Classification des virus informatiques et des programmes antivirus. Classification des antivirus Classification des programmes antivirus

Un programme antivirus (antivirus) est un programme permettant d'identifier et de supprimer les virus informatiques et autres programmes malveillants, d'empêcher leur propagation et de restaurer les programmes infectés par ceux-ci.

Les principales tâches des programmes antivirus modernes :

• - Analysez les fichiers et les programmes en temps réel.
• - Analysez votre ordinateur à la demande.
• - Analyse du trafic Internet.
• -- Analyse E-mail.
• -- Protection contre les attaques de sites Web dangereux.
• -- Récupération fichiers endommagés(traitement).

Classification des programmes antivirus :

• · programmes de détection assurer la recherche et la détection de virus dans mémoire viveà la fois sur des supports externes et lorsqu'ils sont détectés, ils émettent un message correspondant. On distingue les détecteurs :
  • 1. universel - ils utilisent dans leur travail pour vérifier l'immuabilité des fichiers en comptant et en comparant avec une norme de somme de contrôle
  • 2. spécialisé- rechercher des virus connus par leur signature (une section de code répétée). L’inconvénient de ces détecteurs est qu’ils sont incapables de détecter tous les virus connus.

Un détecteur capable de détecter plusieurs virus est appelé polydétecteur. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

• · Programmes de docteur (phages) non seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimez le corps du programme antivirus du fichier, renvoyant les fichiers à l'état initial. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire grande quantité virus. Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières de leurs versions sont nécessaires.
• · Programmes d'audit sont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, les états sont comparés immédiatement après le chargement système opérateur. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés.
• · Programmes de filtrage (gardiens) sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :
  • 1. tente de corriger les fichiers avec les extensions COM et EXE ;
  • 2. modification des attributs du fichier ;
  • 3. enregistrement direct sur disque à une adresse absolue ;
  • 4. écrire sur les secteurs de démarrage du disque ;

Programmes de vaccination (immunisateurs)- Ce sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Un inconvénient majeur de ces programmes est leur opportunités limitées pour prévenir l’infection par un grand nombre de virus différents.

Fonctions des programmes antivirus

Protection antivirus en temps réel

La plupart des programmes antivirus offrent une protection en temps réel. Cela signifie que le programme antivirus protège votre ordinateur de toutes les menaces entrantes chaque seconde. Par conséquent, même si aucun virus n’a infecté votre ordinateur, vous devriez envisager d’installer un programme antivirus avec protection en temps réel pour empêcher la propagation de l’infection.

Détection des menaces

Programmes antivirus peut analyser l'intégralité de votre ordinateur à la recherche de virus. Tout d'abord, les zones les plus vulnérables, les dossiers système et la RAM sont analysés. Vous pouvez également choisir vous-même les secteurs à analyser, ou choisir, par exemple, d'analyser un disque dur spécifique. Cependant, tous les programmes antivirus ne sont pas identiques dans leurs algorithmes et certains programmes antivirus ont un taux de détection plus élevé que d’autres.

Mises à jour automatiques

De nouveaux virus sont créés et apparaissent chaque jour. Il est donc extrêmement important que les programmes antivirus soient capables de mettre à jour les bases de données antivirus (une liste de tous les virus connus, anciens et nouveaux). La mise à jour automatique est nécessaire car un antivirus obsolète ne peut pas détecter les nouveaux virus et menaces. De plus, si votre programme antivirus propose uniquement mise à jour manuelle Vous pourriez oublier de mettre à jour vos définitions antivirus et votre ordinateur pourrait être infecté par un nouveau virus. Essayez de choisir un antivirus avec des mises à jour automatiques.

Alertes

L'antivirus vous avertira lorsqu'un programme tentera d'accéder à votre ordinateur. Un exemple est celui des applications Internet. De nombreux programmes qui tentent d'accéder à votre PC sont inoffensifs ou vous les avez téléchargés volontairement et les programmes antivirus vous donnent donc la possibilité de décider vous-même d'autoriser ou de bloquer leur installation ou leur fonctionnement.

La protection antivirus est la mesure la plus courante pour assurer la sécurité des informations de l'infrastructure informatique dans le secteur des entreprises. Cependant, selon une étude menée par Kaspersky Lab en collaboration avec la société d'analyse B2B International (automne 2013), seules 74 % des entreprises russes utilisent des solutions antivirus pour se protéger.

Le rapport indique également qu'à mesure que les cybermenaces continuent d'exploser, les entreprises se protègent contre antivirus simples, les entreprises russes commencent à utiliser de plus en plus d’outils de protection complets. C'est en grande partie pour cette raison que l'utilisation d'outils de chiffrement de données sur supports amovibles a augmenté de 7 % (24 %). En outre, les entreprises sont devenues plus disposées à différencier les politiques de sécurité pour périphériques amovibles. La différenciation du niveau d'accès aux différentes sections de l'infrastructure informatique a également augmenté (49 %). Dans le même temps, les petites et moyennes entreprises accordent davantage d'attention au contrôle des périphériques amovibles (35 %) et au contrôle des applications (31 %).

Les chercheurs ont également constaté que malgré la découverte constante de nouvelles vulnérabilités logicielles, Entreprises russes ne prêtez toujours pas suffisamment attention aux mises à jour logicielles régulières. De plus, le nombre d'organisations impliquées dans l'application de correctifs a diminué par rapport à l'année dernière, à seulement 59 %.

Les programmes antivirus modernes peuvent détecter efficacement les objets malveillants dans les fichiers de programme et les documents. Dans certains cas, un antivirus peut supprimer le corps d'un objet malveillant d'un fichier infecté, restaurant ainsi le fichier lui-même. Dans la plupart des cas, un antivirus est capable de supprimer un objet logiciel malveillant non seulement d'un fichier programme, mais également d'un fichier de document bureautique, sans violer son intégrité. L'utilisation de programmes antivirus ne nécessite pas de qualifications élevées et est accessible à presque tous les utilisateurs d'ordinateurs.

La plupart des programmes antivirus combinent une protection en temps réel (moniteur antivirus) et une protection à la demande (analyseur antivirus).

Évaluation antivirus

2019 : deux tiers des antivirus pour Android se sont révélés inutiles

En mars 2019, le laboratoire autrichien AV-Comparatives, spécialisé dans les tests de logiciels antivirus, a publié les résultats d'une étude démontrant l'inutilité de la plupart de ces programmes pour Android.

Seuls 23 antivirus présents dans le catalogue officiel du Google Play Store identifient avec précision les malwares dans 100 % des cas. Le reste du logiciel soit ne répond pas aux menaces mobiles, soit prend pour elles des applications absolument sûres.

Les experts ont étudié 250 antivirus et ont rapporté que seuls 80 % d’entre eux sont capables de détecter plus de 30 % des logiciels malveillants. Ainsi, 170 candidatures ont échoué au test. Les produits qui ont réussi le test comprenaient principalement des solutions de grands fabricants, notamment Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro et Trustwave.

Dans le cadre de l'expérience, les chercheurs ont installé chaque application antivirus sur un appareil distinct (sans émulateur) et automatisé les appareils pour lancer le navigateur, télécharger puis installer des logiciels malveillants. Chaque appareil a été testé contre 2 000 virus Android les plus courants en 2018.

Selon les calculs d'AV-Comparatives, la majorité solutions antivirus pour Android sont faux. Des dizaines d'applications ont une interface presque identique et leurs créateurs sont clairement plus intéressés par l'affichage de publicités que par l'écriture d'un scanner antivirus fonctionnel.

Certains antivirus « voient » une menace dans toute application qui ne figure pas dans leur « liste blanche ». C'est pour cette raison qu'ils ont, dans un certain nombre de cas très anecdotiques, tiré la sonnette d'alarme sur leurs propres fichiers, puisque les développeurs ont oublié de les mentionner dans la « liste blanche ».

2017 : Microsoft Security Essentials est reconnu comme l'un des pires antivirus

En octobre 2017, le laboratoire antivirus allemand AV-Test a publié les résultats de tests antivirus complets. Selon l'étude, les logiciels propriétaires de Microsoft, conçus pour protéger contre les activités malveillantes, sont presque les pires pour faire leur travail.

Sur la base des résultats des tests effectués en juillet-août 2017, les experts AV-Test ont nommé le meilleur antivirus pour Windows 7, la solution Kaspersky Internet Security, qui a reçu 18 points lors de l'évaluation du niveau de protection, des performances et de la facilité d'utilisation.

Les trois premiers programmes incluent Trend Micro la sécurité sur Internet et Bitdefender Internet Security, qui ont obtenu 17,5 points chacun. Vous pouvez en savoir plus sur l'état des produits d'autres sociétés antivirus incluses dans l'étude à partir des illustrations ci-dessous :

De nombreux scanners utilisent également des algorithmes d'analyse heuristiques, c'est-à-dire analyser la séquence de commandes dans l'objet vérifié, collecter des statistiques et prendre une décision pour chaque objet vérifié.

Les scanners peuvent également être divisés en deux catégories : universels et spécialisés. Les scanners universels sont conçus pour détecter et neutraliser tous les types de virus, quel que soit le système d'exploitation dans lequel le scanner est conçu pour fonctionner. Les scanners spécialisés sont conçus pour neutraliser un nombre limité de virus ou une seule classe de virus, par exemple les virus de macro.

