INTRODUCTION

Nous vivons au tournant de deux millénaires, alors que l’humanité est entrée dans l’ère d’une nouvelle révolution scientifique et technologique.

À la fin du XXe siècle, les gens maîtrisaient de nombreux secrets de la transformation de la matière et de l’énergie et étaient capables d’utiliser ces connaissances pour améliorer leur vie. Mais outre la matière et l'énergie, un autre élément joue un rôle important dans la vie humaine : l'information. Il s'agit d'une grande variété d'informations, de messages, d'actualités, de connaissances, de compétences.

Au milieu de notre siècle, des appareils spéciaux sont apparus - des ordinateurs, axés sur le stockage et la conversion d'informations, et la révolution informatique a eu lieu.

Aujourd'hui, l'utilisation généralisée des ordinateurs personnels s'est malheureusement avérée associée à l'émergence de programmes antivirus auto-répliquants qui interfèrent avec le fonctionnement normal de l'ordinateur, détruisent la structure des fichiers des disques et endommagent les informations stockées sur l'ordinateur. .

Malgré les lois adoptées dans de nombreux pays pour lutter contre la criminalité informatique et le développement de logiciels antivirus spéciaux, le nombre de nouveaux virus logiciels ne cesse de croître. Cela nécessite que l'utilisateur d'un ordinateur personnel connaisse la nature des virus, les méthodes d'infection par les virus et la protection contre ceux-ci. C’est ce qui m’a motivé à choisir le sujet de mon travail.

C'est exactement ce dont je parle dans mon essai. Je montre les principaux types de virus, considère leurs schémas de fonctionnement, les raisons de leur apparition et les moyens de pénétrer dans un ordinateur, et propose également des mesures de protection et de prévention.

Le but du travail est de familiariser l'utilisateur avec les bases de la virologie informatique, d'apprendre à détecter les virus et à les combattre. Méthode de travail - analyse des publications imprimées sur ce sujet. J'ai été confronté à une tâche difficile : parler de quelque chose qui a été très peu étudié, et comment cela s'est avéré, c'est à vous de juger.

1. VIRUS INFORMATIQUES ET LEURS PROPRIÉTÉS ET CLASSEMENT

1.1. Propriétés des virus informatiques

De nos jours, on utilise des ordinateurs personnels dans lesquels l'utilisateur a libre accès à toutes les ressources de la machine. C’est ce qui a ouvert la possibilité d’un danger connu sous le nom de virus informatique.

Qu'est-ce qu'un virus informatique ? Une définition formelle de ce concept n'a pas encore été inventée, et il existe de sérieux doutes quant à sa possibilité de la donner. De nombreuses tentatives visant à fournir une définition « moderne » du virus ont échoué. Pour avoir une idée de la complexité du problème, essayons par exemple de définir la notion d'« éditeur ». Soit vous proposerez quelque chose de très général, soit vous commencerez à lister tous les types d’éditeurs connus. Les deux peuvent difficilement être considérés comme acceptables. Par conséquent, nous nous limiterons à considérer certaines propriétés des virus informatiques qui nous permettent d'en parler comme d'une certaine classe de programmes.

Tout d’abord, un virus est un programme. Une déclaration aussi simple peut à elle seule dissiper de nombreuses légendes sur les capacités extraordinaires des virus informatiques. Un virus peut retourner l’image sur votre moniteur, mais il ne peut pas retourner le moniteur lui-même. Les légendes selon lesquelles des virus tueurs « détruisent les opérateurs en affichant une palette de couleurs mortelles sur l'écran dans la 25e image » ne doivent pas non plus être prises au sérieux. Malheureusement, certaines publications réputées publient de temps en temps « les dernières nouvelles du secteur informatique », qui, après un examen plus approfondi, s'avèrent être le résultat d'une compréhension pas tout à fait claire du sujet.

Un virus est un programme qui a la capacité de se reproduire. Cette capacité est le seul moyen inhérent à tous les types de virus. Mais les virus ne sont pas les seuls à pouvoir s’auto-répliquer. Tout système d'exploitation et de nombreux autres programmes sont capables de créer leurs propres copies. Non seulement les copies du virus ne doivent pas nécessairement coïncider complètement avec l’original, mais elles peuvent même ne pas coïncider du tout avec celui-ci !

Un virus ne peut pas exister dans un « isolement complet » : il est aujourd'hui impossible d'imaginer un virus qui n'utilise pas le code d'autres programmes, des informations sur la structure des fichiers ou même simplement les noms d'autres programmes. La raison est claire : le virus doit d’une manière ou d’une autre garantir que le contrôle lui est transféré.

1.2. Classification des virus

Actuellement, plus de 5 000 virus logiciels sont connus, ils peuvent être classés selon les critères suivants :

habitat

¨ méthode de contamination de l'habitat

influence

¨ caractéristiques de l'algorithme

Selon leur habitat, les virus peuvent être divisés en virus de réseau, de fichier, de démarrage et de démarrage de fichier. Virus de réseau répartis sur différents réseaux informatiques. Les virus de fichiers sont principalement intégrés dans des modules exécutables, c'est-à-dire dans des fichiers portant les extensions COM et EXE. Virus de fichiers peuvent être intégrés dans d'autres types de fichiers, mais, en règle générale, écrits dans de tels fichiers, ils ne reçoivent jamais de contrôle et perdent donc la capacité de se reproduire. Virus de démarrage sont intégrés dans le secteur de démarrage du disque (Boot sector) ou dans le secteur contenant le programme de démarrage du disque système (Master Boot Re-

corde). Démarrage de fichier Les virus infectent à la fois les fichiers et les secteurs de démarrage des disques.

Sur la base de la méthode d'infection, les virus sont divisés en résidents et non-résidents. Virus résident lorsqu’un ordinateur est infecté (infecté), il laisse sa partie résidente dans la RAM, qui intercepte alors l’accès du système d’exploitation aux objets d’infection (fichiers, secteurs de démarrage du disque, etc.) et s’y injecte. Les virus résidents résident en mémoire et sont actifs jusqu'à ce que l'ordinateur soit éteint ou redémarré. Virus non résidents n’infectent pas la mémoire de l’ordinateur et sont actifs pendant une durée limitée.

En fonction du degré d'impact, les virus peuvent être divisés dans les types suivants :

¨ non dangereux, qui n'interfèrent pas avec le fonctionnement de l'ordinateur, mais réduisent la quantité de RAM libre et de mémoire disque, les actions de ces virus se manifestent par certains effets graphiques ou sonores

¨ dangereux virus pouvant entraîner divers problèmes avec votre ordinateur

¨ très dangereux, dont l'impact peut entraîner la perte de programmes, la destruction de données et l'effacement d'informations dans les zones système du disque.

2. PRINCIPAUX TYPES DE VIRUS ET LEUR SCHÉMA DE FONCTIONNEMENT

Parmi la variété de virus, on peut distinguer les groupes principaux suivants :

botte

déposer

¨ démarrage de fichier

Examinons maintenant de plus près chacun de ces groupes.

2.1. Virus de démarrage

Examinons le fonctionnement d'un virus de démarrage très simple qui infecte les disquettes. Nous contournerons délibérément toutes les nombreuses subtilités qui seraient inévitablement rencontrées lors d'une analyse stricte de l'algorithme de son fonctionnement.

Que se passe-t-il lorsque vous allumez votre ordinateur ? Tout d'abord, le contrôle est transféré programme d'amorçage, qui est stocké dans une mémoire morte (ROM), c'est-à-dire ROM PNZ.

Ce programme teste le matériel et, si les tests réussissent, tente de retrouver la disquette dans le lecteur A :

Chaque disquette est marquée de ce qu'on appelle. secteurs et pistes. Les secteurs sont regroupés en clusters, mais cela n'est pas significatif pour nous.

Parmi les secteurs, il existe plusieurs secteurs de service, utilisés par le système d'exploitation pour ses propres besoins (ces secteurs ne peuvent pas contenir vos données). Parmi les secteurs de services, nous nous intéressons actuellement à un - ce qu'on appelle. Secteur de démarrage(Secteur de démarrage).

Les magasins du secteur bottes informations sur la disquette- nombre de surfaces, nombre de pistes, nombre de secteurs, etc. Mais maintenant nous ne nous intéressons pas à ces informations, mais en petit programme d'amorçage(PNZ), qui doit charger le système d'exploitation lui-même et lui transférer le contrôle.

Le schéma d’amorçage normal est donc le suivant :

Examinons maintenant le virus. Les virus de démarrage comportent deux parties - ce qu'on appelle. tête etc. queue. La queue, en général, peut être vide.

Supposons que vous ayez une disquette vierge et un ordinateur infecté, c'est-à-dire un ordinateur avec un virus résident actif. Dès que ce virus détecte qu'une victime appropriée est apparue dans le lecteur - dans notre cas, une disquette qui n'est pas protégée en écriture et n'a pas encore été infectée, il commence à infecter. Lors de l'infection d'une disquette, le virus effectue les actions suivantes :

Sélectionne une certaine zone du disque et la marque comme inaccessible au système d'exploitation, cela peut être fait de différentes manières, dans le cas le plus simple et traditionnel, les secteurs occupés par le virus sont marqués comme mauvais (mauvais)

Copie sa queue et le secteur de démarrage d'origine (sain) dans la zone sélectionnée du disque

Remplace le programme de démarrage dans le (vrai) secteur de démarrage par sa tête

Organise une chaîne de transfert de contrôle selon le schéma.

Ainsi, le responsable du virus est désormais le premier à recevoir le contrôle, le virus s'installe en mémoire et transfère le contrôle au secteur de démarrage d'origine. Dans une chaîne

PNZ (ROM) - PNZ (disque) - SYSTÈME

un nouveau lien apparaît :

PNZ (ROM) - VIRUS - PNZ (disque) - SYSTÈME

La morale est claire : Ne laissez jamais de disquettes (accidentellement) dans le lecteur A.

Nous avons examiné le schéma de fonctionnement d'un simple virus de démarrage qui vit dans les secteurs de démarrage des disquettes. En règle générale, les virus peuvent infecter non seulement les secteurs de démarrage des disquettes, mais également les secteurs de démarrage des disques durs. De plus, contrairement aux disquettes, le disque dur possède deux types de secteurs de démarrage contenant des programmes de démarrage qui reçoivent le contrôle. Lorsque l'ordinateur démarre à partir du disque dur, le programme de démarrage du MBR (Master Boot Record) prend le contrôle en premier. Si votre disque dur est divisé en plusieurs partitions, une seule d'entre elles est marquée comme étant de démarrage. Le programme de démarrage dans le MBR trouve la partition de démarrage du disque dur et transfère le contrôle au programme de démarrage de cette partition. Le code de ce dernier coïncide avec le code du programme de démarrage contenu sur les disquettes ordinaires, et les secteurs de démarrage correspondants ne diffèrent que par les tables de paramètres. Ainsi, sur le disque dur, il existe deux objets d'attaque par les virus de démarrage - programme de démarrage dans MBR Et programme primaire téléchargements du secteur de démarrage disque de démarrage système.

