Principe de fonctionnement de la classification antivirus. Examen des programmes antivirus pour les utilisateurs personnels. Analyse de la somme de contrôle

Programme antivirus (antivirus) - un programme d'identification et de suppression virus informatiques et d'autres malware, empêchant leur propagation, ainsi que la restauration des programmes infectés par eux.

Les principales tâches des programmes antivirus modernes :

• - Analysez les fichiers et les programmes en temps réel.
• - Analysez votre ordinateur à la demande.
• - Analyse du trafic Internet.
• - Scannez les e-mails.
• -- Protection contre les attaques de sites Web dangereux.
• -- Récupération de fichiers endommagés (traitement).

Classification des programmes antivirus :

• · programmes de détection assurer la recherche et la détection de virus dans mémoire viveà la fois sur des supports externes et lorsqu'ils sont détectés, ils émettent un message correspondant. On distingue les détecteurs :
  • 1. universel - ils utilisent dans leur travail pour vérifier l'immuabilité des fichiers en comptant et en comparant avec une norme de somme de contrôle
  • 2. spécialisé- rechercher des virus connus par leur signature (une section de code répétée). L’inconvénient de ces détecteurs est qu’ils sont incapables de détecter tous les virus connus.

Un détecteur capable de détecter plusieurs virus est appelé polydétecteur. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

• · Programmes de docteur (phages) non seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimez le corps du programme antivirus du fichier, renvoyant les fichiers à l'état initial. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire un grand nombre de virus. Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières de leurs versions sont nécessaires.
• · Programmes d'audit sont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, les états sont comparés immédiatement après le chargement système opérateur. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés.
• · Programmes de filtrage (gardiens) sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :
  • 1. tente de corriger les fichiers avec les extensions COM et EXE ;
  • 2. modification des attributs du fichier ;
  • 3. enregistrement direct sur disque à une adresse absolue ;
  • 4. écrire sur les secteurs de démarrage du disque ;

Programmes de vaccination (immunisateurs)- Ce sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Un inconvénient majeur de ces programmes est leur capacité limitée à prévenir l'infection par un grand nombre de virus différents.

Fonctions des programmes antivirus

Protection antivirus en temps réel

La plupart des programmes antivirus offrent une protection en temps réel. Cela signifie que le programme antivirus protège votre ordinateur de toutes les menaces entrantes chaque seconde. Par conséquent, même si aucun virus n’a infecté votre ordinateur, vous devriez envisager d’installer un programme antivirus avec protection en temps réel pour empêcher la propagation de l’infection.

Détection des menaces

Les programmes antivirus peuvent analyser l’intégralité de votre ordinateur à la recherche de virus. Les zones les plus vulnérables sont scannées en premier, dossiers système, RAM. Vous pouvez également choisir vous-même les secteurs à scanner ou choisir, par exemple, de vérifier un secteur spécifique. disque dur. Cependant, tous les programmes antivirus ne sont pas identiques dans leurs algorithmes et certains programmes antivirus ont un taux de détection plus élevé que d’autres.

Mises à jour automatiques

De nouveaux virus sont créés et apparaissent chaque jour. Il est donc extrêmement important que les programmes antivirus soient capables de mettre à jour les bases de données antivirus (une liste de tous les virus connus, anciens et nouveaux). Mise à jour automatique est nécessaire car un antivirus obsolète ne peut pas détecter les nouveaux virus et menaces. De plus, si votre programme antivirus propose uniquement des mises à jour manuelles, vous risquez d'oublier de mettre à jour vos définitions antivirus et votre ordinateur risque d'être infecté par un nouveau virus. Essayez de choisir un antivirus avec des mises à jour automatiques.

Alertes

L'antivirus vous avertira lorsqu'un programme tentera d'accéder à votre ordinateur. Un exemple est celui des applications Internet. De nombreux programmes qui tentent d'accéder à votre PC sont inoffensifs ou vous les avez téléchargés volontairement et les programmes antivirus vous donnent donc la possibilité de décider vous-même d'autoriser ou de bloquer leur installation ou leur fonctionnement.

INTRODUCTION

Nous vivons au tournant de deux millénaires, alors que l’humanité est entrée dans l’ère d’une nouvelle révolution scientifique et technologique.

À la fin du XXe siècle, les gens maîtrisaient de nombreux secrets de la transformation de la matière et de l’énergie et étaient capables d’utiliser ces connaissances pour améliorer leur vie. Mais outre la matière et l'énergie, un autre élément joue un rôle important dans la vie humaine : l'information. Il s'agit d'une grande variété d'informations, de messages, d'actualités, de connaissances, de compétences.

Au milieu de notre siècle, des appareils spéciaux sont apparus - des ordinateurs, axés sur le stockage et la conversion d'informations, et la révolution informatique a eu lieu.

Utilisation massive aujourd'hui Ordinateur personnel, malheureusement, s'est avéré être associé à l'émergence de programmes antivirus auto-réplicatifs qui empêchent fonctionnement normal ordinateur, détruisant la structure des fichiers des disques et endommageant les informations stockées sur l'ordinateur.

Malgré les lois adoptées dans de nombreux pays pour lutter contre la criminalité informatique et le développement de logiciel protection contre les virus, le nombre de nouveaux virus logiciels ne cesse de croître. Cela nécessite que l'utilisateur d'un ordinateur personnel connaisse la nature des virus, les méthodes d'infection par les virus et la protection contre ceux-ci. C’est ce qui m’a motivé à choisir le sujet de mon travail.

C'est exactement ce dont je parle dans mon essai. Je montre les principaux types de virus, considère leurs schémas de fonctionnement, les raisons de leur apparition et les moyens de pénétrer dans un ordinateur, et propose également des mesures de protection et de prévention.

Le but du travail est de familiariser l'utilisateur avec les bases de la virologie informatique, d'apprendre à détecter les virus et à les combattre. Méthode de travail - analyse des publications imprimées sur ce sujet. J'ai été confronté à une tâche difficile : parler de quelque chose qui a été très peu étudié, et comment cela s'est avéré, c'est à vous de juger.

1. VIRUS INFORMATIQUES ET LEURS PROPRIÉTÉS ET CLASSEMENT

1.1. Propriétés des virus informatiques

De nos jours, on utilise des ordinateurs personnels dans lesquels l'utilisateur a libre accès à toutes les ressources de la machine. C’est ce qui a ouvert la possibilité d’un danger connu sous le nom de virus informatique.

Qu'est-ce qu'un virus informatique ? Une définition formelle de ce concept n'a pas encore été inventée, et il existe de sérieux doutes quant à sa possibilité de la donner. De nombreuses tentatives visant à fournir une définition « moderne » du virus ont échoué. Pour avoir une idée de la complexité du problème, essayons par exemple de définir la notion d'« éditeur ». Soit vous proposerez quelque chose de très général, soit vous commencerez à tout énumérer. types connuséditeurs. Les deux peuvent difficilement être considérés comme acceptables. Par conséquent, nous nous limiterons à considérer certaines propriétés des virus informatiques qui nous permettent d'en parler comme d'une certaine classe de programmes.

