Résumé de la leçon d'informatique "Virus informatiques. Programmes antivirus". selon le mode de contamination de l'environnement. Méthodes de recherche de virus

Les logiciels peuvent être différents : utiles et peu utiles. Dans ce dernier cas, nous parlons des virus informatiques notoires. Virus informatique- un programme malveillant qui peut reproduire des copies de lui-même et pénétrer indépendamment (injecter des copies de lui-même) dans le code d'autres programmes, bases de données, secteurs de démarrage d'un disque dur, etc. De plus, ce type de logiciel ne se limite pas à la "pénétration" . Le but ultime de la plupart des virus informatiques est de nuire au destinataire. La nocivité des virus informatiques se résume à supprimer des fichiers, capter une partie de l'espace disque de l'ordinateur, bloquer le travail de ses utilisateurs, pirater des données personnelles, etc.

Ah mais pas tout virus informatiques si hostile. Certains d'entre eux affichent simplement des messages inoffensifs de contenu humoristique, publicitaire ou politique sur l'écran du moniteur. Il n'y a aucun mal à l'ordinateur dans ce cas. Que ne peut-on pas dire de l'utilisateur, dont le système nerveux est soumis à un certain test. Une épreuve que nous ne pouvons pas tous supporter. Les souris arrachées, les claviers mutilés et les écrans cassés dans les publicités en sont une confirmation éclatante.

Comme vous l'avez probablement déjà deviné, notre conversation d'aujourd'hui portera sur l'histoire des virus informatiques.

Pourquoi "virus" ?

Je commencerai mon excursion dans l'histoire par l'origine du nom "virus informatique". Pourquoi « virus » et non, disons, « maladie » ou « blessure » ? La réponse est simple - il s'agit de la similitude frappante du mécanisme de distribution des virus biologiques et informatiques. Tout comme un virus biologique s'empare d'une cellule d'un organisme, s'y reproduit, puis occupe une nouvelle cellule, il en va de même pour un virus informatique. Avoir pénétré dans tel ou tel programme, avoir créé un certain nombre de copies de lui-même, malveillant Logiciel commence à capturer d'autres zones de l'ordinateur, puis passe au périphérique suivant. D'accord, l'analogie est plus qu'évidente. En fait, c'est pourquoi le "virus". C'est vrai, pas biologique, mais informatique.

On ne sait pas avec certitude qui et quand a été le premier à utiliser cette expression. Par conséquent, sans prétendre être la vérité ultime, j'énoncerai le nom de la personne qui est le plus souvent mentionnée dans ce contexte. Ceci (photo de droite) est un astrophysicien et, en combinaison, un écrivain de science-fiction des États-Unis. Beaucoup croient que c'est dans son histoire "L'homme cicatrisé"(1970), le mot "virus" a été utilisé pour la première fois en relation avec un programme informatique.

Pas de théorie - pas de virus !

Comme c'est souvent le cas, les paroles et les actes divergent sensiblement dans le temps. Dans notre cas, cela peut être confirmé par le fait que la justification des fondements théoriques de la création et du fonctionnement des programmes informatiques auto-reproducteurs (virus) a eu lieu des décennies avant l'apparition de la phrase elle-même.

Dès 1949 à l'université de l'Illinois, un mathématicien américain d'origine hongroise Jean de Neumann a enseigné un cours de conférences sur le thème "Théorie et organisation des dispositifs automatiques complexes". Par la suite, le célèbre scientifique a résumé ses documents de conférence et publié en 1951 un ouvrage scientifique portant le même titre "Théorie des dispositifs automatiques auto-reproducteurs". Dans son travail, John von Neumann a décrit en détail le mécanisme de création d'un programme informatique qui, en cours de fonctionnement, pourrait se reproduire.

Les recherches scientifiques de Von Neumann ont été le principal moteur de la création pratique de virus informatiques à l'avenir, et le scientifique lui-même est à juste titre considéré comme le père du théoricien de la virologie informatique.

Développant la théorie de l'américain, le chercheur allemand Veith Rizak en 1972, il publie l'article "Appareils automatiques auto-reproducteurs avec un minimum d'échange d'informations". Dans ce document, le scientifique décrit le mécanisme de fonctionnement d'un virus à part entière écrit en langage d'assemblage pour le système informatique SIEMENS 4004/35.

Et un de plus important travail scientifique dans ce domaine est considéré comme un diplôme d'un diplômé de l'Université de Dortmund Jürgen Kraus. En 1980, dans son travail de fin d'études "Programmes auto-reproducteurs", le jeune chercheur pose des questions de théorie, décrit les programmes auto-reproducteurs de l'ordinateur SIEMENS qui existaient déjà à cette époque, et est le premier à s'intéresser au fait que logiciels d'ordinateur similaire aux virus biologiques.

Le lecteur attentif remarquera peut-être que les recherches scientifiques évoquées ci-dessus concernaient le développement de programmes informatiques exclusivement "pacifiques" capables de se reproduire. Les théoriciens n'ont même pas pensé à la nocivité de leurs "patients". Cela a été fait pour eux par d'autres personnes qui ont reconnu à temps l'énorme potentiel de ce type de programmes pour "endommager" les ordinateurs et autres équipements. Mais c'était plus tard, mais pour l'instant passons de la théorie à la pratique.

Les premières hirondelles

Ils ont ce dont John von Neumann a parlé et écrit, un groupe d'employés d'une entreprise américaine Laboratoires Bell a créé un jeu original pour les ordinateurs IBM 7090 en 1961 Darwin. Au cours de ce jeu, un certain nombre de programmes assembleurs ("organismes") ont été chargés dans la mémoire de l'ordinateur. Les organismes appartenant à un joueur étaient censés absorber les organismes d'un autre joueur, occupant ainsi de plus en plus d'espace de jeu. La victoire a été célébrée par le joueur dont les organismes ont capturé toute la mémoire du jeu.

Ceux d'entre vous, chers lecteurs, qui souhaitent se familiariser en détail avec la chronologie de l'apparition de virus informatiques connus sur la planète, je peux recommander en anglais. Vous y trouverez de nombreux faits intéressants sur les "proto-virus" (par exemple, Jerusalem/1987 ou Morris worm/1988) et mettez à jour vos connaissances sur les nouveaux logiciels malveillants (par exemple, Game Over/2013 Trojan horse). Bien sûr, si avec l'anglais vous êtes sur vous.

Virus à virus - discorde !

Au fil des années qui se sont écoulées depuis l'apparition du premier virus informatique, les principaux types (types) de logiciels malveillants se sont formés. Je m'attarderai brièvement sur chacun d'eux.

Classement des virus informatiques :

• ver de réseau- un type de logiciel "hostile" capable de se propager indépendamment à l'aide de réseaux informatiques locaux ou mondiaux. Le premier représentant est le ver Morris déjà mentionné.


• cheval de Troie, troyen- un type de virus informatique distribué (chargé dans un PC) directement par une personne. Contrairement à un ver, un cheval de Troie ne peut pas s'emparer spontanément d'un ordinateur particulier. Le premier cheval de Troie était le virus informatique du SIDA en 1989.


• Virus informatique polymorphe- les logiciels malveillants qui ont niveau élevé protection contre la détection. En d'autres termes, il s'agit d'un virus informatique créé à l'aide d'une technique de programmation spéciale qui lui permet de rester non détecté plus longtemps. Le premier virus polymorphe était Chameleon (1990).


• virus furtif- un virus informatique pouvant masquer partiellement ou totalement sa présence sur le lieu de téléchargement et d'activation. En fait, il s'agit d'un virus invisible, dont la principale différence avec un virus polymorphe est la méthode de masquage. Le mécanisme de dissimulation de la présence d'un virus furtif consiste à intercepter les appels vers le système d'exploitation à partir d'un logiciel antivirus. Frodo (1990) est considéré comme l'ancêtre de ce groupe de virus informatiques.

Si quelque chose est fait, alors quelqu'un en a besoin

Quels sont les objectifs des créateurs de virus informatiques ? Oui, très différent. Pour la plupart, selon les analystes occidentaux, il s'agit de destruction du matériel informatique de concurrents/ennemis ou de vol de fonds appartenant à des personnes agressées par le virus.

En même temps, il existe d'autres raisons, parfois assez amusantes, au développement des virus informatiques. Certaines personnalités diffusent des informations politiques à travers le virus. D'autres, pleins d'inquiétude pour les autres, l'utilisent pour pointer la vulnérabilité de certains logiciels. Il y a même des gens qui, en regardant les conséquences d'une attaque virale, obtiennent un plaisir humain pervers. Amusez-vous, en un mot.

Il est également impossible de négliger le rôle des développeurs dans la création et la distribution de virus informatiques. On pourrait se demander : comment est-ce ? Mais comme ça ! Chaque année, les pertes dues aux attaques de virus dans le monde sont estimées à des milliards de dollars américains. La capitalisation du marché international des logiciels antivirus payants est également estimée en milliards. Vous pouvez venir à une pensée simple : c'est une mine d'or inépuisable. Tout d'abord, le virus est créé (bien qu'avec l'aide d'intermédiaires), puis il est efficacement traité par le client. Pour de l'argent.