2.2. Virus de fichiers

Voyons maintenant comment fonctionne un simple virus de fichier. Contrairement aux virus de démarrage, qui sont presque toujours résidents, les virus de fichiers ne le sont pas nécessairement. Considérons le schéma de fonctionnement d'un virus de fichiers non résident. Disons que nous avons un fichier exécutable infecté. Lorsqu'un tel fichier est lancé, le virus prend le contrôle, effectue certaines actions et transfère le contrôle au « maître » (bien qu'on ne sache pas encore qui est le maître dans une telle situation).

Quelles actions le virus effectue-t-il ? Il recherche un nouvel objet à infecter - un fichier d'un type approprié qui n'a pas encore été infecté (si le virus est « décent », sinon il y en a qui infectent immédiatement sans rien vérifier). En infectant un fichier, le virus s'injecte dans son code afin d'en prendre le contrôle lors de l'exécution du fichier. En plus de sa fonction principale - la reproduction, le virus peut très bien faire quelque chose de complexe (dire, demander, jouer) - cela dépend déjà de l'imagination de l'auteur du virus. Si le virus de fichier est résident, il s'installera en mémoire et pourra infecter des fichiers et présenter d'autres capacités non seulement pendant l'exécution du fichier infecté. Lors de l'infection d'un fichier exécutable, un virus modifie toujours son code. Par conséquent, l'infection d'un fichier exécutable peut toujours être détectée. Mais en modifiant le code du fichier, le virus n'effectue pas nécessairement d'autres modifications :

à il n'est pas obligé de modifier la longueur du fichier

à sections de code inutilisées

à n'est pas nécessaire pour changer le début du fichier

Enfin, les virus de fichiers incluent souvent des virus qui « ont un certain rapport avec les fichiers » mais qui n'ont pas besoin d'être intégrés dans leur code. Considérons à titre d'exemple le schéma de fonctionnement des virus de la famille connue Dir-II. Il faut admettre que, apparus en 1991, ces virus sont devenus la cause d'une véritable épidémie de peste en Russie. Regardons un modèle qui montre clairement l'idée de base du virus. Les informations sur les fichiers sont stockées dans des répertoires. Chaque entrée du répertoire comprend le nom du fichier, la date et l'heure de sa création, quelques informations supplémentaires, premier numéro de cluster fichier, etc réserver des octets. Ces derniers sont laissés « en réserve » et ne sont pas utilisés par MS-DOS lui-même.

Lors de l'exécution de fichiers exécutables, le système lit le premier cluster du fichier, puis tous les autres clusters à partir de l'entrée du répertoire. Les virus de la famille Dir-II effectuent la « réorganisation » suivante du système de fichiers : le virus écrit lui-même sur certains secteurs libres du disque, qu'il marque comme mauvais. De plus, il stocke des informations sur les premiers groupes de fichiers exécutables dans des bits réservés et, à la place de ces informations, écrit des références à lui-même.

Ainsi, lorsqu'un fichier est lancé, le virus prend le contrôle (le système d'exploitation le lance lui-même), s'installe en mémoire et transfère le contrôle au fichier appelé.

2.3. Virus des fichiers de démarrage

Nous ne considérerons pas le modèle de virus du fichier de démarrage, car vous n’apprendrez aucune nouvelle information. Mais voici une bonne occasion de discuter brièvement du virus de fichier de démarrage OneHalf, récemment extrêmement « populaire », qui infecte le secteur de démarrage principal (MBR) et les fichiers exécutables. Le principal effet destructeur est le cryptage des secteurs du disque dur. Chaque fois qu'il est lancé, le virus crypte une autre partie de secteurs, et après avoir crypté la moitié du disque dur, il le signale volontiers. Le principal problème dans le traitement de ce virus est qu'il ne suffit pas de simplement supprimer le virus du MBR et des fichiers ; vous devez décrypter les informations cryptées par celui-ci. L’action la plus meurtrière consiste simplement à écraser un nouveau MBR sain. L'essentiel est de ne pas paniquer. Pesez tout calmement et consultez des experts.

2.4. Virus polymorphes

La plupart des questions portent sur le terme « virus polymorphe ». Ce type de virus informatique semble aujourd’hui être le plus dangereux. Expliquons ce que c'est.

Les virus polymorphes sont des virus qui modifient leur code dans les programmes infectés de telle sorte que deux copies du même virus ne correspondent pas en un seul bit.

Ces virus chiffrent non seulement leur code en utilisant différents chemins de chiffrement, mais contiennent également un code de génération de chiffreur et de décrypteur, ce qui les distingue des virus de chiffrement ordinaires, qui peuvent également chiffrer des sections de leur code, mais ont en même temps un code de chiffrement et de décryptage constant. .

Les virus polymorphes sont des virus dotés de décrypteurs auto-modifiables. Le but d'un tel cryptage : si vous disposez d'un fichier infecté et original, vous ne pourrez toujours pas analyser son code par un démontage régulier. Ce code est crypté et constitue un ensemble de commandes dénuées de sens. Le décryptage est effectué par le virus lui-même lors de son exécution. Dans ce cas, des options sont possibles : il peut se décrypter d'un seul coup, ou il peut effectuer un tel décryptage « à la volée », il peut rechiffrer les sections déjà utilisées. Tout cela est fait pour rendre difficile l’analyse du code du virus.

3. HISTORIQUE DE LA VIROLOGIE INFORMATIQUE ET RAISONS DE L'APPARITION DES VIRUS

L'histoire de la virologie informatique semble aujourd'hui être une « course au leader » constante et, malgré toute la puissance des programmes antivirus modernes, ce sont les virus qui sont en tête. Parmi des milliers de virus, seules quelques dizaines sont des développements originaux qui utilisent des idées véritablement fondamentalement nouvelles. Tout le reste n’est que des « variations sur un thème ». Mais chaque développement original oblige les créateurs d’antivirus à s’adapter aux nouvelles conditions et à rattraper leur retard en matière de technologie antivirus. Cette dernière peut être contestée. Par exemple, en 1989, un étudiant américain a réussi à créer un virus qui a désactivé environ 6 000 ordinateurs du ministère américain de la Défense. Ou encore l’épidémie du fameux virus Dir-II qui s’est déclarée en 1991. Le virus utilisait une technologie vraiment originale et fondamentalement nouvelle et a d'abord réussi à se propager largement en raison de l'imperfection des outils antivirus traditionnels.

Ou encore la montée des virus informatiques au Royaume-Uni : Christopher Pyne a réussi à créer les virus Pathogen et Queeq, ainsi que le virus Smeg. C'était le dernier qui était le plus dangereux ; il pouvait se superposer aux deux premiers virus, et pour cette raison, après chaque exécution du programme, ils modifiaient la configuration. Il était donc impossible de les détruire. Pour propager des virus, Pine copiait des jeux et des programmes informatiques, les infectait, puis les renvoyait sur le réseau. Les utilisateurs téléchargent des programmes infectés sur leurs ordinateurs et infectent leurs disques. La situation a été aggravée par le fait que Pine a réussi à introduire des virus dans le programme qui les combat. En le lançant, au lieu de détruire les virus, les utilisateurs en recevaient un autre. En conséquence, les dossiers de nombreuses entreprises ont été détruits, entraînant des pertes s’élevant à des millions de livres sterling.

Le programmeur américain Morris est devenu largement connu. Il est connu comme le créateur du virus qui, en novembre 1988, a infecté environ 7 000 ordinateurs personnels connectés à Internet.

Les raisons de l'émergence et de la propagation des virus informatiques, d'une part, sont cachées dans la psychologie de la personnalité humaine et ses côtés obscurs (envie, vengeance, vanité des créateurs méconnus, incapacité à utiliser ses capacités de manière constructive), d'autre part. d'autre part, en raison du manque de protection matérielle et de contre-mesure de la part des systèmes informatiques personnels de la salle d'opération.

4. VOIES PAR LES VIRUS ENTRANT DANS UN ORDINATEUR ET MÉCANISME DE DISTRIBUTION DES PROGRAMMES VIRUS

Les principaux moyens par lesquels les virus pénètrent dans un ordinateur sont les disques amovibles (disquettes et laser), ainsi que les réseaux informatiques. Un disque dur peut être infecté par des virus lors du chargement d'un programme à partir d'une disquette contenant un virus. Une telle infection peut également être accidentelle, par exemple si la disquette n'a pas été retirée du lecteur A et que l'ordinateur a été redémarré, et que la disquette n'est peut-être pas une disquette système. Il est beaucoup plus facile d'infecter une disquette. Un virus peut s'y introduire même si la disquette est simplement insérée dans le lecteur de disque d'un ordinateur infecté et, par exemple, si sa table des matières est lue.

En règle générale, un virus est introduit dans un programme de travail de telle manière que lors de son lancement, le contrôle lui est d'abord transféré et seulement après l'exécution de toutes ses commandes, il revient au programme de travail. Ayant accédé au contrôle, le virus se réécrit tout d'abord dans un autre programme de travail et l'infecte. Après avoir exécuté un programme contenant un virus, il devient possible d'infecter d'autres fichiers. Le plus souvent, le secteur de démarrage du disque et les fichiers exécutables portant les extensions EXE, COM, SYS, BAT sont infectés par un virus. Il est extrêmement rare que des fichiers texte soient infectés.

Après avoir infecté un programme, le virus peut effectuer une sorte de sabotage, pas trop grave pour ne pas attirer l'attention. Et enfin, n'oubliez pas de rendre le contrôle au programme à partir duquel il a été lancé. Chaque exécution d'un programme infecté transfère le virus au suivant. Ainsi, tous les logiciels seront infectés.

Pour illustrer le processus d'infection d'un programme informatique par un virus, il est logique de comparer le stockage sur disque à une archive à l'ancienne avec des dossiers sur bande. Les dossiers contiennent des programmes et la séquence d'opérations pour introduire un virus dans ce cas ressemblera à ceci (voir Annexe 1).