Tout d’abord, un virus est un programme. Une déclaration aussi simple peut à elle seule dissiper de nombreuses légendes sur les capacités extraordinaires des virus informatiques. Un virus peut retourner l’image sur votre moniteur, mais il ne peut pas retourner le moniteur lui-même. Les légendes selon lesquelles des virus tueurs « détruisent les opérateurs en affichant une palette de couleurs mortelles sur l'écran dans la 25e image » ne doivent pas non plus être prises au sérieux. Malheureusement, certaines publications réputées publient de temps en temps « les dernières nouvelles du secteur informatique », qui, après un examen plus approfondi, s'avèrent être le résultat d'une compréhension pas tout à fait claire du sujet.

Un virus est un programme qui a la capacité de se reproduire. Cette capacité est le seul moyen inhérent à tous les types de virus. Mais les virus ne sont pas les seuls à pouvoir s’auto-répliquer. Tout système d'exploitation et de nombreux autres programmes sont capables de créer leurs propres copies. Non seulement les copies du virus ne doivent pas nécessairement coïncider complètement avec l’original, mais elles peuvent même ne pas coïncider du tout avec celui-ci !

Un virus ne peut pas exister dans un « isolement complet » : il est aujourd'hui impossible d'imaginer un virus qui n'utilise pas le code d'autres programmes, les informations sur structure du fichier ou même simplement les noms d'autres programmes. La raison est claire : le virus doit d’une manière ou d’une autre garantir que le contrôle lui est transféré.

1.2. Classification des virus

Actuellement, plus de 5 000 virus logiciels sont connus, ils peuvent être classés selon les critères suivants :

habitat

¨ méthode de contamination de l'habitat

influence

¨ caractéristiques de l'algorithme

Selon leur habitat, les virus peuvent être divisés en virus de réseau, de fichier, de démarrage et de démarrage de fichier. Virus de réseau répartis sur différents réseaux informatiques. Les virus de fichiers sont principalement intégrés dans des modules exécutables, c'est-à-dire dans des fichiers portant les extensions COM et EXE. Virus de fichiers peuvent être intégrés dans d'autres types de fichiers, mais, en règle générale, écrits dans de tels fichiers, ils ne reçoivent jamais de contrôle et perdent donc la capacité de se reproduire. Virus de démarrage sont intégrés dans le secteur de démarrage du disque (Boot sector) ou dans le secteur contenant le programme de démarrage du disque système (Master Boot Re-

corde). Démarrage de fichier Les virus infectent à la fois les fichiers et les secteurs de démarrage des disques.

Sur la base de la méthode d'infection, les virus sont divisés en résidents et non-résidents. Virus résident lorsqu’un ordinateur est infecté (infecté), il laisse sa partie résidente dans la RAM, qui intercepte alors l’accès du système d’exploitation aux objets d’infection (fichiers, secteurs de démarrage du disque, etc.) et s’y injecte. Les virus résidents résident en mémoire et sont actifs jusqu'à ce que l'ordinateur soit éteint ou redémarré. Virus non résidents n’infectent pas la mémoire de l’ordinateur et sont actifs pendant une durée limitée.

En fonction du degré d'impact, les virus peuvent être divisés dans les types suivants :

¨ non dangereux, qui n'interfèrent pas avec le fonctionnement de l'ordinateur, mais réduisent la quantité de RAM libre et de mémoire disque, les actions de ces virus se manifestent par certains effets graphiques ou sonores

¨ dangereux virus pouvant entraîner divers problèmes avec votre ordinateur

¨ très dangereux, dont l'impact peut entraîner la perte de programmes, la destruction de données et l'effacement d'informations dans les zones système du disque.

2. PRINCIPAUX TYPES DE VIRUS ET LEUR SCHÉMA DE FONCTIONNEMENT

Parmi la variété de virus, on peut distinguer les groupes principaux suivants :

botte

déposer

¨ démarrage de fichier

Examinons maintenant de plus près chacun de ces groupes.

2.1. Virus de démarrage

Examinons le fonctionnement d'un virus de démarrage très simple qui infecte les disquettes. Nous contournerons délibérément toutes les nombreuses subtilités qui seraient inévitablement rencontrées lors d'une analyse stricte de l'algorithme de son fonctionnement.

Que se passe-t-il lorsque vous allumez votre ordinateur ? Tout d'abord, le contrôle est transféré programme d'amorçage, qui est stocké dans une mémoire morte (ROM), c'est-à-dire ROM PNZ.

Ce programme teste le matériel et, si les tests réussissent, tente de retrouver la disquette dans le lecteur A :

Chaque disquette est marquée de ce qu'on appelle. secteurs et pistes. Les secteurs sont regroupés en clusters, mais cela n'est pas significatif pour nous.

Parmi les secteurs, il existe plusieurs secteurs de service, utilisés par le système d'exploitation pour ses propres besoins (ces secteurs ne peuvent pas contenir vos données). Parmi les secteurs de services, nous nous intéressons actuellement à un - ce qu'on appelle. Secteur de démarrage(Secteur de démarrage).

Les magasins du secteur bottes informations sur la disquette- nombre de surfaces, nombre de pistes, nombre de secteurs, etc. Mais maintenant nous ne nous intéressons pas à ces informations, mais en petit programme d'amorçage(PNZ), qui doit charger le système d'exploitation lui-même et lui transférer le contrôle.

Le schéma d’amorçage normal est donc le suivant :

Examinons maintenant le virus. Les virus de démarrage comportent deux parties - ce qu'on appelle. tête etc. queue. La queue, en général, peut être vide.

Supposons que vous ayez une disquette vierge et un ordinateur infecté, c'est-à-dire un ordinateur avec un virus résident actif. Dès que ce virus détecte qu'une victime appropriée est apparue dans le lecteur - dans notre cas, une disquette qui n'est pas protégée en écriture et n'a pas encore été infectée, il commence à infecter. Lors de l'infection d'une disquette, le virus effectue les actions suivantes :

Sélectionne une certaine zone du disque et la marque comme inaccessible au système d'exploitation, cela peut être fait de différentes manières, dans le cas le plus simple et traditionnel, les secteurs occupés par le virus sont marqués comme mauvais (mauvais)

Copie sa queue et le secteur de démarrage d'origine (sain) dans la zone sélectionnée du disque

Remplace le programme de démarrage dans le (vrai) secteur de démarrage par sa tête

Organise une chaîne de transfert de contrôle selon le schéma.

Ainsi, le responsable du virus est désormais le premier à recevoir le contrôle, le virus s'installe en mémoire et transfère le contrôle au secteur de démarrage d'origine. Dans une chaîne

PNZ (ROM) - PNZ (disque) - SYSTÈME

un nouveau lien apparaît :

PNZ (ROM) - VIRUS - PNZ (disque) - SYSTÈME

La morale est claire : Ne laissez jamais de disquettes (accidentellement) dans le lecteur A.

Nous avons examiné le schéma de fonctionnement d'un simple virus de démarrage qui vit dans les secteurs de démarrage des disquettes. En règle générale, les virus peuvent infecter non seulement les secteurs de démarrage des disquettes, mais également les secteurs de démarrage des disques durs. De plus, contrairement aux disquettes, le disque dur possède deux types de secteurs de démarrage contenant des programmes de démarrage qui reçoivent le contrôle. Lorsque l'ordinateur démarre à partir du disque dur, le programme de démarrage du MBR (Master Boot Record) prend le contrôle en premier. Si votre disque dur est divisé en plusieurs partitions, une seule d'entre elles est marquée comme étant de démarrage. Le programme de démarrage dans le MBR trouve la partition de démarrage du disque dur et transfère le contrôle au programme de démarrage de cette partition. Le code de ce dernier coïncide avec le code du programme de démarrage contenu sur les disquettes ordinaires, et les secteurs de démarrage correspondants ne diffèrent que par les tables de paramètres. Ainsi, sur le disque dur, il existe deux objets d'attaque par les virus de démarrage - programme de démarrage dans MBR Et programme primaire téléchargements du secteur de démarrage disque de démarrage système.