Il n'y a rien de nouveau là-dedans. Surtout si l'on se souvient de ce que les militants pas indifférents reprochent aux sociétés pharmaceutiques transnationales. Ensuite, dans mes conjectures, vous pouvez trouver un grain sain. Et même pas un.

Bref, toute l'histoire de l'émergence des virus informatiques. Soyez prudent et que le bonheur, la santé et trois sacs d'argent soient avec vous.

Présentation .................................................. . ................................................ .. ........... une

Virus informatiques .................................................. .................................................. . ................................................ .. ..................

Histoire du développement des virus . .................................................................................. 2

Virus dangereux et non dangereux ....................................................... .................................................................... .. 3

Objets infectés .................................................. .................................................................. ............... 3

Types particuliers de virus .................................................. .................. .................................. ........... quatre

Méthodes de masquage de virus . .............................................................................. 5

Comment se protéger du virus .................................................. ......... ......................................... 6

Programmes antivirus. ............................................................................................................................................................... 7

TEST SIDA................................................................ ... ............................................................... .. .......... huit

MÉDECIN WEB.................................................. .. .............................................................. ... 9

ASPIC................................................. .................. .................................. ................ ................ dix

Antivirus Microsoft.................................................................. ... .............................................. onze

ADINF.................................................................. .................................................. ............... 12

AVP.................................................. .. ................................................ .................. quatorze

Contrôle antivirus des e-mails.................................................. ..................................................................... .................................... quinze

Protection antivirus des e-mails . ........................................ 15

Antivirus pour serveurs de messagerie .................................................. .................. ................... quinze

Doctor Web pour les systèmes UNIX.................................................. .................................................. 16

Kaspersky Anti-Virus pour la vérification des e-mails......................................... ...... 16

O conclusion................................................. .................................................. . ...... 17

Bibliographie .................................................. . .................................................. 19

Introduction.

Lorsqu'il travaille avec un ordinateur personnel moderne, un utilisateur (et en particulier un débutant) peut rencontrer de nombreux problèmes : perte de données, blocage du système, défaillance de certaines parties de l'ordinateur, etc. L'une des causes de ces problèmes, ainsi que des erreurs dans le logiciel et des actions ineptes de l'opérateur du PC lui-même, peuvent être des virus informatiques qui ont pénétré dans le système.

Il existe de nombreuses façons pour les virus de se propager. Un virus peut entrer dans l'ordinateur d'un utilisateur avec une disquette, un CD piraté ou un message électronique. Afin de ne pas devenir victime de ce fléau, chaque utilisateur doit bien connaître les principes de protection contre les virus informatiques. Après tout, il n'y a aucun espoir que les virus disparaissent avec l'avènement du nouveau millénaire. De plus, il n'y a aucun espoir d'y faire face complètement dans un délai prévisible, car le talent des auteurs de programmes anti-virus s'oppose au fantasme des graphomanes de l'informatique.

Depuis l'Antiquité, on sait que tôt ou tard un antidote peut être trouvé pour n'importe quel poison. Un tel antidote dans le monde informatique est devenu des programmes appelés antiviral .

Virus informatique est un programme spécialement écrit, en règle générale, de petite taille qui peut écrire des copies de lui-même dans des programmes informatiques situés dans des fichiers exécutables, des zones de système de disque, des pilotes, des documents, etc., et ces copies conservent la capacité de "reproduire". Le processus d'un virus introduisant sa copie dans un autre programme (la zone système d'un disque, etc.) s'appelle infection et un programme ou autre objet contenant un virus - infecté.

Aujourd'hui, la science connaît environ 30 000 virus informatiques. Comme les virus ordinaires, les virus informatiques ont besoin d'un "support" pour leur "propagation" - un programme ou un document sain dans lequel ils cachent des parties de leur code de programme. Le virus lui-même est petit, sa taille est rarement mesurée en kilo-octets. Cependant, ce "bébé" peut faire beaucoup. A ce moment, lorsqu'un utilisateur, sans se douter de quoi que ce soit, lance un programme infecté sur son ordinateur ou ouvre un document, le virus s'active et force l'ordinateur à suivre ses instructions. Cela conduit à la suppression de toute information, et le plus souvent - de manière irrémédiable. De plus, les virus modernes peuvent ruiner non seulement les programmes, mais aussi le matériel. Par exemple, ils détruisent le contenu du BIOS de la carte mère ou endommagent le disque dur.

Les virus sont apparus il y a environ 30 ans. C'est alors, à la fin des années 60, alors que l'on ne pouvait lire sur les PC que dans les romans de science-fiction, que des programmes très inhabituels ont été trouvés dans plusieurs "gros" ordinateurs situés dans de grands centres de recherche aux États-Unis. Ils étaient inhabituels en ce sens qu'ils ne suivaient pas les ordres d'une personne, comme d'autres programmes, mais agissaient de leur propre chef. De plus, par leurs actions, ils ont considérablement ralenti l'ordinateur, mais en même temps, ils n'ont rien gâché et ne se sont pas multipliés.

Mais cela n'a pas duré longtemps. Déjà dans les années 70, les premiers vrais virus capables de se reproduire et portant leur propre nom ont été enregistrés : le gros ordinateur Univac 1108 « est tombé malade » avec le virus Pervading Animal, et les ordinateurs de la famille IBM-360/370 ont été infectés par le virus de Noël. virus des arbres.

Dans les années 1980, le nombre de virus actifs se comptait par centaines. Et l'émergence et la propagation du PC ont créé une véritable épidémie - le nombre de virus s'est chiffré à des milliers. Certes, le terme "virus informatique" n'est apparu qu'en 1984 - pour la première fois, il a été utilisé dans son rapport lors d'une conférence sur la sécurité de l'information par un employé de l'université américaine Lehigh F. Cowen.

Les premiers virus informatiques étaient simples et sans prétention - ils ne se cachaient pas aux utilisateurs, ils "égayaient" leur action destructrice (suppression de fichiers, détruisant la structure logique du disque) avec des images et des "blagues" affichées à l'écran ("Nommez le hauteur exacte du mont Kilimandjaro en millimètres ! Si vous saisissez une mauvaise réponse, toutes les données de votre disque dur seront détruites !"). Il n'était pas difficile d'identifier ces virus - ils "se sont collés" aux fichiers exécutables (*.com ou *.exe), en modifiant leur taille d'origine.

Plus tard, les virus ont commencé à cacher leur code de programme afin qu'aucun antivirus ne puisse le détecter. Ces virus sont appelés "invisibles"(furtivité).

Dans les années 90, les virus ont commencé à "muter" - en changeant constamment leur code de programme, tout en le cachant dans diverses parties du disque dur. Ces virus mutants sont appelés « polymorphe ».

Internet a largement contribué à la propagation des virus. Pour la première fois, l'attention du public sur le problème des virus Internet a été attirée après l'apparition du célèbre "ver Morris" - un virus expérimental relativement inoffensif qui, à la suite de la négligence de son créateur, s'est répandu sur le Web mondial. Et vers 1996-1998. Internet est devenu le principal fournisseur de virus. Il existait même toute une classe de virus Internet appelés "Troyens". Ces programmes n'endommageaient pas l'ordinateur et les informations qui y sont stockées, mais ils pouvaient facilement "voler" le mot de passe et la connexion pour accéder au Web, ainsi que d'autres informations secrètes.

En 1995, après l'apparition du système d'exploitation Windows 95, des virus ont été enregistrés sous Windows 95. Environ six mois plus tard, des virus ont été découverts qui agissaient sur des documents préparés dans des programmes populaires de la suite Microsoft Office. Le fait est qu'un langage de programmation, Visual Basic pour Applications (VBA), a été intégré à l'éditeur de texte Microsoft Word et à l'éditeur de feuille de calcul Microsoft Excel, conçu pour créer des ajouts spéciaux aux éditeurs - macros. Ces macros étaient stockées dans le corps des documents Microsoft Office et pouvaient facilement être remplacées par des virus. Après avoir ouvert le fichier infecté, le virus s'est activé et a infecté tous les documents Microsoft Office. Initialement macro-virus n'ont nui qu'aux documents texte, plus tard, ils ont commencé à détruire des informations.

Au cours de 1998-1999 Plusieurs attaques de virus dévastatrices ont secoué le monde : à la suite des activités des virus Melissa, Win95.CIH et Chernobyl, environ un million d'ordinateurs ont été désactivés dans tous les pays du monde. Les virus ont endommagé le disque dur et détruit le BIOS de la carte mère.

Il ne fait aucun doute que les attaques de virus se poursuivront à l'avenir. Par conséquent, les utilisateurs d'ordinateurs ne peuvent obtenir qu'un bon programme antivirus.

La plupart des virus ne font que se propager (infecter d'autres programmes, disques, etc.) et, parfois, émettre des messages ou d'autres effets inventés par l'auteur du virus : jouer à des jeux, écouter de la musique, redémarrer l'ordinateur, afficher un écran de différents modèles, bloquer ou modifier les fonctions des touches du clavier, ralentir l'ordinateur, etc. Cependant, ces virus n'endommagent pas délibérément les informations. De tels virus sont classiquement appelés inoffensif. Cependant, ces virus peuvent également causer de gros problèmes (par exemple, un redémarrage toutes les quelques minutes ne vous laissera pas travailler du tout).