5. SIGNES DE VIRUS

Lorsque votre ordinateur est infecté par un virus, il est important de le détecter. Pour ce faire, vous devez connaître les principaux signes de virus. Ceux-ci incluent les éléments suivants :

¨ arrêt ou fonctionnement incorrect de programmes fonctionnant auparavant avec succès

¨ ralentissement des performances de l'ordinateur

¨ impossibilité de charger le système d'exploitation

¨ disparition de fichiers et répertoires ou distorsion de leur contenu

¨ changer la date et l'heure de modification du fichier

¨ redimensionner les fichiers

¨ augmentation significative inattendue du nombre de fichiers sur le disque

¨ réduction significative de la taille de la RAM libre

¨ affichage de messages ou d'images inattendus

¨ donner des signaux sonores inattendus

¨ blocages et pannes informatiques fréquents

Il convient de noter que les phénomènes ci-dessus ne sont pas nécessairement causés par la présence d’un virus, mais peuvent résulter d’autres raisons. Il est donc toujours difficile de diagnostiquer correctement l’état d’un ordinateur.

6. DÉTECTION DES VIRUS ET MESURES DE PROTECTION ET DE PRÉVENTION

6.1. Comment détecter un virus ? Approche traditionnelle

Ainsi, un certain auteur de virus crée un virus et le lance dans la « vie ». Il peut se promener à sa guise pendant un moment, mais tôt ou tard, le « lafa » prendra fin. Quelqu’un soupçonnera que quelque chose ne va pas. En règle générale, les virus sont découverts par des utilisateurs ordinaires qui remarquent certaines anomalies dans le comportement de leur ordinateur. Dans la plupart des cas, ils ne sont pas capables de faire face seuls à l'infection, mais cela ne leur est pas demandé.

Il suffit que le virus tombe entre les mains de spécialistes le plus rapidement possible. Les professionnels l'étudieront, découvriront « ce qu'il fait », « comment il fait », « quand il fait », etc. Au cours de ce travail, toutes les informations nécessaires sur ce virus sont collectées, notamment la signature de le virus est isolé - une séquence d'octets qui le caractérise très certainement. Pour créer une signature, les sections les plus importantes et les plus caractéristiques du code du virus sont généralement prises en compte. Dans le même temps, les mécanismes de fonctionnement du virus deviennent clairs. Par exemple, dans le cas d'un virus de démarrage, il est important de savoir où il cache sa queue, où se trouve le secteur de démarrage d'origine et dans le cas de un virus de fichier, la méthode d'infection du fichier. Les informations obtenues permettent de connaître :

· comment détecter un virus, à cet effet, des méthodes de recherche de signatures dans les objets potentiels d'une attaque virale - les fichiers et/ou secteurs de démarrage sont spécifiés

· comment neutraliser le virus, si possible, des algorithmes sont en cours de développement pour supprimer le code du virus des objets affectés

6.2. Programmes de détection et de protection contre les virus

Pour détecter, supprimer et protéger contre les virus informatiques, plusieurs types de programmes spéciaux ont été développés qui vous permettent de détecter et de détruire les virus. De tels programmes sont appelés antivirus . Il existe les types de programmes antivirus suivants :

· programmes de détection

· programmes médicaux ou phages

· programmes d'audit

· programmes de filtrage

Programmes de vaccination ou d'immunisation

Programmes de détection Ils recherchent une signature caractéristique d'un virus particulier dans la RAM et les fichiers et, s'ils sont trouvés, émettent un message correspondant. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

Programmes de doctorat ou phages, et programmes de vaccination non seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimez le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire un grand nombre de virus. Les plus connus d'entre eux : Aidstest, Scan, Norton AntiVirus, Doctor Web.

Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières des versions sont nécessaires.

Programmes d'audit sont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des états est effectuée immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés. Les programmes d'audit disposent d'algorithmes assez développés, détectent les virus furtifs et peuvent même nettoyer les modifications apportées à la version du programme vérifiée des modifications apportées par le virus. Parmi les programmes d'audit figure le programme Adinf, largement utilisé en Russie.

Filtrer les programmes ou "gardien" sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :

· tente de corriger les fichiers avec les extensions COM, EXE

· changer les attributs du fichier

écriture directe sur le disque à une adresse absolue

· écrire sur les secteurs de démarrage du disque

Lorsqu'un programme tente d'effectuer les actions spécifiées, le « garde » envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles car ils sont capables de détecter un virus dès les premiers stades de son existence, avant sa réplication. Cependant, ils ne « nettoient » pas les fichiers et les disques. Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages. Les inconvénients des programmes de surveillance incluent leur « caractère intrusif » (par exemple, ils émettent constamment un avertissement concernant toute tentative de copie d'un fichier exécutable), ainsi que d'éventuels conflits avec d'autres logiciels. Un exemple de programme de filtrage est le programme Vsafe, qui fait partie du package utilitaire MS DOS.

Vaccins ou vaccinateurs- Ce sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Actuellement, les programmes de vaccination ont une utilité limitée.

La détection rapide des fichiers et des disques infectés par des virus et la destruction complète des virus détectés sur chaque ordinateur permettent d'éviter la propagation d'une épidémie virale à d'autres ordinateurs.

6.3. Mesures de base pour se protéger contre les virus

Afin d'éviter d'exposer votre ordinateur à des virus et d'assurer un stockage fiable des informations sur les disques, vous devez suivre les règles suivantes :

¨ équipez votre ordinateur de programmes antivirus modernes, tels que Aidstest, Doctor Web, et mettez constamment à jour leurs versions

¨ avant de lire les informations stockées sur d'autres ordinateurs à partir de disquettes, vérifiez toujours la présence de virus sur ces disquettes en exécutant des programmes antivirus sur votre ordinateur

¨ lors du transfert de fichiers sous forme archivée sur votre ordinateur, vérifiez-les immédiatement après les avoir décompressés sur votre disque dur, en limitant la zone d'analyse aux seuls fichiers nouvellement enregistrés

¨ vérifiez périodiquement la présence de virus sur les disques durs de votre ordinateur en exécutant des programmes antivirus pour tester les fichiers, la mémoire et les zones système des disques à partir d'une disquette protégée en écriture, après avoir chargé le système d'exploitation à partir d'une disquette système protégée en écriture

¨ protégez toujours vos disquettes de l'écriture lorsque vous travaillez sur d'autres ordinateurs, si aucune information n'y sera écrite

¨ assurez-vous de faire des copies de sauvegarde sur disquettes des informations qui vous sont précieuses

¨ ne laissez pas de disquettes dans la pochette du lecteur A lors de la mise sous tension ou du redémarrage du système d'exploitation pour éviter que l'ordinateur ne soit infecté par des virus de démarrage

¨ utiliser des programmes antivirus pour contrôler l'entrée de tous les fichiers exécutables reçus des réseaux informatiques

¨ pour assurer une plus grande sécurité, Aidstest et Doctor Web doivent être combinés avec l'utilisation quotidienne de l'auditeur de disque Adinf

CONCLUSION

Ainsi, nous pouvons citer de nombreux faits indiquant que la menace qui pèse sur la ressource informationnelle augmente chaque jour, paniquant les décideurs des banques, des entreprises et des sociétés du monde entier. Et cette menace vient des virus informatiques qui déforment ou détruisent des informations vitales et précieuses, ce qui peut entraîner non seulement des pertes financières, mais aussi des pertes humaines.

Virus informatique - un programme spécialement écrit qui est capable de s'attacher spontanément à d'autres programmes, de créer des copies de lui-même et de les introduire dans des fichiers, des zones système de l'ordinateur et dans des réseaux informatiques afin de perturber le fonctionnement des programmes, d'endommager des fichiers et des répertoires et de créer toutes sortes d'interférences dans le fonctionnement de l'ordinateur.

Actuellement, plus de 5 000 virus logiciels sont connus, et leur nombre ne cesse de croître. Il existe des cas connus où des didacticiels ont été créés pour aider à écrire des virus.

Les principaux types de virus : boot, file, file-boot. Le type de virus le plus dangereux est polymorphe.

L’histoire de la virologie informatique montre clairement que tout développement informatique original oblige les créateurs d’antivirus à s’adapter aux nouvelles technologies et à améliorer constamment leurs programmes antivirus.

Les raisons de l'apparition et de la propagation des virus sont cachées, d'une part, dans la psychologie humaine, et d'autre part, en raison du manque de mesures de protection dans le système d'exploitation.

Les principales voies de pénétration des virus sont les disques amovibles et les réseaux informatiques. Pour éviter que cela ne se produise, suivez les mesures de protection. En outre, plusieurs types de programmes spéciaux appelés programmes antivirus ont été développés pour détecter, supprimer et protéger contre les virus informatiques. Si vous trouvez un virus sur votre ordinateur, alors en utilisant l'approche traditionnelle, il est préférable d'appeler un professionnel pour le découvrir plus en détail.

Mais certaines propriétés des virus intriguent même les spécialistes. Tout récemment, il était difficile d'imaginer qu'un virus puisse survivre à un démarrage à froid ou se propager à travers des fichiers de documents. Dans de telles conditions, il est impossible de ne pas attacher d'importance au moins à la formation initiale des utilisateurs en matière d'antivirus. Malgré la gravité du problème, aucun virus ne peut causer autant de dégâts qu’un utilisateur au visage blanc et aux mains tremblantes !

Donc, la santé de vos ordinateurs, la sécurité de vos données est entre vos mains !

Bibliographie

1. Informatique : Manuel / éd. Prof. N.V. Makarova. - M. : Finances et Statistiques, 1997.

2. Encyclopédie des secrets et des sensations / Préparé par. texte de Yu.N. Petrova. - Mn. : Littérature, 1996.

3. Bezrukov N.N. Virus informatiques. - M. : Nauka, 1991.

4. Mostovoy D.Yu. Technologies modernes de lutte contre les virus // PC World. - N°8. - 1993.

Méthodes de base pour détecter les virus

programmes antivirus développés parallèlement à l’évolution des virus. Avec l’émergence de nouvelles technologies permettant de créer des virus, l’appareil mathématique utilisé dans le développement des antivirus est devenu plus complexe.

Les premiers algorithmes antivirus étaient basés sur une comparaison avec un standard. Nous parlons de programmes dans lesquels le virus est détecté par le noyau classique à l'aide d'un certain masque. Le but de l'algorithme est d'utiliser des méthodes statistiques. Le masque doit, d'une part, être petit pour que le volume du fichier soit d'une taille acceptable, et d'autre part, suffisamment grand pour éviter les faux positifs (lorsque « le sien » est perçu comme « celui de quelqu'un d'autre », et vice-versa versa).

Les premiers programmes antivirus construits sur ce principe (les scanners dits polyphages) connaissaient un certain nombre de virus et savaient comment les traiter. Ces programmes ont été créés comme suit : le développeur, après avoir reçu le code du virus (le code du virus était initialement statique), a créé un masque unique (une séquence de 10 à 15 octets) basé sur ce code et l'a saisi dans la base de données du programme antivirus. Le programme antivirus a analysé les fichiers et, s'il a trouvé cette séquence d'octets, a conclu que le fichier était infecté. Cette séquence (signature) a été choisie de manière à ce qu'elle soit unique et ne se trouve pas dans un ensemble de données régulier.