2.2. Virus de fichiers

Voyons maintenant comment fonctionne un simple virus de fichier. Contrairement aux virus de démarrage, qui sont presque toujours résidents, les virus de fichiers ne le sont pas nécessairement. Considérons le schéma de fonctionnement d'un virus de fichiers non résident. Disons que nous avons un fichier exécutable infecté. Lorsqu'un tel fichier est lancé, le virus prend le contrôle, effectue certaines actions et transfère le contrôle au « maître » (bien qu'on ne sache pas encore qui est le maître dans une telle situation).

Quelles actions le virus effectue-t-il ? Il recherche un nouvel objet à infecter - un fichier d'un type approprié qui n'a pas encore été infecté (si le virus est « décent », sinon il y en a qui infectent immédiatement sans rien vérifier). En infectant un fichier, le virus s'injecte dans son code afin d'en prendre le contrôle lors de l'exécution du fichier. En plus de sa fonction principale - la reproduction, le virus peut très bien faire quelque chose de complexe (dire, demander, jouer) - cela dépend déjà de l'imagination de l'auteur du virus. Si le virus de fichier est résident, il s'installera en mémoire et pourra infecter des fichiers et présenter d'autres capacités non seulement pendant l'exécution du fichier infecté. Lors de l'infection d'un fichier exécutable, un virus modifie toujours son code - donc une infection fichier exécutable peut toujours être découvert. Mais en modifiant le code du fichier, le virus n'effectue pas nécessairement d'autres modifications :

à il n'est pas obligé de modifier la longueur du fichier

à sections de code inutilisées

à n'est pas nécessaire pour changer le début du fichier

Enfin, les virus de fichiers incluent souvent des virus qui « ont un certain rapport avec les fichiers » mais qui n'ont pas besoin d'être intégrés dans leur code. Considérons à titre d'exemple le schéma de fonctionnement des virus de la famille connue Dir-II. Il faut admettre que, apparus en 1991, ces virus sont devenus la cause d'une véritable épidémie de peste en Russie. Regardons un modèle qui montre clairement l'idée de base du virus. Les informations sur les fichiers sont stockées dans des répertoires. Chaque entrée du répertoire comprend le nom du fichier, la date et l'heure de sa création, ainsi que quelques Informations Complémentaires, premier numéro de cluster fichier, etc réserver des octets. Ces derniers sont laissés « en réserve » et ne sont pas utilisés par MS-DOS lui-même.

Lors de l'exécution de fichiers exécutables, le système lit le premier cluster du fichier, puis tous les autres clusters à partir de l'entrée du répertoire. Les virus de la famille Dir-II effectuent la « réorganisation » suivante système de fichiers: le virus lui-même écrit sur certains secteurs libres du disque, qu'il marque comme mauvais. De plus, il stocke des informations sur les premiers groupes de fichiers exécutables dans des bits réservés et, à la place de ces informations, écrit des références à lui-même.

Ainsi, lorsqu'un fichier est lancé, le virus prend le contrôle (le système d'exploitation le lance lui-même), s'installe en mémoire et transfère le contrôle au fichier appelé.

2.3. Virus des fichiers de démarrage

Nous ne considérerons pas le modèle de virus du fichier de démarrage, car vous n’apprendrez aucune nouvelle information. Mais voici une bonne occasion de discuter brièvement du virus de fichier de démarrage OneHalf, récemment extrêmement « populaire », qui infecte le secteur de démarrage principal (MBR) et les fichiers exécutables. Le principal effet destructeur est le cryptage des secteurs du disque dur. Chaque fois qu'il est lancé, le virus crypte une autre partie de secteurs, et après avoir crypté la moitié du disque dur, il le signale volontiers. Le principal problème dans le traitement de ce virus est qu'il ne suffit pas simplement de supprimer le virus du MBR et des fichiers ; vous devez décrypter les informations cryptées par celui-ci. L’action la plus meurtrière consiste simplement à écraser un nouveau MBR sain. L'essentiel est de ne pas paniquer. Pesez tout calmement et consultez des experts.

2.4. Virus polymorphes

La plupart des questions portent sur le terme « virus polymorphe ». Ce type de virus informatique semble aujourd’hui être le plus dangereux. Expliquons ce que c'est.

Les virus polymorphes sont des virus qui modifient leur code dans les programmes infectés de telle sorte que deux copies du même virus ne correspondent pas en un seul bit.

Ces virus chiffrent non seulement leur code en utilisant différents chemins de chiffrement, mais contiennent également un code de génération de chiffreur et de décrypteur, ce qui les distingue des virus de chiffrement ordinaires, qui peuvent également chiffrer des sections de leur code, mais ont en même temps un code de chiffrement et de décryptage constant. .

Les virus polymorphes sont des virus dotés de décrypteurs auto-modifiables. Le but d'un tel cryptage : si vous disposez d'un fichier infecté et original, vous ne pourrez toujours pas analyser son code par un démontage régulier. Ce code est crypté et constitue un ensemble de commandes dénuées de sens. Le décryptage est effectué par le virus lui-même lors de son exécution. Dans ce cas, des options sont possibles : il peut se décrypter d'un seul coup, ou il peut effectuer un tel décryptage « à la volée », il peut rechiffrer les sections déjà utilisées. Tout cela est fait pour rendre difficile l’analyse du code du virus.

3. HISTORIQUE DE LA VIROLOGIE INFORMATIQUE ET RAISONS DE L'APPARITION DES VIRUS

L'histoire de la virologie informatique semble aujourd'hui être une « course au leader » constante et, malgré toute la puissance des programmes antivirus modernes, ce sont les virus qui sont en tête. Parmi des milliers de virus, seules quelques dizaines sont des développements originaux qui utilisent des idées véritablement fondamentalement nouvelles. Tout le reste n’est que des « variations sur un thème ». Mais chaque développement original oblige les créateurs d’antivirus à s’adapter aux nouvelles conditions et à rattraper leur retard en matière de technologie antivirus. Cette dernière peut être contestée. Par exemple, en 1989, un étudiant américain a réussi à créer un virus qui a désactivé environ 6 000 ordinateurs du ministère américain de la Défense. Ou encore l’épidémie du fameux virus Dir-II qui s’est déclarée en 1991. Le virus utilisait une technologie vraiment originale et fondamentalement nouvelle et a d'abord réussi à se propager largement en raison de l'imperfection des outils antivirus traditionnels.

Ou encore la montée des virus informatiques au Royaume-Uni : Christopher Pyne a réussi à créer les virus Pathogen et Queeq, ainsi que le virus Smeg. C'était le dernier qui était le plus dangereux ; il pouvait se superposer aux deux premiers virus, et pour cette raison, après chaque exécution du programme, ils modifiaient la configuration. Il était donc impossible de les détruire. Pour propager des virus, Pine copiait des jeux et des programmes informatiques, les infectait, puis les renvoyait sur le réseau. Les utilisateurs téléchargent des programmes infectés sur leurs ordinateurs et infectent leurs disques. La situation a été aggravée par le fait que Pine a réussi à introduire des virus dans le programme qui les combat. En le lançant, au lieu de détruire les virus, les utilisateurs en recevaient un autre. En conséquence, les dossiers de nombreuses entreprises ont été détruits, entraînant des pertes s’élevant à des millions de livres sterling.

