зпеки; при цьому можуть бути автоматично виявлено особливості нових вірусів.
2.4 Стелс-віруси
Стелс-віруси тими або іншими способами приховують факт своєї присутності в системі. Відомі стелс-віруси всіх типів, за винятком Windows-вірусів - завантажувальні віруси, файлові DOS-віруси і навіть макро-віруси. Поява стелс-вірусів, що заражають файли Windows, є швидше за все справою часу.
Завантажувальні віруси
Завантажувальні стелс-віруси для приховування свого коду використовують два основних способи. Перший з них полягає в тому, що вірус перехоплює команди читання зараженого сектора (INT 13h) і підставляє замість нього незаражений оригінал. Цей спосіб робить вірус невидимим для будь DOS-програми, включаючи антивіруси, нездатні "Лікувати" оперативну пам'ять комп'ютера. Можливий перехоплення команд читання секторів на рівні нижчому, ніж INT 13h.
Другий спосіб спрямований проти антивірусів, що підтримують команди прямого читання секторів через порти контролера диска. Такі віруси при запуску будь-якої програми (включаючи антивірус) відновлюють заражені сектора, а після закінчення її роботи знову заражають диск. Оскільки для цього вірусу доводиться перехоплювати запуск і закінчення роботи програм, то він повинен перехоплювати також DOS-переривання INT 21h.
З деякими застереженнями стелс-вірусами можна назвати віруси, які вносять мінімальні зміни в заражаємо сектор (наприклад, при зараженні MBR правлять тільки активний адресу завантажувального сектора - зміни підлягають тільки 3 байти), або маскуються під код стандартного завантажувача.
Файлові віруси
Большінcтво файлових стелс вірусів використовує ті ж прийоми, що наведені вище: вони або перехоплюють DOS-виклики звернення до файлів (INT 21h) або тимчасово лікують файл при його відкритті і заражають при закритті. Також як і для завантажувальних вірусів, існують файлові віруси, що використовують для своїх стелс-функцій перехоплення переривань більш низького рівня - виклики драйверів DOS, INT 25h і навіть INT 13h.
Повноцінні файлові стелс-віруси, що використовують перший спосіб приховання свого коду, в більшості своєму досить громіздкі, оскільки їм доводитися перехоплювати велику кількість DOS-функцій роботи з файлами: відкриття/закриття, читання/запис, пошук, запуск, перейменування і т.д., причому необхідно підтримувати обидва варіанту деяких викликів (FCB/ASCII), а після появи Windows95/NT їм стало необхідно також обробляти третій варіант - функції роботи з довгими іменами файлів.
Деякі віруси використовують частину функцій повноцінного стелс-вірусу. Найчастіше вони перехоплюють функції DOS FindFirst і FindNext (INT 21h, AH = 11h, 12h, 4Eh, 4Fh) і "зменшують" розмір заражених файлів. Такий вірус неможливо визначити по зміні розмірів файлів, якщо, звичайно, він резидентно знаходиться в пам'яті. Програми, які не використовують зазначені функції DOS (наприклад, "Нортоновских утиліти"), а напряму використовують вміст секторів, що зберігають каталог, показують правильну довжину заражених файлів.
Макро-віруси
Реалізація стелс-алгоритмів у макро-вірусах є, напевно, найбільш простим завданням - достатньо всього лише заборонити виклик меню File/Templates або Tools/Macro. Досягається це або видаленням цих пунктів меню зі списку, або їх підміною на макроси FileTemplates і ToolsMacro.
Частково стелс-вірусами можна назвати невелику групу макро-вірусів, які зберігають свій основний код не в самому макросі, а в інших областях документа - у його змінних або в Auto-text. br/>
3. Засоби антивірусного захисту
3.1 NOD 32
NOD32 - антивірусний пакет, що випускається словацькою фірмою Eset. Виник в наприкінці 1998 року. Назва від початку розшифровувалось як Nemocnica na Okraji Disku (В«Лікарня на краю дискаВ», перефразований назву популярного тоді в Чехословаччині телесеріалу В«Лікарня на околиці містаВ»).
NOD32 - це комплексне антивірусне рішення для захисту в реальному часі від широкого кола загроз. Eset NOD32 забезпечує захист від вірусів, а також від інших загроз, включаючи троянські програми, черв'яки, spyware, adware, phishing-атаки. У рішенні Eset NOD32 використовується патентована технологія ThreatSense В®, призначена для виявлення нових виникаючих загроз в реальному часі шляхом аналізу виконуваних програм на наявність шкідливого коду, що дозволяє попереджати дії авторів шкідливих програм.
При оновленні баз використовується ряд серверів-дзеркал, при цьому також можливе створення внутрішньомережевого дзеркала оновлень, що призводить до зниження навантаження на інтернет-канал. Для отримання оновлень з офіційних серверів необхідні ім'я користувача та пароль, які можна отримати активувавши свій номер продукту на сторінці реєстрації регіонального сайту.
Нарівні з базами вірусів NOD32 використовує евристичні методи, що м...