Les approches décrites ont été utilisées par la plupart des programmes antivirus jusqu'au milieu des années 90, lorsque sont apparus les premiers virus polymorphes qui modifiaient leur corps selon des algorithmes imprévisibles à l'avance. Ensuite, la méthode de signature a été complétée par ce que l'on appelle l'émulateur de processeur, qui permet de trouver des virus cryptés et polymorphes qui ne possèdent pas explicitement de signature permanente.

Le principe de l'émulation du processeur est démontré dans la Fig. 1 . Si généralement une chaîne conditionnelle se compose de trois éléments principaux : CPU®OS®Programme, alors lors de l'émulation d'un processeur, un émulateur est ajouté à une telle chaîne. L'émulateur, pour ainsi dire, reproduit le travail du programme dans un espace virtuel et reconstruit son contenu original. L'émulateur est toujours capable d'interrompre l'exécution du programme, de contrôler ses actions, d'empêcher que quoi que ce soit ne soit gâché et d'appeler le noyau d'analyse antivirus.

Le deuxième mécanisme, apparu au milieu des années 90 et utilisé par tous les antivirus, est l’analyse heuristique. Le fait est que l'appareil d'émulation de processeur, qui permet d'obtenir une synthèse des actions effectuées par le programme analysé, ne permet pas toujours de rechercher ces actions, mais il permet d'effectuer une analyse et d'émettre une hypothèse. comme « virus ou pas virus ? »

Dans ce cas, la prise de décision repose sur des approches statistiques. Et le programme correspondant s'appelle un analyseur heuristique.

Pour se reproduire, le virus doit effectuer certaines actions spécifiques : copier en mémoire, écrire dans des secteurs, etc. L'analyseur heuristique (il fait partie du noyau antivirus) contient une liste de ces actions, examine le code exécutable du programme, détermine ce qu'il fait et, sur cette base, décide si le programme est un virus ou non. .

Dans le même temps, le pourcentage de virus manquants, même inconnus du programme antivirus, est très faible. Cette technologie est désormais largement utilisée dans tous les programmes antivirus.

Classification des programmes antivirus

les programmes antivirus sont classés en antivirus purs et antivirus à double usage (Fig. 2).

Les antivirus purs se distinguent par la présence d'un noyau antivirus, qui remplit la fonction d'analyse des échantillons. Le principe dans ce cas est qu’un traitement est possible si le virus est connu. Les antivirus purs, quant à eux, sont divisés en deux catégories en fonction du type d'accès aux fichiers : ceux qui exercent un contrôle par accès (à l'accès) ou par demande de l'utilisateur (à la demande). En règle générale, les produits à l'accès sont appelés moniteurs et les produits à la demande sont appelés scanners.

Le produit à la demande fonctionne selon le schéma suivant : l'utilisateur souhaite vérifier quelque chose et émet une demande (demande), après quoi la vérification est effectuée. Le produit On Access est un programme résident qui surveille l'accès et effectue une vérification au moment de l'accès.

De plus, les programmes antivirus, comme les virus, peuvent être divisés en fonction de la plate-forme sur laquelle l'antivirus fonctionne. En ce sens, outre Windows ou Linux, les plates-formes peuvent inclure Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Les programmes à double usage sont des programmes utilisés à la fois dans les antivirus et dans les logiciels qui ne sont pas des antivirus. Par exemple, CRC-checker - un auditeur de modifications basé sur des sommes de contrôle - peut être utilisé non seulement pour détecter les virus. Un type de programmes à double usage sont les bloqueurs comportementaux, qui analysent le comportement d'autres programmes et les bloquent lorsque des actions suspectes sont détectées. Les bloqueurs comportementaux diffèrent d'un antivirus classique doté d'un noyau antivirus, qui reconnaît et traite les virus analysés en laboratoire et pour lesquels un algorithme de traitement a été prescrit, en ce sens qu'ils ne peuvent pas traiter les virus car ils n'en connaissent rien. Cette propriété des bloqueurs leur permet de travailler avec n'importe quel virus, y compris les virus inconnus. Ceci est particulièrement pertinent aujourd'hui, car les distributeurs de virus et d'antivirus utilisent les mêmes canaux de transmission de données, à savoir Internet. Dans le même temps, une société antivirus a toujours besoin de temps pour obtenir le virus elle-même, l’analyser et écrire les modules de traitement appropriés. Les programmes du groupe à double usage vous permettent de bloquer la propagation du virus jusqu'à ce que l'entreprise écrive un module de traitement.

Examen des antivirus personnels les plus populaires

L'examen comprend les antivirus les plus populaires pour un usage personnel de cinq développeurs renommés. Il convient de noter que certaines des sociétés évoquées ci-dessous proposent plusieurs versions de programmes personnels qui diffèrent par leurs fonctionnalités et, par conséquent, par leur prix. Dans notre examen, nous avons examiné un produit de chaque entreprise, en choisissant la version la plus fonctionnelle, généralement appelée Personal Pro. D'autres options d'antivirus personnels peuvent être trouvées sur les sites Web correspondants.

Kaspersky Antivirus

Personnel Pro v. 4.0

Développeur : Kaspersky Lab. Site Web : http://www.kaspersky.ru/. Prix ​​: 69 $ (licence 1 an).

Kaspersky Anti-Virus Personal Pro (Fig. 3) est l'une des solutions les plus populaires sur le marché russe et contient un certain nombre de technologies uniques.

Le module de blocage comportemental d'Office Guard maintient l'exécution des macros sous contrôle, arrêtant toutes les actions suspectes. La présence du module Office Guard offre une protection à 100 % contre les virus de macro.

Inspector surveille toutes les modifications apportées à votre ordinateur et, si des modifications non autorisées sont détectées dans les fichiers ou dans le registre système, vous permet de restaurer le contenu du disque et de supprimer les codes malveillants. Inspector ne nécessite pas de mise à jour de la base de données antivirus : le contrôle d'intégrité est effectué sur la base de la prise des empreintes digitales des fichiers originaux (sommes CRC) et de leur comparaison ultérieure avec les fichiers modifiés. Contrairement aux autres inspecteurs, Inspector prend en charge tous les formats de fichiers exécutables les plus courants.

L'analyseur heuristique permet de protéger votre ordinateur même contre les virus inconnus.

L'intercepteur de virus en arrière-plan Monitor, qui est constamment présent dans la mémoire de l'ordinateur, effectue une analyse antivirus de tous les fichiers immédiatement au moment où ils sont lancés, créés ou copiés, ce qui vous permet de contrôler toutes les opérations sur les fichiers et d'empêcher toute infection même par le virus les plus avancés technologiquement.

Le filtrage antivirus des e-mails empêche les virus de pénétrer dans votre ordinateur. Le plug-in Mail Checker supprime non seulement les virus du corps d'un e-mail, mais restaure également complètement le contenu original des e-mails. Une analyse complète de la correspondance électronique ne permet pas à un virus de se cacher dans aucun élément d'un e-mail en analysant toutes les zones des messages entrants et sortants, y compris les fichiers joints (y compris ceux archivés et emballés) et autres messages de tout niveau d'imbrication.

L'analyseur antivirus Scanner permet d'effectuer à la demande une analyse à grande échelle de l'intégralité du contenu des lecteurs locaux et réseau.

L'intercepteur de virus de script Script Checker fournit une analyse antivirus de tous les scripts en cours d'exécution avant leur exécution.

La prise en charge des fichiers archivés et compressés offre la possibilité de supprimer le code malveillant d'un fichier compressé infecté.

L'isolement des objets infectés garantit l'isolement des objets infectés et suspects et leur déplacement ultérieur vers un répertoire spécialement organisé pour une analyse et une récupération plus approfondies.

L'automatisation de la protection antivirus vous permet de créer un calendrier et un ordre de fonctionnement des composants du programme ; télécharger et connecter automatiquement les nouvelles mises à jour de la base de données antivirus via Internet ; envoyer des avertissements sur les attaques de virus détectées par e-mail, etc.

Norton AntiVirus 2003 Édition Professionnelle

Développeur : Symantec. Site Web : http://www.symantec.ru/.

Prix ​​89,95 euros.

Le programme fonctionne sous Windows 95/98/Me/NT4.0/2000 Pro/XP.

Prix ​​: 39,95 $

Le programme fonctionne sous Windows 95/98/Me/NT4.0/2000 Pro/XP.

Ces programmes peuvent être classés en cinq groupes principaux : filtres, détecteurs, auditeurs, médecins et vaccinateurs.

Filtres antivirus- ce sont des programmes résidents qui informent l'utilisateur de toutes les tentatives d'un programme pour écrire sur un disque, et encore moins pour le formater, ainsi que d'autres actions suspectes (par exemple, les tentatives de modification des paramètres CMOS). Vous serez invité à autoriser ou refuser cette action. Le principe de fonctionnement de ces programmes repose sur l'interception des vecteurs d'interruption correspondants. L'avantage des programmes de cette classe par rapport aux programmes de détection est leur polyvalence par rapport aux virus connus et inconnus, tandis que les détecteurs sont écrits pour des types spécifiques actuellement connus du programmeur. Cela est particulièrement vrai aujourd'hui, alors que de nombreux virus mutants sont apparus sans code permanent. Cependant, les programmes de filtrage ne peuvent pas suivre les virus qui accèdent directement au BIOS, ainsi que les virus BOOT qui sont activés avant même le démarrage de l'antivirus, dans la phase initiale de chargement du DOS. Les inconvénients incluent également l'émission fréquente de requêtes pour effectuer n'importe quelle opération : réponses à les questions prennent beaucoup de temps à l'utilisateur et l'énervent. Lors de l'installation de certains filtres antivirus, des conflits peuvent survenir avec d'autres programmes résidents utilisant les mêmes interruptions, qui cessent tout simplement de fonctionner.

Les plus répandus dans notre pays sont programmes de détection, ou plutôt des programmes qui combinent détecteur et médecin. Les représentants les plus connus de cette classe - Aidstest, Doctor Web, MicroSoft AntiVirus - seront abordés plus en détail ci-dessous. Les détecteurs antivirus sont conçus pour des virus spécifiques et sont basés sur la comparaison de la séquence de codes contenus dans le corps du virus avec les codes des programmes analysés. De nombreux programmes de détection vous permettent également de « nettoyer » les fichiers ou les disques infectés en supprimant les virus (bien entendu, le traitement n'est pris en charge que pour les virus connus du programme de détection). Ces programmes doivent être mis à jour régulièrement, car ils deviennent rapidement obsolètes et ne peuvent pas détecter de nouveaux types de virus.