Le programmeur américain Morris est devenu largement connu. Il est connu comme le créateur du virus qui, en novembre 1988, a infecté environ 7 000 ordinateurs personnels connectés à Internet.

Les raisons de l'émergence et de la propagation des virus informatiques, d'une part, sont cachées dans la psychologie de la personnalité humaine et ses côtés obscurs (envie, vengeance, vanité des créateurs méconnus, incapacité à utiliser ses capacités de manière constructive), d'autre part. d'autre part, en raison du manque de protection matérielle et de contre-mesure de la part des systèmes informatiques personnels de la salle d'opération.

4. VOIES PAR LES VIRUS ENTRANT DANS UN ORDINATEUR ET MÉCANISME DE DISTRIBUTION DES PROGRAMMES VIRUS

Les principaux moyens par lesquels les virus pénètrent dans un ordinateur sont les disques amovibles (disquettes et laser), ainsi que réseaux informatiques. Un disque dur peut être infecté par des virus lors du chargement d'un programme à partir d'une disquette contenant un virus. Une telle infection peut également être accidentelle, par exemple si la disquette n'a pas été retirée du lecteur A et que l'ordinateur a été redémarré, et que la disquette n'est peut-être pas une disquette système. Il est beaucoup plus facile d'infecter une disquette. Un virus peut s'y introduire même si la disquette est simplement insérée dans le lecteur de disque d'un ordinateur infecté et, par exemple, si sa table des matières est lue.

Le virus envahit généralement programme de travail de telle sorte qu'au démarrage, le contrôle lui est d'abord transféré et ce n'est qu'après l'exécution de toutes ses commandes qu'il revient au programme de travail. Ayant accédé au contrôle, le virus se réécrit tout d'abord dans un autre programme de travail et l'infecte. Après avoir exécuté un programme contenant un virus, il devient possible d'infecter d'autres fichiers. Le plus souvent, le secteur de démarrage du disque et les fichiers exécutables portant les extensions EXE, COM, SYS, BAT sont infectés par un virus. Il est extrêmement rare que des fichiers texte soient infectés.

Après avoir infecté un programme, le virus peut effectuer une sorte de sabotage, pas trop grave pour ne pas attirer l'attention. Et enfin, n'oubliez pas de rendre le contrôle au programme à partir duquel il a été lancé. Chaque exécution d'un programme infecté transfère le virus au suivant. Ainsi, tous les logiciels seront infectés.

Pour illustrer le processus d’infection Programme d'ordinateur Avec un virus, il est logique de comparer la mémoire disque à une archive à l’ancienne avec des dossiers sur bande. Les dossiers contiennent des programmes et la séquence d'opérations pour introduire un virus dans ce cas ressemblera à ceci (voir Annexe 1).

5. SIGNES DE VIRUS

Lorsque votre ordinateur est infecté par un virus, il est important de le détecter. Pour ce faire, vous devez connaître les principaux signes de virus. Ceux-ci incluent les éléments suivants :

¨ arrêt ou fonctionnement incorrect de programmes fonctionnant auparavant avec succès

¨ ralentissement des performances de l'ordinateur

¨ impossibilité de charger le système d'exploitation

¨ disparition de fichiers et répertoires ou distorsion de leur contenu

¨ changer la date et l'heure de modification du fichier

¨ redimensionner les fichiers

¨ augmentation significative inattendue du nombre de fichiers sur le disque

¨ réduction significative de la taille de la RAM libre

¨ affichage de messages ou d'images inattendus

¨ présentation d'imprévus signaux sonores

¨ blocages fréquents et pannes informatiques

Il convient de noter que les phénomènes ci-dessus ne sont pas nécessairement causés par la présence d’un virus, mais peuvent résulter d’autres raisons. Il est donc toujours difficile de diagnostiquer correctement l’état d’un ordinateur.

6. DÉTECTION DES VIRUS ET MESURES DE PROTECTION ET DE PRÉVENTION

6.1. Comment détecter un virus ? Approche traditionnelle

Ainsi, un certain auteur de virus crée un virus et le lance dans la « vie ». Il peut se promener à sa guise pendant un moment, mais tôt ou tard, le « lafa » prendra fin. Quelqu’un soupçonnera que quelque chose ne va pas. En règle générale, les virus sont découverts par des utilisateurs ordinaires qui remarquent certaines anomalies dans le comportement de leur ordinateur. Dans la plupart des cas, ils ne sont pas capables de faire face seuls à l'infection, mais cela ne leur est pas demandé.

Il suffit que le virus tombe entre les mains de spécialistes le plus rapidement possible. Les professionnels l'étudieront, découvriront « ce qu'il fait », « comment il fait », « quand il fait », etc. Au cours de ce travail, toutes les informations nécessaires sur ce virus sont collectées, notamment la signature de le virus est isolé - une séquence d'octets qui le caractérise très certainement. Pour créer une signature, les sections les plus importantes et les plus caractéristiques du code du virus sont généralement prises en compte. Dans le même temps, les mécanismes de fonctionnement du virus deviennent clairs. Par exemple, dans le cas d'un virus de démarrage, il est important de savoir où il cache sa queue, où se trouve le secteur de démarrage d'origine et dans le cas de un virus de fichier, la méthode d'infection du fichier. Les informations obtenues permettent de connaître :

· comment détecter un virus, à cet effet, des méthodes de recherche de signatures dans les objets potentiels d'une attaque virale - les fichiers et/ou les secteurs de démarrage sont spécifiés

· comment neutraliser le virus, si possible, des algorithmes sont en cours de développement pour supprimer le code du virus des objets affectés

6.2. Programmes de détection et de protection contre les virus

Plusieurs types ont été développés pour détecter, supprimer et protéger contre les virus informatiques. programmes spéciaux, qui vous permettent de détecter et de détruire les virus. De tels programmes sont appelés antivirus . Il existe les types de programmes antivirus suivants :

· programmes de détection

· programmes médicaux ou phages

· programmes d'audit

· programmes de filtrage

Programmes de vaccination ou d'immunisation

Programmes de détection Ils recherchent une signature caractéristique d'un virus particulier dans la RAM et les fichiers et, s'ils sont trouvés, émettent un message correspondant. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

Programmes de doctorat ou phages, et programmes de vaccination non seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimez le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire un grand nombre de virus. Les plus connus d'entre eux : Aidstest, Scan, Norton AntiVirus, Doctor Web.

Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières des versions sont nécessaires.

Programmes d'audit sont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des états est effectuée immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés. Les programmes d'audit disposent d'algorithmes assez développés, détectent les virus furtifs et peuvent même nettoyer les modifications apportées à la version du programme vérifiée des modifications apportées par le virus. Parmi les programmes d'audit figure le programme Adinf, largement utilisé en Russie.

Filtrer les programmes ou "gardien" sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :

· tente de corriger les fichiers avec les extensions COM, EXE

· changer les attributs du fichier

écriture directe sur le disque à une adresse absolue

· écrire sur les secteurs de démarrage du disque

Lorsqu'un programme tente d'effectuer les actions spécifiées, le « garde » envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles car ils sont capables de détecter un virus dès les premiers stades de son existence, avant sa réplication. Cependant, ils ne « nettoient » pas les fichiers et les disques. Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages. Les inconvénients des programmes de surveillance incluent leur « caractère intrusif » (par exemple, ils émettent constamment un avertissement concernant toute tentative de copie d'un fichier exécutable), ainsi que d'éventuels conflits avec d'autres programmes. logiciel. Un exemple de programme de filtrage est le programme Vsafe, qui fait partie du package utilitaire MS DOS.

