й особливості електронної пошти і функції автоматичного запуску, що необхідні для поширення вірусу. Інший вірус використовує для свого поширення протокол FTP (File Trabsfer Protocol) і передає свою копію на віддалений FTP-сервер у каталог Incoming. Оскільки мережний протокол FTP виключає можливість запуску файла на віддаленому сервері, цей вірус можна охарактеризувати, як “наполовину мережний“, проте це реальний приклад можливостей вірусів по використанні сучасних мережних протоколів і поразки систем захисту глобальних мереж. Можливі, звісно ж, існують інші засоби проникнення вірусів у сучасні мережі.
Існує велика кількість когломератів вірусів - наприклад, файлові завантажувальні віруси, що інфікують, як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і поліморфік-технології. Інший приклад такого сполучення - мережний макро-вірус, що не тільки інфікує редаговані документи, але і розсилає свої копії по електронній пошті.
Деструктивні можливості вірусів.
По деструктивних можливостях віруси можна розділити на:
нешкідливі не впливають на роботу комп'ютера, окрім зменшення вільної пам'яті на диску в результаті свого поширення;
безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й іншими ефектами;
небезпечні віруси, що можуть призвести до серйозних збоїв у роботі комп'ютера;
дуже небезпечні, в алгоритм роботи яких явно закладені процедури, який можуть призвести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію.
Ефекти, які викликають віруси в процесі реалізації цільових функцій, прийнято ділити на наступні групи:
спотворення інформації в файлах або таблиці розміщення файлів;
імітація збоїв апаратних засобів;
створення звукових і візуальних ефектів, таких, наприклад, як відображення повідомлень, які вводять оператора в оману або ускладнюють роботу;
ініціювання помилок в програмах користувачів або операційної системи.
Але навіть якщо в алгоритмі вірусу не передбачено дій, що завдають шкоди системі, цей вірус не можна з повною впевненістю назвати нешкідливим, тому що його проникнення в комп'ютер може викликати непередбачені і часом катастрофічні наслідки. Адже вірус, як і всяка програма, має помилки, у результаті яких можуть бути зіпсовані, як файли, так і сектори дисків. Дотепер трапляються віруси, що визначають “COM або EXE“ не по внутрішньому форматі файла, а по його розширенню. Природно, що при розбіжності формату і розширення імені файл після інфікація надається непридатним. Можливо також “заклинювання“ резидентного вірусу і системи при використанні нових версій DOS, при роботі в Windows або з іншими потужними програмними системами.
Засоби боротьби з вірусами.
Найрозповсюдженішими засобами нейтралізації вірусів є використання програмних антивірусів. Антивіруси, виходячи із реалізованого в них підходу до виявлення і нейтралізації вірусів, прийнято ділити на наступні групи: детектори, фаги, вакцини, прививки, ревізори і монітори.
Детектори виявляють віруси засобами перегляду виконуваних файлів і пошуку, так званих сигнатур - стійкої послідовності байтів, які містяться в тілах відомих вірусів. Наявність сигнатури в будь-якому файлі свідчить про його інфікацію відповідним вірусом. Антивірус, який забезпечує можливість пошуку різних сигнатур, називають полідетектором.
Фаги виконують функції детекторів але, крім того, “виліковують” інфіковані програми шляхом “викушування” (“пожирання”) вірусів із тіл програм. По аналогії з полідетекторами, фаги, орієнтовані на нейтралізацію різних вірусів, називають поліфагами.
На відміну від детекторів і фагів, вакцини, по своєму принципу дії нагадують самі віруси. Вакцина імплантується в програму, яка підлягає захисту, і запам’ятовує ряд кількісних і структурних характеристик останньої. Якщо вакцинована програма не була до моменту вакцинації інфікованою, то при першому ж запуску після інфікації відбудеться наступне. Активізація вірусоносія приведе до отримання управління вірусом, який, виконавши свої цільові функції, передасть управління вакцинованій програмі. В останній, в свою чергу спочатку управління отримає вакцина, яка виконає перевірку відповідності характеристик, які були збережені, з аналогічними характеристиками, що були отримані на даний момент. Якщо вказані набори не співпадають, тоді робиться висновок про зміну вакцинованої програми вірусом. Характеристиками, які використовують вакцини для контролю, можуть бути довжина програми, її контрольна сума та інші показники.
Принцип дії щеплень базується на врахуванні тієї обставини, що всякий вірус, як правило, помічає інфіковану програму якоюсь ознакою, для того, щоб не виконувати повторна інфікація. В іншому випадку мала би місце багатократна інфікація, яка супроводжувалася б суттєвим, а тому легко помітним збільшенням обсягів програми. Щеплення, не вносячи ніяких інших змін в текст захищеної програми, помічає її тією ж ознакою що і вірус, який, таким чином, після активізації і перевірки наявності вказаної ознаки, вважає її інфікованою і “залишає в спокої”.
Ревізори відслідковують стан файлової системи, використовуючи для цього підхід, аналогічний реалізованому в вакцинах. Програма - ревізор в процесі власного функціонування виконує відносно кожного виконуваного файлу порівняння його поточних характеристик з аналогічними характеристиками, отриманими в ході попереднього перегляду файлів. Якщо виявиться, що у відповідності з системною інформацією файл з моменту попереднього перегляду не обновлявся користувачем, а порівняльні набори характеристик не співпадають, то файл вважається інфікованим. Характеристики виконуваних файлів, що отримані в ході чергового перегляду, запам’ятовуються в окремому файлі (файлах), в зв’язку з чим зміна довжин виконуваних файлів, що може відбуватися лише при вакцинації, в даному випадку не проходить. Інша відмінність ревізорів від вакцин полягає в тому, що кожен перегляд виконуваних файлів ревізором вимагає його повторного запуску.
Монітор є резидентною програмою, яка забезпечує перехоплення потенційно небезпечних переривань, характерних для вірусів, і перепитує у користувачів підтвердження на виконання операцій, що слідують за перериванням. При забороні або відсутності підтвердження монітор блокує виконання користувацької програми.
Антивіруси розглянутих типів значно