Auditeurs- ce sont des programmes qui analysent l'état actuel des fichiers et des zones système du disque et le comparent avec les informations précédemment enregistrées dans l'un des fichiers de données de l'auditeur. Cela vérifie l'état du secteur BOOT, la table FAT, ainsi que la longueur des fichiers, leur heure de création, leurs attributs et leur somme de contrôle. En analysant les messages du programme d'audit, l'utilisateur peut décider si les modifications ont été causées par un virus ou non. Lorsque vous envoyez des messages de ce type, ne paniquez pas, car la cause des changements, par exemple dans la durée du programme, peut ne pas être du tout un virus.

Le dernier groupe comprend les antivirus les plus inefficaces - vaccinateurs. Ils inscrivent les signes d'un virus spécifique dans le programme de vaccination afin que le virus le considère comme déjà infecté.

Dans notre pays, comme mentionné ci-dessus, les programmes antivirus combinant les fonctions de détecteurs et de médecins sont devenus particulièrement populaires. Le plus célèbre d'entre eux est le programme AIDSTEST de D.N. Lozinsky. Ce programme a été inventé en 1988 et depuis lors, il a été constamment amélioré et étendu. En Russie, presque tous les ordinateurs personnels compatibles IBM disposent d'une des versions de ce programme. L'une des dernières versions détecte plus de 1 500 virus.

Le programme Aidstest est conçu pour réparer les programmes infectés par des virus ordinaires (non polymorphes) qui ne modifient pas leur code. Cette limitation est due au fait que ce programme recherche les virus à l'aide de codes d'identification. Mais en même temps, une vitesse de vérification des fichiers très élevée est obtenue.

Pour son fonctionnement normal, Aidstest nécessite qu'il n'y ait pas d'antivirus résidents en mémoire qui bloquent l'écriture dans les fichiers programme, ils doivent donc être déchargés, soit en spécifiant l'option de déchargement au programme résident lui-même, soit en utilisant l'utilitaire approprié.

Une fois lancé, Aidstest vérifie la RAM à la recherche de virus connus et les neutralise. Dans ce cas, seules les fonctions du virus associées à la reproduction sont paralysées, tandis que d'autres effets secondaires peuvent subsister. Par conséquent, une fois le virus neutralisé en mémoire, le programme émet une demande de redémarrage. Vous devez absolument suivre ce conseil si l'opérateur du PC n'est pas un programmeur système qui étudie les propriétés des virus. Cependant, vous devez redémarrer à l'aide du bouton RESET, car lors d'un « redémarrage à chaud », certains virus peuvent persister. De plus, il est préférable d'exécuter la machine et Aidstest avec une disquette protégée en écriture, car lorsqu'il est exécuté à partir d'un disque infecté, le virus peut écrire dans la mémoire en tant que résident et interférer avec le traitement.

Aidstest teste son corps pour détecter la présence de virus connus et juge également, grâce aux distorsions de son code, s'il est infecté par un virus inconnu. Dans ce cas, des cas de fausses alarmes sont possibles, par exemple lorsque l'antivirus est compressé par un packager. Le programme n'a pas d'interface graphique et ses modes de fonctionnement sont définis à l'aide de touches. En spécifiant le chemin, vous pouvez vérifier non pas l'intégralité du disque, mais un sous-répertoire distinct.

Inconvénients du programme Aidstest :

Ne reconnaît pas les virus polymorphes ;

Il n’est pas équipé d’un analyseur heuristique lui permettant de retrouver des virus qui lui sont inconnus ;

Ne sait pas vérifier et désinfecter les fichiers dans les archives ;

Ne reconnaît pas les virus dans les programmes traités par les packers de fichiers exécutables tels que EXEPACK, DIET, PKLITE, etc.

Avantages d’Aidstest :

Facile à utiliser;

Fonctionne très rapidement ;

Reconnaît une partie importante des virus ;

Bien intégré au programme d'audit Adinf ;

Fonctionne sur presque tous les ordinateurs.

Récemment, la popularité d'un autre programme antivirus, Doctor Web, proposé par la société Dialog-Science, a rapidement augmenté. Ce programme a été créé en 1994 par I.A. Danilov. Dr. Le Web, comme Aidstest, appartient à la classe des détecteurs de médecins, mais contrairement à ces derniers, il dispose d'un soi-disant « analyseur heuristique » - un algorithme qui vous permet de détecter des virus inconnus. "Healing Web", comme le nom du programme est traduit de l'anglais, est devenu la réponse des programmeurs nationaux à l'invasion de virus mutants auto-modifiables qui, en se multipliant, modifient leur corps de sorte qu'aucune chaîne caractéristique d'octets qui était présent dans la version originale des restes du virus. Ce programme est soutenu par le fait qu'une licence importante (pour 2 000 ordinateurs) a été acquise par la Direction principale des ressources d'information sous la présidence de la Fédération de Russie et que le deuxième acheteur du « Web » était Inkombank.

Les modes sont contrôlés à l'aide de touches, tout comme dans Aidtest. L'utilisateur peut demander au programme de tester à la fois l'intégralité du disque et des sous-répertoires ou groupes de fichiers individuels, ou refuser d'analyser les disques et tester uniquement la RAM. À votre tour, vous pouvez tester soit uniquement la mémoire de base, soit, en plus, la mémoire étendue. Comme Aidstest, Doctor Web peut créer un rapport de travail, charger un générateur de caractères cyrilliques et prendre en charge le travail avec le complexe logiciel et matériel Sheriff.

Test du disque dur Dr. Le test Web prend beaucoup plus de temps que le test Aidstest, de sorte que tous les utilisateurs ne peuvent pas se permettre de passer autant de temps à vérifier l'intégralité du disque dur chaque jour. Il peut être conseillé à ces utilisateurs de vérifier plus attentivement les disquettes apportées de l'extérieur. Si les informations sur la disquette se trouvent dans une archive (et depuis peu, les programmes et les données sont transférés d'une machine à l'autre uniquement sous cette forme ; même les fabricants de logiciels, par exemple Borland, emballent leurs produits), vous devez les décompresser dans un répertoire séparé sur le disque dur et immédiatement, sans attendre, lancez Dr. Web, en lui donnant en paramètre à la place du nom du disque le chemin complet de ce sous-répertoire. Et pourtant, vous devez effectuer une analyse complète du disque dur à la recherche de virus au moins une fois toutes les deux semaines, en définissant le niveau maximum d'analyse heuristique.

Tout comme dans le cas d'Aidstest, lors du test initial, vous ne devez pas autoriser le programme à désinfecter les fichiers dans lesquels il détecte un virus, car il ne peut être exclu que la séquence d'octets acceptée comme modèle dans l'antivirus puisse se trouver dans un programme sain.

Contrairement à Aidstest, le Dr. La toile:

reconnaît les virus polymorphes;

équipé d'un analyseur heuristique ;

peut vérifier et désinfecter les fichiers dans les archives ;

vous permet de tester des fichiers vaccinés avec CPAV, ainsi que packagés avec LZEXE, PKLITE, DIET.

La société Dialog-Nauka propose différentes versions du programme DrWeb pour DOS. Comme vous le savez, il existe deux versions pour DOS, traditionnellement appelées 16 bits Et 32 bits(ce dernier est aussi appelé Doctor Web pour DOS/386, DrWeb386). Ces noms (16 et 32 ​​bits) reflètent pleinement l'essence de la différence entre les versions DOS, mais seuls les spécialistes peuvent le voir directement à partir des noms. Seule la version 32 bits possède toutes les fonctionnalités des autres versions modernes de Doctor Web (en particulier les versions pour Windows).

La version 16 bits, en raison des limitations sur la quantité de mémoire disponible imposées par le système d'exploitation, ne possède pas aujourd'hui certaines « compétences » extrêmement importantes ; en particulier, elles n'y sont pas incluses (et en raison des limitations de mémoire spécifiées, ne peut pas être inclus) :

modules de « maintenance » pour les types de virus modernes connus (en particulier, nous parlons de virus macro et furtifs) ;

modules d'analyse heuristique pour détecter des virus modernes inconnus ;

modules pour décompresser les types modernes d'archives et de programmes Windows packagés, etc.

Ainsi, bien que la version 16 bits utilise la même base de données virale (fichiers VDB) que les versions 32 bits, l'absence de certains modules rend impossible le traitement des virus correspondants.

De plus, pour les mêmes raisons, la version 16 bits ne prend pas en charge certains logiciels et matériels modernes, ce qui peut la rendre instable ou incorrecte.

Étant donné que la version 32 bits est entièrement fonctionnelle et que, comme le montre son autre nom - Doctor Web pour DOS/386, elle peut être utilisée pour travailler sous DOS sur des ordinateurs équipés d'un processeur d'au moins 386, tous les utilisateurs qui ont besoin de Doctor La version Web pour DOS devrait l'utiliser exactement.

Quant à la version 16 bits, elle continue de sortir, puisqu'il existe encore un parc d'anciennes machines sur la plateforme 86/286, sur lesquelles la version 32 bits ne peut pas fonctionner.

(Protection des logiciels antivirus)

Un produit logiciel intéressant est l'antivirus AVSP. Ce programme combine un détecteur, un médecin et un auditeur, et possède même des fonctions de filtre résident (interdisant l'écriture dans des fichiers avec l'attribut READ ONLY). L'antivirus peut traiter à la fois les virus connus et inconnus, et l'utilisateur lui-même peut informer le programme sur la manière de traiter ces derniers. De plus, AVSP peut traiter les virus auto-modifiables et furtifs.

Lorsque vous démarrez AVSP, un système de fenêtres avec des menus et des informations sur l'état du programme apparaît. Très pratique système d'indices contextuels, qui fournit des explications pour chaque élément de menu. Il s'appelle classiquement, avec la touche F1, et change lors du passage d'un élément à l'autre. Un autre avantage important à l’ère de Windows et d’OS/2 est la prise en charge de la souris. Un inconvénient important de l'interface AVSP est l'absence de possibilité de sélectionner des éléments de menu en appuyant sur une touche avec la lettre correspondante, bien que cela soit quelque peu compensé par la possibilité de sélectionner un élément en appuyant sur ALT et le chiffre correspondant au numéro de celui-ci. article.

Le forfait AVSP comprend également pilote résident AVSP.SYS, qui permet de détecter la plupart des virus invisibles (à l'exception des virus comme Ghost-1963 ou DIR), de désactiver les virus pendant toute la durée de son fonctionnement, et interdit également de modifier les fichiers en LECTURE SEULE.