Les scanners sont également divisés en résidents (moniteurs), qui analysent à la volée, et en non-résidents, qui analysent le système uniquement sur demande. En règle générale, les scanners résidents fournissent plus protection fiable systèmes, puisqu'ils réagissent immédiatement à l'apparition d'un virus, tandis qu'un scanner non résident n'est capable d'identifier le virus que lors de son prochain lancement.

Scanners CRC

Le principe de fonctionnement des scanners CRC est basé sur le calcul des sommes CRC (sommes de contrôle) pour les fichiers/secteurs système présents sur le disque. Ces sommes de CRC sont ensuite stockées dans la base de données antivirus, ainsi que quelques autres informations : longueurs des fichiers, dates de leur dernière modification, etc. Lorsqu'ils sont ensuite lancés, les scanners CRC comparent les données contenues dans la base de données avec les valeurs réellement calculées. Si les informations du fichier enregistrées dans la base de données ne correspondent pas aux valeurs réelles, les scanners CRC signalent que le fichier a été modifié ou infecté par un virus.

Les scanners CRC ne sont pas capables de détecter un virus au moment où il apparaît dans le système, mais ne le font que quelque temps plus tard, une fois que le virus s'est propagé dans tout l'ordinateur. Les scanners CRC ne peuvent pas détecter un virus dans les nouveaux fichiers (dans les courriers électroniques, sur les disquettes, dans les fichiers restaurés à partir d'une sauvegarde ou lors de la décompression de fichiers d'une archive), car leurs bases de données ne contiennent pas d'informations sur ces fichiers. De plus, des virus apparaissent périodiquement qui exploitent cette faiblesse des scanners CRC, infectant uniquement les fichiers nouvellement créés et leur restant ainsi invisibles.

Bloqueurs

Les bloqueurs antivirus sont des programmes résidents qui interceptent les situations virales dangereuses et en informent l'utilisateur. Les virus dangereux incluent les appels à l'ouverture pour écrire sur des fichiers exécutables, l'écriture sur les secteurs de démarrage des disques ou le MBR d'un disque dur, les tentatives des programmes pour rester résidents, etc., c'est-à-dire les appels typiques des virus lors de la reproduction.

Les avantages des bloqueurs incluent leur capacité à détecter et à arrêter un virus dès le stade le plus précoce de sa reproduction. Les inconvénients incluent l'existence de moyens de contourner la protection du bloqueur et un grand nombre de faux positifs.

Immunisants

Les vaccinateurs sont divisés en deux types : les vaccinateurs qui signalent l'infection et les vaccinateurs qui bloquent l'infection. Les premiers sont généralement écrits à la fin des fichiers (sur la base du principe d'un virus de fichier) et à chaque lancement du fichier, ils vérifient les modifications. De tels vaccinateurs n’ont qu’un seul inconvénient, mais il est mortel : l’impossibilité absolue de signaler une infection par un virus furtif. Par conséquent, de tels immunisants, comme les bloqueurs, ne sont pratiquement pas utilisés à l'heure actuelle.

Le deuxième type de vaccination protège le système contre l’infection par un type spécifique de virus. Les fichiers présents sur les disques sont modifiés de telle manière que le virus les perçoit comme déjà infectés. Pour se protéger contre un virus résident, un programme qui simule une copie du virus est entré dans la mémoire de l'ordinateur. Une fois lancé, le virus le rencontre et croit que le système est déjà infecté.

Ce type d'immunisation ne peut pas être universel, puisqu'il est impossible d'immuniser les fichiers contre tous les virus connus.

Classification des antivirus basée sur la variabilité dans le temps

Selon Valery Konyavsky, les outils antivirus peuvent être divisés en deux grands groupes : ceux qui analysent les données et ceux qui analysent les processus.

L'analyse des données

L'analyse des données inclut les auditeurs et les polyphages. Les auditeurs analysent les conséquences des virus informatiques et autres programmes malveillants. Les conséquences entraînent des modifications des données qui ne devraient pas être modifiées. Du point de vue de l’auditeur, c’est le fait que les données aient changé qui est un signe d’activité malveillante. En d'autres termes, les auditeurs surveillent l'intégrité des données et, sur la base du fait d'une violation de l'intégrité, prennent une décision concernant la présence de programmes malveillants dans l'environnement informatique.

Les polyphages agissent différemment. Sur la base de l'analyse des données, ils identifient des fragments de code malveillant (par exemple, par sa signature) et sur cette base tirent une conclusion sur la présence de programmes malveillants. La suppression ou le traitement des données infectées par un virus vous permet d'éviter les conséquences négatives de l'exécution de programmes malveillants. Ainsi, sur la base de l'analyse statique, les conséquences qui surviennent en dynamique sont évitées.

Le schéma de travail des auditeurs et des polyphages est presque le même : comparer les données (ou leur somme de contrôle) avec un ou plusieurs échantillons de référence. Les données sont comparées aux données. Ainsi, pour détecter un virus dans votre ordinateur, il faut qu'il ait déjà fonctionné pour que les conséquences de son activité apparaissent. Cette méthode ne permet de détecter que les virus connus pour lesquels des fragments de code ou des signatures ont été décrits au préalable. Une telle protection peut difficilement être qualifiée de fiable.

L'analyse des processus

Les outils antivirus basés sur l'analyse des processus fonctionnent quelque peu différemment. Les analyseurs heuristiques, comme ceux décrits ci-dessus, analysent des données (sur disque, dans un canal, en mémoire, etc.). La différence fondamentale est que l'analyse est effectuée en supposant que le code analysé n'est pas des données, mais des commandes (dans les ordinateurs avec une architecture von Neumann, les données et les commandes sont indiscernables, et donc lors de l'analyse, il est nécessaire de faire l'un ou l'autre hypothèse.)

L'analyseur heuristique identifie une séquence d'opérations, attribue à chacune d'elles un certain indice de danger et, sur la base de l'ensemble du danger, décide si cette séquence d'opérations fait partie d'un code malveillant. Le code lui-même n'est pas exécuté.

Un autre type d’outils antivirus basés sur l’analyse des processus sont les bloqueurs comportementaux. Dans ce cas, le code suspect est exécuté étape par étape jusqu'à ce que l'ensemble des actions initiées par le code soit évalué comme un comportement dangereux (ou sûr). Dans ce cas, le code est partiellement exécuté, car la complétion du code malveillant peut être détectée ultérieurement. méthodes simples l'analyse des données.

Technologies de détection de virus

Les technologies utilisées dans les antivirus peuvent être divisées en deux groupes :

• Technologies d'analyse de signatures
• Technologies d'analyse probabiliste

Technologies d'analyse de signatures

L'analyse des signatures est une méthode de détection des virus qui consiste à vérifier la présence de signatures de virus dans les fichiers. L'analyse des signatures est la méthode de détection de virus la plus connue et est utilisée dans presque tous les antivirus modernes. Pour effectuer une analyse, l'antivirus nécessite un ensemble de signatures de virus, qui sont stockées dans la base de données antivirus.

Étant donné que l'analyse des signatures implique la vérification des fichiers pour détecter la présence de signatures de virus, la base de données antivirus doit être périodiquement mise à jour pour maintenir l'antivirus à jour. Le principe même de fonctionnement de l'analyse de signature détermine également les limites de sa fonctionnalité - la capacité de détecter uniquement les virus déjà connus - un scanner de signature est impuissant face aux nouveaux virus.

En revanche, la présence de signatures de virus suggère la possibilité de traiter les fichiers infectés détectés grâce à l'analyse des signatures. Cependant, le traitement n'est pas possible pour tous les virus : les chevaux de Troie et la plupart des vers ne peuvent pas être traités en raison de leurs caractéristiques de conception, car ce sont des modules solides créés pour causer des dommages.

La mise en œuvre correcte d'une signature virale vous permet de détecter les virus connus avec une probabilité de cent pour cent.

Technologies d'analyse probabiliste

Les technologies d’analyse probabiliste, quant à elles, sont divisées en trois catégories :

• Analyse heuristique
• Analyse comportementale
• Analyse de la somme de contrôle

Analyse heuristique

L'analyse heuristique est une technologie basée sur des algorithmes probabilistes dont le résultat est l'identification d'objets suspects. Au cours du processus d'analyse heuristique, la structure du fichier et sa conformité avec les modèles de virus sont vérifiées. La technologie heuristique la plus populaire consiste à vérifier le contenu d'un fichier pour détecter les modifications des signatures de virus déjà connues et leurs combinaisons. Cela permet de détecter les hybrides et les nouvelles versions de virus précédemment connus sans mise à jour supplémentaire de la base de données antivirus.

L’analyse heuristique est utilisée pour détecter des virus inconnus et, par conséquent, n’implique aucun traitement. Cette technologie n'est pas capable de déterminer à 100 % si un virus se trouve devant lui ou non, et comme tout algorithme probabiliste, il souffre de faux positifs.

Analyse comportementale

L'analyse comportementale est une technologie dans laquelle une décision concernant la nature de l'objet testé est prise sur la base d'une analyse des opérations qu'il effectue. L'analyse comportementale est très étroitement applicable dans la pratique, puisque la plupart des actions caractéristiques des virus peuvent être réalisées candidatures régulières. Les plus connus sont les analyseurs comportementaux de scripts et de macros, car les virus correspondants effectuent presque toujours un certain nombre d'actions similaires.

Les mesures de sécurité intégrées au BIOS peuvent également être classées comme analyseurs comportementaux. Lorsque vous essayez d'apporter des modifications au MBR de l'ordinateur, l'analyseur bloque l'action et affiche une notification correspondante à l'utilisateur.

