INTRODUCTION
Nous vivons au tournant de deux millénaires, alors que l'humanité est entrée dans l'ère d'une nouvelle révolution scientifique et technologique.
À la fin du XXe siècle, les gens avaient maîtrisé de nombreux secrets de la transformation de la matière et de l'énergie et étaient capables d'utiliser ces connaissances pour améliorer leur vie. Mais en plus de la matière et de l'énergie, un autre composant joue un rôle énorme dans la vie humaine : l'information. Il s'agit d'une grande variété d'informations, de messages, d'actualités, de connaissances, de compétences.
Au milieu de notre siècle, des appareils spéciaux sont apparus - des ordinateurs axés sur le stockage et la conversion d'informations, et une révolution informatique a eu lieu.
Aujourd'hui, l'utilisation massive d'ordinateurs personnels s'est malheureusement avérée être associée à l'émergence de programmes antivirus auto-reproducteurs qui empêchent le fonctionnement normal d'un ordinateur, détruisent la structure des fichiers des disques et endommagent les informations stockées dans un ordinateur.
Malgré les lois adoptées dans de nombreux pays pour lutter contre les crimes informatiques et le développement de logiciels spéciaux pour se protéger contre les virus, le nombre de nouveaux virus logiciels ne cesse de croître. Cela nécessite que l'utilisateur d'un ordinateur personnel connaisse la nature des virus, comment infecter et se protéger contre les virus. Ce fut le stimulant pour choisir le thème de mon travail.
C'est ce dont je parle dans mon essai. Je montre les principaux types de virus, considère les schémas de leur fonctionnement, les raisons de leur apparition et les moyens de pénétrer dans l'ordinateur, et propose également des mesures de protection et de prévention.
Le but de l'ouvrage est de familiariser l'utilisateur avec les bases de la virologie informatique, de lui apprendre à détecter les virus et à les combattre. La méthode de travail est l'analyse des publications imprimées sur ce sujet. J'ai fait face à une tâche difficile - parler de ce qui a été très peu étudié et comment cela s'est passé - à vous de juger.
1. LES VIRUS INFORMATIQUES ET LEURS PROPRIÉTÉS
ET CLASSEMENT
1.1. Propriétés des virus informatiques
On utilise désormais des ordinateurs personnels, dans lesquels l'utilisateur a un accès libre à toutes les ressources de la machine. C'est ce qui a ouvert la possibilité du danger connu sous le nom de virus informatique.
Qu'est-ce qu'un virus informatique ? Une définition formelle de ce concept n'a pas encore été inventée et il y a de sérieux doutes quant à sa capacité à être donnée. De nombreuses tentatives pour donner une définition "moderne" du virus n'ont pas abouti. Pour sentir la complexité du problème, essayez, par exemple, de définir la notion d'"éditeur". Soit vous proposerez quelque chose de très général, soit vous commencerez à lister tous les types d'éditeurs connus. Les deux peuvent difficilement être considérés comme acceptables. Par conséquent, nous nous limiterons à considérer certaines propriétés des virus informatiques qui nous permettent d'en parler comme d'une certaine classe spécifique de programmes.
Tout d'abord, un virus est un programme. Une déclaration aussi simple peut à elle seule dissiper de nombreuses légendes sur les capacités extraordinaires des virus informatiques. Le virus peut retourner l'image sur votre moniteur, mais il ne peut pas retourner le moniteur lui-même. Les légendes sur les virus tueurs "détruisant les opérateurs en affichant un schéma de couleurs mortel sur la 25e image" ne doivent pas non plus être prises au sérieux. Malheureusement, certaines publications faisant autorité publient de temps en temps "les dernières nouvelles du front informatique", qui, après un examen plus approfondi, s'avèrent être le résultat d'une compréhension pas tout à fait claire du sujet.
Un virus est un programme qui a la capacité de se reproduire. Cette capacité est le seul moyen inhérent à tous les types de virus. Mais il n'y a pas que les virus qui sont capables de s'auto-répliquer. Tout système d'exploitation et de nombreux autres programmes sont capables de créer leurs propres copies. Non seulement les copies du même virus ne doivent pas correspondre complètement à l'original, mais elles peuvent ne pas correspondre du tout !
Un virus ne peut pas exister dans un "isolement complet": aujourd'hui, on ne peut pas imaginer un virus qui n'utilise pas le code d'autres programmes, les informations de structure de fichiers ou même simplement les noms d'autres programmes. La raison est claire : le virus doit en quelque sorte assurer le transfert de contrôle à lui-même.
1.2. Classement des virus
Actuellement, plus de 5 000 virus logiciels sont connus, ils peuvent être classés selon les critères suivants :
habitat
¨ voie de contamination de l'environnement
impact
¨ caractéristiques de l'algorithme
Selon l'habitat, les virus peuvent être divisés en réseau, fichier, démarrage et démarrage de fichier. Virus de réseau répartis sur divers réseaux informatiques. Les virus de fichiers sont introduits principalement dans les modules exécutables, c'est-à-dire dans les fichiers avec les extensions COM et EXE. Virus de fichiers peuvent être intégrés dans d'autres types de fichiers, mais, en règle générale, écrits dans de tels fichiers, ils n'obtiennent jamais le contrôle et, par conséquent, perdent la capacité de se reproduire. Virus de démarrage sont intégrés dans le secteur d'amorçage du disque (secteur d'amorçage) ou dans le secteur contenant le programme d'amorçage du disque système (Master Boot Re-
corde). File-boot les virus infectent à la fois les fichiers et les secteurs de démarrage du disque.
Selon la méthode d'infection, les virus sont divisés en résidents et non-résidents. Virus résident lorsqu'il infecte (infecte) un ordinateur, il laisse sa partie résidente dans la RAM, qui intercepte alors l'accès du système d'exploitation aux objets d'infection (fichiers, secteurs de démarrage du disque, etc.) et s'y immisce. Les virus résidents résident dans la mémoire et restent actifs jusqu'à ce que l'ordinateur soit éteint ou redémarré. Virus non résidents n'infectent pas la mémoire de l'ordinateur et sont actifs pendant une durée limitée.
Selon le degré d'impact, les virus peuvent être divisés en types suivants :
¨ non dangereux, qui n'interfèrent pas avec le fonctionnement de l'ordinateur, mais réduisent la quantité de RAM et de mémoire disque disponibles, les actions de ces virus se manifestent par des effets graphiques ou sonores
¨ dangereux les virus qui peuvent causer divers problèmes avec votre ordinateur
¨ très dangereux, dont l'impact peut entraîner la perte de programmes, la destruction de données, l'effacement d'informations dans les zones système du disque.
2. PRINCIPAUX TYPES DE VIRUS
ET SCHÉMAS DE LEUR FONCTIONNEMENT
Parmi la variété de virus, on distingue les principaux groupes suivants:
botte
déposer
¨ fichier-boot
Maintenant plus en détail sur chacun de ces groupes.
2.1. Virus de démarrage
Considérez le fonctionnement d'un virus de démarrage très simple qui infecte les disquettes. Nous contournons délibérément toutes les nombreuses subtilités que l'on rencontrerait inévitablement dans une analyse rigoureuse de l'algorithme pour son fonctionnement.
Que se passe-t-il lorsque vous allumez votre ordinateur ? Tout d'abord, le contrôle est transféré programme d'amorçage, qui est stocké dans la mémoire morte (ROM), c'est-à-dire ROM PNZ.
Ce programme teste le matériel et, si les tests réussissent, essaie de trouver la disquette dans le lecteur A :
Chaque disquette est marqué sur le soi-disant. secteurs et pistes. Les secteurs sont regroupés en clusters, mais ce n'est pas essentiel pour nous.
Parmi les secteurs, il existe plusieurs services utilisés par le système d'exploitation pour ses propres besoins (vos données ne peuvent pas être placées dans ces secteurs). Parmi les secteurs de services, nous sommes toujours intéressés par un - le soi-disant. secteur d'amorçage(Secteur de démarrage).
Les magasins du secteur bootstrap informations sur la disquette- le nombre de surfaces, le nombre de pistes, le nombre de secteurs, etc. Mais maintenant nous ne nous intéressons pas à ces informations, mais à un petit programme d'amorçage(PNZ), qui devrait charger le système d'exploitation lui-même et lui transférer le contrôle.
Ainsi, le modèle de bootstrap normal est le suivant :
Considérons maintenant le virus. Dans les virus de démarrage, on distingue deux parties - la soi-disant. diriger etc. queue. La queue, en général, peut être vide.
Supposons que vous ayez une disquette vierge et un ordinateur infecté, c'est-à-dire un ordinateur avec un virus résident actif. Dès que ce virus détecte qu'une victime appropriée est apparue dans le lecteur - dans notre cas, une disquette qui n'est pas protégée en écriture et pas encore infectée, il procède à l'infection. Lors de l'infection d'une disquette, le virus effectue les actions suivantes :
n alloue une certaine zone du disque et la marque comme inaccessible au système d'exploitation, cela peut se faire de différentes manières, dans le cas le plus simple et traditionnel, les secteurs occupés par un virus sont marqués comme mauvais (mauvais)
n copie sa queue et le secteur de démarrage d'origine (sain) dans la zone de disque allouée
n remplace le programme d'amorçage dans le secteur de démarrage (réel) par sa tête
n organise la chaîne de transfert selon le schéma.
Ainsi, le responsable du virus est désormais le premier à prendre le contrôle, le virus s'installe en mémoire et transfère le contrôle au secteur d'amorçage d'origine. Dans une chaîne
PNZ (ROM) - PNZ (disque) - SYSTÈME
un nouveau lien apparaît :
PNZ (ROM) - VIRUS - PNZ (disque) - SYSTEME
La morale est claire : ne laissez jamais (accidentellement) de disquettes dans le lecteur A.
Nous avons examiné le fonctionnement d'un simple virus butovy qui vit dans les secteurs de démarrage des disquettes. En règle générale, les virus peuvent infecter non seulement les secteurs de démarrage des disquettes, mais également les secteurs de démarrage des disques durs. Dans ce cas, contrairement aux disquettes, un disque dur possède deux types de secteurs de démarrage contenant des programmes de démarrage qui reçoivent le contrôle. Lors du démarrage d'un ordinateur à partir d'un disque dur, le programme de démarrage dans le MBR (Master Boot Record - Master Boot Record) prend le contrôle en premier. Si votre disque dur est divisé en plusieurs partitions, une seule d'entre elles est marquée comme amorçable (boot). Le programme d'amorçage du MBR trouve la partition d'amorçage du disque dur et transfère le contrôle au chargeur d'amorçage de cette partition. Le code de ce dernier est le même que le code du programme de démarrage contenu sur les disquettes ordinaires, et les secteurs de démarrage correspondants ne diffèrent que dans les tables de paramètres. Ainsi, il existe deux objets d'attaque de virus de démarrage sur le disque dur - programme d'amorçage dansMBR Et élémentaire téléchargements dans le secteur de démarrage disque de démarrage système.
2.2. Virus de fichiers
Voyons maintenant comment fonctionne un virus de fichier simple. Contrairement aux virus de démarrage, qui sont presque toujours résidents, les virus de fichiers ne sont pas nécessairement résidents. Considérons le schéma de fonctionnement d'un virus de fichier non résident. Supposons que nous ayons un fichier exécutable infecté. Lorsqu'un tel fichier est lancé, le virus prend le contrôle, effectue certaines actions et transfère le contrôle au "maître" (bien qu'on ne sache toujours pas qui est le maître dans une telle situation).
Quelles actions le virus effectue-t-il ? Il recherche un nouvel objet à infecter - un fichier d'un type approprié qui n'a pas encore été infecté (dans le cas où le virus est "décent", sinon il y en a qui infectent immédiatement sans rien vérifier). En infectant un fichier, le virus s'injecte dans son code afin de prendre le contrôle lors de l'exécution du fichier. En plus de sa fonction principale - la reproduction, le virus peut très bien faire quelque chose de complexe (dire, demander, jouer) - cela dépend déjà de l'imagination de l'auteur du virus. Si un virus de fichier est résident, il s'installera dans la mémoire et gagnera la capacité d'infecter les fichiers et d'afficher d'autres capacités non seulement pendant que le fichier infecté est en cours d'exécution. Lors de l'infection d'un fichier exécutable, un virus modifie toujours son code - par conséquent, l'infection d'un fichier exécutable peut toujours être détectée. Mais en changeant le code du fichier, le virus n'apporte pas forcément d'autres modifications :
à il n'est pas obligé de changer la longueur du fichier
à sections de code inutilisées
à n'est pas nécessaire pour changer le début du fichier
Enfin, les virus de fichiers incluent souvent des virus qui "ont quelque chose à voir avec les fichiers" mais qui ne sont pas obligés d'empiéter sur leur code. Considérons à titre d'exemple le schéma de fonctionnement des virus de la famille connue Dir-II. Il faut avouer qu'apparus en 1991, ces virus ont provoqué une véritable épidémie de peste en Russie. Considérez un modèle qui montre clairement l'idée de base d'un virus. Les informations sur les fichiers sont stockées dans des répertoires. Chaque entrée de répertoire comprend le nom du fichier, la date et l'heure de création, quelques informations supplémentaires, numéro du premier cluster fichier, etc... octets de réserve. Ces derniers sont laissés "en réserve" et MS-DOS lui-même n'est pas utilisé.