Une autre fonction d'AVSP.SYS est désactiver les virus résidents pendant l'exécution d'AVSP.EXE Cependant, outre les virus, le pilote désactive également certains autres programmes résidents. Lorsque vous lancez AVSP pour la première fois, vous devez tester votre système pour détecter les virus connus. Cela vérifie la RAM, le secteur BOOT et les fichiers. Dans certains cas, vous pouvez même récupérer des fichiers endommagés par un virus inconnu. Vous pouvez vérifier la taille des fichiers, leurs sommes de contrôle, la présence de virus ou tout cela ensemble. Vous pouvez également spécifier exactement ce qu'il faut vérifier (secteur de démarrage, mémoire ou fichiers). Comme pour la plupart des programmes antivirus, l'utilisateur a ici la possibilité de choisir entre vitesse et qualité. L'essence de la vérification à grande vitesse est que ce n'est pas l'intégralité du fichier qui est analysé, mais seulement son début ; dans ce cas, la plupart des virus peuvent être détectés. Si un virus est écrit au milieu ou si le fichier est infecté par plusieurs virus (alors que les « anciens » virus sont, pour ainsi dire, poussés au milieu par les « jeunes »), alors le programme ne le remarquera pas. Par conséquent, une optimisation de la qualité doit être installée, d'autant plus que dans AVSP, les tests de haute qualité ne prennent pas beaucoup plus de temps que les tests à grande vitesse.

AVSP peut commettre de nombreuses erreurs lors de la détection automatique de nouveaux virus. Ainsi, lors de la détection automatique d'un modèle, vous devez prendre le temps de vérifier s'il s'agit réellement d'un virus et si ce modèle se produira dans des programmes sains.

Si AVSP détecte un virus connu au cours du processus, vous devez prendre les mêmes mesures que lorsque vous travaillez avec Aidstest et Dr. Web : copiez le fichier sur le disque, redémarrez depuis la disquette de sauvegarde et lancez AVSP. Il est également conseillé de charger le pilote AVSP.SYS en mémoire, car il aide le programme principal à traiter les virus furtifs.

Une autre fonctionnalité utile est désassembleur intégré. Avec son aide, vous pouvez déterminer s'il y a un virus dans le fichier ou si AVSP a provoqué un faux positif lors de la vérification du disque. De plus, vous pouvez essayer de connaître la méthode d'infection, le principe de fonctionnement du virus, ainsi que l'endroit où il a « caché » les octets remplacés du fichier (s'il s'agit de ce type de virus). Tout cela vous permettra d'écrire une procédure de suppression de virus et de restaurer les fichiers endommagés. Une autre fonctionnalité utile consiste à émettre carte visuelle des changements. La carte des modifications vous permet d'évaluer si ces modifications correspondent ou non au virus, ainsi que de restreindre la zone de recherche du corps du virus lors du démontage.

Le programme AVSP dispose de deux algorithmes pour neutraliser les virus furtifs (« invisibles »), et les deux ne fonctionnent que s'il y a un virus actif en mémoire. Voici ce qui se passe lorsque ces algorithmes sont implémentés : tous les fichiers sont copiés dans des fichiers de données puis effacés. Seuls les fichiers avec l'attribut SYSTEM sont enregistrés. Dans Adinf, le processus de suppression des Stealths est beaucoup plus simple.

Le programme AVSP surveille également l'état des secteurs de démarrage. Si le secteur BOOT d'une disquette est infecté et que l'antivirus ne peut pas le guérir, vous devez alors effacer le code de démarrage. La disquette deviendra non systémique, mais les données ne seront pas perdues. Vous ne pouvez pas faire cela avec un disque dur. Si des changements sont détectés dans l'un des secteurs BOOT du disque dur, AVSP proposera de l'enregistrer dans un fichier puis tentera de supprimer le virus.

Microsoft Antivirus

Les versions modernes de MS-DOS (par exemple, 6.22) incluent le programme antivirus Microsoft Antivirus (MSAV). Cet antivirus peut fonctionner en modes détecteur-médecin et auditeur. MSAV a Interface de style MS-Windows, naturellement, la souris est prise en charge. Bien mis en œuvre aide contextuelle : Il existe un indice pour presque tous les éléments de menu, pour toutes les situations. L'accès aux éléments de menu est universellement implémenté : pour cela vous pouvez utiliser les touches curseur, les touches clés (F1-F9), les touches correspondant à l'une des lettres du nom de l'élément, ainsi que la souris. Un inconvénient sérieux lors de l'utilisation du programme est qu'il enregistre les tables avec les données des fichiers non pas dans un seul fichier, mais les disperse dans tous les répertoires.

Une fois lancé, le programme charge son propre générateur de caractères et lit l'arborescence des répertoires du disque actuel, après quoi il revient au menu principal. On ne sait pas pourquoi l'arborescence des répertoires doit être lue immédiatement au démarrage : après tout, l'utilisateur peut ne pas vouloir vérifier le disque actuel.

Lors de la première vérification, MSAV crée des fichiers CHKLIST.MS dans chaque répertoire contenant des fichiers exécutables, dans lesquels il écrit des informations sur la taille, la date, l'heure, les attributs, ainsi que la somme de contrôle des fichiers contrôlés. Lors des vérifications ultérieures, le programme comparera les fichiers avec les informations des fichiers CHKLIST.MS. Si la taille et la date ont changé, le programme en informera l'utilisateur et demandera d'autres actions : mettre à jour les informations (Mise à jour), définir la date et l'heure conformément aux données de CHKLIST.MS (Réparation), continuer, non en prêtant attention aux modifications de ce fichier (Continuer), interrompre la vérification (Stop).

Dans le menu Options, vous pouvez configurer le programme comme vous le souhaitez. Ici, vous pouvez définir le mode pour rechercher les virus invisibles (Anti-Stealth), vérifier tous les fichiers (pas seulement exécutables) (Vérifier tous les fichiers) et également autoriser ou désactiver la création de tables CHKLIST.MS (Créer de nouvelles sommes de contrôle). De plus, vous pouvez définir le mode d'enregistrement d'un rapport sur le travail effectué dans un fichier. Si vous définissez l'option Créer une sauvegarde, avant de supprimer le virus du fichier infecté, une copie de celui-ci sera enregistrée avec l'extension VIR.

Dans le menu principal, vous pouvez afficher la liste des virus connus du programme MSAV en appuyant sur la touche F9. Cela affichera une fenêtre avec les noms des virus. Pour afficher des informations plus détaillées sur le virus, vous devez déplacer le curseur sur son nom et appuyer sur ENTRÉE. Vous pouvez accéder rapidement au virus qui vous intéresse en tapant les premières lettres de son nom. Les informations sur le virus peuvent être envoyées à l'imprimante en sélectionnant l'élément de menu approprié.

(Diskinfoscope avancé)

ADinf appartient à la classe des programmes d’audit. Ce programme a été créé par D.Yu. Mostov en 1991

La famille de programmes ADinf est constituée d'auditeurs de disque conçus pour fonctionner sur des ordinateurs personnels exécutant les systèmes d'exploitation MS-DOS, MS-Windows 3.xx, Windows 95/98 et Windows NT/2000. Les programmes fonctionnent sur la base d'une surveillance régulière des changements survenant sur les disques durs. Si un virus apparaît, ADinf le détecte par les modifications qu'il apporte au système de fichiers et/ou au secteur de démarrage du disque et en informe l'utilisateur. Contrairement aux scanners antivirus, ADinf n'utilise pas de « portraits » (signatures) de virus spécifiques dans son travail. ADinf est donc particulièrement efficace pour détecter de nouveaux virus pour lesquels aucun antidote n’a encore été inventé.

Il convient particulièrement de noter qu'ADinf n'utilise pas les fonctions du système d'exploitation pour surveiller les disques. Il lit le disque secteur par secteur et analyse indépendamment la structure du système de fichiers, ce qui lui permet de détecter les virus dits furtifs.

Si l'unité de traitement Adinf est installée dans le système ( ADinf Guérir Module ), alors ce tandem est capable non seulement de détecter, mais aussi d'éliminer avec succès les infections émergentes. Les tests ont montré que le module ADinf Cure est capable de traiter avec succès 97 % des virus, en restaurant les fichiers endommagés jusqu'à l'octet.

Les propriétés utiles d’ADinf ne se limitent pas à la simple lutte contre les virus. Essentiellement, ADinf est un système qui vous permet de surveiller la sécurité des informations sur les disques et de détecter tout changement, même subtil, dans le système de fichiers, à savoir les changements dans les zones système, les changements de fichiers, la création et la suppression de répertoires, la création, la suppression, le renommage. et déplacer des fichiers d'un répertoire vers un catalogue. La composition des informations contrôlées est configurée de manière flexible, ce qui vous permet de contrôler uniquement ce qui est nécessaire.

La première version du programme est sortie en 1991 et depuis lors, ADinf est à juste titre l'auditeur le plus populaire en Russie et dans les pays de l'ex-URSS. Aujourd’hui, il est difficile de compter le nombre d’utilisateurs légaux et illégaux d’ADinf. Plus de 2 500 entreprises abonnés à la suite antivirus Dialog-Science, qui comprend ADinf, protègent leurs ordinateurs avec celui-ci. Le programme ADinf a reçu des certificats dans le système de certification GOST R., le système de certification des outils de sécurité de l'information du ministère de la Défense et le certificat de la Commission technique d'État auprès du président de la Fédération de Russie (dans le cadre du programme Dialog-Science Anti -Kit antivirus). Le programme est constamment amélioré et est toujours à la pointe de la technologie moderne.

Initialement, l'auditeur ADinf a été développé pour le système d'exploitation MS-DOS. Ensuite, des versions du programme ont été publiées pour Windows 3.xx et Windows 95/98/NT. Il existe désormais une famille d'auditeurs compatibles pour différents systèmes d'exploitation. Toutes les variantes d'ADinf prennent aujourd'hui en charge les systèmes de fichiers Windows 95/98, les noms de fichiers et de répertoires longs et analysent la structure interne des fichiers exécutables Windows 95/98 et NT.

Ainsi, le programme Adinf :

a une vitesse de fonctionnement élevée;

est capable de résister avec succès aux virus situés en mémoire ;

vous permet de contrôler le disque en le lisant secteur par secteur via le BIOS et sans utiliser les interruptions du système DOS, qui peuvent être interceptées par un virus ;

peut traiter jusqu'à 32 000 fichiers sur chaque disque ;

contrairement à AVSP, dans lequel l'utilisateur doit analyser indépendamment si la machine est infectée par un virus furtif en démarrant d'abord à partir du disque dur puis à partir de la disquette de référence, dans ADinf cette opération se produit automatiquement ;

Contrairement à d'autres antivirus, Advansed Diskinfoscope ne nécessite pas de démarrage à partir d'une disquette de référence protégée en écriture. Lors du chargement à partir d'un disque dur, la fiabilité de la protection ne diminue pas ;

ADinf possède une interface conviviale bien exécutée qui, contrairement à AVSP, n'est pas implémentée en texte, mais en mode graphique ;

Lors de l'installation d'ADinf dans le système, il est possible de modifier le nom du fichier principal ADINF.EXE et le nom des tables, et l'utilisateur peut spécifier n'importe quel nom. C'est une fonction très utile, car récemment, de nombreux virus sont apparus qui « chassent » les antivirus (par exemple, il existe un virus qui modifie le programme Aidstest de sorte qu'au lieu de l'économiseur d'écran DialogueScience, il écrit : « Lozinsky est une souche » ), y compris pour ADinf.

