Антивирусные программы

     Макро-вирусы

       Ходит весьма правдоподобный слух, что между авторами антивирусных программ было заключено пари на изрядное количество пива. Предметом пари являлся вопрос "дойдет ли к 1 июля этого года число macro-вирусов до 1000". Шутки шутками, но macro-вирусы действительно стали настоящим бедствием и их количество продолжает катастрофически увеличиваться. Что же это за вирусы, почему они посыпались как из ведра? Формально, macro-вирусы являются файловыми вирусами, заражающими файлы некоторых систем документооборота. Насколько известно автору, в настоящее время имеются вирусы для Word for Windows (в огромном количестве!), MS-Word, Excel for Windows и AmiPro. Все указанные системы имеют встроенные макро-языки (Word Basic, Visual Basic). Эти языки обладают достаточными возможностями, чтобы производить практически все операции, необходимые вирусу. Достаточно сказать, что имеются даже шифрованные и полиморфные macro-вирусы. Кроме того, все чаще стали встречать вирусы, поражающие как документы, так и исполняемые файлы (иногда обычные EXE-файлы, иногда NewEXE, иногда и те, и другие). Инфицирующая способность таких вирусов крайне велика. В настоящий момент более 90% macro-вирусов – вирусы для Word for Windows. Это без сомнения объясняется тем, что файлы этого текстового процессора фактически стали стандартом на текстовые документы. Самый первый macro-вирус (Word.Concept) также заражал DOC-файлы. Любопытно, что достоверно известно о двух "проколах" самой фирмы Microsoft. На ее собственном сервере дважды оказывались документы, зараженные macro-вирусами. Когда два года назад появились первые macro-вирусы для WinWord, были выпущены специальные антивирусные программы, написанные на том же самом Word Basic, что и сами вирусы и, фактически, представляющие собой документы, устроенные специальным образом. Таким образом можно было легко получить доступ к макросам документа. Хотя это и было самым простым решением, время показало его бесперспективность. Тем не менее, те первые антивирусы еще продолжают использоваться, что, безусловно, является ошибкой. Сегодня все "приличные" сканеры умеют самостоятельно разбирать структуру DOC-файлов. Одним из первых это "научился" делать Doctor Web, а недавно у него был существенно усилен эвристический анализатор macro-вирусов, с помощью которого можно обнаруживать новые macro-вирусы, еще не известные антивирусу "в лицо".  

     В нулевом кольце защиты

       Много лет уже прошло с момента  появления процессора i386, (не будем даже вспоминать, что до него был i286), а вирусы до настоящего момента не могли покорить его самый мощный защищенный режим. Загрузочный вирус PMBS, первым пытавшийся освоить защищенный режим (1994 г.), не мог ужиться ни с одной программой или драйвером (EMM386, Windows, OS/2,.. . ). Вирусы Evolution. 2761 и Evolution. 2770 (тоже 1994 г. ) использовали только часть мощного защищенного режима и то только тогда, когда процессор находился в реальном режиме работы. Но вот все-таки свершилось! В России, в "диком" виде обнаружен файловый вирус PM.Wanderer, использующий защищенный режим. Этот вирус исследовал ведущий вирусолог ДиалогНауки И.А.Данилов. Вот, что он выяснил. Вирус более-менее корректно взаимодействует с другими программами и драйверами, также использующими защищенный режим. PM. Wanderer является резидентным полиморфным вирусом, использующим защищенный (виртуальный) режим процессоров i386-Pentium. Для установки своей резидентной копии в память и переключения в защищенный режим процессора (Protected Mode) используется документированный интерфейс VCPI (Virtual Control Program Interface) драйвера расширенной памяти EMS (EMM386). Обнаружить резидентную копию данного вируса, находящегося в нулевом кольце защищенного режима процессора, обычными способами невозможно. Для обнаружения вируса в памяти необходимо переключаться в защищенный режим с наивысшими привилегиями. Но попытаться обнаружить признаки вируса в системе можно и обычными способами. Вирус не стелсируется и, даже при наличии резидентной копии в памяти, в файлах прекрасно виден. После обнаружения вируса рекомендуется, как и всегда в таких случаях, перезагрузиться с системной дискеты и выполнять лечение в заведомо стерильных условиях. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Список  использованной литературы:

1. http://ru.wikipedia.org/wiki/Компьютерный_вирус
2. http://nailman.wallst.ru
3. http://freeantivirus.3dn.ru