Lors de l'exécution de fichiers exécutables, le système lit le premier cluster du fichier à partir de l'entrée du répertoire, puis tous les autres clusters. Les virus de la famille Dir-II produisent la « réorganisation » suivante du système de fichiers : le virus lui-même est écrit dans certains secteurs libres du disque, qu'il marque comme étant mauvais. De plus, il stocke des informations sur les premiers groupes de fichiers exécutables dans des bits de rechange et écrit des références à lui-même à la place de ces informations.
Ainsi, lorsqu'un fichier est lancé, le virus reçoit le contrôle (le système d'exploitation le lance lui-même), réside en mémoire et transfère le contrôle au fichier appelé.
2.3. Virus de fichier de démarrage
Nous ne considérerons pas le modèle de virus de fichier de démarrage, car vous n'apprendrez aucune nouvelle information dans ce cas. Mais voici l'occasion de discuter brièvement du virus de fichier de démarrage OneHalf, récemment extrêmement "populaire", qui infecte le secteur de démarrage principal (MBR) et les fichiers exécutables. La principale action destructrice est le cryptage des secteurs du disque dur. A chaque fois qu'il est lancé, le virus crypte une autre portion de secteurs, et après avoir crypté la moitié du disque dur, il l'annonce avec joie. Le principal problème dans le traitement de ce virus est qu'il ne suffit pas de supprimer le virus du MBR et des fichiers, il est nécessaire de décrypter les informations cryptées par celui-ci. L'action la plus "mortelle" consiste simplement à réécrire un nouveau MBR sain. L'essentiel - ne paniquez pas. Pesez tout calmement, consultez des experts.
2.4. Virus polymorphes
La plupart des questions portent sur le terme "virus polymorphe". Ce type de virus informatique est de loin le plus dangereux. Expliquons ce que c'est.
Les virus polymorphes sont des virus qui modifient leur code dans les programmes infectés de telle manière que deux instances du même virus peuvent ne pas correspondre en un seul bit.
Ces virus chiffrent non seulement leur code en utilisant différents chemins de chiffrement, mais contiennent également le code de génération du chiffreur et du décrypteur, ce qui les distingue des virus de chiffrement ordinaires, qui peuvent également chiffrer des sections de leur code, mais en même temps avoir un code constant. du crypteur et du décrypteur.
Les virus polymorphes sont des virus dotés de décodeurs auto-modifiables. Le but d'un tel cryptage est que si vous avez un fichier infecté et original, vous ne pourrez toujours pas analyser son code à l'aide d'un désassemblage classique. Ce code est crypté et est un ensemble de commandes sans signification. Le décryptage est effectué par le virus lui-même au moment de l'exécution. Dans le même temps, des options sont possibles : il peut se déchiffrer tout d'un coup, ou il peut effectuer un tel déchiffrement "en déplacement", il peut à nouveau chiffrer des sections déjà élaborées. Tout cela est fait dans le but de rendre difficile l'analyse du code du virus.
3. HISTOIRE DE LA VIROLOGIE INFORMATIQUE
ET LES RAISONS DE L'APPARITION DES VIRUS
L'histoire de la virologie informatique semble aujourd'hui être une "course au leader" constante et, malgré la pleine puissance des programmes antivirus modernes, ce sont les virus qui sont les leaders. Parmi les milliers de virus, seules quelques dizaines sont des développements originaux utilisant des idées vraiment fondamentalement nouvelles. Toutes les autres sont des "variations sur un thème". Mais chaque développement original oblige les créateurs d'antivirus à s'adapter aux nouvelles conditions, à rattraper la technologie virale. Cette dernière peut être contestée. Par exemple, en 1989, un étudiant américain a réussi à créer un virus qui a désactivé environ 6 000 ordinateurs du département américain de la Défense. Ou l'épidémie du fameux virus Dir-II qui a éclaté en 1991. Le virus utilisait une technologie vraiment originale, fondamentalement nouvelle et a d'abord réussi à se propager largement en raison des imperfections des outils antivirus traditionnels.
Ou l'épidémie de virus informatiques au Royaume-Uni : Christopher Pine a réussi à créer les virus Pathogen et Queeq, ainsi que le virus Smeg. C'était ce dernier qui était le plus dangereux, il pouvait s'appliquer aux deux premiers virus, et de ce fait, après chaque exécution du programme, ils modifiaient la configuration. Par conséquent, ils étaient impossibles à détruire. Pour propager des virus, Pine a copié des jeux et des programmes informatiques, les a infectés, puis les a renvoyés sur le réseau. Les utilisateurs ont téléchargé des programmes infectés sur leurs ordinateurs et disques infectés. La situation a été aggravée par le fait que Pine a réussi à introduire des virus dans le programme qui les combat. En l'exécutant, les utilisateurs au lieu de détruire les virus en recevaient un autre. En conséquence, les fichiers de nombreuses entreprises ont été détruits, les pertes se sont élevées à des millions de livres.
Le programmeur américain Morris est largement connu. Il est connu comme le créateur du virus qui, en novembre 1988, a infecté environ 7 000 ordinateurs personnels connectés à Internet.
Les raisons de l'apparition et de la propagation des virus informatiques, d'une part, sont cachées dans la psychologie de la personnalité humaine et ses côtés d'ombre (envie, vengeance, vanité de créateurs non reconnus, incapacité à appliquer de manière constructive leurs capacités), d'autre part d'autre part, en raison du manque de protection matérielle et de la neutralisation des systèmes informatiques personnels de la salle d'opération.
4. VOIES DE PÉNÉTRATION DES VIRUS DANS UN ORDINATEUR ET MÉCANISME DE DISTRIBUTION DES PROGRAMMES DE VIRUS
Les principaux moyens par lesquels les virus pénètrent dans un ordinateur sont les disques amovibles (disquette et laser), ainsi que les réseaux informatiques. L'infection du disque dur par des virus peut se produire lorsqu'un programme est chargé à partir d'une disquette contenant un virus. Une telle infection peut également être accidentelle, par exemple si la disquette n'a pas été retirée du lecteur A et que l'ordinateur a été redémarré, alors que la disquette peut ne pas être une disquette système. Il est beaucoup plus facile d'infecter une disquette. Un virus peut y pénétrer même si la disquette est simplement insérée dans le lecteur de disque d'un ordinateur infecté et, par exemple, sa table des matières est lue.
Le virus, en règle générale, est introduit dans le programme de travail de telle sorte que lorsqu'il est lancé, le contrôle lui est d'abord transféré, et seulement après que toutes ses commandes ont été exécutées, il revient à nouveau au programme de travail. Ayant accédé au contrôle, le virus se réécrit d'abord dans un autre programme de travail et l'infecte. Après avoir exécuté un programme contenant un virus, il devient possible d'infecter d'autres fichiers. Le plus souvent, le secteur de démarrage du disque et les fichiers exécutables avec les extensions EXE, COM, SYS, BAT sont infectés par le virus. Les fichiers texte sont extrêmement rarement infectés.
Après avoir infecté le programme, le virus peut effectuer une sorte de sabotage, pas trop grave pour ne pas attirer l'attention. Et enfin, n'oubliez pas de rendre le contrôle au programme à partir duquel il a été lancé. Chaque exécution d'un programme infecté transfère le virus au suivant. Ainsi, tous les logiciels seront infectés.
Pour illustrer le processus d'infection d'un programme informatique par un virus, il est logique de comparer le stockage sur disque à une archive à l'ancienne avec des dossiers sur bande. Les dossiers contiennent des programmes et la séquence d'opérations pour l'introduction d'un virus dans ce cas ressemblera à ceci (voir annexe 1).
5. SIGNES DE VIRUS
Lorsqu'un ordinateur est infecté par un virus, il est important de le détecter. Pour ce faire, vous devez connaître les principaux signes de la manifestation des virus. Il s'agit notamment des éléments suivants :
¨ fin de travail ou fonctionnement incorrect de programmes qui fonctionnaient auparavant avec succès
¨ ralentissement des performances de l'ordinateur
¨ impossibilité de démarrer le système d'exploitation
¨ disparition de fichiers et répertoires ou déformation de leur contenu
¨ changer la date et l'heure de modification des fichiers
¨ redimensionnement de fichier
¨ forte augmentation inattendue du nombre de fichiers sur le disque
¨ une diminution significative de la taille de la RAM libre
¨ afficher des messages ou des images inattendus à l'écran
¨ donner des signaux sonores imprévus
¨ blocages fréquents et pannes d'ordinateur
Il convient de noter que les phénomènes ci-dessus ne sont pas nécessairement causés par la présence du virus, mais peuvent être dus à d'autres causes. Par conséquent, il est toujours difficile de diagnostiquer correctement l'état de l'ordinateur.
6. DÉTECTION DES VIRUS ET MESURES DE PROTECTION ET DE PRÉVENTION
6.1. Comment détecter un virus? Approche traditionnelle
Ainsi, un certain créateur de virus crée un virus et le lance dans la "vie". Pendant un certain temps, il peut marcher librement, mais tôt ou tard le "lafa" prendra fin. Quelqu'un soupçonnera que quelque chose ne va pas. En règle générale, les virus sont détectés par les utilisateurs ordinaires qui remarquent certaines anomalies dans le comportement de l'ordinateur. Dans la plupart des cas, ils ne sont pas capables de faire face à l'infection par eux-mêmes, mais cela n'est pas exigé d'eux.
Il est seulement nécessaire que le virus tombe entre les mains de spécialistes dès que possible. Les professionnels l'étudieront, découvriront «ce qu'il fait», «comment il fait», «quand il fait», etc. Au cours de ce travail, toutes les informations nécessaires sur ce virus sont collectées, en particulier la signature du virus. est mis en surbrillance - une séquence d'octets qui le définit assez clairement. Pour construire une signature, les parties les plus importantes et les plus caractéristiques du code du virus sont généralement prises. Dans le même temps, les mécanismes de fonctionnement du virus deviennent clairs, par exemple, dans le cas d'un virus de démarrage, il est important de savoir où il cache sa queue, où se trouve le secteur de démarrage d'origine et, dans le cas de un fichier, comment le fichier est infecté. Les informations obtenues nous permettent de savoir :
Comment détecter un virus, pour cela, des méthodes de recherche de signatures dans des objets potentiels d'une attaque virale - des fichiers et / ou des secteurs de démarrage sont spécifiés
comment neutraliser le virus, si possible, des algorithmes pour supprimer le code du virus des objets affectés sont en cours de développement
6.2. Programmes de détection et de protection des virus
Pour détecter, supprimer et protéger contre les virus informatiques, plusieurs types de programmes spéciaux ont été développés pour vous permettre de détecter et de détruire les virus. De tels programmes sont appelés antiviral . Il existe les types de programmes antivirus suivants :
programmes-detecteurs
programmes-médecins ou phages
auditeurs de programme
programmes de filtrage
programmes de vaccination ou vaccinateurs
Programmes-détecteurs effectuer une recherche d'une signature caractéristique d'un virus particulier dans la RAM et dans les fichiers et, s'il est détecté, émettre un message approprié. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.
Programmes de docteur ou phages, et programmes de vaccination non seulement trouver les fichiers infectés par des virus, mais aussi les "traiter", c'est-à-dire les le corps du programme antivirus est supprimé du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, et ne procèdent qu'ensuite au «traitement» des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire programmes de médecin conçus pour trouver et détruire un grand nombre de virus. Les plus connus d'entre eux sont : Aidstest, Scan, Norton AntiVirus, Doctor Web.
Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes de médecins deviennent rapidement obsolètes et des mises à jour régulières sont nécessaires.
Programmes d'audit font partie des moyens de protection les plus fiables contre les virus. Les auditeurs se souviennent de l'état initial des programmes, des répertoires et des zones système du disque lorsque l'ordinateur n'est pas infecté par un virus, puis comparent périodiquement ou à la demande de l'utilisateur l'état actuel avec l'état d'origine. Les changements détectés sont affichés sur l'écran du moniteur. En règle générale, les états sont comparés immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de la modification et d'autres paramètres sont vérifiés. Les programmes d'audit ont des algorithmes assez avancés, détectent les virus furtifs et peuvent même nettoyer les modifications apportées à la version du programme en cours de vérification à partir des modifications apportées par le virus. Parmi les programmes-auditeurs figure le programme Adinf largement utilisé en Russie.
Filtrer les programmes ou "gardien" sont de petits programmes résidents conçus pour détecter les activités informatiques suspectes caractéristiques des virus. De telles actions peuvent être :
Tente de corriger les fichiers avec les extensions COM, EXE
modification des attributs de fichier
Écriture directe sur disque à l'adresse absolue
Écrire sur les secteurs de démarrage du disque
Lorsqu'un programme tente d'effectuer les actions spécifiées, le "watchman" envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles, car ils sont capables de détecter un virus au stade le plus précoce de son existence avant sa reproduction. Cependant, ils ne "réparent" pas les fichiers et les disques. Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages. Les inconvénients des programmes de surveillance incluent leur "désagrément" (par exemple, ils émettent constamment un avertissement à propos de toute tentative de copie d'un fichier exécutable), ainsi que d'éventuels conflits avec d'autres logiciels. Un exemple de programme de filtrage est le programme Vsafe, qui fait partie du package d'utilitaires MS DOS.