Cependant, environ un tiers de tous les types corrompent les données sur les disques - soit délibérément, soit en raison d'erreurs contenues dans des virus, par exemple, en raison de l'exécution pas tout à fait correcte de certaines actions. Si la corruption des données ne se produit que sporadiquement et n'entraîne pas de graves conséquences, les virus sont appelés dangereux. Si la corruption des données est fréquente ou si des virus causent des dégâts importants (formatage d'un disque dur, modification systématique des données sur un disque, etc.), alors les virus sont appelés très dangereux .

Les virus informatiques diffèrent les uns des autres par les objets qu'ils infectent, c'est-à-dire ce qu'ils infectent. Certains virus peuvent infecter plusieurs types d'objets à la fois.

La plupart des virus se propagent en infectant fichiers exécutables ceux. fichiers avec l'extension .COM et .EXE, ainsi que divers fichiers auxiliaires qui sont chargés lorsque d'autres programmes sont en cours d'exécution. Ces virus sont appelés dossier. Le virus dans les fichiers exécutables infectés commence son travail au démarrage du programme dans lequel il se trouve.

Un autre type courant de virus est introduit dans le secteur initial des disquettes ou des disques logiques, où se trouve le chargeur du système d'exploitation, ou dans le secteur initial des disques durs, où la table de partition du disque dur et un petit programme démarrant à partir de l'un des partitions indiquées dans ce tableau sont localisées. Ces virus sont appelés amorçable, ou décombres(du mot boot - bootloader). Ces virus commencent leur travail lorsque l'ordinateur démarre à partir d'un disque infecté. Les virus de démarrage sont résidents et infectent les disquettes insérées dans l'ordinateur. Il existe des virus de démarrage qui infectent également les fichiers - fichier-boot virus.

Certains virus peuvent infecter Conducteurs, autrement dit, les fichiers spécifiés dans la clause DEVICE ou DEVICEHIGH du fichier CONFIG.SYS. Un virus situé dans un pilote commence son travail lorsque ce pilote est chargé à partir du fichier CONFIG.SYS lors du démarrage initial de l'ordinateur. En règle générale, les virus qui infectent les pilotes infectent également les fichiers exécutables ou les secteurs de disque, car sinon ils ne pourraient pas se propager - après tout, les pilotes sont très rarement copiés d'un ordinateur à un autre.

Il est très rare que des virus infectent Fichiers système DOS(IO.SYS ou MSDOS.SYS). Ces virus sont activés au démarrage de l'ordinateur. Généralement, ces virus infectent également les secteurs de démarrage des disquettes, sinon ils ne pourraient pas se propager.

Très une variété rare les virus sont des virus qui infectent fichiers batch. Habituellement, ces virus forment un fichier exécutable sur le disque à l'aide de commandes de fichier batch, exécutez ce fichier, il reproduit le virus, après quoi ce fichier est effacé. Le virus dans les fichiers de commandes infectés commence son travail lorsque le fichier de commandes dans lequel il se trouve est exécuté. Parfois, un appel à un fichier batch infecté est inséré dans le fichier AUTOEXE.BAT.

Pendant longtemps l'infection virale des fichiers de documents était considérée comme impossible, car les documents ne contenaient pas de programmes exécutables. Cependant, les programmeurs Microsoft ont intégré le puissant langage macro WordBasic dans les documents Word pour Windows. Sur ce WordBasic, il est devenu possible d'écrire des virus. Le virus est lancé lorsque des documents infectés sont ouverts pour modification. En même temps, les macros de virus sont écrites dans le modèle global NORMAL.DOT, de sorte que lors de nouvelles sessions de travail avec Word pour virus windows sera automatiquement activé.

Il est également possible d'infecter d'autres objets contenant des programmes sous n'importe quelle forme - textes de programmes, feuilles de calcul, etc. Par exemple, le virus AsmVirus.238 infecte les fichiers de programme en langage d'assemblage (fichiers .ASM) en y insérant des instructions d'assemblage qui, une fois traduites, génèrent un code de virus. Cependant, le nombre d'utilisateurs qui programment en langage d'assemblage est faible, il n'est donc pas possible qu'un tel virus se propage largement.

Les feuilles de calcul contiennent des macros, y compris des macros qui sont automatiquement exécutées lorsque la feuille de calcul est ouverte. Par conséquent, des virus peuvent être créés pour eux, similaires aux virus pour Documents Word Pour les fenêtres. Jusqu'à présent, de tels virus ont été créés pour les feuilles de calcul Excel.

Un virus est un programme, donc les objets qui ne contiennent pas de programmes et ne peuvent pas être convertis en programmes ne peuvent pas être infectés par un virus. Les objets qui ne contiennent pas de programmes ne peuvent être corrompus que par un virus, pas infectés. Ces objets incluent les fichiers texte (à l'exception des fichiers batch et des textes de programme), les documents d'éditeurs de documents simples tels que LEKSIKON ou Multi-Edit, les fichiers d'informations de base de données, etc.

Certains types de virus nécessitent un traitement particulier car méthodes standard les traitements pour eux peuvent entraîner une perte d'information (virus de la famille DIR) ou ne pas guérir le virus (pour les virus de la famille INFLUENCE).

Virus familiaux DIR.

En 1991, un nouveau type de virus est apparu - des virus qui modifient le système de fichiers sur le disque. Ces virus sont communément appelés DIR. Ces virus cachent leur corps dans une zone du disque (généralement dans le dernier cluster de disques) et le marquent dans la table d'allocation de fichiers (FAT) comme la fin du fichier ou comme une zone défectueuse. Pour tous les fichiers .COM et .EXE, les pointeurs vers la première section du fichier contenu dans les entrées de répertoire correspondantes sont remplacés par un lien vers la section du disque contenant le virus, et le pointeur correct est caché sous une forme codée dans le partie inutilisée de l'entrée de répertoire. Par conséquent, lorsqu'un programme est lancé, un virus est chargé en mémoire, après quoi il reste résident en mémoire, se connecte aux programmes DOS pour traiter les fichiers sur le disque et génère des liens corrects pour tous les accès aux éléments du répertoire.

Ainsi, lorsque le virus est en cours d'exécution, le système de fichiers sur le disque semble tout à fait normal. Un examen superficiel d'un disque infecté sur un ordinateur "propre" ne montre également rien d'étrange. À moins que, lorsque vous essayez de lire ou de copier des fichiers de programme à partir d'une disquette infectée, seuls 512 ou 1024 octets seront lus ou copiés, même si le fichier est beaucoup plus long. Et lorsque vous exécutez un programme exécutable à partir d'un disque infecté par un tel virus, ce disque commence à sembler sain (ce n'est pas étonnant, car l'ordinateur est infecté dans ce cas).

Un danger particulier des virus de la famille DIR est que les dommages causés à la structure des fichiers par ces virus ne doivent pas être réparés par des programmes tels que ScanDisk ou NDD - dans ce cas, le disque sera irrémédiablement endommagé. Pour le réparer, vous devez utiliser uniquement des programmes antivirus.

Virus de la famille ZARAZA.

Un autre type inhabituel de virus est celui qui infecte fichier système IO.SYS. La famille de ces virus est généralement appelée INFECTION, car le premier de ces virus affichait le message "Infection dans le SECTEUR BOOT !".

Ces virus sont amorçables par fichier et utilisent une incompatibilité entre le mécanisme d'amorçage DOS et le mécanisme de fichier normal. Lorsque MS DOS démarre, il vérifie que les noms des deux premiers éléments du répertoire racine du lecteur de démarrage sont IO.SYS et MSDOS.SYS, mais les attributs de ces éléments ne sont pas vérifiés. Si les noms correspondent, le programme d'amorçage lit en mémoire le premier cluster de l'élément nommé IO.SYS et lui transfère le contrôle. Profitant de cette imperfection du programme d'amorçage, le virus ZARAZA fait ce qui suit lorsqu'il infecte les disques durs :

Copie le contenu du fichier IO.SYS à la fin du lecteur logique ;

Décale les éléments du répertoire racine, en commençant par le troisième, d'un élément jusqu'à la fin du répertoire ;

Copie la première entrée du répertoire racine (correspondant au fichier IO.SYS) dans la troisième entrée libérée du répertoire racine et la définit sur le numéro de cluster initial, pointant vers l'emplacement où le contenu du fichier IO.SYS a été copié ;

Écrit son corps à l'emplacement du fichier IO.SYS (généralement au début de la zone de données du disque logique) ;

Définit le drapeau "volume label" pour le premier élément du répertoire racine du disque.

Deux entrées apparaissent dans le répertoire racine nommé IO.SYS, dont l'une est marquée avec l'attribut "volume label". Mais il ne plante pas au démarrage - le programme d'amorçage, après avoir vérifié que les deux premières entrées du répertoire sont IO.SYS et MSDOS.SYS, chargera le cluster spécifié dans la première entrée de la table des matières (sur un disque normal, c'est le début du fichier IO.SYS, et sur l'infecté - le code du virus), et lui transférera le contrôle. Le virus se chargera dans la RAM, après quoi il chargera le début du fichier source IO.SYS et lui transférera le contrôle. De plus, le chargement initial se déroule comme d'habitude.