Il existe plusieurs versions de l'auditeur Adinf pour différents systèmes d'exploitation. Chacun d'eux a ses propres caractéristiques.

Auditeur ADinf conçu pour les systèmes d'exploitation MS-DOS et Windows 95/98. Il s'agit d'un développement de la première version de l'auditeur, créée en 1991. Aujourd'hui, ADinf est l'outil le plus fiable pour détecter les virus connus et nouveaux inconnus. C'est le seul auditeur au monde qui vérifie le système de fichiers en lisant secteur par secteur directement via le BIOS de l'ordinateur.

Auditeur ADinf pour Windows conçu pour le système d'exploitation Windows 3.xx. Cette version du programme ajoute une interface utilisateur graphique pratique à toutes les propriétés de l'auditeur ADinf.

Auditeur ADinfPro est conçu pour surveiller la sécurité d'informations particulièrement précieuses, telles que des bases de données ou des documents, dans l'environnement des systèmes d'exploitation MS-DOS, Windows 3.xx et Windows 95/98. Une particularité de cette version du programme est l'utilisation d'une fonction de hachage de 64 bits pour contrôler l'intégrité des fichiers, développée par la célèbre société russe LAN-Crypto. L'utilisation de cette fonction de hachage garantit non seulement la détection des modifications accidentelles de fichiers ou causées par des virus, mais rend également impossible toute modification intentionnelle des données sur le disque sans se faire remarquer.

Auditeur ADinf32 est une application multithread 32 bits pour les systèmes d'exploitation Windows 95/98 et Windows NT avec une interface utilisateur moderne. Cette version du programme présente non seulement tous les avantages des autres options, mais contient également de nombreuses nouveautés par rapport à elles.

A noter que le programme Adinf est bien intégré aux autres programmes du kit DSAV de Dialog-Nauka. Ainsi, Adinf crée une liste de fichiers nouveaux et modifiés sur le disque, et Aidstest et DrWeb peuvent vérifier les fichiers de cette liste, ce qui réduit considérablement le temps de fonctionnement de ces programmes.

(Boîte à outils antivirale Pro)

Ce programme a été créé par Kaspersky Lab. AVP possède l’un des mécanismes de détection de virus les plus avancés. Aujourd'hui, l'AVP n'est pratiquement en rien inférieur à ses homologues occidentaux.

AVP offre aux utilisateurs un service maximal - la possibilité de mettre à jour les bases de données antivirus via Internet, la possibilité de définir des paramètres pour l'analyse et la désinfection automatiques des fichiers infectés. Des mises à jour sur le site Web d'AVP apparaissent presque chaque semaine et la base de données comprend des descriptions de près de 40 000 virus.

AVP se compose de plusieurs modules importants :

• 1) Scanner AVP vérifie les disques durs pour les virus. Vous pouvez définir une recherche complète dans laquelle le programme analysera tous les fichiers d'affilée, ainsi que définir le mode d'analyse des fichiers archivés. L'un des principaux avantages de l'AVP est lutte contre les macrovirus. L'utilisateur peut sélectionner un mode spécial dans lequel les documents créés au format Microsoft Office seront numérisés. Après avoir détecté des virus ou des fichiers infectés, AVP propose plusieurs options : supprimer les virus des fichiers, supprimer les fichiers infectés eux-mêmes ou les déplacer vers un dossier spécial.
• 2) Vice-président adjoint Moniteur. Ce programme est automatiquement chargé au démarrage de Windows. AVP Monitor vérifie automatiquement tous les fichiers et documents ouverts sur l'ordinateur et, en cas d'attaque de virus, en informe l'utilisateur. De plus, dans la plupart des cas, AVP Monitor ne permet tout simplement pas au fichier infecté de s'exécuter, bloquant ainsi son processus d'exécution. Cette fonction du programme est très utile pour ceux qui traitent constamment de nombreux nouveaux fichiers, par exemple pour les utilisateurs Internet actifs (puisqu'il est impossible de lancer AVP toutes les cinq minutes pour vérifier les fichiers téléchargés, c'est ici qu'AVP Monitor vient à la rescousse).
• 3) Vice-président adjoint Inspecteur - le dernier et très important module du kit AVP, qui permet d'attraper même les virus inconnus. "Inspecteur" utilise une méthode pour contrôler les changements de taille de fichier. En s'introduisant dans un fichier, le virus augmente inévitablement sa taille, et « l'inspecteur » le détecte facilement.

En plus de tout ce qui précède, il existe ce qu'on appelle Centre de contrôle AVP - "panneau de contrôle" pour tous les programmes du complexe AVP. La fonction la plus importante de ce programme est le planificateur de tâches intégré, qui vous permet de vérifier rapidement (et, si nécessaire, de traiter le système) automatiquement, sans intervention de l'utilisateur, mais à une heure spécifiée par l'utilisateur.

Classification des virus

Virus informatique est un petit programme conçu pour exister et se reproduire dans un fichier en raison de sa modification non autorisée, c'est-à-dire infection , ainsi que l'exécution d'actions indésirables sur l'ordinateur. Les signes d'infection sont les suivants : incapacité à démarrer le système d'exploitation ; certains programmes cessent de fonctionner ou commencent à fonctionner de manière incorrecte ; des caractères et des messages superflus sont affichés à l'écran ; le travail sur l'ordinateur ralentit considérablement; certains fichiers sont corrompus ou disparaissent ; changements de taille de fichier ; date et heure de leur modification ; le nombre de fichiers sur le disque augmente, etc.

Les principales sources d'infection sont le courrier électronique, Internet, le réseau local, les lecteurs amovibles (disquettes et CD-ROM). Vous ne devez pas exécuter de fichiers reçus d'une source douteuse et non préalablement analysés avec des programmes antivirus, ni établir un accès partagé aux dossiers et fichiers sur un ordinateur fonctionnant sur le réseau.

Les principales orientations pour prévenir l'infection virale :

1. Vérification périodique des virus à l'aide des dernières versions des programmes antivirus ;

2. Vérification des données provenant de l'extérieur ;

3. Copie des informations et contrôle d'accès strict.

Les cibles d'une attaque de virus sont le chargeur de démarrage du système d'exploitation, l'enregistrement de démarrage principal du disque, les pilotes de périphériques, les programmes et les documents.

Selon leur « habitat », les virus sont divisés en déposer, systémique, botte, démarrage de fichier, virus de macro Et réseau.

Les virus de fichiers infectent principalement les fichiers exécutables portant l'extension .com et .exe ; virus système – modules du système d'exploitation, pilotes de périphériques, tables d'allocation de fichiers et tables de partition ; Les bottes sont injectées dans le secteur bootstrap. Les virus multifonctionnels – virus de démarrage de fichiers – endommagent les secteurs de démarrage des disques et des fichiers.

L'habitat des virus de réseau est constitué par les réseaux informatiques. Actuellement, il s’agit du type de virus le plus courant, le plus souvent transmis sous forme de pièces jointes dans des messages électroniques.

La dite macrovirus , qui utilisent les capacités des langages macro intégrés aux packages bureautiques.

Selon le « degré d'impact », les virus sont divisés en : inoffensifs, non dangereux, dangereux et destructeurs.

La manifestation et le fonctionnement du virus sont grandement influencés par la « fonctionnalité de l’algorithme » mis en œuvre dans le programme antivirus. Par exemple, les soi-disant virus réplicateurs Ils se multiplient très rapidement et remplissent la RAM de leurs copies, et généralement la copie ne correspond pas complètement à l'original, ce qui rend difficile la recherche et la destruction du virus. Ils agissent de la même manière virus de vers , qui vivent dans des réseaux informatiques et envoient des copies d'eux-mêmes aux ordinateurs du réseau. Lorsqu'un virus est détruit sur un ordinateur, celui-ci est réinfecté.

Certains virus se déguisent en programmes utiles, mais effectuent en outre des actions destructrices (par exemple, collecte d'informations confidentielles - mots de passe, noms) pouvant aller jusqu'à la destruction du système. Ces virus sont appelés " chevaux de Troie ».

Les programmes antivirus peuvent être intégrés aux systèmes logiciels. Habituellement, ils sont inactifs jusqu'à ce qu'un certain événement se produise, après quoi les fonctions qui leur sont inhérentes sont mises en œuvre. De tels virus sont appelés bombes logiques.

Virus- invisible (virus furtifs ) sont très difficiles à détecter et à neutraliser, car ils interceptent les appels du système d'exploitation vers des fichiers et des secteurs de disque infectés et remplacent leur corps par des objets non infectés.

Sur la base de la méthode d'infection de l'environnement, les virus sont divisés en résident Et non-résident . Les premiers se caractérisent par le fait que le virus se trouve en permanence dans la RAM, intercepte les appels du système d'exploitation vers d'autres objets et les infecte. Les seconds sont actifs pendant une durée limitée et n’infectent pas la mémoire.

La propagation généralisée des virus informatiques et des attaques de virus sur l'Internet mondial a conduit au développement d'une direction du développement de logiciels telle que la création de programmes antivirus.

Classification des programmes antivirus

Les programmes antivirus sont conçus pour prévenir l'infection et éliminer les conséquences d'une infection virale. Ils peuvent surveiller l'accès au disque dur et avertir l'utilisateur de toute activité suspecte, et également fournir une protection fiable des e-mails contre les virus.

En fonction des fonctions qu'ils remplissent, les programmes antivirus sont divisés dans les types suivants : détecteurs ; les médecins; auditeurs; filtres ou gardiens; vaccins ou immunisants.

Programmes- auditeurs mémorisez l'état initial des programmes, des répertoires et des zones du système avant que l'ordinateur ne soit infecté et comparez-le périodiquement avec l'état actuel. Si une divergence est détectée, un avertissement est émis à l'utilisateur.

Programmes- filtres sont des programmes résidents qui détectent les actions suspectes pendant le fonctionnement de l'ordinateur, par exemple les tentatives de modification de fichiers exécutables, de modification des attributs de fichier, d'écriture sur le secteur de démarrage du disque, etc.