De plus, les analyseurs comportementaux peuvent surveiller les tentatives d'accès direct aux fichiers, les modifications apportées à l'enregistrement de démarrage des disquettes, le formatage disques durs etc.

Les analyseurs comportementaux n'utilisent pas d'objets supplémentaires similaires aux bases de données virales pour leur travail et, par conséquent, sont incapables de faire la distinction entre les virus connus et inconnus - tous les programmes suspects sont a priori considérés comme des virus inconnus. De même, les fonctionnalités de fonctionnement des outils mettant en œuvre des technologies d’analyse comportementale n’impliquent pas de traitement.

Analyse de la somme de contrôle

L'analyse de la somme de contrôle est un moyen de suivre les modifications apportées aux objets du système informatique. Sur la base de l'analyse de la nature des changements - simultanéité, occurrence massive, changements identiques dans la longueur des fichiers - nous pouvons conclure que le système est infecté. Les analyseurs de somme de contrôle (également appelés auditeurs de changement), comme les analyseurs de comportement, n'utilisent pas d'objets supplémentaires dans leur travail et rendent un verdict sur la présence d'un virus dans le système exclusivement par la méthode d'expertise. Des technologies similaires sont utilisées dans les analyseurs à l'accès : lors de la première analyse, une somme de contrôle est supprimée d'un fichier et placée dans le cache ; avant l'analyse suivante du même fichier, la somme de contrôle est à nouveau supprimée, comparée et s'il n'y a pas d'analyse. modifications, le fichier est considéré comme non infecté.

Complexes antivirus

Complexe antivirus - un ensemble d'antivirus utilisant le ou les mêmes noyaux antivirus, conçus pour résoudre des problèmes pratiques visant à assurer la sécurité antivirus systèmes informatiques. Le complexe antivirus comprend également nécessairement des outils de mise à jour des bases de données antivirus.

De plus, le complexe antivirus peut également inclure des analyseurs comportementaux et des auditeurs de changement qui n'utilisent pas le noyau antivirus.

On distingue les types de complexes antivirus suivants :

• Complexe antivirus pour la protection des postes de travail
• Complexe antivirus pour protéger les serveurs de fichiers
• Complexe antivirus pour la protection des systèmes de messagerie
• Complexe antivirus pour la protection des passerelles.

Antivirus cloud et antivirus de bureau traditionnel : que choisir ?

(Basé sur des documents de Webroot.com)

Le marché moderne des produits antivirus se compose principalement de solutions traditionnelles pour les systèmes de bureau, dont les mécanismes de protection sont construits sur la base de méthodes de signature. Manière alternative protection antivirus - utilisation de l'analyse heuristique.

Problèmes avec les logiciels antivirus traditionnels

DANS Dernièrement Les technologies antivirus traditionnelles sont de moins en moins efficaces et deviennent rapidement obsolètes, en raison de plusieurs facteurs. Le nombre de menaces virales reconnues par les signatures est déjà si important qu'assurer en temps opportun une mise à jour à 100 % des bases de données de signatures sur les ordinateurs des utilisateurs est souvent une tâche irréaliste. Les pirates informatiques et les cybercriminels utilisent de plus en plus les botnets et autres technologies qui accélèrent la propagation des menaces virales Zero Day. De plus, lors d’attaques ciblées, les signatures des virus correspondants ne sont pas créées. Enfin, de nouvelles technologies pour contrer la détection antivirus sont utilisées : cryptage des malwares, création de virus polymorphes côté serveur, tests de qualité préalables. attaque de virus.

La protection antivirus traditionnelle est le plus souvent construite dans une architecture « client lourd ». Cela signifie qu'une grande quantité de code logiciel est installée sur l'ordinateur du client. Avec son aide, les données entrantes sont analysées et la présence de menaces virales est détectée.

Cette approche présente un certain nombre d'inconvénients. Premièrement, la recherche de logiciels malveillants et la comparaison des signatures nécessitent une charge de calcul importante, qui enlève de l'importance à l'utilisateur. En conséquence, la productivité de l'ordinateur diminue et le fonctionnement de l'antivirus interfère parfois avec les tâches applicatives parallèles. Parfois, la charge sur le système de l'utilisateur est si perceptible que les utilisateurs désactivent les programmes antivirus, supprimant ainsi l'obstacle à une éventuelle attaque de virus.

Deuxièmement, chaque mise à jour sur la machine de l'utilisateur nécessite l'envoi de milliers de nouvelles signatures. La quantité de données transférées est généralement d'environ 5 Mo par jour et par machine. Le transfert de données ralentit le réseau, consomme des ressources système supplémentaires et nécessite l'implication des administrateurs système pour contrôler le trafic.

Troisièmement, les utilisateurs itinérants ou situés à distance d’un lieu de travail fixe sont sans défense contre les attaques zero-day. Pour recevoir une partie mise à jour des signatures, ils doivent se connecter à un réseau VPN qui leur est inaccessible à distance.

Protection antivirus depuis le cloud

Lors du passage à la protection antivirus depuis le cloud, l'architecture de la solution change considérablement. Un client « léger » est installé sur l'ordinateur de l'utilisateur, dont la fonction principale est de rechercher de nouveaux fichiers, de calculer les valeurs de hachage et d'envoyer des données. serveur en nuage. Dans le cloud, une comparaison à grande échelle est réalisée, réalisée sur une large base de données de signatures collectées. Cette base de données est mise à jour en permanence et en temps opportun à l'aide des données transmises par les sociétés antivirus. Le client reçoit un rapport avec les résultats de l'inspection.

Ainsi, l'architecture cloud de la protection antivirus présente de nombreux avantages :

• la quantité de calculs sur l'ordinateur de l'utilisateur s'avère négligeable par rapport à un client lourd, donc la productivité de l'utilisateur ne diminue pas ;
• il n'y a pas d'impact catastrophique du trafic antivirus sur le débit du réseau : une donnée compacte ne contenant que quelques dizaines de valeurs de hachage doit être transférée, le volume moyen de trafic quotidien ne dépasse pas 120 Ko ;
• le stockage dans le cloud contient d'énormes tableaux de signatures, bien plus volumineux que ceux stockés sur les ordinateurs des utilisateurs ;
• les algorithmes de comparaison de signatures utilisés dans le cloud sont nettement plus intelligents que les modèles simplifiés utilisés au niveau des stations locales, et en raison de performances plus élevées, la comparaison des données nécessite moins de temps ;
• les services antivirus cloud fonctionnent avec des données réelles reçues de laboratoires antivirus, développeurs de sécurité, utilisateurs professionnels et privés ; Les menaces Zero Day sont bloquées simultanément à leur reconnaissance, sans le délai causé par la nécessité d'accéder aux ordinateurs des utilisateurs ;
• les utilisateurs itinérants ou sans accès à leur poste de travail principal bénéficient d'une protection contre les attaques zero-day simultanément avec l'accès à Internet ;
• La charge de travail des administrateurs système est réduite : ils n'ont pas besoin de passer du temps à installer un logiciel antivirus sur les ordinateurs des utilisateurs, ni à mettre à jour les bases de données de signatures.

Pourquoi les antivirus traditionnels échouent

Les codes malveillants modernes peuvent :

• Contournez les pièges antivirus en créant un virus cible spécial pour l'entreprise
• Avant que l'antivirus ne crée une signature, il l'éludera en utilisant le polymorphisme, le transcodage, l'utilisation de DNS et d'URL dynamiques.

• Création ciblée pour une entreprise
• Polymorphisme
• Code encore inconnu de tous - pas de signature

Difficile de défendre

Antivirus rapides de 2011

Le centre d'information et d'analyse indépendant russe Anti-Malware.ru a publié en mai 2011 les résultats d'un autre test comparatif des 20 antivirus les plus populaires sur les performances et la consommation des ressources système.

Le but de ce test est de montrer quels antivirus personnels ont le moins d’impact sur les opérations typiques de l’utilisateur sur un ordinateur, ralentissent moins son fonctionnement et consomment le minimum de ressources système.

Parmi les moniteurs antivirus (scanners en temps réel), tout un groupe de produits ont démontré une vitesse de fonctionnement très élevée, notamment : Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro et Dr.Web. Avec ces antivirus intégrés, le ralentissement de la copie de la collection de tests était inférieur à 20 % par rapport au standard. Les moniteurs antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton et Emsisoft ont également montré des résultats élevés, compris entre 30 et 50 %. Les moniteurs antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton et Emsisoft ont également montré des résultats élevés, compris entre 30 et 50 %.

Dans le même temps, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost et PC Tools en conditions réelles peuvent être beaucoup plus rapides grâce à l'optimisation des contrôles ultérieurs.

L'antivirus Avira a montré la meilleure vitesse d'analyse à la demande. Il était légèrement inférieur à Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus et Outpost. En termes de vitesse de première analyse, ces antivirus ne sont que légèrement inférieurs au leader, en même temps, ils ont tous dans leur arsenal des technologies puissantes pour optimiser les analyses répétées.

Une autre caractéristique importante de la vitesse d'un antivirus est son impact sur le fonctionnement des programmes d'application avec lesquels l'utilisateur travaille souvent. Cinq ont été sélectionnés pour le test : Internet Explorer,Microsoft Mot de bureau, Microsoft Outlook, Adobe Acrobat Reader et Adobe Photoshop. Le moindre ralentissement dans le lancement de ces derniers programmes de bureau montré Antivirus Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost et G Data.