Le danger des virus de la famille INFLUENCE est le suivant : même si vous démarrez l'ordinateur à partir d'une disquette système "propre" et entrez la commande SYS C:, le virus ne sera pas supprimé du disque. La commande SYS, comme d'autres programmes DOS, ignorera la première entrée du répertoire racine qui indique un virus, la traitant comme une description d'étiquette. Seul le « fichier de sauvegarde » IO.SYS, décrit dans le troisième élément du répertoire racine, sera écrasé. De plus, si le programme SYS écrit le fichier IO.SYS à un nouvel emplacement sur le disque, le système ne démarrera plus à partir du disque dur, car. le virus stocke dans son corps l'adresse du secteur initial du fichier source IO.SYS. Par conséquent, les disques infectés par des virus de la famille INFECTION ne doivent pas être désinfectés avec la commande SYS, cela doit être fait avec des programmes antivirus.

Pour empêcher leur détection, de nombreux virus utilisent des techniques de camouflage assez astucieuses.

De nombreux virus résidents empêchent leur détection en interceptant les appels du système d'exploitation vers des fichiers et des zones de disque infectés et en les libérant sous leur forme d'origine (non infectée). Ces virus sont appelés invisible, ou furtivité virus. Bien sûr, l'effet "d'invisibilité" n'est observé que sur un ordinateur infecté - sur un ordinateur "propre", les modifications des fichiers et des zones de démarrage du disque peuvent être facilement détectées. Certains programmes antivirus peuvent détecter des virus "invisibles" même sur un ordinateur infecté. Pour ce faire, ils lisent le disque sans utiliser les services de DOS. Des exemples de tels programmes sont Adinf de Dialogue-Science, Norton AntiVirus et d'autres.

Les virus contiennent souvent divers messages à l'intérieur d'eux-mêmes, ce qui permet de soupçonner que quelque chose ne va pas lors de la visualisation de fichiers ou de zones de disque contenant un virus. Pour rendre la détection plus difficile, certains virus cryptent leur contenu afin que, lors de la visualisation des objets qu'ils infectent, l'utilisateur ne voie aucune chaîne de texte suspecte.

Une autre façon que les virus utilisent pour se cacher de la détection est de modifier leur corps. Il est donc difficile pour les programmes de détection de trouver de tels virus - dans le corps de ces virus, il n'y a pas une seule chaîne d'octets permanente par laquelle un virus pourrait être identifié. Ces virus sont appelés polymorphe ou auto-modification. Il existe des programmes de détection qui peuvent détecter les virus polymorphes, par exemple, Dr.Web de Dialog-Science.

Lorsqu'un fichier infecté par un virus est activé, le contrôle est immédiatement transféré au virus, qui exécute ses actions destructrices, et est également attribué simultanément à d'autres programmes et fichiers. Ensuite, technologiquement, il y a un retour aux actions qui ont été effectuées sur l'ordinateur. Avec une vitesse élevée de l'ordinateur, une telle "distraction" du cours de travail réglementé pour l'utilisateur reste complètement inaperçue. Les dommages peuvent ne pas être immédiatement apparents. Les manifestations externes de la présence d'un virus dans un ordinateur peuvent être très différentes, par exemple :

Scintillement de l'écran

L'apparition d'un message inattendu à l'écran ;

· une exigence imprévue de supprimer la protection en écriture d'une disquette ;

· modifier la date et l'heure de création des fichiers infectés ;

Blocage de l'ordinateur et incapacité à surmonter ce problème ;

Chute de lettres sur l'écran (parfois accompagnée d'un accompagnement musical) ;

· la disparition de certains fichiers de programme le vendredi, tombant le 13 du mois ;

Crash inhabituel ;

destruction de fichiers d'information ou leur destruction partielle ;

ralentissement de l'ordinateur;

bloquer l'entrée du clavier ;

Le son de la musique

rotation des caractères à l'écran ;

Bloquer l'écriture sur le disque dur ;

autres types de "comportement" inhabituel de l'ordinateur.

Une action virale telle que le formatage d'un disque dur, qui est associée à la perte rapide de toutes les informations qui y sont stockées, est particulièrement dangereuse pour l'utilisateur. Étant donné qu'aucun utilisateur n'est assuré contre la pénétration d'un virus, il est possible, au moins, de minimiser les conséquences possibles de la présence d'un virus dans l'ordinateur. Pour cela, plusieurs règles simples:

1) Chacune de vos disquettes, si elle a "visité" un autre ordinateur, doit être vérifiée par tout programme anti-virus disponible. Les programmes de ce type peuvent non seulement détecter un virus, mais aussi "guérir" une disquette. Il s'agit surtout programmes de jeux, car la plupart des virus se propagent à travers eux.

2) Des contrôles similaires doivent être effectués pour les fichiers reçus via le réseau.

3) Le programme antivirus devient très rapidement obsolète. Par conséquent, il est recommandé de le mettre à jour périodiquement. nouvelle version. La période de renouvellement de ces programmes varie d'une semaine à un trimestre.

4) Ne supprimez pas la protection en écriture d'une disquette dans le cadre de votre travail quotidien, si cela n'est pas prévu par la technologie de résolution des problèmes.

5) Lorsqu'un virus est détecté, ne prenez pas de mesures irréfléchies, car cela peut entraîner la perte d'informations qui pourraient encore être enregistrées. La chose la plus correcte dans une telle situation est d'éteindre l'ordinateur afin de bloquer l'activité du virus. Ensuite, démarrez l'ordinateur à partir de la disquette de référence avec le système d'exploitation. Après cela, lancez un programme antivirus dont les fonctions incluent non seulement la détection des fichiers infectés, mais également leur traitement. Ensuite, exécutez à nouveau le programme antivirus. Si toutes les opérations de suppression du virus ont été effectuées correctement, le résultat de son travail devrait être d'informer l'utilisateur de l'absence totale de virus. Mais il ne faut pas oublier que le programme ne doit pas être obsolète.

Récemment, lors du travail en réseau, en particulier lors de l'utilisation du courrier électronique, la pénétration de virus dans l'ordinateur de l'utilisateur en lisant les messages électroniques est devenue plus fréquente. Par conséquent, quelques règles simples doivent également être observées ici:

1) Ne pas ouvrir les fichiers joints à la lettre, sauf accord préalable avec l'expéditeur pour les envoyer.

2) N'ouvrez pas les fichiers joints à la lettre provenant des laboratoires anti-virus, Microsoft et autres. Les entreprises ne distribuent jamais de fichiers.

3) N'ouvrez pas les fichiers joints à la lettre si l'objet de la lettre et la lettre elle-même sont vides.

4) Supprimez tous les e-mails suspects.

5) Si vous vous absentez pendant une longue période, vous devez vous désinscrire des différentes listes de diffusion électronique.

Classification des programmes antivirus .

Ces programmes peuvent être classés en cinq groupes principaux : filtres, détecteurs, auditeurs, médecins et vaccinateurs.

Filtres antivirus- Ce sont des programmes résidents qui informent l'utilisateur de toutes les tentatives d'un programme d'écrire sur un disque, et plus encore de le formater, ainsi que d'autres actions suspectes (par exemple, les tentatives de modification des paramètres CMOS). Cela vous demandera d'autoriser ou de refuser cette action. Le principe de fonctionnement de ces programmes repose sur l'interception des vecteurs d'interruption correspondants. L'avantage des programmes de cette classe par rapport aux programmes-détecteurs est l'universalité par rapport aux virus connus et inconnus, tandis que les détecteurs sont écrits pour des types spécifiques connus du programmeur à l'heure actuelle. Cela est particulièrement vrai maintenant, alors que de nombreux virus mutants sont apparus sans code permanent. Cependant, les programmes de filtrage ne peuvent pas suivre les virus qui accèdent directement au BIOS, ainsi que les virus BOOT qui sont activés avant même le lancement de l'antivirus, dans stade initial Démarrage DOS Les inconvénients incluent également l'émission fréquente de demandes pour la mise en œuvre de toute opération: répondre aux questions prend beaucoup de temps à l'utilisateur et l'énerve. Lors de l'installation de certains filtres antivirus, il peut y avoir des conflits avec d'autres programmes résidents utilisant les mêmes interruptions, qui cessent tout simplement de fonctionner.

Le plus utilisé dans notre pays programmes de détection, ou plutôt, des programmes qui combinent détecteur et médecin. Plus représentants célèbres de cette classe - Aidstest, Doctor Web, MicroSoft AntiVirus seront discutés plus en détail ci-dessous. Les détecteurs antivirus sont conçus pour des virus spécifiques et sont basés sur une comparaison de la séquence de codes contenus dans le corps d'un virus avec les codes des programmes contrôlés. De nombreux programmes de détection vous permettent également de "traiter" les fichiers ou disques infectés en supprimant les virus qu'ils contiennent (bien sûr, le traitement n'est pris en charge que pour les virus connus du programme de détection). Ces programmes doivent être mis à jour régulièrement, car ils deviennent rapidement obsolètes et ne peuvent pas détecter de nouveaux types de virus.

auditeurs sont des programmes qui analysent l'état actuel des fichiers et des zones système du disque et le comparent aux informations précédemment stockées dans l'un des fichiers de données de l'auditeur. Cela vérifie l'état du secteur BOOT, la table FAT, ainsi que la longueur des fichiers, leur heure de création, les attributs, la somme de contrôle. En analysant les messages du programme d'inspection, l'utilisateur peut décider si les modifications sont causées par un virus ou non. Lors de l'émission de tels messages, il ne faut pas paniquer, car la cause des modifications, par exemple la durée du programme, peut ne pas être du tout un virus.