Vaccins ou vaccinateurs sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s'il n'y a pas de programmes médicaux qui "traitent" ce virus. La vaccination n'est possible que contre des virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas leur travail, et le virus les percevra comme infectés et ne prendra donc pas racine. Les programmes de vaccination sont actuellement d'une utilité limitée.
La détection rapide des fichiers et disques infectés par des virus, la destruction complète des virus détectés sur chaque ordinateur permettent d'éviter la propagation d'une épidémie de virus à d'autres ordinateurs.
6.3. Mesures de base pour se protéger contre les virus
Afin de ne pas exposer votre ordinateur aux virus et d'assurer un stockage fiable des informations sur disques, vous devez respecter les règles suivantes :
¨ équipez votre ordinateur de programmes antivirus à jour, tels que Aidstest, Doctor Web, et mettez constamment à jour leurs versions
¨ avant de lire des informations stockées sur d'autres ordinateurs à partir de disquettes, vérifiez toujours la présence de virus sur ces disquettes en exécutant des programmes antivirus sur votre ordinateur
¨ lors du transfert de fichiers archivés sur votre ordinateur, vérifiez-les immédiatement après les avoir décompressés sur votre disque dur, en limitant la zone de vérification uniquement aux fichiers nouvellement enregistrés
¨ Analysez périodiquement les disques durs de votre ordinateur à la recherche de virus en exécutant des programmes antivirus pour tester les fichiers, la mémoire et les zones système des disques à partir d'une disquette protégée en écriture, après avoir chargé le système d'exploitation à partir d'une disquette système protégée en écriture
¨ protégez toujours vos disquettes en écriture lorsque vous travaillez sur d'autres ordinateurs si elles ne seront pas écrites sur des informations
¨ assurez-vous de faire des copies d'archives sur des disquettes d'informations précieuses pour vous
¨ ne laissez pas de disquettes dans la poche du lecteur A lors de la mise sous tension ou du redémarrage du système d'exploitation pour éviter l'infection de l'ordinateur par des virus de démarrage
¨ utiliser des programmes antivirus pour le contrôle d'entrée de tous les fichiers exécutables reçus des réseaux informatiques
¨ pour assurer une plus grande sécurité, l'utilisation d'Aidstest et de Doctor Web doit être combinée avec l'utilisation quotidienne de l'auditeur de disque Adinf
CONCLUSION
Ainsi, nous pouvons citer de nombreux faits indiquant que la menace qui pèse sur la ressource informationnelle augmente chaque jour, affolant les responsables des banques, des entreprises et des sociétés du monde entier. Et cette menace provient de virus informatiques qui déforment ou détruisent des informations vitales et précieuses, ce qui peut entraîner non seulement des pertes financières, mais aussi des pertes humaines.
Virus informatique - un programme spécialement écrit qui peut s'attacher spontanément à d'autres programmes, créer des copies de lui-même et les incorporer dans des fichiers, des zones du système informatique et des réseaux informatiques afin de perturber les programmes, d'endommager les fichiers et les répertoires et de créer toutes sortes d'interférences dans l'ordinateur.
Actuellement, plus de 5 000 virus logiciels sont connus, dont le nombre ne cesse de croître. Il y a des cas où des didacticiels ont été créés pour aider à écrire des virus.
Les principaux types de virus : boot, file, file-boot. Le type de virus le plus dangereux est polymorphe.
De l'histoire de la virologie informatique, il est clair que tout développement informatique original oblige les créateurs d'antivirus à s'adapter aux nouvelles technologies, à améliorer constamment les programmes antivirus.
Les raisons de l'apparition et de la propagation des virus sont cachées d'une part dans la psychologie humaine, d'autre part, avec le manque de protection dans le système d'exploitation.
Les principaux moyens de pénétration des virus sont les lecteurs amovibles et les réseaux informatiques. Pour éviter que cela ne se produise, prenez des précautions. En outre, plusieurs types de programmes spéciaux appelés programmes antivirus ont été développés pour détecter, supprimer et protéger contre les virus informatiques. Si vous trouvez toujours un virus sur votre ordinateur, alors selon l'approche traditionnelle, il est préférable d'appeler un professionnel afin qu'il puisse le comprendre davantage.
Mais certaines propriétés des virus intriguent même les experts. Jusqu'à tout récemment, il était difficile d'imaginer qu'un virus puisse survivre à un redémarrage à froid ou se propager à travers des fichiers de documents. Dans de telles conditions, il est impossible de ne pas attacher d'importance au moins à la formation antivirus initiale des utilisateurs. Malgré la gravité du problème, aucun virus n'est capable de faire autant de mal qu'un utilisateur blanchi aux mains tremblantes !
Donc, la santé de vos ordinateurs, la sécurité de vos données - entre vos mains !
Liste bibliographique
1. Informatique : Manuel / éd. Prof. NV Makarova. - M. : Finances et statistiques, 1997.
2. Encyclopédie des secrets et des sensations / Préparé. texte de Yu.N. Petrov. - Minsk : Littérature, 1996.
3. Bezrukov N.N. Virus informatiques. - M. : Nauka, 1991.
4. Mostovoy D.Yu. Technologies modernes pour lutter contre les virus // PC World. - N° 8. - 1993.
Tutorat
Besoin d'aide pour apprendre un sujet ?
Nos experts vous conseilleront ou vous fourniront des services de tutorat sur des sujets qui vous intéressent.
Soumettre une candidature indiquant le sujet dès maintenant pour connaître la possibilité d'obtenir une consultation.
E. KASPERSKY et D. ZENKIN
L'épidémie du virus informatique "LoveLetter" ("Love Letters") qui s'est déclarée en mai de cette année a une fois de plus confirmé le danger que représente une telle "faune informatique". Après avoir pénétré des centaines de milliers d'ordinateurs à travers le monde, le virus a détruit une énorme quantité d'informations importantes, paralysant littéralement le travail des plus grandes organisations commerciales et gouvernementales.
Voici à quoi ressemblent les "lettres d'amour" envoyées par le virus "LoveLetter" aux e-mails. Pour lancer le virus, il suffit de cliquer sur l'icône.
Cette image montre le virus "Tentacle" lors de la tentative d'affichage d'un fichier GIF sur des ordinateurs infectés. L'inscription sur la photo : "Je suis le virus Tentacle."
Le virus "Marburg" montre ces jolies croix et... supprime les fichiers des disques.
Le virus de script "Monopoly" s'est moqué du chef de Microsoft Bill Gates. En plus d'afficher une image amusante, le virus envoie discrètement des informations secrètes depuis l'ordinateur.
Malheureusement, le phénomène de "virus informatique" suscite encore plus une crainte superstitieuse qu'un désir de comprendre sobrement la situation et de prendre des mesures de sécurité. Quels sont ces virus ? À quel point sont-ils dangereux ? Quelles méthodes de protection antivirus existent aujourd'hui et quelle est leur efficacité ? Les experts du principal fabricant russe de programmes antivirus Kaspersky Lab discutent de ces sujets et d'autres.
QU'EST-CE QU'UN VIRUS INFORMATIQUE ?
Cette question apparemment simple n'a pas encore reçu de réponse sans ambiguïté. Dans la littérature spécialisée, on trouve des centaines de définitions du concept de « virus informatique », alors que nombre d'entre elles diffèrent presque diamétralement. La «virologie» domestique adhère généralement à la définition suivante: un virus informatique est un programme qui s'infiltre dans les ordinateurs à l'insu de l'utilisateur et y effectue diverses actions non autorisées. Cette définition serait incomplète si nous ne mentionnions pas une autre propriété requise pour un virus informatique. Il s'agit de sa capacité à "reproduire", c'est-à-dire à créer ses doublons et à les intégrer dans des réseaux informatiques et/ou des fichiers, des zones du système informatique et d'autres objets exécutables. De plus, les doublons du virus peuvent ne pas coïncider avec l'original.
La capacité des virus à "se reproduire" pousse certaines personnes à vouloir les comparer à une "forme de vie spéciale" et même à doter ces programmes d'une sorte d'"intelligence maléfique" qui leur fait exécuter des tours ignobles afin d'atteindre leur objectif. Cependant, ce n'est rien de plus qu'une fiction et un jeu fantastique. Une telle perception des événements rappelle les idées médiévales sur les mauvais esprits et les sorcières, que personne n'a vues, mais dont tout le monde avait peur. La "reproduction" de virus n'est pas différente, par exemple, de la copie de fichiers d'un répertoire à un autre par un programme. La seule différence est que ces actions sont effectuées à l'insu de l'utilisateur, c'est-à-dire qu'aucun message n'apparaît à l'écran. À tous autres égards, un virus est le programme le plus courant qui utilise certaines commandes informatiques.
Les virus informatiques sont l'une des sous-espèces d'une grande classe de programmes appelés codes malveillants. Aujourd'hui, ces concepts sont souvent identifiés, cependant, d'un point de vue scientifique, ce n'est pas vrai. Le groupe de codes malveillants comprend également les soi-disant "vers" et "chevaux de Troie". Leur principale différence avec les virus est qu'ils ne peuvent pas "se reproduire".
Le programme du ver se propage sur les réseaux informatiques (locaux ou mondiaux) sans recourir à la "propagation". Au lieu de cela, il envoie automatiquement, à l'insu de l'utilisateur, son original, par exemple par e-mail.
Les programmes "chevaux de Troie" sont généralement dépourvus de toute fonction de distribution intégrée : ils pénètrent dans les ordinateurs exclusivement "avec l'aide" de leurs auteurs ou de personnes qui les utilisent illégalement. Considérez l'Iliade d'Homère. Après de nombreuses tentatives infructueuses pour prendre d'assaut Troie, les Grecs ont eu recours à la ruse. Ils ont construit une statue de cheval et l'ont laissée aux Troyens, faisant semblant de battre en retraite. Cependant, le cheval était vide à l'intérieur et cachait un détachement de soldats grecs. Les Troyens, qui adoraient la divinité sous la forme d'un cheval, ont eux-mêmes traîné la statue dans les portes de la ville. Les chevaux de Troie utilisent une méthode d'infiltration similaire : ils pénètrent dans les ordinateurs sous le couvert de programmes utiles, amusants et souvent très lucratifs. Par exemple, l'utilisateur reçoit un e-mail avec une proposition d'exécution du fichier envoyé, qui contient, disons, un million de roubles. Après avoir lancé ce fichier, un programme qui effectue diverses actions indésirables entre discrètement dans l'ordinateur. Par exemple, il peut espionner le propriétaire d'un ordinateur infecté (garder une trace des sites qu'il visite, des mots de passe qu'il utilise pour accéder à Internet, etc.) puis envoyer les données résultantes à son auteur.
Récemment, les cas d'apparition de soi-disant "mutants", c'est-à-dire de codes malveillants combinant les caractéristiques de plusieurs classes à la fois, sont devenus plus fréquents. Un exemple typique est le macro virus "Melissa", qui a provoqué une épidémie majeure en mars de l'année dernière. Il se propageait sur les réseaux comme un ver Internet classique. "LoveLetter" est également un croisement entre un ver de réseau et un virus. Dans des cas plus complexes, un programme malveillant peut contenir les caractéristiques des trois types (par exemple, le virus "BABYLONIA").
ORIGINE DES VIRUS INFORMATIQUES
Curieusement, l'idée des virus informatiques est apparue bien avant l'avènement des ordinateurs personnels. En 1959, le scientifique américain L. S. Penrose publie un article dans la revue Scientific American sur les structures mécaniques autoreproductrices. Cet article décrit le modèle le plus simple de structures bidimensionnelles capables d'activation, de reproduction, de mutation, de capture. Bientôt, un chercheur américain, F. G. Stahl, implémenta ce modèle en utilisant du code machine sur un IBM 650.
À cette époque, les ordinateurs étaient des machines énormes, difficiles à utiliser et extrêmement coûteuses, de sorte que seules les grandes entreprises ou les centres informatiques et de recherche gouvernementaux pouvaient devenir leurs propriétaires. Mais le 20 avril 1977, le premier ordinateur personnel "populaire" Apple II est sorti de la chaîne de montage. Le prix, la fiabilité, la simplicité et la facilité d'utilisation ont déterminé sa large distribution dans le monde. Le volume total des ventes d'ordinateurs de cette série s'est élevé à plus de trois millions d'unités (à l'exclusion de ses nombreux exemplaires, tels que Pravets 8M / S, Agat, etc.), ce qui était un ordre de grandeur supérieur au nombre de tous les autres ordinateurs disponibles. à ce moment-là. Ainsi, des millions de personnes de diverses professions, couches sociales et mentalités ont eu accès aux ordinateurs. Il n'est pas surprenant que ce soit alors que les premiers prototypes de virus informatiques modernes soient apparus, car deux des conditions les plus importantes pour leur développement étaient remplies - l'expansion de «l'espace de vie» et l'émergence de moyens de distribution.
