Virus residentes: como é e como destruílo. Virus informáticos

A maioría dos usuarios experimentaron o concepto de virus informáticos. Verdade, moitas persoas non saben que a clasificación das ameazas no seu núcleo consta de dúas grandes categorías: virus non residentes e residentes. Pararémonos na segunda clase, porque son os seus representantes os máis perigosos e ás veces inútiles, mesmo cando se formatean o disco ou a partición lóxica.

Cales son os virus residentes?

Entón, que ten que tratar o usuario? Para unha explicación simplificada da estrutura e os principios do funcionamento destes virus, cómpre comezar cunha explicación do que é un programa residente.

Crese que este tipo de programas inclúen aplicacións que se executan continuamente no modo de monitorización, que non mostran explícitamente as súas accións (por exemplo, os mesmos escáneres antivirus normais). En canto ás ameazas que penetran nos sistemas informáticos, non só se colgan constantemente na memoria da computadora, senón que crean os seus propios duplicados. Deste xeito, as copias de virus monitorizan constantemente o sistema e móvense, o que fai que sexa moi difícil atopalos. Algunhas ameazas tamén son capaces de cambiar a súa propia estrutura e a súa detección baseada en métodos comúns faise prácticamente imposible. Un pouco máis tarde, veremos como se librar de virus deste tipo. Mentres tanto, debemos insistir nos principais tipos de ameazas de residentes.

DOS ameazas

Inicialmente, cando os sistemas de Windows ou UNIX aínda non estaban alí e a comunicación do usuario coa computadora ocorreu a nivel do comando, apareceu o sistema operativo "DOS" que durou moito tempo no auxe de popularidade.

E foi para estes sistemas que os virus non residentes e residentes comezaron a ser creados, cuxas accións foron dirixidas por primeira vez a romper o desempeño do sistema ou eliminar arquivos e carpetas de usuarios.

O principio de tales ameazas, que, por certo, é amplamente utilizado ata agora, é que interceptan os accesos de ficheiros e infectan o obxecto chamado. Non obstante, a maioría das ameazas coñecidas hoxe traballan neste tipo. Pero os virus penetran no sistema creando un módulo residente baixo a forma dun controlador, que se especifica no ficheiro de configuración do sistema Config.sys ou a través dunha función KEEP especial para monitorear interrupcións.

A situación é peor cando os virus residentes deste tipo usan a asignación de áreas de memoria do sistema. A situación é que primeiro o virus "corta" unha peza de memoria libre, entón marca esta área como ocupada e, a continuación, mantén a súa propia copia nela. O que é máis triste, hai casos nos que as copias están situadas na memoria de vídeo, en áreas reservadas para o portarretallos e nas táboas de vectores de interrupción e nos espazos de traballo de DOS.

Todo iso fai que as copias das ameazas de virus sexan tan tenaces que, a diferenza dos virus non residentes que funcionan mentres un determinado programa está en execución ou o sistema operativo está en funcionamento, pódense activar de novo mesmo despois dun reinicio. Ademais, ao acceder a un obxecto infectado, o virus pode crear a súa propia copia incluso na memoria RAM. Como consecuencia, a computadora colga de inmediato . Como xa se entendeu, o tratamento de virus deste tipo debería realizarse coa axuda de escáneres especiais, preferentemente non estacionarios, pero portátiles ou aqueles que son capaces de ser cargados desde discos ópticos ou portadores USB. Pero máis sobre isto máis tarde.

Ameazas de arrinque

Os virus de inicio penetran no sistema dunha forma similar. Pero se comportan, como din, delicadamente, primeiro "comendo" unha peza de memoria do sistema (normalmente 1 KB, pero ás veces esta cifra pode chegar a un máximo de 30 KB), logo rexistra o seu propio código como copia, despois do cal comeza a esixir un reinicio. Isto está cheo de consecuencias negativas, xa que despois de reiniciar o virus restaurarase a memoria reducida ao tamaño orixinal, ea súa copia está fóra da memoria do sistema.

Ademais das interrupcións de monitorización, estes virus poden prescribir os seus propios códigos no sector de arranque (rexistro MBR). As intercepcións BIOS e DOS úsanse con menos frecuencia, e os virus só se descargan unha vez, sen comprobar a presenza dunha copia dela.

Virus baixo Windows

Coa chegada de sistemas baseados en Windows, o desenvolvemento de virus alcanzou un novo nivel, desgraciadamente. Hoxe é Windows de calquera versión que se considere o sistema máis vulnerable, a pesar dos esforzos realizados por especialistas en Microsoft no desenvolvemento de módulos de seguridade.

Os virus deseñados para Windows, funcionan en principios similares aos DOS-threats, pero hai moitas máis formas de penetrar na computadora. Dos máis comúns, hai tres principais, segundo o cal o virus pode prescribir o seu propio código no sistema:

• Rexistro do virus como unha aplicación actualmente en execución;
• Asignación do bloque de memoria e gravar nela copia propia;
• Traballa no sistema baixo o disfrace de un controlador VxD ou disfrazado como controlador de Windows NT.