Le dernier groupe comprend les antivirus les plus inefficaces - vaccinateurs. Ils écrivent les caractéristiques d'un virus particulier dans le programme vacciné afin que le virus le considère comme déjà infecté.

Dans notre pays, comme mentionné ci-dessus, les programmes antivirus qui combinent les fonctions de détecteurs et de médecins ont acquis une popularité particulière. Le plus célèbre d'entre eux est le programme AIDSTEST de D.N. Lozinski. Ce programme a été inventé en 1988 et depuis lors, il a été constamment amélioré et étendu. En Russie, presque tous les ordinateurs personnels compatibles IBM possèdent l'une des versions de ce programme. Un des dernières versions détecte plus de 1500 virus.

Aidstest est conçu pour réparer les programmes infectés par des virus courants (non polymorphes) qui ne modifient pas leur code. Cette limitation est due au fait que ce programme recherche les virus à l'aide de codes d'identification. Mais en même temps, une très grande vitesse de vérification des fichiers est atteinte.

Pour son fonctionnement normal, Aidstest nécessite qu'il n'y ait pas d'antivirus résidents en mémoire qui bloquent l'écriture dans les fichiers programme, ils doivent donc être déchargés soit en spécifiant l'option de déchargement pour le programme résident lui-même, soit en utilisant l'utilitaire approprié.

Une fois lancé, Aidstest recherche dans la RAM les virus connus et les rend inoffensifs. Dans ce cas, seules les fonctions du virus associées à la reproduction sont paralysées, tandis que d'autres Effets secondaires peut rester. Par conséquent, le programme après la fin de la neutralisation du virus en mémoire émet une demande de redémarrage. Vous devez absolument suivre ce conseil si l'opérateur du PC n'est pas un programmeur système qui étudie les propriétés des virus. A quoi il faut redémarrer avec le bouton RESET, car lors d'un "redémarrage à chaud" certains virus peuvent persister. De plus, il est préférable de démarrer la machine et Aidstest avec une disquette protégée en écriture, car lorsqu'il est lancé à partir d'un disque infecté, le virus peut s'écrire en mémoire en tant que résident et empêcher la désinfection.

Aidstest teste son corps pour les virus connus et juge également son infection par un virus inconnu par des distorsions dans son code. Dans ce cas, des cas de fausses alarmes sont possibles, par exemple lorsqu'un antivirus est compressé par un packer. Le programme n'a pas d'interface graphique et ses modes de fonctionnement sont définis à l'aide de touches. En spécifiant le chemin, vous pouvez vérifier non pas le disque entier, mais un sous-répertoire séparé.

Inconvénients du programme Aidstest :

Ne reconnaît pas les virus polymorphes ;

Il n'est pas équipé d'un analyseur heuristique lui permettant de trouver des virus qui lui sont inconnus ;

Ne sait pas vérifier et traiter les fichiers dans les archives ;

Ne reconnaît pas les virus dans les programmes traités par les packers de fichiers exécutables tels que EXEPACK, DIET, PKLITE, etc.

Avantages d'Aidstest :

Facile à utiliser;

Fonctionne très rapidement;

Reconnaît une partie importante des virus ;

Bien intégré au programme d'audit Adinf ;

Fonctionne sur presque n'importe quel ordinateur.

Récemment, la popularité d'un autre programme antivirus, Doctor Web, proposé par Dialog-Science, a rapidement augmenté. Ce programme a été créé en 1994 par I. A. Danilov. Dr.Web, comme Aidstest, appartient à la classe des détecteurs - les médecins, mais contrairement à ces derniers, il dispose d'un soi-disant "analyseur heuristique" - un algorithme qui vous permet de détecter les virus inconnus. "Healing Web", comme le nom du programme est traduit de l'anglais, est devenu la réponse des programmeurs nationaux à l'invasion de virus mutants auto-modifiables qui, en se multipliant, modifient leur corps de sorte qu'aucune chaîne caractéristique d'octets qui était présent dans la version originale du virus reste. Ce programme est soutenu par le fait qu'une grande licence (pour 2 000 ordinateurs) a été acquise par la Direction générale des ressources d'information sous le président de la Fédération de Russie, et le deuxième plus grand acheteur du "web" - "Inkombank".

Le contrôle des modes, ainsi que dans Aidtest, s'effectue à l'aide de touches. L'utilisateur peut demander au programme de tester à la fois le disque entier et des sous-répertoires ou groupes de fichiers individuels, ou refuser de vérifier les disques et de ne tester que la RAM. À son tour, vous pouvez tester uniquement la mémoire de base ou, en plus, également la mémoire étendue. Comme Aidstest, Doctor Web peut créer un rapport sur le travail, charger un générateur de caractères cyrilliques, soutenir le travail avec le système matériel et logiciel Sheriff.

Tester un disque dur avec Dr.Web prend beaucoup plus de temps qu'Aidstest, donc tous les utilisateurs ne peuvent pas se permettre de passer autant de temps quotidiennement à vérifier l'intégralité du disque dur. Il peut être conseillé à ces utilisateurs de vérifier plus attentivement les disquettes importées de l'extérieur. Si les informations sur la disquette sont archivées (et dernièrement, les programmes et les données ne sont transférés que d'une machine à l'autre sous cette forme ; même les éditeurs de logiciels comme Borland emballent leurs produits), vous devez les décompresser dans un répertoire séparé sur votre disque dur et immédiatement , sans attendre, lancez Dr.Web, en spécifiant le chemin complet vers ce sous-répertoire au lieu du nom du lecteur comme paramètre. Et pourtant, au moins une fois toutes les deux semaines, une analyse complète du "disque dur" à la recherche de virus doit être effectuée avec un niveau maximal d'analyse heuristique.

Comme dans le cas d'Aidstest, lors des tests initiaux, vous ne devez pas autoriser le programme à désinfecter les fichiers dans lesquels il détecte un virus, car il n'est pas exclu que la séquence d'octets acceptée par l'antivirus comme modèle puisse se trouver dans un programme sain.

Contrairement à Aidstest, Dr.Web :

Reconnaît les virus polymorphes;

Équipé d'un analyseur heuristique ;

Capable de vérifier et de traiter les fichiers dans les archives;

Permet de tester des fichiers vaccinés avec CPAV, ainsi que emballés avec LZEXE, PKLITE, DIET.

Dialog-Science propose différentes versions de DrWeb pour DOS. Comme vous le savez, il existe deux versions pour DOS, qui sont traditionnellement appelées 16 bits et 32 bits(ce dernier est aussi appelé Doctor Web pour DOS/386, DrWeb386). Ces noms (16 bits et 32 ​​bits) reflètent pleinement l'essence de la différence entre les versions pour DOS, mais directement à partir des noms, cela n'est évident que pour les spécialistes. Seule la version 32 bits possède toutes les fonctionnalités inhérentes aux autres versions modernes de Doctor Web (notamment les versions pour Windows).

La version 16 bits, en raison des restrictions sur la quantité de mémoire disponible imposées par le système d'exploitation, ne possède pas certaines des "fonctionnalités" qui sont extrêmement importantes aujourd'hui, en particulier, elles n'y sont pas incluses (et en raison de les restrictions de mémoire indiquées, elles ne peuvent pas être incluses) :

Modules de « maintenance » des virus connus de types modernes (en particulier, nous parlons sur les virus macro et furtifs) ;

Modules d'analyse heuristique pour détecter les virus inconnus de types modernes ;

Modules pour décompresser les types modernes d'archives et les programmes Windows packagés, etc.

Ainsi, bien que la version 16 bits utilise la même base virale (fichiers VDB) que les versions 32 bits, l'absence de certains modules rend impossible le traitement des virus correspondants.

De plus, pour les mêmes raisons, la version 16 bits ne prend pas en charge certains logiciels et matériels modernes, ce qui peut la rendre instable ou incorrecte.

Étant donné que la version 32 bits est entièrement fonctionnelle et, comme le montre son autre nom - Doctor Web pour DOS/386, peut être utilisée en exécution sous DOS sur des ordinateurs dotés d'un processeur d'au moins 386, tous les utilisateurs qui ont besoin d'une version de Doctor Web pour DOS feraient mieux de l'utiliser exactement.

Quant à la version 16 bits, elle continue de sortir car il existe encore un parc d'anciennes machines sur la plateforme 86/286 où la version 32 bits ne peut pas fonctionner.

(Protection des logiciels antivirus)

Un produit logiciel intéressant est l'antivirus AVSP. Ce programme combine un détecteur, un médecin et un auditeur, et possède même certaines fonctions d'un filtre résident (interdiction d'écrire dans les fichiers avec l'attribut READ ONLY). L'antivirus peut traiter à la fois les virus connus et inconnus, et l'utilisateur lui-même peut informer le programme de la méthode de traitement de ces derniers. De plus, AVSP peut traiter les virus auto-modifiables et furtifs (stealth).