À l'avenir, les conditions sont devenues de plus en plus favorables aux virus. La gamme d'ordinateurs personnels à la disposition de l'utilisateur moyen s'élargissait, en plus des disquettes magnétiques de 5 pouces, des disques durs sont apparus, les réseaux locaux se développaient rapidement, ainsi que les technologies de transfert d'informations utilisant des lignes téléphoniques commutées conventionnelles. Les premières banques de données en réseau BBS (Bulletin Board System), ou "bulletin boards" sont apparues, facilitant grandement l'échange de programmes entre utilisateurs. Plus tard, beaucoup d'entre eux sont devenus de grands systèmes d'aide en ligne (CompuServe, AOL, etc.). Tout cela a contribué à la réalisation de la troisième condition la plus importante pour le développement et la propagation des virus - des individus et des groupes de personnes impliqués dans leur création ont commencé à apparaître.
Qui écrit des programmes antivirus et pourquoi ? Cette question (avec une demande d'indiquer l'adresse et le numéro de téléphone) concerne particulièrement ceux qui ont déjà été exposés à une attaque de virus et qui ont perdu le résultat de nombreuses années de travail minutieux. Aujourd'hui, le portrait d'un "auteur de virus" moyen ressemble à ceci : un homme de 23 ans, employé d'une banque ou d'un organisme financier chargé de la sécurité de l'information ou de l'administration des réseaux. Cependant, selon nos données, son âge est un peu plus bas (14-20 ans), il étudie ou n'a pas cours du tout. La principale chose qui unit tous les créateurs de virus est le désir de se démarquer et de faire ses preuves, même dans le domaine de l'héroïsme. Dans la vie de tous les jours, ces personnes ont souvent l'air de toucher des gens calmes qui ne feraient pas de mal à une mouche. Toute leur énergie vitale, leur haine du monde et leur égoïsme trouvent un exutoire dans la création de petits « canailles informatiques ». Ils tremblent de plaisir lorsqu'ils découvrent que leur "idée originale" a provoqué une véritable épidémie dans le monde informatique. Or, c'est déjà le domaine de compétence des psychiatres.
Les années 90, marquées par l'apogée de l'Internet mondial, se sont avérées être la période la plus fertile pour les virus informatiques. Des centaines de millions de personnes dans le monde sont devenues des "utilisateurs", et la culture informatique est devenue presque aussi nécessaire que la capacité de lire et d'écrire. Si les virus informatiques antérieurs se sont principalement développés de manière extensive (c'est-à-dire que leur nombre a augmenté, mais pas leurs caractéristiques qualitatives), aujourd'hui, grâce à l'amélioration des technologies de transmission de données, nous pouvons dire le contraire. Les "ancêtres primitifs" sont remplacés par des virus de plus en plus "intelligents" et "rusés", bien mieux adaptés aux nouvelles conditions de vie. Aujourd'hui, les programmes antivirus ne se limitent plus à corrompre des fichiers, des secteurs de démarrage ou à jouer des morceaux inoffensifs. Certains d'entre eux sont capables de détruire des données sur les puces de la carte mère. Dans le même temps, les technologies de masquage, de cryptage et de diffusion de virus surprennent parfois même les spécialistes les plus expérimentés.
QUE SONT LES VIRUS
A ce jour, environ 55 000 virus informatiques ont été enregistrés. Leur nombre ne cesse de croître, des types complètement nouveaux, jusque-là inconnus, apparaissent. La classification des virus devient plus difficile d'année en année. Dans le cas général, ils peuvent être divisés en groupes selon les caractéristiques principales suivantes : habitat, système d'exploitation, caractéristiques de l'algorithme de travail. Selon ces trois classifications, le virus Chernobyl bien connu, par exemple, peut être attribué à des virus Windows non polymorphes résidant dans des fichiers. Expliquons plus en détail ce que cela signifie.
1. Habitat
Selon l'habitat, les virus de fichier, de démarrage et de macro sont distingués.
Au début, la forme la plus courante d'"infection" informatique était virus de fichiers, "habitant" dans les fichiers et dossiers du système d'exploitation de l'ordinateur. Il s'agit, par exemple, des virus "overwriting" (de l'anglais "overwrite"). Une fois dans l'ordinateur, ils écrivent leur propre code à la place du code du fichier infecté, détruisant ainsi son contenu. Naturellement, dans ce cas, le fichier cesse de fonctionner et n'est pas restauré. Cependant, ce sont des virus plutôt primitifs : en règle générale, ils se détectent très rapidement et ne peuvent pas provoquer d'épidémie.
Les virus "compagnons" se comportent encore plus "savamment" (de l'anglais. "Ami", "compagnon"). Ils ne modifient pas le fichier lui-même, mais lui créent un fichier dupliqué de telle sorte que lorsqu'un fichier infecté est lancé, c'est ce jumeau, c'est-à-dire le virus, qui prend le contrôle. Par exemple, les virus "compagnons" fonctionnant sous DOS utilisent la particularité de ce système d'exploitation pour exécuter d'abord les fichiers avec l'extension COM, puis avec l'extension EXE. Ces virus créent des jumeaux pour les fichiers EXE qui portent le même nom, mais avec l'extension COM. Le virus écrit dans le fichier COM et ne modifie en rien le fichier EXE. Lorsqu'un fichier infecté est lancé, DOS sera le premier à détecter et à exécuter le fichier COM, c'est-à-dire le virus, et alors seulement le virus lancera le fichier avec l'extension EXE.
Parfois, les virus "compagnons" renomment simplement le fichier infecté et écrivent leur propre code sur le disque sous l'ancien nom. Par exemple, le fichier XCOPY.EXE est renommé XCOPY.EXD et le virus est écrit sous le nom XCOPY.EXE. Lorsque le fichier est lancé, le code du virus prend le contrôle, qui lance alors le XCOPY original, stocké sous le nom XCOPY.EXD. Des virus de ce type ont été trouvés dans de nombreux systèmes d'exploitation - non seulement sous DOS, mais aussi sous Windows et OS/2.
Il existe d'autres façons de créer des fichiers en double. Par exemple, des virus comme "path-companion" "jouent" sur les fonctionnalités de DOS PATH - un enregistrement hiérarchique de l'emplacement d'un fichier dans un système DOS. Le virus copie son code sous le nom du fichier infecté, mais ne le place pas dans le même répertoire, mais un niveau plus haut. Dans ce cas, DOS sera le premier à détecter et à lancer le fichier viral.
Principe de fonctionnement virus de démarrage basé sur les algorithmes de démarrage du système d'exploitation. Ces virus infectent le secteur d'amorçage (secteur d'amorçage) d'une disquette ou d'un disque dur - une zone spéciale du disque qui contient le programme d'amorçage de l'ordinateur. Si vous modifiez le contenu du secteur de démarrage, vous ne pourrez peut-être même pas démarrer votre ordinateur.
Macrovirus- une sorte de virus informatiques créés à l'aide de macro-langages intégrés dans des applications bureautiques populaires telles que Word, Excel, Access, PowerPoint, Project, Corel Draw, etc. (voir "Science et Vie" n°6, 2000). Les macrolangages sont utilisés pour écrire des programmes spéciaux (macros) qui améliorent l'efficacité des applications bureautiques. Par exemple, vous pouvez créer une macro dans Word qui automatise le processus de remplissage et d'envoi de fax. Ensuite, il suffira à l'utilisateur de saisir des données dans les champs du formulaire et de cliquer sur le bouton - la macro fera le reste. Le problème est qu'en plus des macros utiles, des macros malveillantes peuvent également pénétrer dans l'ordinateur, qui ont la capacité de créer des copies d'elles-mêmes et d'effectuer certaines actions à l'insu de l'utilisateur, telles que modifier le contenu de documents, supprimer des fichiers ou des répertoires. . Ce sont des macro virus.
Plus les possibilités d'un macrolangage particulier sont larges, plus les macrovirus qui y sont écrits peuvent être rusés, sophistiqués et dangereux. Le langage macro le plus courant aujourd'hui est Visual Basic pour Applications (VBA). Ses capacités augmentent rapidement à chaque nouvelle version. Ainsi, plus les applications bureautiques sont avancées, plus il sera dangereux d'y travailler. Par conséquent, les virus de macro constituent aujourd'hui une véritable menace pour les utilisateurs d'ordinateurs. Selon nos prévisions, ils deviendront chaque année plus insaisissables et dangereux, et la vitesse de leur propagation atteindra bientôt des niveaux sans précédent.
2. Système d'exploitation utilisé.
Chaque virus de fichier ou de réseau infecte les fichiers d'un ou plusieurs systèmes d'exploitation - DOS, Windows, OS/2, Linux, MacOS, etc. C'est la base de la deuxième méthode de classification des virus. Par exemple, le virus "BOZA", qui ne fonctionne que sur Windows et nulle part ailleurs, est un virus Windows. Virus "BLISS" - aux virus Linux, etc.
3. Algorithmes de travail.
Les virus peuvent également être distingués par les algorithmes qu'ils utilisent, c'est-à-dire diverses astuces logicielles qui les rendent si dangereux et insaisissables.
Tout d'abord, tous les virus peuvent être divisés en résident et non-résident. Un virus résident est comme un espion travaillant constamment dans un pays étranger. Une fois chargé dans la RAM de l'ordinateur, le virus y reste jusqu'à ce que l'ordinateur soit éteint ou redémarré. C'est à partir de là que le virus résident effectue toutes ses actions destructrices. Les virus non résidents n'infectent pas la mémoire de l'ordinateur et ne peuvent "se reproduire" que s'ils sont lancés.
Tous les virus de macro peuvent également être classés comme résidents. Ils sont présents dans la mémoire de l'ordinateur pendant toute la durée d'exécution de l'application infectée par eux.
Deuxièmement, les virus sont visibles et invisibles. Pour un simple profane, l'invisibilité d'un virus est peut-être sa propriété la plus mystérieuse. Cependant, il n'y a rien de démoniaque là-dedans. "L'invisibilité" signifie que le virus, grâce à des astuces logicielles, ne permet pas à l'utilisateur ou au programme antivirus de remarquer les modifications qu'il a apportées au fichier infecté. Présent en permanence dans la mémoire de l'ordinateur, le virus furtif intercepte les requêtes du système d'exploitation pour lire et écrire de tels fichiers. Après avoir intercepté la requête, il substitue sa version originale non corrompue au lieu du fichier infecté. Ainsi, l'utilisateur ne voit toujours que des programmes "propres", tandis que le virus accomplit tranquillement sa "sale action". L'un des premiers virus de fichiers furtifs était "Frodo", et le premier virus furtif de démarrage était "Brain".
Afin de se déguiser autant que possible des programmes antivirus, presque tous les virus utilisent des méthodes auto-chiffrement ou polymorphisme, c'est-à-dire qu'ils peuvent se chiffrer et se modifier eux-mêmes. En changeant leur apparence (code de programme), les virus conservent complètement la capacité d'effectuer certaines actions malveillantes. Auparavant, les programmes antivirus ne pouvaient détecter les virus que "à vue", c'est-à-dire grâce à leur code de programme unique. L'apparition des virus polymorphes il y a quelques années a donc révolutionné la virologie informatique. Maintenant, il existe déjà des méthodes universelles pour traiter ces virus.
MÉTHODES DE LUTTE CONTRE LES VIRUS INFORMATIQUES
Il est nécessaire de se rappeler la condition principale de la lutte contre les virus informatiques - ne paniquez pas. 24 heures sur 24, des milliers de spécialistes antivirus de haut niveau veillent à la sécurité informatique, dont le professionnalisme dépasse plusieurs fois le potentiel combiné de tous les hooligans informatiques - les pirates informatiques. En Russie, deux sociétés informatiques sont engagées dans la recherche antivirus - Kaspersky Lab (www.avp.ru) et SalD (www.drweb.ru).
Pour résister avec succès aux tentatives de virus de pénétrer dans votre ordinateur, vous devez remplir deux conditions simples : suivre les règles de base de "l'hygiène informatique" et utiliser des programmes antivirus.
Depuis que l'industrie de l'antivirus existe, de nombreux moyens ont été inventés pour lutter contre les virus informatiques. La diversité et la variété des systèmes de protection offerts aujourd'hui est vraiment étonnante. Essayons de comprendre quels sont les avantages et les inconvénients de certaines méthodes de protection et leur efficacité par rapport à divers types de virus.
À ce jour, il existe cinq approches principales pour assurer la sécurité antivirus.
1. Analyseurs antivirus.
Le pionnier du mouvement antivirus est un programme d'analyse qui est né presque simultanément avec les virus informatiques eux-mêmes. Le principe de fonctionnement du scanner est d'analyser tous les fichiers, les secteurs de démarrage et la mémoire avec une chaîne de détection des signatures de virus, c'est-à-dire le code de programme unique du virus.
Le principal inconvénient du scanner est l'incapacité de suivre les différentes modifications du virus. Par exemple, il existe des dizaines de variantes du virus "Melissa", et pour presque chacune d'entre elles, les sociétés antivirus ont dû publier une mise à jour distincte de la base de données antivirus.