L'utilisateur d'un ordinateur personnel moderne a libre accès à toutes les ressources de la machine. C'est ce qui a ouvert la possibilité de l'existence d'un danger appelé virus informatique.

Un virus informatique est un programme spécialement écrit qui est capable de s'attacher spontanément à d'autres programmes, de créer des copies de lui-même et de les introduire dans des fichiers, des zones système de l'ordinateur et des réseaux informatiques afin de perturber le fonctionnement des programmes, d'endommager des fichiers et des répertoires. et créer toutes sortes d'interférences avec le travail sur l'ordinateur. Selon leur habitat, les virus peuvent être divisés en virus de réseau, virus de fichiers, virus de démarrage, virus de démarrage de fichier, virus de macro et chevaux de Troie.

• Virus de réseau répartis sur différents réseaux informatiques.
• Virus de fichiers sont implémentés principalement dans des modules exécutables. Les virus de fichiers peuvent être intégrés dans d'autres types de fichiers, mais, en règle générale, écrits dans de tels fichiers, ils ne prennent jamais le contrôle et perdent donc la capacité de se reproduire.
• Virus de démarrage sont intégrés dans le secteur de démarrage du disque (Boot sector) ou dans le secteur contenant le programme de démarrage disque système(Enregistrement de démarrage principal).
• Virus de démarrage de fichiers infecter à la fois les fichiers et les secteurs de démarrage des disques.
• Virus de macro sont écrits dans des langages de haut niveau et affectent les fichiers de documents des applications dotées de langages d'automatisation intégrés (macrolangages), tels que la famille d'applications Microsoft Office.
• chevaux de Troie, se faisant passer pour des programmes utiles, sont une source d'infection par des virus informatiques.

Plusieurs types ont été développés pour détecter, supprimer et protéger contre les virus informatiques. programmes spéciaux, qui vous permettent de détecter et de détruire les virus. Ces programmes sont appelés programmes antivirus. On distingue les types suivants : programmes antivirus:

• - les programmes de détection ;
• - les programmes médecins, ou phages ;
• - les programmes d'audit ;
• - programmes de filtrage ;
• - les programmes de vaccination, ou vaccinateurs.

Programmes de détection Ils recherchent une signature caractéristique d'un virus particulier dans la RAM et les fichiers et, s'ils sont trouvés, émettent un message correspondant. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

Programmes de doctorat, ou des phages également programmes de vaccination non seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimer le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, il y a polyphages, c'est-à-dire des programmes médicaux conçus pour rechercher et détruire un grand nombre de virus. Les plus connus d'entre eux : Kaspersky Antivirus, Norton AntiVirus, Docteur Web.

En raison de l'apparition constante de nouveaux virus, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières des versions sont nécessaires.

Programmes d'audit sont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des états est effectuée immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés. Les programmes d'audit disposent d'algorithmes assez développés, détectent les virus furtifs et peuvent même distinguer les modifications apportées à la version du programme vérifiée des modifications apportées par le virus. Les programmes d'audit incluent le programme Kaspersky Monitor largement utilisé.

Filtrer les programmes ou « gardiens » sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :

• - tente de corriger les fichiers avec les extensions COM. EXE;
• - modifier les attributs du fichier ;
• - enregistrement direct sur disque à une adresse absolue ;
• - écrire sur les secteurs de démarrage du disque ;

Lorsqu'un programme tente d'effectuer les actions spécifiées, le « garde » envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles. puisqu'ils sont capables de détecter le virus au stade le plus précoce de son existence, avant la reproduction. Cependant, ils ne « nettoient » pas les fichiers et les disques.

Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages. Les inconvénients des programmes de surveillance incluent leur « caractère intrusif » (par exemple, ils émettent constamment un avertissement concernant toute tentative de copie d'un fichier exécutable), ainsi que d'éventuels conflits avec d'autres programmes. logiciel.

Vaccins ou immunisants Ce sont des programmes résidents. empêcher l’infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Actuellement, les programmes de vaccination ont une utilité limitée.

La détection rapide des fichiers et des disques infectés par des virus et la destruction complète des virus détectés sur chaque ordinateur permettent d'éviter la propagation d'une épidémie virale à d'autres ordinateurs.

Classification des virus

Virus informatique est un petit programme conçu pour exister et se reproduire dans un fichier en raison de sa modification non autorisée, c'est-à-dire infection , ainsi que l'exécution actions indésirables sur l'ordinateur. Les signes d'infection sont les suivants : incapacité à démarrer le système d'exploitation ; certains programmes cessent de fonctionner ou commencent à fonctionner de manière incorrecte ; des caractères et des messages superflus sont affichés à l'écran ; le travail sur l'ordinateur ralentit considérablement; certains fichiers sont corrompus ou disparaissent ; changements de taille de fichier ; date et heure de leur modification ; le nombre de fichiers sur le disque augmente, etc.

Les principales sources d'infection sont le courrier électronique, Internet, le réseau local, disques amovibles (disquettes et CD-ROM). Vous ne devez pas exécuter de fichiers reçus d'une source douteuse et non préalablement vérifiés avec des programmes antivirus, installez accès général aux dossiers et fichiers sur un ordinateur fonctionnant sur le réseau.

Les principales orientations pour prévenir l'infection virale :

1. Vérification périodique des virus à l'aide dernières versions programmes antivirus;

2. Vérification des données provenant de l'extérieur ;

3. Copie des informations et contrôle d'accès strict.

Les cibles de l'attaque virale sont le chargeur de démarrage du système d'exploitation, le principal enregistrement de démarrage disque, pilotes de périphériques, programmes et documents.

Selon leur « habitat », les virus sont divisés en déposer, systémique, botte, démarrage de fichier, virus de macro Et réseau.

Les virus de fichiers infectent principalement les fichiers exécutables portant l'extension .com et .exe ; virus système – modules du système d'exploitation, pilotes de périphériques, tables d'allocation de fichiers et tables de partition ; Les bottes sont injectées dans le secteur bootstrap. Les virus multifonctionnels – virus de démarrage de fichiers – endommagent les secteurs de démarrage des disques et des fichiers.

L'habitat des virus de réseau est constitué par les réseaux informatiques. Actuellement, il s’agit du type de virus le plus courant, le plus souvent transmis sous forme de fichiers joints. messages électroniques.

La dite macrovirus , qui utilisent les capacités des langages macro intégrés aux packages bureautiques.

Selon le « degré d'impact », les virus sont divisés en : inoffensifs, non dangereux, dangereux et destructeurs.

La manifestation et le fonctionnement du virus sont grandement influencés par la « fonctionnalité de l’algorithme » mis en œuvre dans le programme antivirus. Par exemple, les soi-disant virus réplicateurs Ils se multiplient très rapidement et remplissent la RAM de leurs copies, et généralement la copie ne correspond pas complètement à l'original, ce qui rend difficile la recherche et la destruction du virus. Ils agissent de la même manière virus de vers , qui vivent dans des réseaux informatiques et envoient des copies d'eux-mêmes aux ordinateurs du réseau. Lorsqu'un virus est détruit sur un ordinateur, celui-ci est réinfecté.

Certains virus se déguisent en programmes utiles, mais effectuent en outre des actions destructrices (par exemple, collecte d'informations confidentielles - mots de passe, noms) pouvant aller jusqu'à la destruction du système. Ces virus sont appelés " chevaux de Troie ».

Des programmes antivirus peuvent être intégrés dans systèmes logiciels. Habituellement, ils sont inactifs jusqu'à ce qu'un certain événement se produise, après quoi les fonctions qui leur sont inhérentes sont mises en œuvre. De tels virus sont appelés bombes logiques.

Virus- invisible (virus furtifs ) sont très difficiles à détecter et à neutraliser, car ils interceptent les appels du système d'exploitation vers des fichiers et des secteurs de disque infectés et remplacent leur corps par des objets non infectés.

Sur la base de la méthode d'infection de l'environnement, les virus sont divisés en résident Et non-résident . Les premiers se caractérisent par le fait que le virus se trouve en permanence dans la RAM, intercepte les appels du système d'exploitation vers d'autres objets et les infecte. Les seconds sont actifs temps limité et la mémoire n'est pas infectée.

Virus informatiques répandus, attaques de virus dans réseau mondial Internet a conduit au développement de domaines tels que la création de programmes antivirus.

Classification des programmes antivirus

Les programmes antivirus sont conçus pour prévenir l'infection et éliminer les conséquences d'une infection virale. Ils peuvent surveiller l'accès au disque dur et avertir l'utilisateur de toute activité suspecte, et également fournir une protection fiable des e-mails contre les virus.

En fonction des fonctions qu'ils remplissent, les programmes antivirus sont divisés dans les types suivants : détecteurs ; les médecins; auditeurs; filtres ou gardiens; vaccins ou immunisants.

Programmes- auditeurs mémorisez l'état initial des programmes, des répertoires et des zones du système avant que l'ordinateur ne soit infecté et comparez-le périodiquement avec l'état actuel. Si une divergence est détectée, un avertissement est émis à l'utilisateur.

Programmes- filtres sont des programmes résidents qui détectent les actions suspectes pendant le fonctionnement de l'ordinateur, par exemple les tentatives de modification de fichiers exécutables, de modification des attributs de fichier, d'écriture sur le secteur de démarrage du disque, etc.