Lorsque vous démarrez AVSP, un système de fenêtres apparaît avec des menus et des informations sur l'état du programme. Très confortable système d'indices contextuels, qui donne une explication de chaque élément de menu. Elle s'appelle classiquement, avec la touche F1, et change en passant d'une rubrique à l'autre. Un autre avantage non négligeable à notre époque de Windows et des "demi-axes" (OS / 2) est le support de la souris. Un inconvénient important de l'interface AVSP est le manque de possibilité de sélectionner des éléments de menu en appuyant sur une touche avec la lettre correspondante, bien que cela soit quelque peu compensé par la possibilité de sélectionner un élément en appuyant sur ALT et le numéro correspondant au numéro de ce Objet.

Le forfait AVSP comprend également pilote résident AVSP.SYS, qui vous permet de détecter la plupart des virus invisibles (à l'exception des virus tels que Ghost-1963 ou DIR), de désactiver les virus pendant la durée de leur travail et d'interdire également la modification des fichiers en LECTURE SEULE.

Une autre fonction d'AVSP.SYS est désactiver les virus résidents pendant l'exécution d'AVSP.EXE, cependant, avec les virus, le pilote désactive également certains autres programmes résidents. La première fois que vous exécutez AVSP, vous devez tester votre système à la recherche de virus connus. En même temps, il vérifie RAM, secteur BOOT et fichiers. Dans certains cas, vous pouvez même récupérer des fichiers corrompus par un virus inconnu. Vous pouvez installer des vérifications de la taille des fichiers, de leurs sommes de contrôle, de la présence de virus dans ceux-ci ou de tout cela ensemble. Vous pouvez également spécifier exactement ce qu'il faut vérifier (secteur de démarrage, mémoire ou fichiers). Comme dans la plupart des programmes antivirus, l'utilisateur a ici la possibilité de choisir entre vitesse et qualité. L'essence d'une vérification à grande vitesse est que l'intégralité du fichier n'est pas analysée, mais seulement son début ; ainsi il est possible de découvrir la majorité des virus. Si le virus est écrit au milieu, ou si le fichier est infecté par plusieurs virus (dans ce cas, les "anciens" virus semblent être poussés au milieu par les "jeunes"), alors le programme ne le remarquera pas. Par conséquent, une optimisation de la qualité doit être définie, d'autant plus que dans AVSP, les tests de qualité ne prennent pas beaucoup plus de temps que les tests à grande vitesse.

Lors de la détection automatique de nouveaux virus, AVSP peut commettre de nombreuses erreurs. Ainsi, lors de la détection automatique d'un modèle, vous ne devriez pas être trop paresseux pour vérifier s'il s'agit vraiment d'un virus et si ce modèle sera trouvé dans des programmes sains.

Si AVSP détecte un virus connu au cours du processus, vous devez effectuer les mêmes actions que lorsque vous travaillez avec Aidstest et Dr.Web : copiez le fichier sur le disque, redémarrez à partir de la disquette de sauvegarde et démarrez AVSP. Il est également souhaitable que le pilote AVSP.SYS soit chargé en mémoire, car il aide le programme principal à désinfecter les virus Stealth.

Une autre fonctionnalité utile est désassembleur intégré. Avec son aide, vous pouvez savoir s'il y a un virus dans le fichier ou si un faux positif AVSP s'est produit lors d'une vérification du disque. De plus, vous pouvez essayer de découvrir la méthode d'infection, le principe du virus, ainsi que l'endroit où il a "caché" les octets remplacés du fichier (si nous avons affaire à ce type de virus). Tout cela vous permettra d'écrire une procédure de suppression de virus et de restaurer des fichiers corrompus. Une autre fonctionnalité utile est l'émission carte visuelle des changements. La carte des modifications vous permet d'évaluer si ces modifications correspondent ou non au virus, ainsi que de réduire la zone de recherche du corps du virus lors du désassemblage.

Le programme AVSP dispose de deux algorithmes pour neutraliser les virus furtifs ("invisibles"), et les deux ne fonctionnent que s'il y a un virus actif en mémoire. Voici ce qui se passe lorsque ces algorithmes sont implémentés : tous les fichiers sont copiés dans des fichiers de données, puis effacés. Seuls les fichiers avec l'attribut SYSTEM sont enregistrés. Dans Adinf, le processus de suppression des Stealths est beaucoup plus simple.

Le programme AVSP surveille également l'état des secteurs de démarrage. Si le secteur BOOT de la disquette est infecté et que l'antivirus ne peut pas le guérir, vous devez effacer le code de démarrage. La disquette deviendra non-système, mais les données ne seront pas perdues. Vous ne pouvez pas faire ça avec un Winchester. Si des modifications sont détectées dans l'un des secteurs BOOT du disque dur, AVSP proposera de l'enregistrer dans un fichier, puis d'essayer de supprimer le virus.

Les versions modernes de MS-DOS (par exemple 6.22) incluent Microsoft Antivirus (MSAV). Cet antivirus peut fonctionner en modes détecteur-médecin et auditeur. MSAV a Interface de style MS-Windows la souris est naturellement prise en charge. Bien mis en œuvre aide contextuelle : il y a un indice pour presque n'importe quel élément de menu, pour n'importe quelle situation. L'accès aux éléments de menu est implémenté de manière universelle: pour cela, vous pouvez utiliser les touches du curseur, les touches (F1-F9), les touches correspondant à l'une des lettres du nom de l'élément, ainsi que la souris. Un inconvénient sérieux lors de l'utilisation du programme est qu'il enregistre des tables avec des données sur les fichiers qui ne sont pas dans un seul fichier, mais les disperse dans tous les répertoires.

Une fois lancé, le programme charge son propre générateur de caractères et lit l'arborescence des répertoires du disque actuel, après quoi il revient au menu principal. La raison pour laquelle lire l'arborescence des répertoires immédiatement au démarrage n'est pas claire : après tout, l'utilisateur peut ne pas vouloir vérifier le disque actuel.

Lors de la première vérification, MSAV crée des fichiers CHKLIST.MS dans chaque répertoire contenant des fichiers exécutables, dans lesquels il écrit des informations sur la taille, la date, l'heure, les attributs, ainsi que la somme de contrôle des fichiers contrôlés. Lors des contrôles ultérieurs, le programme comparera les fichiers avec les informations contenues dans les fichiers CHKLIST.MS. Si la taille et la date ont changé, le programme en informera l'utilisateur et demandera d'autres actions : mettre à jour les informations (Mise à jour), régler la date et l'heure conformément aux données dans CHKLIST.MS (Réparer), continuer, en ignorant changements dans ce fichier (Continuer), abandonner le test (Stop)..

Dans le menu Options, vous pouvez configurer le programme selon propre volonté. Ici, vous pouvez définir le mode de recherche des virus invisibles (Anti-Stealth), vérifier tous les fichiers (pas seulement exécutables) (Check All Files), et également autoriser ou interdire la création de tables CHKLIST.MS (Create New Checksums). De plus, vous pouvez définir le mode d'enregistrement du rapport sur le travail effectué dans un fichier. Si vous définissez l'option Créer une sauvegarde, avant de supprimer le virus d'un fichier infecté, sa copie sera enregistrée avec l'extension VIR.

Depuis le menu principal, vous pouvez afficher une liste des virus connus de MSAV en appuyant sur la touche F9. Cela fera apparaître une fenêtre avec les noms des virus. Pour afficher des informations plus détaillées sur un virus, déplacez le curseur sur son nom et appuyez sur ENTREE. Vous pouvez accéder rapidement au virus qui vous intéresse en tapant les premières lettres de son nom. Les informations sur le virus peuvent être envoyées à l'imprimante en sélectionnant l'élément de menu approprié.

(Diskinfoscope avancé)

ADinf appartient à la classe des programmes d'audit. Ce programme a été créé par D. Yu. Mostov en 1991.

La famille de programmes ADinf sont des auditeurs de disque conçus pour fonctionner sur Ordinateur personnel régi par systèmes d'exploitation MS-DOS, MS-Windows 3.xx, Windows 95/98 et Windows NT/2000. Le travail des programmes est basé sur un suivi régulier des changements survenant sur les disques durs. Si un virus apparaît, ADinf le détecte en fonction des modifications qu'il apporte au système de fichiers et/ou au secteur de démarrage du disque et en informe l'utilisateur. Contrairement aux scanners antivirus, ADinf n'utilise pas de "portraits" (signatures) de virus spécifiques dans son travail. Par conséquent, ADinf est particulièrement efficace pour détecter de nouveaux virus pour lesquels aucun antidote n'a encore été trouvé.

Il convient de noter en particulier qu'ADinf n'utilise pas les fonctions du système d'exploitation pour contrôler les disques. Il lit le disque secteur par secteur et analyse indépendamment la structure du système de fichiers, ce qui lui permet de détecter les virus dits furtifs.

Si l'unité de réparation Adinf est installée sur le système ( Module de traitement ADinf ), alors ce tandem est capable non seulement de détecter, mais aussi de supprimer avec succès l'infection qui est apparue. Les tests ont montré que le module ADinf Cure est capable de faire face avec succès à 97% des virus, en récupérant les fichiers endommagés avec une précision d'octet.

