цього класу в порівнянні з програмами-детекторами можна віднести універсальність по відношенню, як до відомих, так і невідомим вірусам, тоді як детектори пишуться під конкретні, відомі на даний момент програмісту види. Це особливо актуально зараз, коли з'явилося багато вірусів-мутантів, які не мають постійного коду. До недоліків можна віднести часту видачу запитів на здійснення будь-якої операції: відповіді на питання віднімають у користувача багато часу і діють йому на нерви. При установці деяких антивірусів-фільтрів можуть виникати конфлікти з іншими резидентними програмами, що використовують ті ж переривання, які просто перестають працювати.
Найбільше поширення в нашій країні отримали програми-детектори, а вірніше програми, що поєднують в собі детектор і доктор. Найбільш відомі представники цього класу - Aidstest, Doctor Web, Microsoft Antivirus.
Антивіруси-детекто...