Programmes- détecteurs configuré pour détecter une infection par un ou plusieurs virus connus. La plupart des programmes de détection remplissent également la fonction « médecin », c'est-à-dire ils tentent de ramener les fichiers et les zones de disque infectés à leur état d'origine ; les fichiers qui ne peuvent pas être restaurés sont généralement rendus inutilisables et supprimés.

Programmes- les médecins détecter et traiter les objets infectés en « mordant » le corps du virus. Les programmes de ce type sont divisés en phages Et polyphages (détection et destruction d'un grand nombre de virus différents).

Programmes- vaccins modifier un fichier ou un disque de telle manière que cela n'affecte pas leur fonctionnement, mais le virus les considérerait comme déjà infectés. La vaccination est effectuée uniquement contre les virus connus.

Programme polyphages Docteur Web(développeur: I. Danilov) recherche et supprime les virus connus de la mémoire et des disques de l'ordinateur. La présence d'un analyseur heuristique intelligent vous permet de détecter de nouveaux virus jusqu'alors inconnus et des modifications de virus connus. L'antivirus Dr.Web analyse le courrier entrant via le protocole POP3 avant qu'il ne soit traité par le client de messagerie, et vérifie également le courrier sortant via le protocole SMTP. Garde antivirus ( moniteur ), fonctionnant automatiquement, vérifie les fichiers « à la volée » lors de leur accès à partir de n'importe quel programme, avertit l'utilisateur lorsque des fichiers infectés ou suspects sont détectés. Le programme utilise une technologie intelligente pour surveiller l'activité des virus, qui consiste à analyser les actions effectuées par les programmes. L'analyse est structurée de telle manière qu'elle élimine presque complètement les « fausses alarmes » et permet en même temps d'arrêter toute action qui pourrait être entreprise par malware. Antivirus scanner permet de détecter les objets infectés sur tous les supports et dans la RAM de l’ordinateur, ainsi que de neutraliser les virus.

Vice-président adjoint(AntiVirus Protect, développeur – Kaspersky Lab) vous permet de désinfecter et d'analyser les fichiers packagés et archivés, les lecteurs réseau. Grâce à une technologie d'analyse unique, il détecte et supprime les virus dans les fichiers archivés et compressés dans plus de 700 formats de fichiers différents. De plus, dans les archives ZIP, Kaspersky Anti-Virus est capable de supprimer les codes malveillants d'un fichier compressé infecté et de désinfecter les fichiers. Le module Office Guard™ intégré crée l'espace le plus sécurisé pour Applications Microsoft Bureau. Grâce à cela, Kaspersky Anti-Virus Personal Pro offre un contrôle complet sur tous les documents de bureau et garantit une protection à 100% même contre les macrovirus inconnus.

Norton Antivirus protège automatiquement contre les virus, les programmes ActiveX malveillants, les applets Java lors de l'utilisation d'Internet et du travail avec des disquettes, des CD ou le réseau, analyse les applications entrantes dans les programmes de messagerie les plus courants, détecte les virus et désinfecte les fichiers compressés. Permet clairement le passage des fichiers non infectés, mais arrête les fichiers contenant des virus avant qu'ils ne puissent pénétrer et endommager votre système. Norton Antivirus 2003 supprime automatiquement les codes de programmes dangereux et protège également les pièces jointes des messages et des e-mails contre les virus, garantit le niveau de sécurité maximum grâce à la possibilité de mettre à jour automatiquement et en permanence les bases de données antivirus et de créer une protection complète pour les utilisateurs contre la pénétration de codes de programmes dangereux. Une technologie heuristique unique peut identifier les vers de messagerie tels que Nimda et Badtrans et les arrêter avant qu'ils ne puissent se propager davantage via le courrier sortant.

Version professionnelle ( Pro) en plus de tout le monde Fonctionnalité L'édition standard comprend également des outils de récupération de données et de nettoyage du système conçus spécifiquement pour les professionnels du domaine de technologies de l'information et les petites entreprises. Ces outils permettent aux utilisateurs de protéger et de récupérer des fichiers critiques et de préserver la confidentialité en fragmentant les fichiers qui ne sont plus nécessaires.

Panda Titanium Antivirus 2004(développeur Logiciel Panda) – le programme antivirus de dernière génération doté d’une technologie améliorée pour détecter et supprimer les virus de tout type, offre une protection contre tout programme, document ou e-mail cela peut endommager votre système informatique. Grâce à des technologies heuristiques efficaces, le logiciel Panda est particulièrement efficace dans la lutte contre les nouveaux virus inconnus susceptibles d'apparaître à l'avenir, détecte et supprime automatiquement tous les types de virus lors de la réception/envoi d'e-mails, du téléchargement de fichiers ou de la navigation sur Internet, protège contre les numéroteurs - programmes qui connectent silencieusement le modem aux numéros payants, aux utilitaires contrôle caché, fichiers cachés dangereux, programmes avec des fichiers cachés et d'autres menaces à la sécurité. Le programme identifie et élimine les erreurs dans les logiciels installés sur l'ordinateur et effectue un autodiagnostic pour garantir un fonctionnement ininterrompu et productif de l'antivirus.

Voyons comment fonctionne le programme Kaspersky Antivirus lors de la vérification d'une disquette personnelle et d'un dossier pour les virus Mes documents.

1. Téléchargez le programme Scanner antivirus Kasperskyéquipe Commencer Programmes Kaspersky Antivirus Scanner antivirus Kaspersky.

2. Pour afficher les objets numérisés dans la fenêtre Scanner antivirus Kaspersky sur le côté gauche, sélectionnez une catégorie Objets, Cliquez sur le bouton [Expert] et cochez les cases du disque UN: et dossiers Mes documents(les sous-dossiers peuvent être ouverts de la même manière que dans Conducteur).

3. Dans la zone droite de la fenêtre, précisez l'action du programme si un virus est détecté. Il est recommandé de cocher les cases suivantes :

· Traitez, et si le traitement est impossible, supprimez l'objet.

· Analysez les types de fichiers suivants : tous les fichiers.

· Analyser les fichiers composés : cochez toutes les cases ici .

4. Commencez la numérisation en sélectionnant la commande Analyser Démarrer l'analyse.

5. Pour surveiller le processus de recherche de virus et de désinfection des disques, cliquez sur le bouton [Statistiques].

Vérifions votre disquette et votre dossier personnels pour détecter les virus Mes documentsà l'aide de Norton AntiVirus Professional Edition.

1. Téléchargez Norton AntiVirus Professional Edition avec la commande Commencer Programmes Norton Antivirus Norton AntiVirus 2003 Édition Professionnelle

2. Définissez les paramètres de numérisation.

3. Allez dans l'onglet Rechercher des virus pour spécifier les objets à analyser : pour analyser une disquette, cliquez sur le bouton .

4. Au bas de la fenêtre, dans la zone Actions, sélectionnez .

5. Pour vérifier le dossier Mes documents Double-cliquez sur le bouton et dans la fenêtre qui s'ouvre, sélectionnez le dossier souhaité et cliquez sur le bouton.

Sur l'onglet Rapports Affichez les résultats de l'analyse dans les rapports.

INTRODUCTION

Nous vivons au tournant de deux millénaires, alors que l’humanité est entrée dans l’ère d’une nouvelle révolution scientifique et technologique.

À la fin du XXe siècle, les gens maîtrisaient de nombreux secrets de la transformation de la matière et de l’énergie et étaient capables d’utiliser ces connaissances pour améliorer leur vie. Mais outre la matière et l'énergie, un autre élément joue un rôle important dans la vie humaine : l'information. Il s'agit d'une grande variété d'informations, de messages, d'actualités, de connaissances, de compétences.

Au milieu de notre siècle, des appareils spéciaux sont apparus - des ordinateurs, axés sur le stockage et la conversion d'informations, et la révolution informatique a eu lieu.

Utilisation massive aujourd'hui Ordinateur personnel, malheureusement, s'est avéré être associé à l'émergence de programmes antivirus auto-réplicatifs qui empêchent fonctionnement normal ordinateur, détruisant la structure des fichiers des disques et endommageant les informations stockées sur l'ordinateur.

Malgré les lois adoptées dans de nombreux pays pour lutter contre la criminalité informatique et le développement de logiciel protection contre les virus, le nombre de nouveaux virus logiciels ne cesse de croître. Cela nécessite que l'utilisateur d'un ordinateur personnel connaisse la nature des virus, les méthodes d'infection par les virus et la protection contre ceux-ci. C’est ce qui m’a motivé à choisir le sujet de mon travail.

C'est exactement ce dont je parle dans mon essai. Je montre les principaux types de virus, considère leurs schémas de fonctionnement, les raisons de leur apparition et les moyens de pénétrer dans un ordinateur, et propose également des mesures de protection et de prévention.

Le but du travail est de familiariser l'utilisateur avec les bases de la virologie informatique, d'apprendre à détecter les virus et à les combattre. Méthode de travail - analyse des publications imprimées sur ce sujet. J'ai été confronté à une tâche difficile : parler de quelque chose qui a été très peu étudié, et comment cela s'est avéré, c'est à vous de juger.

1. VIRUS INFORMATIQUES ET LEURS PROPRIÉTÉS ET CLASSEMENT

1.1. Propriétés des virus informatiques

De nos jours, on utilise des ordinateurs personnels dans lesquels l'utilisateur a libre accès à toutes les ressources de la machine. C’est ce qui a ouvert la possibilité d’un danger connu sous le nom de virus informatique.