D'où le deuxième problème : pendant le temps qui s'écoule entre l'apparition d'une nouvelle modification du virus et la sortie de l'antivirus correspondant, l'utilisateur reste pratiquement sans protection. Certes, des experts ultérieurs ont proposé et introduit dans les scanners un algorithme original pour détecter les virus inconnus - un analyseur heuristique qui a vérifié le code du programme pour détecter la possibilité de la présence d'un virus informatique. Cependant, cette méthode a un taux de faux positifs élevé, n'est pas assez fiable et, de plus, ne permet pas d'éliminer les virus détectés.
Et, enfin, le troisième inconvénient de l'analyseur antivirus est qu'il n'analyse les fichiers que lorsque vous lui "demandez" de le faire, c'est-à-dire lancez le programme. Pendant ce temps, les utilisateurs oublient très souvent de vérifier les fichiers douteux téléchargés, par exemple, à partir d'Internet, et par conséquent, ils infectent l'ordinateur de leurs propres mains. Le scanner est capable de déterminer le fait de l'infection uniquement après que le virus est déjà apparu dans le système.
2. Moniteurs antivirus.
À la base, les moniteurs antivirus sont un type de scanners. Mais contrairement à ces derniers, ils sont constamment dans la mémoire de l'ordinateur et effectuent des vérifications en arrière-plan des fichiers, des secteurs de démarrage et de la mémoire en temps réel. Pour activer la protection antivirus, l'utilisateur n'a besoin de charger le moniteur qu'au démarrage du système d'exploitation. Tous les fichiers exécutables seront automatiquement analysés pour les virus.
3. Changer d'auditeurs.
Le travail de ce type de programmes antivirus est basé sur la suppression des "empreintes digitales" originales (sommes CRC) des fichiers et des secteurs du système. Ces "empreintes digitales" sont stockées dans une base de données. Au démarrage suivant, l'auditeur vérifie les "empreintes digitales" avec leurs originaux et informe l'utilisateur des changements intervenus.
Les auditeurs de changement présentent également des inconvénients. Premièrement, ils ne sont pas capables d'attraper le virus au moment de son apparition dans le système, mais ne le font qu'après un certain temps, après que le virus se soit propagé dans tout l'ordinateur. Deuxièmement, ils ne peuvent pas détecter un virus dans de nouveaux fichiers (dans les e-mails, sur des disquettes, dans des fichiers restaurés à partir d'une copie de sauvegarde ou lors de la décompression de fichiers à partir d'une archive), car il n'y a aucune information sur ces fichiers dans les bases de données des auditeurs . C'est ce qu'utilisent certains virus, n'infectant que les fichiers nouvellement créés et restant ainsi invisibles pour les auditeurs. Troisièmement, les auditeurs exigent un lancement régulier - plus cela est fait souvent, plus le contrôle de l'activité virale sera fiable.
4. Immunisateurs.
Les programmes antivirus-immunisateurs sont divisés en deux types : les vaccinateurs qui signalent l'infection et les vaccinateurs qui bloquent l'infection par tout type de virus.
Les premiers sont généralement écrits à la fin des fichiers (selon le principe d'un virus de fichier) et chaque fois que le fichier est lancé, il est vérifié pour les changements. De tels immuniseurs n'ont qu'un seul inconvénient, mais il est fondamental : ils sont absolument incapables de détecter les virus invisibles qui dissimulent astucieusement leur présence dans un fichier infecté.
Le deuxième type d'immunisants protège le système contre les attaques d'un virus spécifique. Pour ce faire, les fichiers sont modifiés de manière à ce que le virus les prenne pour déjà infectés. Par exemple, pour empêcher l'infection d'un fichier COM par le virus "Jérusalem", il suffit d'ajouter la ligne MsDos. Et pour se protéger contre un virus résident, un programme qui imite une copie du virus est entré dans la mémoire de l'ordinateur. Une fois lancé, le virus tombe dessus et pense que le système est déjà infecté et ne peut pas être traité.
Bien sûr, vous ne pouvez pas immuniser les fichiers contre tous les virus connus : chacun d'eux a ses propres méthodes pour déterminer l'infection. C'est pourquoi les vaccins ne sont pas largement utilisés et ne sont actuellement pratiquement pas utilisés.
5. Bloqueurs comportementaux.
Tous les types d'antivirus énumérés ci-dessus ne résolvent pas le problème principal - la protection contre les virus inconnus. Ainsi, les systèmes informatiques sont sans défense contre eux jusqu'à ce que les fabricants d'antivirus développent des antidotes. Parfois, cela prend plusieurs semaines. Pendant ce temps, vous pouvez perdre toutes les informations importantes.
Répondez sans équivoque à la question "que faire des virus inconnus ?" nous ne réussirons qu'au cours du prochain millénaire. Cependant, certaines prédictions peuvent déjà être faites aujourd'hui. À notre avis, la direction la plus prometteuse de la protection antivirus est la création de soi-disant bloqueurs comportementaux. Ce sont eux qui sont capables de résister aux attaques de nouveaux virus avec une garantie de presque cent pour cent.
Qu'est-ce qu'un bloqueur de comportement ? Il s'agit d'un programme qui se trouve constamment dans la RAM de l'ordinateur et "intercepte" divers événements du système. Si des actions "suspectes" sont détectées (qui peuvent être effectuées par un virus ou un autre programme malveillant), le bloqueur interdit cette action ou demande l'autorisation de l'utilisateur. En d'autres termes, le bloqueur ne recherche pas le code du virus, mais surveille et empêche ses actions.
Théoriquement, un bloqueur peut empêcher la propagation de tout virus connu ou inconnu (écrit après le bloqueur). Mais le problème est que des actions "de type virus" peuvent être effectuées par le système d'exploitation lui-même, ainsi que par des programmes utiles. Un bloqueur comportemental (nous entendons ici le bloqueur "classique" utilisé pour lutter contre les virus de fichiers) ne peut pas déterminer de manière indépendante qui effectue exactement une action suspecte - un virus, un système d'exploitation ou un programme, et doit donc demander à l'utilisateur confirmation. Ainsi, l'utilisateur qui prend la décision finale doit avoir suffisamment de connaissances et d'expérience pour donner la bonne réponse. Mais il y a peu de telles personnes. C'est pourquoi les bloqueurs ne sont pas encore devenus populaires, bien que l'idée même de les créer soit apparue il y a assez longtemps. Les avantages de ces programmes antivirus devenaient souvent leurs inconvénients : ils semblaient trop intrusifs, dérangeaient l'utilisateur avec leurs requêtes constantes, et les utilisateurs les supprimaient simplement. Malheureusement, cette situation ne peut être corrigée que par l'utilisation de l'intelligence artificielle, qui comprendrait indépendamment les raisons de telle ou telle action suspecte.
Cependant, même aujourd'hui, les bloqueurs comportementaux peuvent être utilisés avec succès pour lutter contre les virus de macro. Dans les programmes écrits en langage macro VBA, il est possible de distinguer les actions nuisibles des actions utiles avec un degré de probabilité très élevé. Fin 1999, Kaspersky Lab a développé un système de protection antivirus unique pour MS Office (versions 97 et 2000) basé sur de nouvelles approches des principes de blocage comportemental - AVP Office Guard. Grâce à l'analyse du comportement des macrovirus, les séquences les plus courantes de leurs actions ont été déterminées. Cela a permis d'introduire un nouveau système hautement intelligent de filtrage des macro-actions dans le programme de blocage, qui identifie presque sans erreur celles qui représentent un réel danger. Grâce à cela, le bloqueur AVP Office Guard, d'une part, pose beaucoup moins de questions à l'utilisateur et n'est pas aussi "intrusif" que ses homologues de fichiers, et d'autre part, il protège presque à 100% l'ordinateur des virus de macro, à la fois connu et pas encore écrit.
AVP Office Guard intercepte et bloque même l'exécution des virus de macro multiplateformes, c'est-à-dire des virus qui peuvent fonctionner dans plusieurs applications à la fois. De plus, le programme AVP Office Guard contrôle le fonctionnement des macros avec des applications externes, y compris les programmes de messagerie. Cela élimine la possibilité de propagation de virus de macro par e-mail. Mais c'est ainsi qu'en mai de cette année, le virus "LoveLetter" a touché des dizaines de milliers d'ordinateurs dans le monde.
L'efficacité du bloqueur serait nulle si des virus de macro pouvaient le désactiver arbitrairement. (C'est l'un des défauts de la protection antivirus intégrée aux applications MS Office.) AVP Office Guard dispose d'un nouveau mécanisme pour contrer les attaques de macro virus sur lui-même afin de le désactiver et de l'éliminer du système. Seul l'utilisateur peut le faire. Ainsi, l'utilisation d'AVP Office Guard vous évitera l'éternel casse-tête du téléchargement et de la connexion des mises à jour de la base de données antivirus pour vous protéger contre les nouveaux virus de macro. Une fois installé, ce programme protégera de manière fiable votre ordinateur contre les virus de macro jusqu'à la sortie d'une nouvelle version du langage de programmation VBA avec de nouvelles fonctions pouvant être utilisées pour écrire des virus.
Bien que le bloqueur de comportement résolve le problème de la détection et de la prévention de la propagation des virus de macro, il n'est pas conçu pour les supprimer. Par conséquent, il doit être utilisé conjointement avec un analyseur antivirus capable de détruire avec succès le virus détecté. Le bloqueur vous permettra d'attendre en toute sécurité la période entre la détection d'un nouveau virus et la publication d'une mise à jour de la base antivirus pour le scanner, sans interrompre le fonctionnement des systèmes informatiques de peur de perdre définitivement des données précieuses ou gravement endommager le matériel informatique.
RÈGLES "D'HYGIÈNE INFORMATIQUE"
"En aucun cas, n'ouvrez des fichiers envoyés par e-mail par des inconnus. Même si le destinataire vous est connu, soyez prudent : vos amis et partenaires ne peuvent pas se douter qu'un virus s'est installé sur leur ordinateur, qui en silence envoie des copies de lui-même aux adresses de leur carnet d'adresses.
" Assurez-vous d'analyser toutes les disquettes, CD et autres supports de stockage mobiles, ainsi que les fichiers reçus d'Internet et d'autres ressources publiques (BBS, conférences électroniques, etc.) avec un niveau maximal d'analyse avec un antivirus.
" Exécutez une analyse antivirus complète de votre ordinateur après l'avoir reçu du service de réparation. Les réparateurs utilisent les mêmes disquettes pour vérifier tous les ordinateurs - ils peuvent très facilement apporter une "infection" à partir d'une autre machine !
" Installez les "correctifs" des fabricants des systèmes d'exploitation et des programmes que vous utilisez en temps opportun.
" Soyez prudent lorsque vous autorisez d'autres utilisateurs à accéder à votre ordinateur.
" Pour augmenter la sécurité de vos données, sauvegardez périodiquement les informations sur des supports indépendants.
Pour un travail confortable et sûr à l'ordinateur, il est nécessaire d'avoir un minimum de connaissances sur la protection des données personnelles. Pour ce faire, vous devez tout d'abord savoir ce qu'est un virus informatique. Vous devez également vous rappeler que la meilleure façon de le gérer est un logiciel antivirus.
La définition d'un virus informatique est la suivante : « Un virus informatique est un logiciel capable de se copier, d'infiltrer le code système et d'autres produits logiciels, et de causer des dommages irréparables au matériel informatique et aux informations stockées sur son support.
Le but principal de tout virus est de nuire, de voler des informations ou de surveiller un ordinateur. D'autres actions de virus informatiques sont également tracées. La propension à se reproduire vous permet d'infliger un maximum de dégâts. Le fait que les virus puissent non seulement se reproduire au sein d'une machine locale, mais aussi voyager sur des réseaux, y compris mondiaux, suggère que des épidémies de virus informatiques sont possibles.
Phases et états caractéristiques des virus informatiques
- Existence passive : dans cet état, le virus est écrit sur le disque dur, mais n'entreprend aucune action tant que les conditions spécifiées par le programmeur ne sont pas remplies.
- Reproduction : condition dans laquelle un virus crée un nombre incalculable de copies de lui-même et est placé sur le disque dur de l'ordinateur, ainsi que transmis au réseau local avec des packages de services.
- Existence active : dans ce mode, le virus commence à remplir son objectif - détruire, copier des données, occuper artificiellement de l'espace disque et absorber de la RAM.
Comment les virus informatiques sont-ils apparus ?
Officiellement, l'histoire des virus informatiques commence en 1981. L'informatique n'en était qu'à ses balbutiements. À l'époque, personne ne savait ce qu'était un virus informatique. Richard Skrenta a écrit le premier virus de démarrage pour l'ordinateur Apple II. Il était relativement inoffensif et affichait un poème à l'écran. Plus tard, des virus pour MS-DOS ont également commencé à apparaître. En 1987, trois épidémies de virus ont été enregistrées à la fois. Cela a été facilité par l'entrée sur le marché d'un ordinateur IBM relativement bon marché et la croissance de l'informatisation en général dans le monde entier.