Caractéristiques avantageuses ADinf ne se limite pas à combattre les virus. En fait, ADinf est un système qui vous permet de surveiller la sécurité des informations sur les disques et de détecter toute modification, même subtile, du système de fichiers, à savoir les modifications des zones système, les modifications de fichiers, la création et la suppression de répertoires, la création, la suppression, le renommage et déplacer des fichiers d'un répertoire vers un catalogue. La composition des informations contrôlées est configurée de manière flexible, ce qui vous permet de contrôler uniquement ce dont vous avez besoin.

La première version du programme a été publiée en 1991 et depuis lors, ADinf est à juste titre l'auditeur le plus populaire en Russie et dans d'autres pays. ex-URSS. Aujourd'hui, il est déjà difficile de compter le nombre d'utilisateurs légaux et illégaux d'ADinf. Plus de 2 500 entreprises abonnées au kit anti-virus Dialog-Science, qui inclut ADinf, protègent leurs ordinateurs avec lui. Le programme ADinf a reçu des certificats dans le système de certification GOST R, le système de certification de la sécurité de l'information du ministère de la Défense et le certificat de la Commission technique d'État auprès du président. Fédération Russe(dans le cadre du kit anti-virus Dialog-Science). Le programme est constamment amélioré et est toujours à la pointe des technologies modernes.

Initialement, l'auditeur ADinf a été développé pour le système d'exploitation MS-DOS. Des versions ultérieures du programme ont été publiées pour Windows 3.xx et Windows 95/98/NT. Il existe maintenant une famille d'auditeurs compatibles pour différents systèmes d'exploitation. Toutes les variantes d'ADinf prennent aujourd'hui en charge les systèmes de fichiers Windows 95/98, les noms de fichiers et de répertoires longs, l'analyse structure interne Fichiers exécutables Windows 95/98 et NT.

Ainsi, le programme Adinf :

¨ a une vitesse de travail élevée ;

¨ est capable de résister avec succès aux virus en mémoire ;

¨ vous permet de contrôler le disque en le lisant par secteur via le BIOS et sans utiliser les interruptions du système DOS qu'un virus peut intercepter ;

¨ peut gérer jusqu'à 32 000 fichiers par lecteur ;

¨ contrairement à AVSP, dans lequel l'utilisateur doit analyser si la machine est infectée par un virus Stealth, en démarrant d'abord depuis le disque dur, puis depuis la disquette de référence, dans ADinf cette opération se produit automatiquement ;

¨ Contrairement à d'autres antivirus, Advanced Diskinfoscope ne nécessite pas de démarrage à partir d'une disquette de référence protégée en écriture. Lors du chargement à partir d'un disque dur, la fiabilité de la protection ne diminue pas;

¨ ADinf a une interface conviviale bien exécutée qui, contrairement à AVSP, n'est pas implémentée en texte, mais en mode graphique ;

¨ lors de l'installation d'ADinf dans le système, il est possible de changer le nom du fichier principal ADINF.EXE et le nom des tables, tandis que l'utilisateur peut spécifier n'importe quel nom. C'est une fonctionnalité très utile, car récemment de nombreux virus sont apparus qui "chasse" aux antivirus (par exemple, il existe un virus qui modifie le programme Aidstest de sorte qu'au lieu de l'écran de démarrage de DialogueScience, il écrit : "Lozinsky - souche" ), y compris et au-delà de ADinf.

Il existe plusieurs versions de l'auditeur Adinf pour différents systèmes d'exploitation. Chacun d'eux a ses propres caractéristiques.

Auditeur ADinf conçu pour les systèmes d'exploitation MS-DOS et Windows 95/98. Il s'agit du développement de la première version de l'auditeur, créée en 1991. Aujourd'hui, ADinf est l'outil le plus fiable pour détecter les virus connus et les nouveaux virus inconnus. C'est le seul auditeur au monde qui vérifie le système de fichiers en lisant les secteurs directement via le BIOS de l'ordinateur.

Auditeur ADinf pour Windows conçu pour le système d'exploitation Windows 3.xx. Cette version du programme ajoute une interface utilisateur graphique pratique à toutes les propriétés de l'auditeur ADinf.

Auditeur ADinf Pro est conçu pour contrôler la sécurité d'informations particulièrement précieuses, telles que des bases de données ou des documents, dans l'environnement des systèmes d'exploitation MS-DOS, Windows 3.xx et Windows 95/98. Une caractéristique de cette version du programme est l'utilisation d'une fonction de hachage 64 bits pour contrôler l'intégrité des fichiers, développée par la célèbre société russe LAN-Crypto. L'utilisation de cette fonction de hachage garantit non seulement la détection des modifications accidentelles de fichiers ou des modifications causées par des virus, mais rend également impossible la modification délibérée et silencieuse des données sur le disque.

Auditeur ADinf32 est une application multithread 32 bits pour les systèmes d'exploitation Windows 95/98 et Windows NT avec une interface utilisateur moderne. Cette version du programme présente non seulement tous les avantages des autres options, mais contient également de nombreuses nouveautés par rapport à celles-ci.

Il est à noter que le programme Adinf est bien intégré avec les autres programmes du kit DSAV de Dialog-Science. Par exemple, Adinf crée une liste des fichiers nouveaux et modifiés sur le disque, tandis qu'Aidstest et DrWeb peuvent vérifier les fichiers de cette liste, ce qui réduit considérablement le temps d'exécution de ces programmes.

(Boîte à outils antivirale Pro)

Ce programme a été créé par ZAO Kaspersky Lab. AVP possède l'un des mécanismes de détection de virus les plus avancés. Aujourd'hui, AVP n'est pratiquement en rien inférieur à ses homologues occidentaux.

AVP offre aux utilisateurs un service maximal - la possibilité de mettre à jour les bases de données antivirus via Internet, la possibilité de définir des paramètres pour l'analyse et la désinfection automatiques des fichiers infectés. Des mises à jour sur le site Web d'AVP apparaissent presque chaque semaine et la base de données comprend des descriptions pour près de 40 000 virus.

AVP se compose de plusieurs modules importants :

1)AVP scanner analyse les disques durs à la recherche de virus. Vous pouvez définir une recherche complète, dans laquelle le programme vérifiera tous les fichiers d'affilée, et également définir le mode de vérification des fichiers archivés. L'un des principaux avantages d'AVP est la lutte contre les macro virus. L'utilisateur peut sélectionner un mode spécial dans lequel les documents créés au format Microsoft Office seront numérisés. Après avoir détecté des virus ou des fichiers infectés, AVP propose plusieurs options parmi lesquelles choisir : supprimer les virus des fichiers, supprimer les fichiers infectés eux-mêmes ou les déplacer vers un dossier spécial.

2)Moniteur AVP . Ce programme est automatiquement chargé au démarrage de Windows. AVP Monitor vérifie automatiquement tous les fichiers lancés sur l'ordinateur et les documents ouverts, et en cas d'attaque de virus, il en informe l'utilisateur. De plus, dans la plupart des cas, AVP Monitor empêche simplement le démarrage du fichier infecté, bloquant son exécution. Cette fonctionnalité du programme est très utile pour ceux qui traitent constamment beaucoup de nouveaux fichiers, par exemple, pour les internautes actifs (puisqu'il est impossible d'exécuter AVP toutes les cinq minutes pour vérifier les fichiers téléchargés, AVP Monitor vient à la rescousse ici ).

3)Inspecteur AVP - le dernier et très important module du kit AVP, qui vous permet d'attraper même des virus inconnus. "Inspector" utilise une méthode pour contrôler les changements de taille de fichier. En s'infiltrant dans un fichier, le virus augmente inévitablement son volume, et « l'inspecteur » le détecte facilement.

En plus de tout ce qui précède, il existe un soi-disant Centre de contrôle AVP – « panneau de contrôle » pour tous les programmes du complexe AVP. La fonction la plus importante de ce programme est le planificateur de tâches intégré, qui vous permet de vérifier rapidement (et, si nécessaire, de guérir le système) en mode automatique, sans intervention de l'utilisateur, mais à l'heure spécifiée par lui.

Si à l'aube du développement de la technologie informatique, le principal canal de propagation des virus était l'échange de fichiers de programme via des disquettes, aujourd'hui la paume appartient au courrier électronique. Chaque jour, des millions et des millions de messages sont transmis par ses canaux, et nombre de ces messages sont infectés par des virus.

Malheureusement, les pièces jointes envoyées avec les messages électroniques peuvent également être extrêmement nocives pour la santé de votre ordinateur. Quel est le danger des fichiers joints ? En tant que tel fichier, l'utilisateur peut recevoir un virus ou un cheval de Troie ou un document au format Microsoft Office (*.doc, *.xls) infecté par un virus informatique. En exécutant le programme reçu pour exécution ou en ouvrant un document pour le visualiser, l'utilisateur peut initier un virus ou installer un programme cheval de Troie sur son ordinateur. De plus, en raison de paramètres incorrects du programme de messagerie ou d'erreurs dans celui-ci, les fichiers joints peuvent s'ouvrir automatiquement lors de la visualisation du contenu des lettres reçues. Dans ce cas, si aucune mesure de protection n'est prise, la pénétration de virus ou d'autres malwareà votre ordinateur est une question de temps.