Vaccins ou vaccinateurs- Ce sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Actuellement, les programmes de vaccination ont une utilité limitée.

La détection rapide des fichiers et des disques infectés par des virus et la destruction complète des virus détectés sur chaque ordinateur permettent d'éviter la propagation d'une épidémie virale à d'autres ordinateurs.

6.3. Mesures de base pour se protéger contre les virus

Afin d'éviter d'exposer votre ordinateur à des virus et d'assurer un stockage fiable des informations sur les disques, vous devez suivre les règles suivantes :

¨ équipez votre ordinateur de programmes antivirus modernes, tels que Aidstest, Doctor Web, et mettez constamment à jour leurs versions

¨ avant de lire les informations stockées sur d'autres ordinateurs à partir de disquettes, vérifiez toujours la présence de virus sur ces disquettes en exécutant des programmes antivirus sur votre ordinateur

¨ lors du transfert de fichiers sous forme archivée sur votre ordinateur, vérifiez-les immédiatement après les avoir décompressés sur votre disque dur, en limitant la zone d'analyse aux seuls fichiers nouvellement enregistrés

¨ vérifier périodiquement la présence de virus disques durs ordinateur, exécutant des programmes antivirus pour tester les fichiers, la mémoire et les zones système des disques à partir d'une disquette protégée en écriture, après avoir chargé le système d'exploitation à partir d'une disquette système protégée en écriture

¨ protégez toujours vos disquettes de l'écriture lorsque vous travaillez sur d'autres ordinateurs, si aucune information n'y sera écrite

¨ assurez-vous de faire des copies de sauvegarde sur disquettes des informations qui vous sont précieuses

¨ ne laissez pas de disquettes dans la pochette du lecteur A lors de la mise sous tension ou du redémarrage du système d'exploitation pour éviter que l'ordinateur ne soit infecté par des virus de démarrage

¨ utiliser des programmes antivirus pour contrôler l'entrée de tous les fichiers exécutables reçus des réseaux informatiques

¨ pour assurer une plus grande sécurité, Aidstest et Doctor Web doivent être combinés avec l'utilisation quotidienne de l'auditeur de disque Adinf

CONCLUSION

Ainsi, nous pouvons citer de nombreux faits indiquant que la menace qui pèse sur la ressource informationnelle augmente chaque jour, paniquant les décideurs des banques, des entreprises et des sociétés du monde entier. Et cette menace vient des virus informatiques qui déforment ou détruisent des informations vitales et précieuses, ce qui peut entraîner non seulement des pertes financières, mais aussi des pertes humaines.

Virus informatique - un programme spécialement écrit qui peut s'attacher spontanément à d'autres programmes, créer des copies de lui-même et les intégrer dans des fichiers, des zones système de l'ordinateur et dans réseaux informatiques afin de perturber le fonctionnement des programmes, d'endommager les fichiers et répertoires, et de créer toutes sortes d'interférences dans le fonctionnement de l'ordinateur.

Actuellement, plus de 5 000 virus logiciels sont connus, et leur nombre ne cesse de croître. Il existe des cas connus où ils ont été créés aides à l'enseignement, aidant à l'écriture de virus.

Les principaux types de virus : boot, file, file-boot. Le type de virus le plus dangereux est polymorphe.

L’histoire de la virologie informatique montre clairement que tout développement informatique original oblige les créateurs d’antivirus à s’adapter aux nouvelles technologies et à améliorer constamment leurs programmes antivirus.

Les raisons de l'apparition et de la propagation des virus sont cachées, d'une part, dans la psychologie humaine, et d'autre part, en raison du manque de mesures de protection dans le système d'exploitation.

Les principales voies de pénétration des virus sont les disques amovibles et les réseaux informatiques. Pour éviter que cela ne se produise, suivez les mesures de protection. En outre, plusieurs types de programmes spéciaux appelés programmes antivirus ont été développés pour détecter, supprimer et protéger contre les virus informatiques. Si vous trouvez un virus sur votre ordinateur, alors en utilisant l'approche traditionnelle, il est préférable d'appeler un professionnel pour le découvrir plus en détail.

Mais certaines propriétés des virus intriguent même les spécialistes. Tout récemment, il était difficile d'imaginer qu'un virus puisse survivre à un démarrage à froid ou se propager à travers des fichiers de documents. Dans de telles conditions, il est impossible de ne pas attacher d'importance au moins à la formation initiale des utilisateurs en matière d'antivirus. Malgré la gravité du problème, aucun virus ne peut causer autant de dégâts qu’un utilisateur au visage blanc et aux mains tremblantes !

Donc, la santé de vos ordinateurs, la sécurité de vos données est entre vos mains !

Bibliographie

1. Informatique : Manuel / éd. Prof. N.V. Makarova. - M. : Finances et Statistiques, 1997.

2. Encyclopédie des secrets et des sensations / Préparé par. texte de Yu.N. Petrova. - Mn. : Littérature, 1996.

3. Bezrukov N.N. Virus informatiques. - M. : Nauka, 1991.

4. Mostovoy D.Yu. Technologies modernes lutte contre les virus // PC World. - N°8. - 1993.

Les personnes qui travaillent constamment sur un ordinateur rencontrent souvent des problèmes lors de son utilisation et commencent à appeler des programmeurs à l'aide, bien que dans la plupart des cas, de tels incidents se produisent en raison de l'inattention et du manque d'éducation de l'utilisateur lui-même. Après tout, les principaux problèmes surviennent précisément lorsqu'un ordinateur est infecté par un virus. Le concept et la classification des virus informatiques constituent la base dont la connaissance peut éviter 50 % des problèmes sur l’ordinateur de l’utilisateur.

La connaissance, c'est le pouvoir

Essayons de définir ce qu'est un virus informatique. Un péché vrai vie, un virus est un organisme capable de s’autocopier et de se reproduire de manière incontrôlée. Il s’agit d’un programme capable de se développer de manière indépendante, à l’insu de l’utilisateur, et d’exécuter les fonctions qui lui sont assignées par le programmeur. Cela ne suffit pas pour attraper un virus ou prévenir une infection de votre ordinateur, mais dans les cas les plus simples, cela vous aidera au moins à tirer la sonnette d'alarme et à appeler un spécialiste. La classification des virus informatiques aidera ces derniers à sélectionner avec précision l'outil nécessaire à la sauvegarde de votre ordinateur. Par conséquent, nous essaierons également de le comprendre.

Concept général

Après avoir comparé un peu plus tôt un virus informatique avec un micro-organisme réel, nous pouvons faire un parallèle avec ce qu'un virus ou un ver spécifique infecte. L'une des plus fondamentales est la classification des virus informatiques par habitat, car, en fonction du but recherché, l'emplacement du virus dans l'environnement informatique variera également. Donnons un schéma standard général.