Qu'est-ce qu'un virus informatique ? Une définition formelle de ce concept n'a pas encore été inventée, et il existe de sérieux doutes quant à sa possibilité de la donner. De nombreuses tentatives visant à fournir une définition « moderne » du virus ont échoué. Pour avoir une idée de la complexité du problème, essayons par exemple de définir la notion d'« éditeur ». Soit vous proposerez quelque chose de très général, soit vous commencerez à lister tous les types d’éditeurs connus. Ces deux éléments peuvent difficilement être considérés comme acceptables. Par conséquent, nous nous limiterons à considérer certaines propriétés des virus informatiques qui nous permettent d'en parler comme d'une certaine classe de programmes.

Tout d’abord, un virus est un programme. Une déclaration aussi simple peut à elle seule dissiper de nombreuses légendes sur les capacités extraordinaires des virus informatiques. Un virus peut retourner l’image sur votre moniteur, mais il ne peut pas retourner le moniteur lui-même. Les légendes selon lesquelles des virus tueurs « détruisent les opérateurs en affichant une palette de couleurs mortelles sur l'écran dans la 25e image » ne doivent pas non plus être prises au sérieux. Malheureusement, certaines publications réputées publient de temps en temps « les dernières nouvelles du secteur informatique », qui, après un examen plus approfondi, s'avèrent être le résultat d'une compréhension pas tout à fait claire du sujet.

Un virus est un programme qui a la capacité de se reproduire. Cette capacité est le seul moyen inhérent à tous les types de virus. Mais les virus ne sont pas les seuls à pouvoir s’auto-répliquer. Tout système d'exploitation et de nombreux autres programmes sont capables de créer leurs propres copies. Non seulement les copies du virus ne doivent pas nécessairement coïncider complètement avec l’original, mais elles peuvent même ne pas coïncider du tout avec celui-ci !

Un virus ne peut pas exister dans un « isolement complet » : il est aujourd'hui impossible d'imaginer un virus qui n'utilise pas le code d'autres programmes, des informations sur la structure des fichiers ou même simplement les noms d'autres programmes. La raison est claire : le virus doit d’une manière ou d’une autre garantir que le contrôle lui est transféré.

1.2. Classification des virus

Actuellement, plus de 5 000 virus logiciels sont connus, ils peuvent être classés selon les critères suivants :

habitat

¨ méthode de contamination de l'habitat

influence

¨ caractéristiques de l'algorithme

Selon leur habitat, les virus peuvent être divisés en virus de réseau, de fichier, de démarrage et de démarrage de fichier. Virus de réseau répartis sur différents réseaux informatiques. Les virus de fichiers sont principalement intégrés dans des modules exécutables, c'est-à-dire dans des fichiers portant les extensions COM et EXE. Virus de fichiers peuvent être intégrés dans d'autres types de fichiers, mais, en règle générale, écrits dans de tels fichiers, ils ne reçoivent jamais de contrôle et perdent donc la capacité de se reproduire. Virus de démarrage sont intégrés dans le secteur de démarrage du disque (Boot sector) ou dans le secteur contenant le programme de démarrage du disque système (Master Boot Re-

corde). Démarrage de fichier Les virus infectent à la fois les fichiers et les secteurs de démarrage des disques.

Sur la base de la méthode d'infection, les virus sont divisés en résidents et non-résidents. Virus résident lorsqu’un ordinateur est infecté (infecté), il laisse sa partie résidente dans la RAM, qui intercepte alors l’accès du système d’exploitation aux objets d’infection (fichiers, secteurs de démarrage du disque, etc.) et s’y injecte. Les virus résidents résident en mémoire et sont actifs jusqu'à ce que l'ordinateur soit éteint ou redémarré. Virus non résidents n’infectent pas la mémoire de l’ordinateur et sont actifs pendant une durée limitée.

En fonction du degré d'impact, les virus peuvent être divisés dans les types suivants :

¨ non dangereux, qui n'interfèrent pas avec le fonctionnement de l'ordinateur, mais réduisent la quantité de RAM libre et de mémoire disque, les actions de ces virus se manifestent par certains effets graphiques ou sonores

¨ dangereux virus pouvant entraîner divers problèmes avec votre ordinateur

¨ très dangereux, dont l'impact peut entraîner la perte de programmes, la destruction de données et l'effacement d'informations dans les zones système du disque.

2. PRINCIPAUX TYPES DE VIRUS ET LEUR SCHÉMA DE FONCTIONNEMENT

Parmi la variété de virus, on peut distinguer les groupes principaux suivants :

botte

déposer

¨ démarrage de fichier

Examinons maintenant de plus près chacun de ces groupes.

2.1. Virus de démarrage

Examinons le fonctionnement d'un virus de démarrage très simple qui infecte les disquettes. Nous contournerons délibérément toutes les nombreuses subtilités qui seraient inévitablement rencontrées lors d'une analyse stricte de l'algorithme de son fonctionnement.

Que se passe-t-il lorsque vous allumez votre ordinateur ? Tout d'abord, le contrôle est transféré programme d'amorçage, qui est stocké dans une mémoire morte (ROM), c'est-à-dire ROM PNZ.

Ce programme teste le matériel et, si les tests réussissent, tente de retrouver la disquette dans le lecteur A :

Chaque disquette est marquée de ce qu'on appelle. secteurs et pistes. Les secteurs sont regroupés en clusters, mais cela n'est pas significatif pour nous.

Parmi les secteurs, il existe plusieurs secteurs de service, utilisés par le système d'exploitation pour ses propres besoins (ces secteurs ne peuvent pas contenir vos données). Parmi les secteurs de services, nous nous intéressons actuellement à un - ce qu'on appelle. Secteur de démarrage(Secteur de démarrage).

Les magasins du secteur bottes informations sur la disquette- nombre de surfaces, nombre de pistes, nombre de secteurs, etc. Mais maintenant nous ne nous intéressons pas à ces informations, mais en petit programme d'amorçage(PNZ), qui doit charger le système d'exploitation lui-même et lui transférer le contrôle.

Le schéma d’amorçage normal est donc le suivant :

Examinons maintenant le virus. Les virus de démarrage comportent deux parties - ce qu'on appelle. tête etc. queue. La queue, en général, peut être vide.

Supposons que vous ayez une disquette vierge et un ordinateur infecté, c'est-à-dire un ordinateur avec un virus résident actif. Dès que ce virus détecte qu'une victime appropriée est apparue dans le lecteur - dans notre cas, une disquette qui n'est pas protégée en écriture et n'a pas encore été infectée, il commence à infecter. Lors de l'infection d'une disquette, le virus effectue les actions suivantes :

Sélectionne une certaine zone du disque et la marque comme inaccessible au système d'exploitation, cela peut être fait de différentes manières, dans le cas le plus simple et traditionnel, les secteurs occupés par le virus sont marqués comme mauvais (mauvais)

Copie sa queue et le secteur de démarrage d'origine (sain) dans la zone sélectionnée du disque

Remplace le programme de démarrage dans le (vrai) secteur de démarrage par sa tête

Organise une chaîne de transfert de contrôle selon le schéma.

Ainsi, le responsable du virus est désormais le premier à recevoir le contrôle, le virus s'installe en mémoire et transfère le contrôle au secteur de démarrage d'origine. Dans une chaîne

PNZ (ROM) - PNZ (disque) - SYSTÈME

un nouveau lien apparaît :

PNZ (ROM) - VIRUS - PNZ (disque) - SYSTÈME

La morale est claire : Ne laissez jamais de disquettes (accidentellement) dans le lecteur A.

Nous avons examiné le schéma de fonctionnement d'un simple virus de démarrage qui vit dans les secteurs de démarrage des disquettes. En règle générale, les virus peuvent infecter non seulement les secteurs de démarrage des disquettes, mais également les secteurs de démarrage des disques durs. De plus, contrairement aux disquettes, le disque dur possède deux types de secteurs de démarrage contenant des programmes de démarrage qui reçoivent le contrôle. Lorsque l'ordinateur démarre à partir du disque dur, le programme de démarrage du MBR (Master Boot Record) prend le contrôle en premier. Si votre disque dur est divisé en plusieurs partitions, une seule d'entre elles est marquée comme étant de démarrage. Le programme de démarrage dans le MBR trouve la partition de démarrage du disque dur et transfère le contrôle au programme de démarrage de cette partition. Le code de ce dernier coïncide avec le code du programme de démarrage contenu sur les disquettes ordinaires, et les secteurs de démarrage correspondants ne diffèrent que par les tables de paramètres. Ainsi, sur le disque dur, il existe deux objets d'attaque par les virus de démarrage - programme de démarrage dans MBR Et programme primaire téléchargements du secteur de démarrage disque de démarrage système.

2.2. Virus de fichiers

Voyons maintenant comment fonctionne un simple virus de fichier. Contrairement aux virus de démarrage, qui sont presque toujours résidents, les virus de fichiers ne le sont pas nécessairement. Considérons le schéma de fonctionnement d'un virus de fichiers non résident. Disons que nous avons un fichier exécutable infecté. Lorsqu'un tel fichier est lancé, le virus prend le contrôle, effectue certaines actions et transfère le contrôle au « maître » (bien qu'on ne sache pas encore qui est le maître dans une telle situation).