Programmes- détecteurs configuré pour détecter une infection par un ou plusieurs virus connus. La plupart des programmes de détection remplissent également la fonction « médecin », c'est-à-dire ils tentent de ramener les fichiers et les zones de disque infectés à leur état d'origine ; les fichiers qui ne peuvent pas être restaurés sont généralement rendus inutilisables et supprimés.

Programmes- les médecins détecter et traiter les objets infectés en « mordant » le corps du virus. Les programmes de ce type sont divisés en phages Et polyphages (détection et destruction d'un grand nombre de virus différents).

Programmes- vaccins modifier un fichier ou un disque de telle manière que cela n'affecte pas leur fonctionnement, mais le virus les considérerait comme déjà infectés. La vaccination est effectuée uniquement contre les virus connus.

Programme polyphage Docteur Web(développeur: I. Danilov) recherche et supprime les virus connus de la mémoire et des disques de l'ordinateur. La présence d'un analyseur heuristique intelligent vous permet de détecter de nouveaux virus jusqu'alors inconnus et des modifications de virus connus. L'antivirus Dr.Web analyse le courrier entrant via le protocole POP3 avant qu'il ne soit traité par le client de messagerie, et vérifie également le courrier sortant via le protocole SMTP. Garde antivirus ( moniteur ), fonctionnant automatiquement, vérifie les fichiers « à la volée » lors de leur accès à partir de n'importe quel programme, avertit l'utilisateur lorsque des fichiers infectés ou suspects sont détectés. Le programme utilise une technologie intelligente pour surveiller l'activité des virus, qui consiste à analyser les actions effectuées par les programmes. L'analyse est structurée de telle manière qu'elle élimine presque complètement les « fausses alarmes » et permet en même temps d'arrêter toutes les actions qu'un programme malveillant peut effectuer. Antivirus scanner permet de détecter les objets infectés sur tous les supports et dans la RAM de l’ordinateur, ainsi que de neutraliser les virus.

Vice-président adjoint(AntiVirus Protect, développeur – Kaspersky Lab) vous permet de désinfecter et d'analyser les fichiers packagés et archivés, les lecteurs réseau. Grâce à une technologie d'analyse unique, il détecte et supprime les virus dans les fichiers archivés et compressés dans plus de 700 formats de fichiers différents. De plus, dans les archives ZIP, Kaspersky Anti-Virus est capable de supprimer les codes malveillants d'un fichier compressé infecté et de désinfecter les fichiers. Le module Office Guard™ intégré crée l'espace le plus sécurisé pour les applications Microsoft Office. Grâce à cela, Kaspersky Anti-Virus Personal Pro offre un contrôle complet sur tous les documents bureautiques et garantit une protection à 100 %, même contre les virus de macro inconnus.

Norton Antivirus protège automatiquement contre les virus, les programmes ActiveX malveillants, les applets Java lors de l'utilisation d'Internet et du travail avec des disquettes, des CD ou le réseau, analyse les applications entrantes dans les programmes de messagerie les plus courants, détecte les virus et désinfecte les fichiers compressés. Permet clairement le passage des fichiers non infectés, mais arrête les fichiers contenant des virus avant qu'ils ne puissent pénétrer et endommager votre système. Norton Antivirus 2003 supprime automatiquement les codes de programmes dangereux et protège également les pièces jointes des messages et des e-mails contre les virus, garantit le niveau de sécurité maximum grâce à la possibilité de mettre à jour automatiquement et en permanence les bases de données antivirus et de créer une protection complète pour les utilisateurs contre la pénétration de codes de programmes dangereux. Une technologie heuristique unique peut identifier les vers de messagerie tels que Nimda et Badtrans et les arrêter avant qu'ils ne puissent se propager davantage via le courrier sortant.

Version professionnelle ( Pro) en plus de toutes les fonctionnalités de l'édition standard, il comprend également des outils de récupération de données et de nettoyage du système conçus spécifiquement pour les professionnels des technologies de l'information et les petites entreprises. Ces outils permettent aux utilisateurs de protéger et de récupérer des fichiers critiques et de préserver la confidentialité en fragmentant les fichiers qui ne sont plus nécessaires.

Panda Titanium Antivirus 2004(développeur Logiciel Panda) - un programme antivirus de dernière génération doté d'une technologie améliorée pour détecter et supprimer les virus de tout type, offre une protection contre tout programme, document ou courrier électronique susceptible d'endommager le système informatique. Grâce à des technologies heuristiques efficaces, le logiciel Panda est particulièrement efficace dans la lutte contre les nouveaux virus inconnus susceptibles d'apparaître à l'avenir, détecte et supprime automatiquement tous les types de virus lors de la réception/envoi d'e-mails, du téléchargement de fichiers ou de la navigation sur Internet, protège contre les numéroteurs - des programmes qui connectent silencieusement le modem à des numéros payants, des utilitaires de gestion cachés, des fichiers cachés dangereux, des programmes contenant des fichiers cachés dangereux et d'autres menaces de sécurité. Le programme identifie et élimine les erreurs dans les logiciels installés sur l'ordinateur et effectue un autodiagnostic pour garantir un fonctionnement ininterrompu et productif de l'antivirus.

Voyons comment fonctionne le programme Kaspersky Antivirus lors de la vérification d'une disquette personnelle et d'un dossier pour les virus Mes documents.

1. Téléchargez le programme Scanner antivirus Kasperskyéquipe Démarrez le programme Kaspersky Anti-Virus Kaspersky Anti-Virus Scanner.

2. Pour afficher les objets numérisés dans la fenêtre Scanner antivirus Kaspersky sur le côté gauche, sélectionnez une catégorie Objets, Cliquez sur le bouton [Expert] et cochez les cases du disque UN: et dossiers Mes documents(les sous-dossiers peuvent être ouverts de la même manière que dans Conducteur).

3. Dans la zone droite de la fenêtre, précisez l'action du programme si un virus est détecté. Il est recommandé de cocher les cases suivantes :

· Traitez, et si le traitement est impossible, supprimez l'objet.

· Analysez les types de fichiers suivants : tous les fichiers.

· Analyser les fichiers composés : cochez toutes les cases ici .

4. Commencez la numérisation en sélectionnant la commande Analyser Démarrer l'analyse.

5. Pour surveiller le processus de recherche de virus et de désinfection des disques, cliquez sur le bouton [Statistiques].

Vérifions votre disquette et votre dossier personnels pour détecter les virus Mes documentsà l'aide de Norton AntiVirus Professional Edition.

1. Téléchargez Norton AntiVirus Professional Edition avec la commande Commencer Programmes Norton Antivirus Norton AntiVirus 2003 Édition Professionnelle

2. Définissez les paramètres de numérisation.

3. Allez dans l'onglet Rechercher des virus pour spécifier les objets à analyser : pour analyser une disquette, cliquez sur le bouton .

4. Au bas de la fenêtre, dans la zone Actions, sélectionnez .

5. Pour vérifier le dossier Mes documents Double-cliquez sur le bouton et dans la fenêtre qui s'ouvre, sélectionnez le dossier souhaité et cliquez sur le bouton.

Sur l'onglet Rapports Affichez les résultats de l'analyse dans les rapports.

Un programme antivirus (antivirus) est un programme permettant d'identifier et de supprimer les virus informatiques et autres programmes malveillants, d'empêcher leur propagation et de restaurer les programmes infectés par ceux-ci.

Les principales tâches des programmes antivirus modernes :

• - Analysez les fichiers et les programmes en temps réel.
• - Analysez votre ordinateur à la demande.
• - Analyse du trafic Internet.
• - Scannez les e-mails.
• -- Protection contre les attaques de sites Web dangereux.
• -- Récupération de fichiers endommagés (traitement).

Classification des programmes antivirus :

• · programmes de détection assurer la recherche et la détection des virus dans la RAM et sur les supports externes, et s'ils sont détectés, émettre un message correspondant. On distingue les détecteurs :
  • 1. universel - ils utilisent dans leur travail pour vérifier l'immuabilité des fichiers en comptant et en comparant avec une norme de somme de contrôle
  • 2. spécialisé- rechercher des virus connus par leur signature (une section de code répétée). L’inconvénient de ces détecteurs est qu’ils sont incapables de détecter tous les virus connus.

Un détecteur capable de détecter plusieurs virus est appelé polydétecteur. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

• · Programmes de docteur (phages) non seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimez le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire un grand nombre de virus. Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières de leurs versions sont nécessaires.
• · Programmes d'audit sont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des états est effectuée immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés.
• · Programmes de filtrage (gardiens) sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :
  • 1. tente de corriger les fichiers avec les extensions COM et EXE ;
  • 2. modification des attributs du fichier ;
  • 3. enregistrement direct sur disque à une adresse absolue ;
  • 4. écrire sur les secteurs de démarrage du disque ;

Programmes de vaccination (immunisateurs)- Ce sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Un inconvénient majeur de ces programmes est leur capacité limitée à prévenir l'infection par un grand nombre de virus différents.

Fonctions des programmes antivirus

Protection antivirus en temps réel

La plupart des programmes antivirus offrent une protection en temps réel. Cela signifie que le programme antivirus protège votre ordinateur de toutes les menaces entrantes chaque seconde. Par conséquent, même si aucun virus n’a infecté votre ordinateur, vous devriez envisager d’installer un programme antivirus avec protection en temps réel pour empêcher la propagation de l’infection.

Détection des menaces

Les programmes antivirus peuvent analyser l’intégralité de votre ordinateur à la recherche de virus. Tout d'abord, les zones les plus vulnérables, les dossiers système et la RAM sont analysés. Vous pouvez également choisir vous-même les secteurs à analyser, ou choisir, par exemple, d'analyser un disque dur spécifique. Cependant, tous les programmes antivirus ne sont pas identiques dans leurs algorithmes et certains programmes antivirus ont un taux de détection plus élevé que d’autres.

Mises à jour automatiques

De nouveaux virus sont créés et apparaissent chaque jour. Il est donc extrêmement important que les programmes antivirus soient capables de mettre à jour les bases de données antivirus (une liste de tous les virus connus, anciens et nouveaux). La mise à jour automatique est nécessaire car un antivirus obsolète ne peut pas détecter les nouveaux virus et menaces. De plus, si votre programme antivirus propose uniquement des mises à jour manuelles, vous risquez d'oublier de mettre à jour vos définitions antivirus et votre ordinateur risque d'être infecté par un nouveau virus. Essayez de choisir un antivirus avec des mises à jour automatiques.

Alertes

L'antivirus vous avertira lorsqu'un programme tentera d'accéder à votre ordinateur. Un exemple est celui des applications Internet. De nombreux programmes qui tentent d'accéder à votre PC sont inoffensifs ou vous les avez téléchargés volontairement et les programmes antivirus vous donnent donc la possibilité de décider vous-même d'autoriser ou de bloquer leur installation ou leur fonctionnement.