1. Virus de fichiers. Les virus les plus courants aujourd’hui sont peut-être ceux qui infectent les fichiers de votre ordinateur. Dans la plupart des cas, ils infiltrent des fichiers exécutables ou des bibliothèques de programmes pour effectuer leurs tâches. Ces virus sont un script écrit dans un langage de programmation de script (par exemple Java).
2. Virus de démarrage. Comme leur nom l’indique, ils sont lancés au démarrage du système d’exploitation. Ils écrivent leur code dans le secteur de démarrage Windows.
3. Virus de réseau. Une chose plutôt désagréable qui envoie des copies de lui-même sur le réseau, le courrier ou les systèmes de messagerie comme ICQ. Un autre point désagréable est qu’un tel virus peut se multiplier jusqu’à remplir tout l’espace sur l’ordinateur de l’utilisateur, et dans le pire des cas, il commence également à se faire de la place en supprimant les programmes de l’utilisateur.
4. Virus de macro. Ils n'affectent que les fichiers provenant d'applications prenant en charge les macros, telles qu'Office.

Il convient de noter qu'une telle classification des virus ne peut pas être complète, car le développement de cette infection ne s'arrête pas et il existe des virus qui peuvent être classés en plusieurs sous-types.

Attention – danger !

Les virus peuvent être vus sous des angles complètement différents. Si nous en parlons en fonction du degré d'impact sur le système, la classification des virus informatiques ressemblera brièvement à ceci :

Les spécialistes travaillent

La classification des virus informatiques et des programmes antivirus mérite une mention particulière. La plupart des spécialistes travaillant dans le domaine sécurité informatique, ont leurs propres classifications et manières de désigner les virus informatiques. Par exemple, le célèbre laboratoire Kaspersky. Après de nombreuses années de travail, ils ont peut-être créé la classification la plus détaillée des virus informatiques. Kaspersky identifie les types de « parasites » suivants :

1. Les virus de réseau déjà connus sont des vers qui utilisent le courrier électronique pour se propager.
2. Emballeurs. Ce ne sont que des parasites, plutôt que des virus envoyés dans un but précis. Leur tâche est d'archiver les fichiers de telle manière qu'il soit impossible de les désarchiver. Souvent, lors de l’archivage, ils encodent également des informations.
3. Utilitaires malveillants.
4. Programmes chevaux de Troie. Leur nom vient du mythe du cheval de Troie. Fidèles à leur prototype, ces virus se déguisent en programmes inoffensifs pour pénétrer dans un ordinateur. Leur objectif fonctionnel principal est de fournir à un attaquant un accès pour contrôler votre ordinateur. Certaines sous-catégories peuvent également être distinguées ici :

1) les virus, pour télécommande ton ordinateur;

2) virus permettant de télécharger des logiciels malveillants depuis Internet ;

3) programmes qui installent de manière non autorisée d'autres virus sur l'ordinateur.

Comment être infecté

Quiconque est prévenu est prévenu. C'est ce que dit la sagesse populaire. En sachant où et comment attraper un virus informatique, vous pouvez éviter les énormes problèmes associés à sa suppression. Il est bien plus facile de prévenir une infection que de guérir un ordinateur après qu’un virus y est entré. Il existe également une classification des virus informatiques selon le mode d'infection :

Protection contre le virus

Comme cela est déjà apparu clairement, il existe une grande variété de logiciels malveillants. Aucune classification des virus ne permettra de s'en protéger. Il y a tellement d'escrocs et de spammeurs informatiques qu'avec leurs propres avec mes propres mains il est impossible de faire face à tout le monde. C'est pourquoi il existe un grand nombre de programmes antivirus qui peuvent aider à résoudre ce problème. Regardons-les du point de vue utilisateurs ordinaires.

Le programme antivirus le plus courant est Kaspersky Anti-Virus. Proposé aux utilisateurs dans tous les magasins possibles, ce programme est capable de protéger de manière fiable votre ordinateur contre les logiciels malveillants. Cependant, les utilisateurs avancés sont conscients des effets secondaires importants de cette fiabilité. Kaspersky non seulement surcharge le système et déclenche une alarme au moindre danger, mais l'empêche également de fonctionner correctement avec les applications des utilisateurs. Donc dans actuellement Cet antivirus est principalement utilisé dans les entreprises, car son achat est plus facile à réaliser via la comptabilité et les commissions de vérification de sécurité lui sont beaucoup plus fidèles. Il est à noter que grâce à ce laboratoire, une classification de base des virus informatiques a été créée. Le message indiquant qu'un virus a été trouvé sur l'ordinateur, fourni par leur antivirus, ne contient malheureusement pas toujours des informations fiables.

NOD32 peut remplacer dignement Kaspersky. Protège de manière fiable et ferme, spécialement conçu pour les utilisateurs ordinaires versions gratuites. Il fonctionne comme une horloge et sans panne, mais il n'offre une fiabilité absolue que dans un forfait entièrement payant. Par conséquent, le seul inconvénient de cet antivirus sera le prix, si l'on exclut le téléchargement de versions piratées non prises en charge.

Dr.Web peut à juste titre être considéré comme le leader parmi les antivirus. Sans courir après la gloire et les revenus, il propose à chacun un téléchargement sur son site Internet. version d'essai avec toutes les fonctionnalités. L'une des principales caractéristiques de "Doctor" est la possibilité de suspendre complètement le fonctionnement du système d'exploitation, ce qui vous permet d'attraper même les "ravageurs les plus rusés". Ce programme utilise sa propre classification de virus. L'utilitaire détecte les vers informatiques rapidement et efficacement, et les virus résidents ne sont pas capables de « se cacher » dans la RAM.

Vous devez connaître l'ennemi de vue

Ainsi, la classification des virus informatiques a été discutée ci-dessus. Il serait probablement plus facile pour vous de comprendre avec des exemples, nous en donnerons donc quelques-uns pour plus de clarté.

Trj.Reboot - force votre ordinateur à redémarrer.

Détendez-vous - infecte les documents Microsoft Word, ainsi que des variables globales. Il était particulièrement populaire et pertinent sous Windows 98. Le résultat du travail est l'affichage d'un message d'information à l'écran.

Marburg - attaque les fichiers exécutables avec l'extension EXE, en les exécutant dans différents répertoires, ce qui augmente leur taille.

Flame est un ver informatique découvert par Kaspersky Lab. Sa particularité est qu'il se compose de plusieurs dizaines de pièces, chacune ayant sa propre fonctionnalité.

Pensez à la sécurité

Cet article traite du concept et de la classification des virus informatiques. Si vous avez lu attentivement et attentivement tout ce qui est écrit, vous avez probablement déjà réalisé qu'une protection absolue n'existe pas. Malgré cela, le choix des équipements de protection vous incombe. La dernière chose qui mérite d’être soulignée, ce sont quelques conseils utiles :

1. N'allez pas sur des sites suspects et ne suivez pas les liens envoyés par des inconnus.
2. Ne vous laissez pas berner par les publicités et les pop-ups sur Internet.
3. Si vous téléchargez des programmes depuis Internet, assurez-vous que la source est sécurisée.
4. Si vous recherchez un programme, essayez de le télécharger à partir de ressources populaires et non à partir des backwaters du World Wide Web.
5. N'utilisez pas de supports de stockage qui pourraient avoir été insérés dans des ordinateurs publics (cafés Internet).

Suite à ces conseils simples, vous pouvez le faire même sans antivirus. Vous n'aurez besoin de la classification des virus informatiques que pour vos études ou votre auto-développement.

Classification.

Les produits antivirus peuvent être classés selon plusieurs critères, tels que : les technologies de protection antivirus utilisées, les fonctionnalités du produit et les plates-formes cibles.