Il peut y avoir d'autres tentatives de pénétrer dans l'ordinateur par e-mail. Par exemple, ils peuvent envoyer un message sous la forme d'un document HTML contenant un contrôle ActiveX de cheval de Troie intégré. En ouvrant un tel message, vous pouvez télécharger cet élément sur votre ordinateur, après quoi il commencera immédiatement à faire son travail.

En plus des mesures purement administratives, des logiciels antivirus spéciaux (antivirus) doivent être utilisés pour lutter contre les virus et autres programmes malveillants.

Pour vous protéger contre les virus qui se propagent par e-mail, vous pouvez installer des antivirus sur les ordinateurs de l'expéditeur et du destinataire. Cependant, cette protection est souvent insuffisante. Les antivirus classiques installés sur les ordinateurs des internautes sont conçus pour scanner les fichiers et ne sont pas toujours capables d'analyser le flux de données des e-mails. Si l'antivirus n'analyse pas automatiquement tous les fichiers ouverts, un virus ou un cheval de Troie peut facilement s'infiltrer à travers la protection sur le disque de l'ordinateur.

De plus, l'efficacité des antivirus dépend beaucoup du respect des règles d'utilisation : il est nécessaire de mettre à jour périodiquement la base antivirus, d'utiliser les bons paramètres du scanner antivirus, etc. Malheureusement, de nombreux propriétaires d'ordinateurs ne savent pas utiliser correctement les antivirus ou ne mettent pas à jour la base de données antivirus, ce qui entraîne inévitablement une infection virale.

Comprenant l'urgence du problème de la propagation des virus par e-mail, de nombreuses entreprises proposent des programmes antivirus spéciaux pour protéger les serveurs de messagerie. Ces antivirus analysent le flux de données passant par le serveur de messagerie, empêchant la transmission de messages avec des fichiers joints infectés. Il existe une autre solution - se connecter aux serveurs de messagerie avec des antivirus conventionnels conçus pour analyser les fichiers.

La protection antivirus des serveurs de messagerie SMTP et POP3 est beaucoup plus efficace que la protection antivirus des ordinateurs des utilisateurs. En règle générale, un administrateur expérimenté est responsable de la configuration des antivirus sur le serveur, qui ne se trompera pas lors de la configuration et, de plus, activera le mode de mise à jour automatique de la base de données via Internet. Les utilisateurs de serveurs SMTP et POP3 sécurisés n'ont pas à se soucier du canal principal de distribution des virus - ils recevront des messages qui ont déjà été nettoyés des virus.

Les actions entreprises par les serveurs de messagerie lors de l'envoi et de la réception de messages infectés dépendent des paramètres de l'antivirus et du serveur de messagerie lui-même. Par exemple, lorsqu'un expéditeur essaie d'envoyer un message contenant un fichier infecté, le serveur de messagerie SMTP sécurisé le refuse et l'expéditeur affiche un message d'avertissement.

Si quelqu'un vous envoie un e-mail avec une pièce jointe infectée, alors lors de l'utilisation d'un serveur POP3 sécurisé, seul un message concernant la détection d'un virus sera reçu à la place.

Malgré la popularité croissante de la plate-forme Microsoft Windows, la plupart des serveurs Internet exécutent aujourd'hui Linux, FreeBSD et des systèmes d'exploitation similaires à UNIX. Le principal avantage de Linux est le très faible coût d'acquisition. N'importe qui peut télécharger une distribution Linux sur Internet et l'installer sur n'importe quel nombre d'ordinateurs. Cette distribution contient tout ce dont vous avez besoin pour créer un site Internet, y compris les serveurs de messagerie.

Les autres avantages de Linux et des systèmes d'exploitation similaires incluent l'ouverture, la disponibilité des codes sources, la présence d'une immense communauté de développeurs bénévoles prêts à aider dans les situations difficiles, un contrôle à distance simple à l'aide d'une console texte, etc. Pour le système d'exploitation de cette série, seules quelques dizaines de virus ont été créés, ce qui indique sa haute sécurité.

Pour protéger les serveurs de messagerie exécutant les systèmes d'exploitation Linux, FreeBSD et Solaris, vous pouvez utiliser avec succès le programme antivirus Doctor Web d'Igor Danilov. Le kit antivirus comprend programme démon DrWebD et programme de numérisation DrWeb, ainsi que des solutions d'intégration avec les systèmes de messagerie : CommuniGate Pro, Sendmail, Qmail, Exim, Postfix.

Le démon DrWebD a une interface documentée ouverte et peut être utilisé dans presque tous les systèmes de traitement de données en tant que filtre antivirus externe plug-in. Les textes open source de certains composants d'intégration vous permettent d'auditer, de modifier les composants d'interface pour mieux répondre aux exigences du développeur. De plus, ces codes sources peuvent servir d'exemple pour écrire vos propres composants d'intégration. Lors de son fonctionnement, le démon DrWebD vérifie automatiquement tous les e-mails transitant par le serveur. Cela analyse les fichiers joints (même ceux compressés), ainsi que tous les objets intégrés dans les documents.

Lorsqu'un virus est détecté dans un message électronique, le corps du virus est supprimé et déplacé vers la zone de "quarantaine", après quoi une notification est envoyée au destinataire du message et à l'administrateur du serveur. Ainsi, les utilisateurs de Sendmail seront protégés de manière fiable contre les programmes malveillants qui se propagent par e-mail. Un mécanisme d'interaction similaire est fourni pour d'autres serveurs de messagerie.

Doctor Web télécharge automatiquement les mises à jour de la base antivirus via Internet, ce qui est nécessaire pour une protection antivirus fiable.

En plus de l'analyse antivirus, le démon peut filtrer les messages en fonction du contenu de divers champs d'en-tête, qui peuvent être utilisés pour se protéger contre les envois non autorisés - spam.

L'un des avantages incontestables du programme est la haute performance du démon DrWebD et du scanner DrWeb, obtenue grâce à l'utilisation d'algorithmes avancés. Ceci est particulièrement important si le serveur a peu de puissance de traitement. De plus, le démon, le filtre de messagerie et le serveur de messagerie peuvent s'exécuter sur des ordinateurs différents, ce qui vous permet d'équilibrer la charge sur les serveurs et les interfaces réseau si nécessaire.

Kaspersky Anti-Virus (AVP) pour Sendmail/Qmail/Postfix a été créé spécifiquement pour protéger les systèmes de messagerie. Effectuant un filtrage centralisé en temps réel ou à la demande de tous les messages transitant par le serveur de messagerie, ce programme supprime les virus des e-mails avant qu'ils n'atteignent le destinataire.

Si des virus sont trouvés dans les fichiers joints, le programme les supprime et transmet le message lui-même, ainsi qu'un avertissement concernant la détection d'un virus, à une adresse prédéterminée. Cela permet à l'administrateur de déterminer la source des virus ou autres logiciels malveillants. Le programme implémente la fonction "quarantaine" pour les objets infectés et suspects. Kaspersky Anti-Virus peut analyser non seulement les pièces jointes, mais également les objets intégrés dans les documents, les archives compressées de fichiers de tous les principaux formats, ainsi que le contenu des pièces jointes dans les messages électroniques de tout niveau d'imbrication.

Parmi les autres avantages du programme, il convient de mentionner la possibilité de vérifier les dossiers privés et publics, mise à jour automatique bases de données antivirus via Internet, modification de la liste des boîtes aux lettres protégées sans redémarrage du serveur, système intégré d'envoi d'avertissements sur les attaques de virus, ainsi qu'un système pratique de gestion, de mise à jour et de configuration du programme.

O conclusion.

Dans l'abstrait, les principaux programmes antivirus nationaux ont été considérés, chacun ayant ses inconvénients et ses avantages. À mon avis, de tous les programmes nationaux examinés ici, ADinf et DrWeb sont les systèmes antivirus les plus complets, logiquement complets. Tous les programmes sont constamment améliorés et mis à jour. La société "Dialogue-Science" informe en permanence ses clients de tous les nouveaux produits qui apparaissent dans son arsenal. Pour connaître les nouveautés et les développements, il suffit de se rendre sur le site Internet de l'entreprise. "Dialogue-Science" offre à ses clients le service maximal : sur le site, vous pouvez obtenir une version d'essai de n'importe quel programme (qui, bien sûr, présente certaines limitations par rapport à un programme commercial entièrement fonctionnel), et gratuitement. L'un des mécanismes de détection de virus les plus avancés est le programme AVP, créé par ZAO Kaspersky Lab. Le principal avantage de ce programme est la lutte contre les virus de macro. Le programme AVSP a un fort potentiel, qui, avec un raffinement approprié (simplification des algorithmes de recherche de virus Stealth, introduction d'une protection de bas niveau, amélioration de l'interface), peut prendre des positions élevées dans l'environnement antivirus. Il convient de tenir compte du fait que certains programmes antivirus sont bien intégrés les uns aux autres, c'est-à-dire qu'ils peuvent être utilisés ensemble (par exemple, les programmes ADinf, Adinf Cure Module, DrWeb et Aidstest).