Конструктор вирусов — это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DОS, Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули и/или непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты, наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, сопровождающие работу вируса эффекты и др.
Существуют также вспомогательные утилиты, полиморфик-генераторы. Эти генераторы не являются вирусами, поскольку в их алгоритм не закладываются функции размножения. Главной функцией подобного рода утилит является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полимбрфик-генераторы доступны, поэтому автору полиморфного вируса не требуется разрабатывать коды собственного за/ расшифровщика. При желании он может подключить к своему вирусу известный полиморфик-генератор и вызывать его из кодов вируса. Вызов полиморфик-генератора создает коды расшифровщика и шифрует тело вируса.
Для борьбы с вирусами существуют программы, которые можно классифицировать по основным группам: мониторы, детекторы, доктора, ревизоры и вакцины.
Программы-мониторы (иначе называемые программы-фильтры) располагаются резидентно в оперативной памяти компьютера, перехватывают и сообщают пользователю об обращениях операционной системы, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относят возможность обнаружения неизвестных вирусов. Это актуально при наличии самомодифицирующихся вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера.
Недостатками программ являются: а) невозможность отслеживания вирусов, обращающихся непосредственно к ВI0S, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DОS; б) частая выдача запросов на выполнение операции.
Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Однако если программа не опознается детекторами как зараженная, то возможно в ней находится новый вирус или модифицированная версия старого, неизвестного программе-детектору.
Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.
Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояния загрузочного сектора и таблицы FАТ; длину, атрибуты и время создания файлов; 'контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.
Программы-вакцины модифицируют программы и диски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже зараженными.
Существующие антивирусные программы в основном относятся к классу гибридных программ (детекторы-доктора, доктора-ревизоры и др.).
При заражении или при подозрении на заражение компьютера вирусом необходимо:
1. Оценить ситуацию и не предпринимать действий, приводящих к потере информации. Если вы не обладаете достаточными знаниями и опытом, лучше обратиться к специалистам.
2. Перезагрузить ОС компьютера. При этом использовать специальную, заранее созданную и защищенную от записи системную дискету. В результате будет предотвращена активизация загрузочных и резидентных вирусов с жесткого диска компьютера.
3. Запустить имеющиеся антивирусные программы, пока не будут обнаружены и удалены все вирусы. В случае невозможности удалить вирус и при наличии в файле ценной информации произвести архивирование файла и подождать выхода новой версии антивируса. После окончания перезагрузить компьютер.
К антивирусным программам, получившим распространение в России, странах СНГ и за рубежом, относят программы фирм Symantec (Norton Аntivirus), Networc Аssociates (Dосtоr Sоlоmоn) и отечественных фирм — Лаборатории Касперского (АntiViral Тооlkit Рrо) и ДиалогНаука (АDinf, Dr.Web).
Антивирусный пакет AntiViral Тооlkit Рrо (АVР) включает АVР Сканер, резидентный сторож АVР Монитор, программу администрирования установленных компонент АVР Центр Управления и ряд других.
АVР Сканер, помимо традиционной проверки выполняемых файлов и файлов документов, обрабатывает базы данных электронной почты форматов МS Оffice, Ехchange и текстовых почтовых форматов Netscape Navigator, SMTP/РОРЗ serverи др. Использование сканера позволяет выявить вирусы в упакованных и архивированных файлах (не защищенных паролями). Обнаруживает и удаляет макровирусы, .полиморфные, стеле, троянские, а также ранее неизвестные вирусы. Это достигается, например, за счет использования эвристических анализаторов. Такие анализаторы моделируют работу процессора и выполняют анализ действий диагностируемого файла. В зависимости от этих действий и принимается решение о наличии вируса.
АVР Монитор — контролирует типовые пути проникновения вируса, например операции обращения к файлам и секторам.
АVР Центр Управления — сервисная оболочка, предназначенная для установки времени запуска сканера, автоматического обновления компонент пакета и др.