Quelles actions le virus effectue-t-il ? Il recherche un nouvel objet à infecter - un fichier d'un type approprié qui n'a pas encore été infecté (si le virus est « décent », sinon il y en a qui infectent immédiatement sans rien vérifier). En infectant un fichier, le virus s'injecte dans son code afin d'en prendre le contrôle lors de l'exécution du fichier. En plus de sa fonction principale - la reproduction, le virus peut très bien faire quelque chose de complexe (dire, demander, jouer) - cela dépend déjà de l'imagination de l'auteur du virus. Si le virus de fichier est résident, il s'installera en mémoire et pourra infecter des fichiers et présenter d'autres capacités non seulement pendant l'exécution du fichier infecté. Lors de l'infection d'un fichier exécutable, un virus modifie toujours son code. Par conséquent, l'infection d'un fichier exécutable peut toujours être détectée. Mais en modifiant le code du fichier, le virus n'effectue pas nécessairement d'autres modifications :

à il n'est pas obligé de modifier la longueur du fichier

à sections de code inutilisées

à n'est pas nécessaire pour changer le début du fichier

Enfin, les virus de fichiers incluent souvent des virus qui « ont un certain rapport avec les fichiers » mais qui n'ont pas besoin d'être intégrés dans leur code. Considérons à titre d'exemple le schéma de fonctionnement des virus de la famille connue Dir-II. Il faut admettre que, apparus en 1991, ces virus sont devenus la cause d'une véritable épidémie de peste en Russie. Regardons un modèle qui montre clairement l'idée de base du virus. Les informations sur les fichiers sont stockées dans des répertoires. Chaque entrée du répertoire comprend le nom du fichier, la date et l'heure de sa création, ainsi que quelques Informations Complémentaires, premier numéro de cluster fichier, etc réserver des octets. Ces derniers sont laissés « en réserve » et ne sont pas utilisés par MS-DOS lui-même.

Lors de l'exécution de fichiers exécutables, le système lit le premier cluster du fichier, puis tous les autres clusters à partir de l'entrée du répertoire. Les virus de la famille Dir-II effectuent la « réorganisation » suivante système de fichiers: le virus lui-même écrit sur certains secteurs libres du disque, qu'il marque comme mauvais. De plus, il stocke des informations sur les premiers groupes de fichiers exécutables dans des bits réservés et, à la place de ces informations, écrit des références à lui-même.

Ainsi, lorsqu'un fichier est lancé, le virus prend le contrôle (le système d'exploitation le lance lui-même), s'installe en mémoire et transfère le contrôle au fichier appelé.

2.3. Virus des fichiers de démarrage

Nous ne considérerons pas le modèle de virus du fichier de démarrage, car vous n’apprendrez aucune nouvelle information. Mais voici une bonne occasion de discuter brièvement du virus de fichier de démarrage OneHalf, récemment extrêmement « populaire », qui infecte le secteur de démarrage principal (MBR) et les fichiers exécutables. Le principal effet destructeur est le cryptage des secteurs du disque dur. Chaque fois qu'il est lancé, le virus crypte une autre partie de secteurs, et après avoir crypté la moitié du disque dur, il le signale volontiers. Le principal problème dans le traitement de ce virus est qu'il ne suffit pas simplement de supprimer le virus du MBR et des fichiers ; vous devez décrypter les informations cryptées par celui-ci. L’action la plus meurtrière consiste simplement à écraser un nouveau MBR sain. L'essentiel est de ne pas paniquer. Pesez tout calmement et consultez des experts.

2.4. Virus polymorphes

La plupart des questions portent sur le terme « virus polymorphe ». Ce type de virus informatique semble aujourd’hui être le plus dangereux. Expliquons ce que c'est.

Les virus polymorphes sont des virus qui modifient leur code dans les programmes infectés de telle sorte que deux copies du même virus ne correspondent pas en un seul bit.

Ces virus chiffrent non seulement leur code en utilisant différents chemins de chiffrement, mais contiennent également un code de génération de chiffreur et de décrypteur, ce qui les distingue des virus de chiffrement ordinaires, qui peuvent également chiffrer des sections de leur code, mais ont en même temps un code de chiffrement et de décryptage constant. .

Les virus polymorphes sont des virus dotés de décrypteurs auto-modifiables. Le but d'un tel cryptage : avoir un fichier infecté et fichiers originaux vous ne pourrez toujours pas analyser son code en utilisant le démontage normal. Ce code est crypté et constitue un ensemble de commandes dénuées de sens. Le décryptage est effectué par le virus lui-même lors de son exécution. Dans ce cas, des options sont possibles : il peut se décrypter d'un seul coup, ou il peut effectuer un tel décryptage « à la volée », il peut rechiffrer les sections déjà utilisées. Tout cela est fait pour rendre difficile l’analyse du code du virus.

3. HISTORIQUE DE LA VIROLOGIE INFORMATIQUE ET RAISONS DE L'APPARITION DES VIRUS

L'histoire de la virologie informatique semble aujourd'hui être une « course au leader » constante et, malgré toute la puissance des programmes antivirus modernes, ce sont les virus qui sont en tête. Parmi des milliers de virus, seules quelques dizaines sont des développements originaux qui utilisent des idées véritablement fondamentalement nouvelles. Tout le reste n’est que des « variations sur un thème ». Mais chaque développement original oblige les créateurs d’antivirus à s’adapter aux nouvelles conditions et à rattraper leur retard en matière de technologie antivirus. Cette dernière peut être contestée. Par exemple, en 1989, un étudiant américain a réussi à créer un virus qui a désactivé environ 6 000 ordinateurs du ministère américain de la Défense. Ou encore l’épidémie du fameux virus Dir-II qui s’est déclarée en 1991. Le virus a utilisé une méthode vraiment originale, fondamentalement nouvelle technologie et a d'abord réussi à se propager largement en raison de l'imperfection des outils antivirus traditionnels.

Ou encore la montée des virus informatiques au Royaume-Uni : Christopher Pyne a réussi à créer les virus Pathogen et Queeq, ainsi que le virus Smeg. C'était le dernier qui était le plus dangereux ; il pouvait se superposer aux deux premiers virus, et pour cette raison, après chaque exécution du programme, ils modifiaient la configuration. Il était donc impossible de les détruire. Pour propager des virus, Pine copiait des jeux et des programmes informatiques, les infectait, puis les renvoyait sur le réseau. Les utilisateurs téléchargent des programmes infectés sur leurs ordinateurs et infectent leurs disques. La situation a été aggravée par le fait que Pine a réussi à introduire des virus dans le programme qui les combat. En le lançant, au lieu de détruire les virus, les utilisateurs en recevaient un autre. En conséquence, les dossiers de nombreuses entreprises ont été détruits, entraînant des pertes s’élevant à des millions de livres sterling.

Le programmeur américain Morris est devenu largement connu. Il est connu comme le créateur du virus qui, en novembre 1988, a infecté environ 7 000 ordinateurs personnels connectés à Internet.

Les raisons de l'émergence et de la propagation des virus informatiques, d'une part, sont cachées dans la psychologie de la personnalité humaine et ses côtés obscurs (envie, vengeance, vanité des créateurs méconnus, incapacité à utiliser ses capacités de manière constructive), d'autre part. d'autre part, en raison du manque de protection matérielle et de contre-mesure de la part des systèmes informatiques personnels de la salle d'opération.

4. VOIES PAR LES VIRUS ENTRANT DANS UN ORDINATEUR ET MÉCANISME DE DISTRIBUTION DES PROGRAMMES VIRUS

Les principaux moyens par lesquels les virus pénètrent dans un ordinateur sont les disques amovibles (disquettes et laser), ainsi que les réseaux informatiques. Un disque dur peut être infecté par des virus lors du chargement d'un programme à partir d'une disquette contenant un virus. Une telle infection peut également être accidentelle, par exemple si la disquette n'a pas été retirée du lecteur A et que l'ordinateur a été redémarré, et que la disquette n'est peut-être pas une disquette système. Il est beaucoup plus facile d'infecter une disquette. Un virus peut s'y introduire même si la disquette est simplement insérée dans le lecteur de disque d'un ordinateur infecté et, par exemple, si sa table des matières est lue.

Le virus envahit généralement programme de travail de telle sorte qu'au démarrage, le contrôle lui est d'abord transféré et ce n'est qu'une fois toutes ses commandes exécutées qu'il revient au programme de travail. Ayant accédé au contrôle, le virus se réécrit tout d'abord dans un autre programme de travail et l'infecte. Après avoir exécuté un programme contenant un virus, il devient possible d'infecter d'autres fichiers. Le plus souvent, le secteur de démarrage du disque et les fichiers exécutables portant les extensions EXE, COM, SYS, BAT sont infectés par un virus. Il est extrêmement rare que des fichiers texte soient infectés.

Après avoir infecté un programme, le virus peut effectuer une sorte de sabotage, pas trop grave pour ne pas attirer l'attention. Et enfin, n'oubliez pas de rendre le contrôle au programme à partir duquel il a été lancé. Chaque exécution d'un programme infecté transfère le virus au suivant. Ainsi, tous les logiciels seront infectés.

Pour illustrer le processus d'infection d'un programme informatique par un virus, il est logique de comparer le stockage sur disque à une archive à l'ancienne avec des dossiers sur bande. Les dossiers contiennent des programmes et la séquence d'opérations pour introduire un virus dans ce cas ressemblera à ceci (voir Annexe 1).