Selon les technologies de protection antivirus utilisées :

• Produits antivirus classiques (produits qui utilisent uniquement la méthode de détection de signature)
• Produits de protection antivirus proactive (produits qui utilisent uniquement des technologies de protection antivirus proactives) ;
• Produits combinés (produits utilisant à la fois des méthodes de protection classiques basées sur les signatures et des méthodes proactives)

Par fonctionnalité du produit :

• Produits antivirus (produits qui fournissent uniquement une protection antivirus)
• Produits combinés (produits qui fournissent non seulement une protection contre les logiciels malveillants, mais également un filtrage du spam, un cryptage et une sauvegarde des données, ainsi que d'autres fonctions)

Par plateforme cible:

• Produits antivirus pour les systèmes d'exploitation Windows
• Produits antivirus pour les systèmes d'exploitation *NIX (cette famille comprend BSD, Linux, etc.)
• Produits antivirus pour la famille de systèmes d'exploitation MacOS
• Produits antivirus pour plates-formes mobiles ( Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7, etc.)

Les produits antivirus destinés aux utilisateurs en entreprise peuvent également être classés par objets de protection :

• Produits antivirus pour protéger les postes de travail
• Produits antivirus pour protéger les serveurs de fichiers et de terminaux
• Produits antivirus pour protéger les passerelles de messagerie et Internet
• Produits antivirus pour protéger les serveurs de virtualisation
• etc.

Caractéristiques des programmes antivirus.

Les programmes antivirus sont divisés en : programmes de détection, programmes de médecin, programmes d'auditeur, programmes de filtrage, programmes de vaccination.

Les programmes de détection recherchent et détectent les virus dans la RAM et les supports externes et, lorsqu'ils sont détectés, émettent un message correspondant. Il existe des détecteurs universels et spécialisés.

Les détecteurs universels dans leur travail utilisent la vérification de l'immuabilité des fichiers en comptant et en comparant avec une norme de somme de contrôle. L'inconvénient des détecteurs universels est associé à l'incapacité de déterminer les causes de corruption des fichiers.

Des détecteurs spécialisés recherchent les virus connus par leur signature (une section de code répétée). L’inconvénient de ces détecteurs est qu’ils sont incapables de détecter tous les virus connus.

Un détecteur capable de détecter plusieurs virus est appelé polydétecteur.

L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

Les programmes médicaux (phages) détectent non seulement les fichiers infectés par des virus, mais les « traitent » également, c'est-à-dire supprimez le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire un grand nombre de virus.

Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières de leurs versions sont nécessaires.

Les programmes d'audit comptent parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les changements détectés sont affichés sur l'écran du moniteur vidéo. En règle générale, la comparaison des états est effectuée immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés.

Les programmes d'audit disposent d'algorithmes assez développés, détectent les virus furtifs et peuvent même distinguer les modifications apportées à la version du programme vérifiée des modifications apportées par le virus.

Les programmes de filtrage (watchmen) sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :

Tente de corriger les fichiers avec les extensions COM et EXE ;

Modification des attributs du fichier ;

Écriture directe sur le disque à une adresse absolue ;

Lorsqu'un programme tente d'effectuer les actions spécifiées, le « gardien » envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles car ils sont capables de détecter un virus dès les premiers stades de son existence, avant sa réplication. Cependant, ils ne « nettoient » pas les fichiers et les disques. Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages. Les inconvénients des programmes de surveillance incluent leur « caractère intrusif » (par exemple, ils émettent constamment un avertissement concernant toute tentative de copie d'un fichier exécutable), ainsi que d'éventuels conflits avec d'autres logiciels.

Les vaccins (immunisateurs) sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Actuellement, les programmes de vaccination ont une utilité limitée.

Un inconvénient majeur de ces programmes est leur capacité limitée à prévenir l'infection par un grand nombre de virus différents.

Exemples de programmes antivirus

Lors du choix d'un programme antivirus, il est nécessaire de prendre en compte non seulement le pourcentage de détection de virus, mais également la capacité à détecter de nouveaux virus, le nombre de virus présents dans base de données antivirus, sa fréquence de mise à jour, la présence de fonctions supplémentaires.

Actuellement, un antivirus sérieux devrait être capable de reconnaître au moins 25 000 virus. Cela ne veut pas dire qu’ils sont tous « libres ». En fait, la plupart d’entre eux ont soit cessé d’exister, soit se trouvent dans des laboratoires et ne sont pas distribués. En réalité, on peut trouver entre 200 et 300 virus, et seules quelques dizaines d'entre eux représentent un danger.

Il existe de nombreux programmes antivirus. Regardons les plus célèbres d'entre eux.

Norton AntiVirus 4.0 et 5.0 (fabricant : Symantec).

L'un des antivirus les plus connus et les plus populaires. Le pourcentage de reconnaissance du virus est très élevé (proche de 100 %). Le programme utilise un mécanisme qui vous permet de reconnaître les nouveaux virus inconnus.

L'interface de Norton AntiVirus comprend une fonctionnalité LiveUpdate qui vous permet de mettre à jour à la fois le programme et un ensemble de signatures de virus via le Web en cliquant sur un seul bouton. Problèmes liés au maître antivirus des informations détaillées sur un virus détecté, et vous donne également le choix de supprimer le virus soit automatiquement, soit plus soigneusement, grâce à une procédure étape par étape qui vous permet de voir chacune des actions effectuées pendant le processus de suppression.

Les bases de données antivirus sont mises à jour très souvent (parfois des mises à jour apparaissent plusieurs fois par semaine). Il y a un moniteur résident.

L'inconvénient de ce programme est qu'il est difficile à configurer (bien qu'il ne soit pratiquement pas nécessaire de modifier les paramètres de base).

Dr Solomon's AntiVirus (fabricant : Dr Solomon's Software).

Considéré comme l'un des plus meilleurs antivirus(Eugene Kaspersky a dit un jour que c'était le seul concurrent de son AVP). Détecte près de 100 % des virus connus et nouveaux. Un grand nombre de fonctions, scanner, moniteur, heuristiques et tout ce dont vous avez besoin pour résister avec succès aux virus.

McAfee VirusScan (fabricant: "Associés McAfee")

C’est l’un des packages antivirus les plus connus. Il supprime très bien les virus, mais VirusScan est pire que les autres packages pour détecter de nouvelles variétés de virus de fichiers. Il s'installe rapidement et facilement en utilisant les paramètres par défaut, mais peut être personnalisé en fonction de vos besoins. Vous pouvez analyser tous les fichiers ou uniquement les fichiers logiciels, distribuer ou non la procédure d'analyse à fichiers compressés. Il possède de nombreuses fonctions pour travailler avec Internet.

.Dr.Web (fabricant : Dialogue Science)

Antivirus domestique populaire. Il reconnaît bien les virus, mais sa base de données en contient beaucoup moins que les autres programmes antivirus.

Antiviral Toolkit Pro (fabricant : Kaspersky Lab).

Cet antivirus est reconnu dans le monde entier comme l’un des plus fiables. Malgré sa simplicité d’utilisation, il dispose de tout l’arsenal nécessaire pour lutter contre les virus. Mécanisme heuristique, analyse redondante, analyse des archives et des fichiers compressés - ce n'est pas une liste complète de ses capacités.