La première épidémie a été causée par le logiciel malveillant Brain, ou "virus du Pakistan". Il a été développé par les frères Alvi pour punir les utilisateurs qui utilisent des versions crackées de leur logiciel. Les frères ne s'attendaient pas à ce que le virus se propage en dehors du Pakistan, mais il l'a fait, et des ordinateurs du monde entier ont été infectés par le virus Brain.
La deuxième épidémie s'est produite à l'Université de Lehigh aux États-Unis d'Amérique et plusieurs centaines de disquettes de la bibliothèque du centre informatique de l'université ont été détruites. L'épidémie était d'ampleur moyenne pour l'époque et le virus n'affectait que 4 000 ordinateurs.
Le troisième virus - Jérusalem est apparu dans plusieurs pays du monde à la fois. Le virus a détruit tous les fichiers à la fois à leur démarrage. Parmi les épidémies de 1987-1988, celle-ci a été la plus importante.
1990 a été le point de départ d'une lutte active contre les virus. À cette époque, de nombreux programmes qui nuisaient aux ordinateurs avaient déjà été écrits, mais jusqu'aux années 90, ce n'était pas un gros problème.
En 1995, des virus complexes ont commencé à apparaître et il y a eu un incident au cours duquel tous les disques avec une version bêta de Windows 95 ont été infectés par des virus.
Aujourd'hui, l'expression "virus informatique" est devenue familière à tout le monde, et l'industrie des logiciels malveillants se développe et se développe rapidement. De nouveaux virus apparaissent quotidiennement : informatique, téléphone, et maintenant virus pour montres. Au mépris d'eux, diverses entreprises produisent des systèmes de protection, mais les ordinateurs sont toujours infectés aux quatre coins du monde.
Virus informatique Ebola
Le virus informatique Ebola est très pertinent aujourd'hui. Les pirates l'envoient par e-mail, se cachant derrière les noms d'entreprises bien connues. Le virus infecte les logiciels installés sur les ordinateurs et est capable de supprimer très rapidement tout ce qui est installé sur la machine. De plus, il peut se multiplier, y compris sur un réseau local. Ainsi, "Ebola" est considéré aujourd'hui comme l'un des objets les plus dangereux.
Classement des logiciels malveillants
Les virus informatiques sont classés selon divers critères. En fonction de leur comportement, ils ont été conditionnellement divisés en 6 catégories: par habitat, par caractéristiques de structure de code, par méthode d'infection d'un ordinateur, par intégrité, par capacités, et en plus il existe une catégorie de virus non classés.
Par habitat, on distingue les types de virus informatiques suivants :
- Réseau- ces virus se propagent sur des réseaux locaux ou mondiaux, infectant un grand nombre d'ordinateurs dans le monde.
- Déposer- sont introduits dans le fichier, l'infectant. Le danger commence au moment de l'exécution du fichier infecté.
- Botte- sont intégrés dans le secteur de démarrage du disque dur et démarrent l'exécution au moment du démarrage du système.
Selon les caractéristiques structurelles du code, les virus sont divisés en :
Les virus sont divisés en deux groupes selon la manière dont ils infectent le code :
- Résidentiel- Programmes malveillants qui infectent la RAM.
- Non-résident- les virus qui n'infectent pas la RAM.
Selon l'intégrité, ils sont divisés en:
- Distribué- programmes divisés en plusieurs fichiers, mais ayant un script pour la séquence de leur exécution.
- Holistique- un seul bloc de programmes qui est exécuté par un algorithme direct.
Selon leurs capacités, les virus sont répartis dans les quatre catégories suivantes :
- Inoffensif- types de virus informatiques qui peuvent ralentir l'ordinateur en multipliant et en absorbant l'espace libre sur le disque dur.
- Non dangereux- les virus qui ralentissent l'ordinateur, occupent une quantité importante de RAM et créent des effets sonores et graphiques.
- Dangereux- les virus qui peuvent provoquer de graves défaillances du système, du gel de l'ordinateur à la destruction du système d'exploitation.
- Très dangereux- les virus qui peuvent effacer les informations du système, ainsi que conduire à la destruction physique de l'ordinateur en perturbant la distribution d'alimentation des principaux composants.
Divers virus qui ne rentrent pas dans la classification générale :
- Vers de réseau- des virus qui calculent les adresses des ordinateurs disponibles sur le réseau et se multiplient. En règle générale, ils sont classés comme des virus inoffensifs.
- Troyens, ou chevaux de Troie. Ces types de virus informatiques tire son nom du célèbre cheval de Troie. Ces virus se font passer pour des programmes utiles. Ils sont principalement destinés à voler des informations confidentielles, mais il existe également des variétés de représentants plus dangereux des logiciels malveillants.
Comment détecter un virus sur un ordinateur ?
Les virus peuvent être invisibles, mais en même temps effectuer des actions indésirables avec l'ordinateur. Dans un cas, la présence d'un virus est presque impossible à détecter, et dans un autre, l'utilisateur observe un certain nombre de signes d'infection informatique.
Pour ceux qui ne savent pas ce qu'est un virus informatique, les actions informatiques suivantes devraient faire suspecter un danger :
- L'ordinateur a commencé à fonctionner plus lentement. De plus, le ralentissement est plus que significatif.
- L'apparence des fichiers que l'utilisateur n'a pas créés. Une attention particulière doit être portée aux fichiers qui ont un jeu de caractères ou une extension inconnue au lieu d'un nom adéquat.
- Augmentation suspecte de la zone occupée de RAM.
- Arrêt et redémarrage spontanés de l'ordinateur, son comportement non standard, écran clignotant.
- Impossible de télécharger les programmes.
- Erreurs inattendues et messages de plantage.
Tous ces signes indiquent que l'ordinateur est très probablement infecté et qu'il est urgent de vérifier s'il contient des fichiers contenant du code malveillant. Il n'y a qu'une seule façon de vérifier la présence de virus sur votre ordinateur : un logiciel antivirus.
Les programmes antivirus, ou antivirus,- il s'agit de systèmes logiciels dotés de bases de données de virus informatiques étendues et effectuant une vérification approfondie du disque dur à la recherche de fichiers ou de codes familiers. Un logiciel antivirus peut désinfecter, supprimer ou isoler le fichier dans une zone désignée.
Moyens et méthodes de protection contre les logiciels malveillants
La protection contre les virus informatiques repose sur des méthodes techniques et organisationnelles. Les méthodes techniques visent à utiliser des outils de prévention des menaces virales: antivirus, pare-feu, antispam et, bien sûr, mise à jour rapide du système d'exploitation. Organisationnel - méthodes décrivant le comportement correct de l'utilisateur sur l'ordinateur en termes de sécurité de l'information.
Les méthodes techniques empêchent les virus de pénétrer dans un ordinateur par le biais de logiciels.
antivirus- contrôler le système de fichiers, vérifier sans relâche et rechercher des traces de code malveillant. Le pare-feu est conçu pour contrôler les informations passant par les canaux du réseau et bloquer les paquets indésirables.
Le pare-feu permet d'interdire un certain type de connexion selon différents critères : ports, protocoles, adresses et actions.
Anti-spam- contrôler la réception de courrier indésirable, et lorsqu'un message suspect arrive dans le client de messagerie, ils bloquent la possibilité d'exécuter des fichiers joints jusqu'à ce que l'utilisateur les exécute de force. Il y a une opinion que l'anti-spam est le moyen le plus inefficace de lutter, mais chaque jour, ils bloquent des dizaines de millions de messages avec des virus intégrés.
Mise à jour du système d'exploitation- un processus dans lequel les développeurs corrigent les erreurs et les lacunes dans le fonctionnement du système d'exploitation, qui sont utilisées par les programmeurs pour écrire des virus.
Les méthodes d'organisation décrivent les règles de travail avec un ordinateur personnel, de traitement de l'information, de lancement et d'utilisation de logiciels, basées sur quatre principes de base :
- N'exécutez et n'ouvrez que les documents et fichiers provenant de sources fiables et dont la sécurité est fermement établie. Dans ce cas, l'utilisateur assume la responsabilité de l'exécution de tel ou tel programme.
- Vérifiez toutes les informations entrantes provenant de toutes les sources externes, qu'il s'agisse d'Internet, d'un disque optique ou d'un lecteur flash.
- Maintenez toujours à jour les bases de données antivirus et la version shell du logiciel de détection et d'élimination des menaces. Cela est dû au fait que les développeurs de logiciels antivirus améliorent constamment leurs produits en fonction de l'émergence de nouveaux virus ;
- Soyez toujours d'accord avec les offres de programmes antivirus pour vérifier le lecteur flash ou le disque dur connecté à l'ordinateur.
Avec l'avènement des virus, des programmes ont commencé à apparaître qui permettent de les trouver et de les neutraliser. Chaque jour, de nouveaux virus apparaissent dans le monde. Les produits informatiques de dépannage sont mis à jour plusieurs fois par jour pour rester à jour. Ainsi, sans cesse, il y a une lutte constante contre les virus informatiques.
À ce jour, le choix de programmes antivirus est très large. De nouvelles offres apparaissent de temps en temps sur le marché, et les plus diverses : des systèmes logiciels à part entière aux petits sous-programmes axés sur un seul type de virus. Vous pouvez trouver des solutions de sécurité temporaires gratuites ou payantes.
Les antivirus stockent des extraits du code d'un grand nombre d'objets dangereux pour les systèmes informatiques dans leurs bases de données de signatures et, lors de l'analyse, ils comparent les codes des documents et des fichiers exécutables avec leur base de données. Si une correspondance est trouvée, l'antivirus avertira l'utilisateur et proposera l'une des options de sécurité.
Les virus informatiques et les programmes antivirus font partie intégrante les uns des autres. Il existe une opinion selon laquelle les programmes antivirus développent indépendamment des objets dangereux à des fins commerciales.
Les utilitaires logiciels antivirus sont divisés en plusieurs types :
- Programmes-détecteurs. Conçu pour rechercher des objets infectés par l'un des virus informatiques actuellement connus. Habituellement, les détecteurs ne recherchent que les fichiers infectés, mais dans certains cas, ils sont capables de les traiter.
- Programmes d'audit - ces programmes se souviennent de l'état du système de fichiers et, après un certain temps, vérifient et vérifient les modifications. Si les données ne correspondent pas, le programme vérifie si le fichier suspect a été modifié par l'utilisateur. Si le résultat de l'analyse est négatif, un message s'affiche à l'attention de l'utilisateur concernant une éventuelle infection de l'objet.
- Programmes-guérisseurs- conçu pour traiter des programmes et des disques durs entiers.
- Filtrer les programmes- vérifier les informations provenant de l'extérieur de l'ordinateur et refuser l'accès aux fichiers suspects. En règle générale, ils affichent une demande à l'utilisateur. Des programmes de filtrage sont déjà mis en œuvre dans tous les navigateurs modernes afin de trouver un virus informatique en temps opportun. C'est une solution très efficace, compte tenu du degré de développement actuel d'Internet.
Les plus grands complexes antivirus contiennent tous les utilitaires qui sont combinés en un seul grand mécanisme de protection. Les principaux représentants des logiciels antivirus sont aujourd'hui : Kaspersky Antivirus, Eset NOD32, Dr.Web, Norton Anti-Virus, Avira Antivir et Avast.
Ces programmes ont toutes les fonctionnalités de base pour avoir le droit d'être appelés systèmes logiciels de sécurité. Certains d'entre eux ont des versions gratuites extrêmement limitées, et certains ne sont disponibles que pour des récompenses en espèces.
Variétés de programmes antivirus
Les antivirus sont disponibles pour les ordinateurs personnels, les réseaux de bureau, les serveurs de fichiers et les passerelles réseau. Chacun d'entre eux peut trouver et supprimer des virus, mais l'accent principal dans les différentes versions de ces programmes est mis sur leur destination. La fonctionnalité la plus complète, bien sûr, est le logiciel antivirus pour la maison, qui doit effectuer des tâches pour protéger toutes les vulnérabilités possibles.
Que faire si vous suspectez une infection informatique ?
S'il semble à l'utilisateur que l'ordinateur est infecté par un virus, tout d'abord, vous ne devez pas paniquer, mais suivez strictement la séquence d'actions suivante :
- Fermez tous les programmes et fichiers avec lesquels l'utilisateur travaille actuellement.
- Exécutez un programme antivirus (si le programme n'est pas installé, installez-le).
- Trouvez la fonction d'analyse complète et exécutez-la.
- Une fois l'analyse terminée, l'antivirus proposera à l'utilisateur plusieurs options pour traiter les objets malveillants trouvés : fichiers - désinfecter, logiciels malveillants - supprimer, ce qui n'est pas supprimé - mis en quarantaine.
- Il est conseillé de suivre strictement les recommandations des logiciels antivirus.
- Une fois le nettoyage terminé, redémarrez l'analyse.
Si l'antivirus n'a pas trouvé une seule menace lors de l'analyse, cela signifie que le fonctionnement non standard de l'ordinateur est dû à des dysfonctionnements du matériel du PC ou à des erreurs internes du système d'exploitation, ce qui se produit également assez souvent, surtout si le système d'exploitation est rarement mis à jour.