Os arquivos infectados ou áreas de memoria do sistema, en principio, pódense curar mediante métodos estándar que se usan nos escáneres antivirus (detección por máscara de virus, comparación con bases de datos de sinatura, etc.). Non obstante, se se usan programas gratuítos sen pretensións, non poden detectar o virus e, ás veces, mesmo danlle un disparador falso. Polo tanto, o raio usa utilidades portátiles como Doctor Web (en particular, Dr. Web CureIt!) Ou produtos de Kaspersky Lab. Non obstante, hoxe podes atopar unha gran cantidade de utilidades deste tipo.

Macro virus

Ante nós é outro tipo de ameaza. O nome provén da palabra "macro", é dicir, a applet ou complemento executable que se usa nalgúns editores. Non é sorprendente que o virus se inicie cando se inicie o programa (Word, Excel, etc.), abrindo un documento de oficina, imprimilo, chamando elementos de menú, etc.

Estas ameazas en forma de macros de sistema están en memoria durante toda a duración do traballo do editor. Pero, en xeral, se temos en conta a cuestión de como desfacerse de virus deste tipo, a solución é bastante sinxela. Nalgúns casos, incluso as deshabilitacións habituais dos complementos ou a execución de macros no propio editor axúdanos, así como o uso de protección antivirus para as miniaplicacións, sen mencionar o habitual escaneo rápido do sistema por paquetes antivirus.

Virus baseados na tecnoloxía stealth

Agora vexamos enmascarar virus porque recibiron o seu nome de forma consciente a partir dun avión invisible.

A esencia do seu funcionamento é precisamente que pretenden ser un compoñente do sistema, e definilos polos métodos habituais ás veces é un asunto bastante complicado. Entre tales ameazas pódense atopar e virus macros, e ameazas de arrinque e virus DOS. Crese que para Windows, os virus de stealth aínda non están desenvolvidos, aínda que moitos expertos din que é só cuestión de tempo.

Tipos de ficheiros

En xeral, todos os virus poden chamarse sistemas de ficheiros, porque afectan de algunha maneira o sistema de ficheiros e afectan os ficheiros, infectándoos co seu propio código, xa sexan encriptados ou facelos inaccesibles debido a corrupción ou eliminación.

Os exemplos máis sinxelos son os virus criptográficos modernos (extorsionistas), así como o notorio I Love You. Con eles sen claves especiais de descifrado, o tratamento de virus non é algo difícil, pero moitas veces imposible. Mesmo os principais desenvolvedores de software antivirus son criados impotentes, porque, a diferenza dos modernos sistemas de cifrado AES256, úsase aquí a tecnoloxía AES1024. Vostede entende que a decodificación pode levar máis dunha ducia de anos, en función do número de opcións posibles para a clave.

Ameazas polimórficas

Finalmente, outro tipo de ameaza, no que se aplica o fenómeno do polimorfismo. ¿Que consiste? O feito de que os virus cambien constantemente o seu propio código, e isto faise en base á chamada chave flotante.

Noutras palabras, non se pode definir unha ameaza por máscara, porque, como podes ver, non só se modifica a súa estrutura baseada en código, senón tamén a clave para descifrar. Para afrontar estes problemas, úsanse decodificadores polimórficos especiais (decrypters). Non obstante, como mostra a práctica, só poden descifrar os virus máis sinxelos. Algoritmos máis complexos, por desgraza, na maioría dos casos, os seus efectos non son susceptibles. Separadamente, hai que dicir que cambiar o código destes virus acompaña á creación de copias de lonxitude reducida, que poden diferir bastante do orixinal.

Como xestionar ameazas de residentes

Finalmente, volvemos á cuestión de xestionar os virus residentes e protexer os sistemas informáticos de calquera complexidade. O método máis sinxelo de protección é a instalación dun paquete de antivirus de gran alcance, só non usar programas gratuitos, senón polo menos versións de proba de desarrolladores como Doctor Web, Kaspersky Anti-Virus, ESET NOD32 ou programas como Smart Security, Se o usuario está a traballar constantemente con Internet.

Non obstante, neste caso, ninguén é inmune ao feito de que a ameaza non penetre na computadora. Se é o caso, primeiro cómpre usar escáneres portátiles e usar mellor os discos de Rescue Disk. Coa súa axuda, pode descargar a interface do programa e analizar antes do inicio do sistema operativo principal (os virus poden crear e almacenar as súas propias copias no sistema e mesmo en memoria RAM).

E máis: non se recomenda utilizar software como SpyHunter, e entón será problemático desfacerse do propio paquete e os seus compoñentes que o acompañan ao usuario non iniciado. E, por suposto, non elimine inmediatamente os ficheiros infectados ou intente formatear o disco duro. Mellor deixar o tratamento a produtos antivirus profesionais.

Conclusión

Queda por engadir que só se consideran os aspectos principais sobre os virus residentes e os métodos de combate. Despois de todo, se ollar para as ameazas informáticas, por así dicilo, nun sentido global, todos os días hai un gran número deles que os desenvolvedores de ferramentas de seguridade simplemente non teñen tempo de buscar novos métodos para combater tales infortunios.