Kaspersky Lab surveille de près l'émergence de nouveaux virus et publie rapidement des mises à jour de ses bases de données antivirus. Il existe un moniteur résident pour surveiller les fichiers exécutables.

Evgeny Kaspersky a utilisé en 1992 la classification suivante des antivirus en fonction de leur principe de fonctionnement (détermination de la fonctionnalité) :

Ø Scanners (version obsolète - "polyphages", "détecteurs") - déterminez la présence d'un virus à l'aide d'une base de données de signatures qui stocke les signatures (ou leurs sommes de contrôle) des virus. Leur efficacité est déterminée par la pertinence de la base de données virale et la présence d'un analyseur heuristique.

Ø Auditeurs (une classe proche d'IDS) - mémorise l'état du système de fichiers, ce qui permet d'analyser les changements dans le futur.

Ø Gardiens (moniteurs résidents ou filtres ) - surveiller les opérations potentiellement dangereuses, en émettant à l'utilisateur une demande appropriée pour autoriser/interdire l'opération.

Ø Vaccins (vaccinateurs ) - modifier le fichier greffé de telle sorte que le virus contre lequel la greffe est effectuée considère déjà le fichier comme infecté. Dans les conditions modernes, lorsque le nombre de virus possibles se mesure en centaines de milliers, cette approche n'est pas applicable.

Les antivirus modernes combinent toutes les fonctions ci-dessus.

Les antivirus peuvent également être divisés en :

Produits pour les utilisateurs à domicile :

En fait des antivirus ;

Des produits combinés (par exemple, antispam, pare-feu, anti-rootkit, etc. s'ajoutent à l'antivirus classique) ;

Produits d'entreprise :

Antivirus de serveur ;

Antivirus sur les postes de travail (« endpoint »).

Le partage de programmes antivirus donne de bons résultats, car ils se complètent bien :

Provenir de sources externes les données sont vérifiées programme de détection. Si vous avez oublié de vérifier ces données et qu'un programme infecté a été lancé, il peut être intercepté par un programme de protection. Certes, dans les deux cas, les virus connus de ces programmes antivirus sont détectés de manière fiable. Cela ne représente pas plus de 80 à 90 % des cas.

- gardien peut même détecter des virus inconnus s'ils se comportent de manière très arrogante (en essayant de formater Disque dur ou apporter des modifications aux fichiers système). Mais certains virus peuvent contourner ce contrôle.

Si le virus n'a pas été détecté par un détecteur ou un gardien, alors les résultats de son activité seront détectés programme - auditeur.

En règle générale, des programmes de surveillance doivent être exécutés en permanence sur l'ordinateur, des détecteurs doivent être utilisés pour vérifier les données provenant de sources externes (fichiers et disquettes) et des auditeurs doivent être lancés une fois par jour pour identifier et analyser les modifications sur les disques. Tout cela doit être combiné à des sauvegardes régulières des données et à l’utilisation de mesures préventives pour réduire le risque de contracter un virus.

Tout programme antivirus « ralentit » le fonctionnement de l’ordinateur, mais constitue un remède fiable contre les effets néfastes des virus.

Faux antivirus (faux antivirus).

En 2009, divers fabricants d'antivirus ont commencé à signaler l'utilisation généralisée d'un nouveau type d'antivirus : les faux antivirus ou roguewares. En fait, ces programmes soit ne sont pas du tout des antivirus (c'est-à-dire qu'ils ne sont pas capables de lutter contre les logiciels malveillants), soit sont même des virus (ils volent les données des cartes de crédit, etc.).

De faux antivirus sont utilisés pour extorquer de l’argent aux utilisateurs par tromperie. L'une des façons d'infecter un PC avec un faux antivirus est la suivante. L'utilisateur se retrouve sur un site « infecté », qui lui affiche un message d'avertissement du type : « Un virus a été détecté sur votre ordinateur ». Après quoi l'utilisateur est invité à télécharger programme gratuit(faux antivirus) pour supprimer le virus. Après l'installation, le faux antivirus analyse le PC et est censé détecter de nombreux virus sur l'ordinateur. Pour supprimer les logiciels malveillants, un faux antivirus propose d'acheter une version payante du programme. L'utilisateur choqué paie (montants de 50 $ à 80 $) et le faux antivirus nettoie le PC des virus inexistants.

Antivirus pour SIM, cartes flash et périphériques USB

Les téléphones mobiles produits aujourd'hui disposent d'un large éventail d'interfaces et de capacités de transfert de données. Les consommateurs doivent examiner attentivement les méthodes de protection avant de connecter de petits appareils.

Les méthodes de protection telles que le matériel, éventuellement les antivirus sur les appareils USB ou sur SIM, sont plus adaptées aux consommateurs téléphones portables. L'évaluation technique et l'examen de la manière d'installer un programme antivirus sur un téléphone mobile doivent être considérés comme un processus d'analyse pouvant affecter d'autres applications légitimes sur ce téléphone.

Les programmes antivirus sur carte SIM avec antivirus intégré dans une petite zone de mémoire offrent une protection anti-malware/virus tout en protégeant le code PIN et les informations de l'utilisateur du téléphone. Les antivirus sur cartes flash donnent à l'utilisateur la possibilité d'échanger des informations et d'utiliser ces produits avec divers périphériques matériels, ainsi que d'envoyer ces données à d'autres appareils en utilisant divers canaux de communication.

Antivirus, appareils mobiles et solutions innovantes

À l’avenir, il est possible que les téléphones portables soient infectés par un virus. De plus en plus de développeurs dans ce domaine proposent des programmes antivirus pour lutter contre les virus et protéger les téléphones mobiles. DANS appareils mobiles Il existe les types de contrôle antivirus suivants :

– les limitations du processeur ;

– limitation de la mémoire ;

– identifier et mettre à jour les signatures de ces appareils mobiles.

Conclusion: Un programme antivirus (antivirus) est initialement un programme permettant de détecter et de traiter des objets malveillants ou des fichiers infectés, ainsi que de prévention - empêcher l'infection d'un fichier ou d'un système d'exploitation par un code malveillant. Selon le principe de fonctionnement des programmes antivirus, il existe la classification suivante des antivirus : scanners (version obsolète - « polyphages », « détecteurs ») ; auditeurs (classe proche de l'IDS) ; gardiens (surveillants ou filtres résidents); vaccins (immunisants).

CONCLUSION

Les progrès de la technologie informatique ces dernières années n’ont pas seulement contribué au développement économique, au commerce et aux communications ; assuré un échange d’informations efficace, mais a également fourni des outils uniques aux personnes commettant des délits informatiques. Plus le processus d'informatisation est intensif, plus la croissance de la criminalité informatique devient réelle, et la société moderne non seulement ressent les conséquences économiques de la criminalité informatique, mais devient également de plus en plus dépendante de l'informatisation. Tous ces aspects nous obligent à accorder de plus en plus d'attention à la protection de l'information, au développement ultérieur du cadre législatif dans le domaine sécurité des informations. L'ensemble des mesures doit être réduit à la protection de l'État ressources d'information; à la régulation des relations nées lors de la formation et de l'utilisation des ressources d'information ; création et utilisation technologies de l'information; protection de l'information et des droits des sujets participant à processus d'information; ainsi que la définition des concepts de base utilisés dans la législation.

Professeur agrégé du Département d'Organisation de la Sécurité et du Convoyage dans le Système Pénitentiaire

Candidat des Sciences Techniques

Lieutenant-colonel du Service Intérieur V.G. Zaroubski