Les virus sont la menace électronique la plus connue et la plus répandue. Presque tous les propriétaires d'ordinateurs, d'une manière ou d'une autre, sont confrontés à cette infection, mais peu de gens savent ce que sont les virus informatiques, comment ils infectent un ordinateur, comment ils se multiplient et comment ils diffèrent les uns des autres, et - surtout - comment les traiter. .
En fait, la plupart des questions les plus courantes sur les virus informatiques peuvent être résolues simplement en donnant une définition stricte de ce type de menace. Donc, virus informatique- il s'agit d'un type de logiciel distinct pour un ordinateur, caractérisé par des fonctions destructrices (destruction de données, blocage d'accès à des documents, endommagement de programmes) et capacité de reproduction.
Un peu d'histoire
Avant de passer à l'examen des différentes classifications des virus, rappelons leur histoire.
Pour la première fois, des programmes autoréplicatifs ont été décrits par John von Neumann lui-même en 1951. Le premier modèle d'un tel programme a été décrit par les Penrose dans un article de la revue Nature en 1957, après quoi un certain F. J. Stahl a écrit dans le langage machine de l'ordinateur IBM 650 un modèle biocybernétique dans lequel des créatures virtuelles se déplaçaient, « mangeaient » caractères saisis au clavier. Après avoir "mangé" un certain nombre de symboles, la créature se multipliait, et certaines de ses fonctions pouvaient "muter". Ce programme, cependant, n'était pas un virus en tant que tel, car il n'avait pas la capacité d'infecter et n'avait aucune fonction destructrice.
Les premiers "vrais" virus étaient des programmes pour ordinateurs Apple apparus en 1977 et capables de se mettre en réseau. Ces virus se sont "multipliés" "manuellement" - les auteurs les ont présentés sous le couvert de programmes utiles sur BBS (les précurseurs des forums et des chats modernes) et après leur lancement, ils ont détruit les données des utilisateurs. De plus, certaines modifications de ces proto-virus pourraient manifester leur vraie nature après un certain temps ou sous certaines conditions.
Le premier virus connu des utilisateurs a été écrit en 1981 par Richard Skrent. L'infection, baptisée ELK CLONER, s'est infiltrée dans l'enregistrement de démarrage du disque Apple II et s'est retrouvée à afficher un message avec un court poème. Cette même année, Joe Dellinger, étudiant à la Texas A&M University, a créé un virus pour le système d'exploitation Apple II qui a interféré avec le jeu CONGO alors populaire. En quelques semaines, les copies de ce jeu disponibles sur les ordinateurs de l'université ont cessé de fonctionner et l'auteur de "l'infection" a décidé d'écrire le premier "antivirus" - une modification du virus qui a remplacé le code de son prédécesseur.
En fait, le terme "virus informatique" a été proposé pour la première fois en septembre 1984 par F. Cohen. Son article, qui décrivait les résultats de ses recherches sur les logiciels malveillants, était la deuxième étude universitaire du nouveau problème.
Les premières épidémies de virus graves se sont produites en 1987, lorsque les ordinateurs IBM PC bon marché se sont répandus. Ainsi, le virus Brain ("Pakistan virus"), écrit par les frères Amjat et Bazit Alvi, a été découvert à l'été 1987, lorsqu'une épidémie a frappé 18 000 ordinateurs aux États-Unis. Ce virus, cependant, était une sorte de "punition" pour les utilisateurs utilisant des programmes sans licence des mêmes développeurs. Fait intéressant, ce virus a été le premier à utiliser le masquage - en essayant de lire un secteur infecté, il "a donné" un original non infecté au programme d'interrogation.
Le premier virus, initialement conçu pour infecter des réseaux entiers, est apparu en 1988. Ce "ver", cependant, n'a mené aucune action destructrice et a été créé par un certain Robert Morris dans le seul but d'infecter le système d'exploitation UNIX Berkeley 4.3 sur tous les ordinateurs connectés à l'ARPANET sans se révéler. Ayant atteint son objectif, ce virus a commencé à se multiplier et à envoyer des copies de lui-même. Au total, le ver Morris a infecté plus de 6 000 ordinateurs, dont certains (en raison de la reproduction active du virus) ont échoué pendant plusieurs jours (jusqu'à ce que la source des problèmes soit découverte et que les erreurs du système d'exploitation soient corrigées). Deux ans plus tard, Morris a été reconnu coupable d'avoir causé des dommages matériels (ne pas pouvoir utiliser le réseau pendant plusieurs jours) et a été condamné à deux ans de probation, 400 heures de travaux d'intérêt général et une amende de 10 000 $.
Un an après le "ver Morris", en 1989, le premier "cheval de Troie" est apparu. Un virus appelé AIDS (HIV) bloquait l'accès à toutes les informations présentes sur le disque dur, affichant au passage le message « Envoyez un chèque de 189 $ à telle ou telle adresse » à l'écran. Bien sûr, selon les coordonnées exactes de l'auteur, il a été possible de calculer rapidement et plus tard, il a été reconnu coupable d'extorsion.
Mais le tournant dans l'histoire du développement peut être considéré comme 1990. Tout a commencé avec le premier virus caméléon polymorphe, qui est devenu un modèle, car il se cachait des programmes antivirus. Lorsque les auteurs de virus ont commencé à combiner diverses méthodes de dissimulation dans leurs créations, le problème des virus informatiques a acquis une véritable ampleur mondiale.
Classement des virus informatiques
Uni classification des virus informatiques n'existe pas, mais les sociétés antivirus de différents pays ont développé un système généralement accepté qui divise les virus en groupes qui diffèrent par leur habitat, leurs méthodes de pénétration et d'infection, leurs actions malveillantes et leurs caractéristiques de fonctionnement.
Classement des habitats
. Avec le premier classement, tout est simple. Virus de fichiers intégrer leur corps dans des fichiers exécutables (programmes de lecture) avec les extensions *.exe, *.dll, *.sys, *.bat et *.com. De tels virus, comme eux, "collent" au support, interceptant les fonctions de contrôle de base. Par conséquent, lorsque le programme infecté est lancé, il exécute d'abord le code du virus, puis démarre de lui-même. Dans de rares cas, les virus de fichiers remplacent complètement le code du programme par leur propre corps, exécutant ainsi des fonctions destructrices (voir ci-dessous).
Cacher plus astucieusement virus de démarrage- ils écrivent leur code sur le secteur de démarrage du disque (secteur de démarrage) ou le soi-disant Master Boot Record (secteur du disque dur contenant le code d'appel du chargeur de démarrage).
Le prochain type de virus macro-virus, ne sont plus intégrés dans des programmes, mais dans des documents traités par des programmes prenant en charge les macros (algorithmes permettant d'automatiser les actions de routine des utilisateurs). Plus souvent que d'autres, les documents Microsoft Word et Excel « souffrent » de tels virus.
À proprement parler, cette classification n'est pas exhaustive, car il existe de plus en plus de virus capables de cacher leur corps dans plusieurs environnements à la fois (par exemple, dans les fichiers exécutables et dans le secteur de démarrage).
Classification par pénétration et infection
. À mesure que les ordinateurs et les logiciels deviennent plus complexes, les virus ont de plus en plus de moyens de pénétrer dans les ordinateurs. Le plus simple est lancement d'un programme infecté par l'utilisateur. En règle générale, les virus lancés par cette méthode arrivent dans les e-mails ou sont distribués sous le couvert de divers programmes utiles (y compris sous la forme de liens envoyés via ICQ). De plus, de plus en plus souvent, les auteurs d'une telle infection techniquement simple utilisent des méthodes d'ingénierie sociale, de gré ou de force pour convaincre l'utilisateur de lancer un virus (par exemple, un virus peut être déguisé en image, à partir de laquelle même les utilisateurs expérimentés ne vous attendez pas à un sale tour).
Des virus plus avancés s'utilisent pour s'exécuter fonctions intégrées des systèmes d'exploitation. Le plus populaire d'entre eux est programme d'exécution automatique sous Windows. En insérant une clé USB banale dans un port USB, vous pouvez contracter une infection sans même exécuter de programme à partir de ce support - tout sera fait pour vous par le fichier autorun.inf, qu'un virus actif a déjà écrit sur une clé USB lecteur sur un autre ordinateur.
Un autre type de virus est une infection Web qui pénètre dans un ordinateur. provenant de sites infectés. Tout est simple ici - les navigateurs (surtout souvent Internet Explorer pèche avec cela) traitent le code sur la page (le plus souvent JavaScript), qui fait le "sale acte" - par exemple, télécharge depuis le Web et lance un virus logiciel "traditionnel" .
Enfin, l'infection la plus dangereuse qui peut se passer de l'aide explicite ou implicite de l'utilisateur est ce que l'on appelle les "vers" - des virus qui pénètrent dans l'ordinateur de la victime via le soi-disant "trous" (vulnérabilités) dans les programmes ou le système d'exploitation. Le plus souvent, ces virus utilisent une méthode de pénétration "en éventail" - chaque ordinateur infecté devient une source d'infection, envoyant de nouvelles copies du virus à tous les ordinateurs disponibles.
Concernant voies d'infection , alors ici tous les virus peuvent être divisés en deux groupes : résident(une telle "infection" "se bloque" constamment dans la mémoire de l'ordinateur et peut non seulement effectuer des actions destructrices, mais empêcher activement sa destruction) et non-résident(après avoir effectué un certain ensemble d'actions, ces virus sont déchargés de la mémoire et ne montrent aucune activité).
Classification des activités malveillantes . Curieusement, mais dans ce classement en premier lieu sont les virus sont inoffensifs. Ce sont généralement les "premiers signes" sur lesquels les auteurs de virus testent de nouvelles technologies et méthodes de pénétration. À l'étape suivante sont les virus ne sont pas dangereux, dont l'impact sur l'ordinateur se limite à divers effets (émission de messages, remplacement de fond d'écran, effets sonores, etc.). La troisième place du classement est occupée par virus dangereux qui peuvent entraîner un dysfonctionnement de votre ordinateur (par exemple, bloquer certains sites Web ou empêcher l'ouverture de certains programmes). Enfin, il y a virus très dangereux, capable de détruire des données, d'endommager le système de fichiers, de bloquer complètement l'ordinateur, etc.
Traitement
En fait, après avoir résumé toutes les classifications courantes des virus, nous avons donné des réponses aux questions les plus courantes sur les virus, à l'exception de la principale - comment les traiter.
Comme pour , le meilleur traitement est la prévention. En termes simples - l'utilisation d'une protection antivirus active (les soi-disant "moniteurs"). Les "moniteurs" sont constamment dans la mémoire de l'ordinateur, contrôlant tous les processus dans la RAM de l'ordinateur et tous les accès aux fichiers.
Pour une vérification unique d'un ordinateur (par exemple, si une infection est suspectée en l'absence d'un "moniteur"), vous pouvez utiliser des programmes d'analyse qui vérifient le système d'exploitation et les fichiers utilisateur sur demande.
Les deux types de programmes antivirus utilisent plusieurs algorithmes dans leur travail pour détecter les "infections". Le plus courant d'entre eux est "signature" (méthode comparative, vérification de la base de données). L'antivirus utilise simplement une base de données contenant des échantillons de code de virus, comparant des fragments de programmes et de documents scannés avec des "références". Les bases de données sont créées par les développeurs de programmes antivirus et sont constamment mises à jour. Si une correspondance est trouvée, l'antivirus peut supprimer complètement le fichier infecté, essayer de "guérir" le fichier en supprimant le corps du virus, bloquer l'accès au fichier infecté ou envoyer le fichier en "quarantaine" (un dossier spécial dans toutes les actions virales sont à nouveau bloquées).
Malgré toute son efficacité, la méthode de signature présente un inconvénient important : si une entrée appropriée n'a pas été trouvée dans la base de données antivirus (ce qui n'est pas rare dans le cas de nouveaux « polymorphes »), l'antivirus est inutile.
Méthode plus efficace - "comportemental" (protection proactive, bloqueur de comportement, Host Intrusion Prevention System, HIPS). Il est basé sur l'analyse du comportement des programmes et la comparaison des données obtenues avec les algorithmes comportementaux "normaux" connus de l'antivirus. Si des actions "suspectes" sont détectées, l'antivirus avertira l'utilisateur.
Dans les antivirus modernes, la méthode comportementale est généralement associée à "heuristique" basé sur des algorithmes de "conjecture". Par exemple, un antivirus peut supposer qu'un programme qui écrit dans l'enregistrement de démarrage d'un disque, mais qui n'est pas un utilitaire de disque connu de l'antivirus, devient "suspect" et peut être supprimé. Cette méthode, étant une bonne aide pour détecter les menaces nouvelles et inconnues, ne peut cependant pas être considérée comme absolument fiable et l'utilisation d'un niveau élevé d'heuristique donne le plus grand nombre de faux positifs. Les méthodes heuristiques incluent également l'émulation du programme en cours de vérification dans une sorte de machine "virtuelle" créée par l'antivirus. Par exemple, un antivirus peut commencer à exécuter un programme infecté par un virus polymorphe, exécuter pas à pas le programme et contrôler ses actions jusqu'à ce qu'il soit convaincu de sa sécurité, ou jusqu'à ce qu'il "calcule" le virus. Enfin, "l'heuristique" vous permet de vérifier le code source du programme (après l'avoir désassemblé en mémoire), d'analyser ses actions probables ou de comparer des fragments de code avec la base de données d'algorithmes de virus connus.
