Шаг 1. Считанный из 1-го сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной оперативной памяти и считывает с диска тело вируса.
Шаг 2. Вирус переписывает сам себя в другую область оперативной памяти, чаще всего в старшие адреса памяти.
Шаг 3. Устанавливаются необходимые вектора прерываний (вирус резидентный).
Шаг 4. При выполнении определенных условий производятся деструктивные действия.
Шаг 5. Копируется Вооt-сектор в оперативную память и передается ему управление.
Вирусы и операционные системы
Программы-вирусы создаются для ЭВМ определенного типа, работающих с конкретными операционными системами.
Привлекательность операционной системы для создателей вирусов определяется следующими факторами:
1) распространенность операционных систем;
2) отсутствие эффективных встроенных антивирусных механизмов;
3) относительная простота;
4) продолжительность эксплуатации.
Наличие антивирусных механизмов, сложность систем и относительно малые сроки эксплуатации делают задачу создания вирусов трудно решаемой.
Значительно лучше защищена от вирусов операционная система IВМ ОS/2. Все программы, выполняемые в ОS/2, работают в отдельных адресных пространствах, что полностью исключает возможность взаимного влияния программ. Существует возможность запретить рабочим программам (несистемным) иметь доступ к портам периферийных устройств.
Хорошую защиту от вирусов имеют сетевые операционные системы на базе Microsoft Windows NT и Novell Netware.
Методы и средства борьбы с вирусами
Антивирусные средства применяются для решения следующих задач:
1) обнаружение вирусов в компьютерных системах;
2) блокирование работы программ-вирусов;
3) устранение последствий воздействия вирусов.
Обнаружение вирусов желательно осуществлять на стадии их внедрения или до начала осуществления деструктивных функций вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов. При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему. Устранение последствий воздействия вирусов ведется в двух направлениях:
1) удаление вирусов;
2) восстановление (при необходимости) файлов, областей памяти.
Восстановление системы зависит от типа вируса, а также от элемента времени обнаружения вируса по отношению к началу деструктивных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.