5. SIGNES DE VIRUS

Lorsque votre ordinateur est infecté par un virus, il est important de le détecter. Pour ce faire, vous devez connaître les principaux signes de virus. Ceux-ci incluent les éléments suivants :

¨ arrêt ou fonctionnement incorrect de programmes fonctionnant auparavant avec succès

¨ ralentissement des performances de l'ordinateur

¨ impossibilité de charger le système d'exploitation

¨ disparition de fichiers et répertoires ou distorsion de leur contenu

¨ changer la date et l'heure de modification du fichier

¨ redimensionner les fichiers

¨ augmentation significative inattendue du nombre de fichiers sur le disque

¨ réduction significative de la taille de la RAM libre

¨ affichage de messages ou d'images inattendus

¨ donner des signaux sonores inattendus

¨ blocages fréquents et pannes informatiques

Il convient de noter que les phénomènes ci-dessus ne sont pas nécessairement causés par la présence d’un virus, mais peuvent résulter d’autres raisons. Il est donc toujours difficile de diagnostiquer correctement l’état d’un ordinateur.

6. DÉTECTION DES VIRUS ET MESURES DE PROTECTION ET DE PRÉVENTION

6.1. Comment détecter un virus ? Approche traditionnelle

Ainsi, un certain auteur de virus crée un virus et le lance dans la « vie ». Il peut se promener à sa guise pendant un moment, mais tôt ou tard, le « lafa » prendra fin. Quelqu’un soupçonnera que quelque chose ne va pas. Généralement, les virus sont détectés utilisateurs réguliers qui constatent certaines anomalies dans le comportement de l'ordinateur. Dans la plupart des cas, ils ne sont pas capables de faire face seuls à l'infection, mais cela ne leur est pas demandé.

Il suffit que le virus tombe entre les mains de spécialistes le plus rapidement possible. Les professionnels l'étudieront, découvriront « ce qu'il fait », « comment il fait », « quand il fait », etc. Au cours de ce travail, toutes les informations nécessaires sur ce virus sont collectées, notamment la signature de le virus est isolé - une séquence d'octets qui le caractérise très certainement. Pour créer une signature, les sections les plus importantes et les plus caractéristiques du code du virus sont généralement prises en compte. Dans le même temps, les mécanismes de fonctionnement du virus deviennent clairs. Par exemple, dans le cas d'un virus de démarrage, il est important de savoir où il cache sa queue, où se trouve le secteur de démarrage d'origine et, dans le cas de un virus de fichier, la méthode d'infection du fichier. Les informations obtenues permettent de connaître :

· comment détecter un virus, à cet effet, des méthodes de recherche de signatures dans les objets potentiels d'une attaque virale - les fichiers et/ou secteurs de démarrage sont spécifiés

· comment neutraliser le virus, si possible, des algorithmes sont en cours de développement pour supprimer le code du virus des objets affectés

6.2. Programmes de détection et de protection contre les virus

Pour détecter, supprimer et protéger contre les virus informatiques, plusieurs types de programmes spéciaux ont été développés qui vous permettent de détecter et de détruire les virus. De tels programmes sont appelés antivirus . Il existe les types de programmes antivirus suivants :

· programmes de détection

· programmes médicaux ou phages

· programmes d'audit

· programmes de filtrage

Programmes de vaccination ou d'immunisation

Programmes de détection Ils recherchent une signature caractéristique d'un virus particulier dans la RAM et les fichiers et, s'ils sont trouvés, émettent un message correspondant. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

Programmes de doctorat ou phages, et programmes de vaccination non seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimez le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire un grand nombre de virus. Les plus connus d'entre eux : Aidstest, Scan, Norton AntiVirus, Doctor Web.

Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières des versions sont nécessaires.

Programmes d'audit sont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des états est effectuée immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés. Les programmes d'audit disposent d'algorithmes assez développés, détectent les virus furtifs et peuvent même nettoyer les modifications apportées à la version du programme vérifiée des modifications apportées par le virus. Parmi les programmes d'audit figure le programme Adinf, largement utilisé en Russie.

Filtrer les programmes ou "gardien" sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :

· tente de corriger les fichiers avec Extensions COM EXE

· changer les attributs du fichier

écriture directe sur le disque à une adresse absolue

· écrire sur les secteurs de démarrage du disque

Lorsqu'un programme tente d'effectuer les actions spécifiées, le « garde » envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles car ils sont capables de détecter un virus dès les premiers stades de son existence, avant sa réplication. Cependant, ils ne « nettoient » pas les fichiers et les disques. Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages. Les inconvénients des programmes de surveillance incluent leur « caractère intrusif » (par exemple, ils émettent constamment un avertissement concernant toute tentative de copie d'un fichier exécutable), ainsi que d'éventuels conflits avec d'autres logiciels. Un exemple de programme de filtrage est le programme Vsafe, qui fait partie du package utilitaire MS DOS.

Vaccins ou vaccinateurs- Ce sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Actuellement, les programmes de vaccination ont une utilité limitée.

La détection rapide des fichiers et des disques infectés par des virus et la destruction complète des virus détectés sur chaque ordinateur permettent d'éviter la propagation d'une épidémie virale à d'autres ordinateurs.

6.3. Mesures de base pour se protéger contre les virus

Afin d'éviter d'exposer votre ordinateur à des virus et d'assurer un stockage fiable des informations sur les disques, vous devez suivre les règles suivantes :

¨ équipez votre ordinateur de programmes antivirus modernes, tels que Aidstest, Doctor Web, et mettez constamment à jour leurs versions

¨ avant de lire les informations stockées sur d'autres ordinateurs à partir de disquettes, vérifiez toujours la présence de virus sur ces disquettes en exécutant des programmes antivirus sur votre ordinateur

¨ lors du transfert de fichiers sous forme archivée sur votre ordinateur, vérifiez-les immédiatement après les avoir décompressés sur votre disque dur, en limitant la zone d'analyse aux seuls fichiers nouvellement enregistrés

¨ vérifier périodiquement la présence de virus disques durs ordinateur, exécutant des programmes antivirus pour tester les fichiers, la mémoire et les zones système des disques à partir d'une disquette protégée en écriture, après avoir chargé le système d'exploitation protégé en écriture disquette système

¨ protégez toujours vos disquettes de l'écriture lorsque vous travaillez sur d'autres ordinateurs, si aucune information n'y sera écrite

¨ assurez-vous de faire des copies de sauvegarde sur disquettes des informations qui vous sont précieuses

¨ ne laissez pas de disquettes dans la pochette du lecteur A lors de la mise sous tension ou du redémarrage du système d'exploitation pour éviter que l'ordinateur ne soit infecté par des virus de démarrage

¨ utiliser des programmes antivirus pour contrôler l'entrée de tous les fichiers exécutables reçus des réseaux informatiques

¨ pour assurer une plus grande sécurité, Aidstest et Doctor Web doivent être combinés avec l'utilisation quotidienne de l'auditeur de disque Adinf

CONCLUSION

On peut donc citer de nombreux faits indiquant que la menace ressource d'informations augmente chaque jour, provoquant la panique chez les décideurs des banques, des usines et des entreprises du monde entier. Et cette menace vient des virus informatiques qui déforment ou détruisent des informations vitales et précieuses, ce qui peut entraîner non seulement des pertes financières, mais aussi des pertes humaines.

Virus informatique - un programme spécialement écrit qui est capable de s'attacher spontanément à d'autres programmes, de créer des copies de lui-même et de les introduire dans des fichiers, des zones système de l'ordinateur et dans des réseaux informatiques afin de perturber le fonctionnement des programmes, d'endommager des fichiers et des répertoires et de créer toutes sortes d'interférences dans le fonctionnement de l'ordinateur.

Actuellement, plus de 5 000 virus logiciels sont connus, et leur nombre ne cesse de croître. Il existe des cas connus où des didacticiels ont été créés pour aider à écrire des virus.

Les principaux types de virus : boot, file, file-boot. Le type de virus le plus dangereux est polymorphe.

L’histoire de la virologie informatique montre clairement que tout développement informatique original oblige les créateurs d’antivirus à s’adapter aux nouvelles technologies et à améliorer constamment leurs programmes antivirus.

Les raisons de l'apparition et de la propagation des virus sont cachées, d'une part, dans la psychologie humaine, et d'autre part, en raison du manque de mesures de protection dans le système d'exploitation.

Les principales voies de pénétration des virus sont les disques amovibles et les réseaux informatiques. Pour éviter que cela ne se produise, suivez les mesures de protection. En outre, plusieurs types de programmes spéciaux appelés programmes antivirus ont été développés pour détecter, supprimer et protéger contre les virus informatiques. Si vous trouvez un virus sur votre ordinateur, alors en utilisant l'approche traditionnelle, il est préférable d'appeler un professionnel pour le découvrir plus en détail.

Mais certaines propriétés des virus intriguent même les spécialistes. Tout récemment, il était difficile d'imaginer qu'un virus puisse survivre à un démarrage à froid ou se propager à travers des fichiers de documents. Dans de telles conditions, il est impossible de ne pas attacher d'importance au moins à la formation initiale des utilisateurs en matière d'antivirus. Malgré la gravité du problème, aucun virus ne peut causer autant de dégâts qu’un utilisateur au visage blanc et aux mains tremblantes !

Donc, la santé de vos ordinateurs, la sécurité de vos données est entre vos mains !

Bibliographie

1. Informatique : Manuel / éd. Prof. N.V. Makarova. - M. : Finances et Statistiques, 1997.

2. Encyclopédie des secrets et des sensations / Préparé par. texte de Yu.N. Petrova. - Mn. : Littérature, 1996.

3. Bezrukov N.N. Virus informatiques. - M. : Nauka, 1991.

4. Mostovoy D.Yu. Technologies modernes lutte contre les virus // PC World. - N°8. - 1993.