Enfin, la méthode la plus efficace (mais en même temps la moins pratique du point de vue de l'utilisateur) est "Liste blanche". Son essence réside dans la compilation par l'utilisateur d'une liste de programmes "de confiance" pouvant être exécutés sur l'ordinateur protégé. Tous les autres programmes seront complètement bloqués par l'antivirus. Cette méthode est cependant le plus souvent mise en œuvre non pas dans les antivirus, mais dans les pare-feu ("écrans de protection"), car à proprement parler, elle ne peut garantir à elle seule la "pureté" des programmes (l'utilisateur lui-même, sans le savoir, peut ajouter un programme déjà infecté à la liste).
En règle générale, les programmes antivirus utilisent diverses combinaisons des méthodes décrites. Le principal problème des développeurs d'antivirus dans ce cas est d'atteindre le rapport optimal entre l'efficacité de la détection des menaces et les performances du programme. Certains développeurs mettent cette préoccupation sur les épaules des utilisateurs, leur proposant de choisir eux-mêmes les algorithmes nécessaires, ainsi que d'ajuster le niveau de leur « méfiance ».
Conclusion
Nous avons parlé de tous les aspects de la "vie" des virus informatiques qui intéressent les utilisateurs ordinaires. En conclusion, résumons brièvement.
Donc, virus est un programme qui effectue des actions destructrices et est capable de se reproduire. Les virus diffèrent par la façon dont ils se propagent, pénètrent dans les ordinateurs des utilisateurs, fonctionnent avec des algorithmes et le type d'actions destructrices.
Les virus peuvent vivre indépendamment, le nom est un fichier "corps" séparé ou "attaché" au programme et aux documents de l'utilisateur. La plupart des virus "vivent" dans des fichiers exécutables (*.exe, *.dll et autres) ou des documents pouvant contenir des macros. Cependant, en théorie, un virus peut être intégré dans n'importe quel fichier traité par un programme vulnérable. "Erreurs" un tel programme lance le code du fichier le plus inoffensif (par exemple, une image) pour l'exécution.
Les virus informatiques peuvent se répliquer en copiant leur propre corps ou en transmettant leur code via des réseaux informatiques.
Il convient également de rappeler que la création et la distribution de virus informatiques et de logiciels malveillants sont poursuivies en Russie par la loi (chapitre 28, article 273 du Code pénal de la Fédération de Russie).
Presque tous les propriétaires d'ordinateurs, s'ils ne sont pas encore familiarisés avec les virus, ont entendu divers contes et histoires à leur sujet. La plupart d'entre eux, bien sûr, sont exagérés par d'autres utilisateurs novices.
Alors qu'est-ce qu'un virus ?
Virus est un programme auto-propagé. De nombreux virus ne font rien du tout de destruction avec votre PC, certains virus, par exemple, font un petit tour sale : afficher une image sur l'écran, lancer des services inutiles, ouvrir des pages Internet pour adultes, etc. Mais il y a aussi ceux qui peuvent afficher faire planter votre ordinateur en formatant le disque ou en corrompant le BIOS de la carte mère.
Pour commencer, il vaut probablement la peine de trier les mythes les plus populaires sur les virus circulant sur le net.
1. Antivirus - protection contre tous les virus
Malheureusement, ce n'est pas le cas. Même avec un antivirus sophistiqué avec la dernière base de données, vous n'êtes pas à l'abri d'une attaque de virus. Néanmoins, vous serez plus ou moins protégé des virus connus, seuls les nouveaux, inconnus de la base antivirus, constitueront une menace.
2. Les virus se propagent avec n'importe quel fichier
C'est faux. Par exemple, avec de la musique, des vidéos, des images - les virus ne se propagent pas. Mais il arrive souvent qu'un virus se déguise en ces fichiers, obligeant un utilisateur inexpérimenté à se tromper et à lancer un programme malveillant.
3. Si vous êtes infecté par un virus, votre PC est sérieusement menacé
Ce n'est pas vrai non plus. La plupart des virus ne font rien du tout. Il leur suffit qu'ils infectent simplement les programmes. Mais dans tous les cas, vous devez faire attention à ceci : vérifiez au moins l'ensemble de l'ordinateur avec un antivirus doté de la dernière base de données. S'ils ont été infectés par l'un, pourquoi n'ont-ils pas pu avoir le second ? !
4. N'utilisez pas le courrier - un gage de sécurité
J'ai peur que ça n'aide pas. Il arrive que vous receviez des lettres par la poste d'adresses inconnues. Il est préférable de ne pas les ouvrir, de supprimer et de vider la corbeille immédiatement. Habituellement, le virus vient en pièce jointe dans une lettre, en l'exécutant, votre PC sera infecté. Il est assez facile de se protéger : n'ouvrez pas les lettres d'inconnus... Il ne sera pas non plus superflu de mettre en place des filtres anti-spam.
5. Si vous avez copié un fichier infecté, vous avez été infecté
En général, jusqu'à ce que vous exécutiez le fichier exécutable, le virus, comme un fichier normal, restera simplement sur votre disque et ne vous fera rien de mal.
Types de virus informatiques
Les tout premiers virus (histoire)
Cette histoire a commencé vers les années 60-70 dans certains laboratoires américains. Sur l'ordinateur, en plus des programmes habituels, il y avait aussi ceux qui fonctionnaient seuls, non contrôlés par personne. Et tout irait bien s'ils ne chargeaient pas lourdement l'ordinateur et ne gaspillaient pas les ressources en vain.
Après une dizaine d'années, dans les années 80, il existait déjà plusieurs centaines de programmes de ce type. En 1984, le terme "virus informatique" lui-même est apparu.
Ces virus ne cachaient généralement pas leur présence à l'utilisateur. Le plus souvent, ils l'ont empêché de travailler en affichant certains messages.
En 1985, le premier virus informatique dangereux (et surtout à propagation rapide) Brain est apparu. Bien qu'il ait été écrit avec de bonnes intentions - pour punir les pirates qui copient illégalement des programmes. Le virus ne fonctionnait que sur des copies illégales du logiciel.
Les héritiers du virus du cerveau ont survécu pendant une douzaine d'années supplémentaires, puis leur population a commencé à décliner fortement. Ils n'ont pas agi avec ruse: ils ont simplement écrit leur corps dans le fichier programme, ce qui a augmenté sa taille. Les antivirus ont rapidement appris à déterminer la taille et à trouver les fichiers infectés.
Virus logiciels
À la suite des virus attachés au corps du programme, de nouveaux types ont commencé à apparaître - sous la forme d'un programme distinct. Mais, la principale difficulté est de savoir comment forcer l'utilisateur à exécuter un tel programme malveillant ? Il s'avère que c'est très simple ! Il suffit de l'appeler une sorte de cracker pour le programme et de le mettre sur le réseau. Beaucoup se contenteront de télécharger, et malgré tous les avertissements de l'antivirus (le cas échéant) ils se lanceront quand même...
En 1998-1999, le monde a tremblé à cause du virus le plus dangereux - Win95.CIH. Il a désactivé le bios de la carte mère. Des milliers d'ordinateurs dans le monde ont été désactivés.
Un virus se propage par les pièces jointes des e-mails.
En 2003, le virus SoBig a pu infecter des centaines de milliers d'ordinateurs en se fixant sur les e-mails envoyés par l'utilisateur.
Le principal combat contre de tels virus: mise à jour régulière du système d'exploitation Windows, installation d'un antivirus. Refusez également d'exécuter des programmes obtenus de sources douteuses.
Macrovirus
De nombreux utilisateurs ne soupçonnent probablement même pas qu'en plus des fichiers exécutables exe ou com, les fichiers réguliers de Microsoft Word ou Excel peuvent également représenter une menace très réelle. Comment est-ce possible? C'est juste que le langage de programmation VBA a été intégré à ces éditeurs à un moment donné, afin de pouvoir ajouter des macros en plus des documents. Ainsi, si vous les remplacez par votre propre macro, il se peut bien qu'il s'agisse d'un virus...
Aujourd'hui, presque toutes les versions des programmes bureautiques, avant de lancer un document à partir d'une source inconnue, vous redemanderont certainement si vous voulez vraiment exécuter des macros à partir de ce document, et si vous cliquez sur le bouton "non", alors rien ne se passera, même si le document était infecté par un virus. Le paradoxe est que la plupart des utilisateurs eux-mêmes cliquent sur le bouton "oui"...
L'un des virus de macro les plus célèbres peut être considéré comme Mellis'y, qui a culminé en 1999. Le virus infecte les documents et envoie un e-mail à vos amis avec un contenu infecté via la messagerie Outlook. Ainsi, en peu de temps, des dizaines de milliers d'ordinateurs dans le monde en ont été infectés !
Virus de script
Les virus de macro, en tant que type spécifique, sont inclus dans le groupe des virus de script. L'essentiel ici est que non seulement Microsoft Office utilise des scripts dans ses produits, mais d'autres progiciels en contiennent. Par exemple, Media Player, Internet Explorer.
La plupart de ces virus se propagent par le biais de pièces jointes aux e-mails. Souvent, les pièces jointes sont déguisées en une image ou une composition musicale inédite. Dans tous les cas, ne lancez pas et encore mieux n'ouvrez pas les pièces jointes d'adresses inconnues.
Souvent, les utilisateurs sont induits en erreur par l'extension de fichier ... Après tout, on sait depuis longtemps que les images sont en sécurité, alors pourquoi ne pouvez-vous pas ouvrir l'image qui a été envoyée par courrier ... Par défaut, l'explorateur de fichiers ne afficher les extensions de fichiers. Et si vous voyez le nom de l'image, comme "interesnoe.jpg" - cela ne signifie pas que le fichier a exactement cette extension.
Pour voir les extensions, activez l'option suivante.
Prenons l'exemple de Windows 7. Si vous allez dans n'importe quel dossier et cliquez sur « organiser/dossier et options de recherche », vous pouvez accéder au menu « Affichage ». Voilà notre chère tique.
Décochez l'option "masquer les extensions pour les types de fichiers connus", et activez également la fonction "afficher les fichiers et dossiers cachés".
Maintenant, si vous regardez la photo qui vous a été envoyée, il se peut que « interesnoe.jpg » soit soudainement devenu « interesnoe.jpg.vbs ». Ici, en fait, est l'ensemble de l'accent. De nombreux utilisateurs novices sont tombés plus d'une fois dans ce piège, et en rencontreront plus ...
La principale protection contre les virus de script est la mise à jour rapide du système d'exploitation et de l'antivirus. Egalement, refus de visionner les emails suspects, notamment ceux contenant des fichiers incompréhensibles... Au passage, il ne sera pas superflu de sauvegarder régulièrement les données importantes. Ensuite, vous serez protégé à 99,99 % contre toute menace.
chevaux de Troie
Cette espèce, bien qu'elle ait été classée comme virus, n'en est pas directement une. Leur pénétration dans votre PC est à bien des égards similaire aux virus, seules leurs tâches sont différentes. Si la tâche d'un virus est d'infecter autant d'ordinateurs que possible et d'effectuer l'action de suppression, d'ouverture de fenêtres, etc., le programme cheval de Troie a généralement un objectif: copier vos mots de passe à partir de divers services, trouver sortir quelques informations. Il arrive souvent qu'un cheval de Troie puisse être contrôlé via le réseau et, sur ordre de son propriétaire, il peut instantanément redémarrer votre PC ou, pire encore, supprimer certains fichiers.
Il convient également de noter une autre caractéristique. Si les virus infectent souvent d'autres fichiers exécutables, les chevaux de Troie ne le font pas, il s'agit d'un programme séparé autonome qui fonctionne tout seul. Souvent, il est déguisé en une sorte de processus système, de sorte qu'il serait difficile pour un utilisateur novice de l'attraper.
Afin de ne pas devenir victime de chevaux de Troie, premièrement, ne téléchargez aucun fichier, comme le piratage d'Internet, le piratage de certains programmes, etc. Deuxièmement, en plus de l'antivirus, vous aurez également besoin d'un programme spécial, par exemple : The Cleaner, Trojan Remover, AntiViral Toolkit Pro, etc. Troisièmement, il ne sera pas superflu d'installer un pare-feu (un programme qui contrôle l'accès au Internet d'autres applications), avec des paramètres manuels, où tous les processus suspects et inconnus seront bloqués par vous. Si le cheval de Troie n'accède pas au réseau, la moitié du travail a déjà été fait, au moins vos mots de passe ne s'envoleront pas...
En résumé, je voudrais dire que toutes les mesures et recommandations prises seront inutiles si l'utilisateur lui-même, par curiosité, lance des fichiers, désactive les programmes antivirus, etc. Le paradoxe est que l'infection virale se produit dans 90% des cas par le biais du faute du propriétaire du PC lui-même. Eh bien, pour ne pas être victime de ces 10%, il suffit de produire parfois. Alors vous pouvez être presque sûr à 100% que tout ira bien !
