Методы обнаружения вирусов. Методы обнаружения и удаления компьютерных вирусов. Профилактические меры защиты Выявление вирусов

Оглавление темы "Методы обнаружения вирусов. Методы диагностики микозов (грибковых заболеваний). Методы обнаружения простейших.":

Методы обнаружения вирусов. Лабораторные методы при диагностике вирусных инфекций. Забор материала для выявления вирусов. Культуры клеток для выявления вирусов.

Лабораторные методы при диагностике вирусных инфекций включают:
выделение и идентификацию возбудителя;
обнаружение и определение титров противовирусных AT;
обнаружение Аг вирусов в образцах исследуемого материала;
микроскопическое исследование препаратов исследуемого материала.

Забор материала для выявления вирусов

При заборе материала для исследований необходимо выполнять следующие условия:
образцы следует отбирать как можно раньше либо с учётом ритма циркуляции возбудителя;
материал следует отбирать в объёме, достаточном для всего комплекса исследований;
образцы следует доставлять в лабораторию незамедлительно (!), при относительно кратковременной транспортировке (не более 5 сут) образцы сохраняют на льду, при более длительной - при температуре -50 С.

Выделение и культивирование вирусов

Выделение и идентификация возбудителя - золотой стандарт в диагностике вирусных инфекций .

Культуры клеток для выявления вирусов

Вирусы размножаются только в живых клетках , и выделение возбудителя в заражённой культуре клеток - один из основных методов диагностики вирусных инфекций. Поскольку большинство патогенных вирусов отличает тканевая и типовая специфичность, то почти к каждому вирусу можно подобрать соответствующие клеточные или тканевые чультуры, а также создать стандартные условия культивирования (наличие клеток одного типа). Размножение вируса обеспечивают чувствительные (пермиссивные) клетки. Поэтому при выделении неизвестного возбудителя проводят одномоментное заражение 3~4 культур клеток, предполагая, что одна из них может оказаться пермиссивной. Культуры клеток получают диспергированием соответствующих органов и тканей, но чаще используют эмбриональные ткани (человека и животных) либо трансформированные опухолевые клетки. При помещении на соответствующую плоскую поверхность клеточные культуры обычно растут в виде монослоя. Первично-трипсинизированные культуры. Суспензии клеток получают гомогенизированием соответствующих тканей, предварительно обработанных трипсином. Культуры часто представлены клетками смешанного типа и не подлежат повторному культивированию. Жизнеспособность таких культур составляет 2-3 нед.

Полуперевиваемые линии клеток представлены диплоидными клетками человека и животных. Культуры ограниченно пригодны к повторному диспергированию и росту (как правило, не более 20-30 пересевов), сохраняя при этом жизнеспособность и не подвергаясь спонтанной трансформации.

Перевиваемые линии клеток (гетероплоидные культуры) представлены клетками, подвергнутыми длительному культивированию и спонтанным трансформациям. Культуры способны к многократному диспергированию и перевиванию. Работа с ними менее трудоёмка по сравнению с приготовлениями первичных культур; перевиваемые клетки относительно одинаковы по своей морфологии и стабильны по свойствам.

Известны следующие методы обнаружения вирусов:

1. сканирование;
2. обнаружение изменений;
3. эвристический анализ;
4. использование резидентных сторожей;
5. вакцинирование программ;
6. аппаратно-программная защита от вирусов.

1 Сканирование – это один из самых старых и простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже извест­ных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру.

Недостатки:

1. Умение определять только уже известные вирусы
2. Не способность противостоять проникновению вирусов и прпятствооать их вредительским действиям
3. Неспособность обнаружить полиморфные и стелс-вирусы.

Самой известной программой-сканером в России является Aidstest Дмитрия Лозинского.

2 Метод обнаружения изменений - базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно раз­мещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характери­стики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном нали­чии вирусов.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролировать­ся также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Достоинство - является возможность обнару­жения вирусов всех типов, а также новых неизвестных вирусов (обнаруживают даже «стелс»-вирусы). Например, программа-ревизор Adinf , разработанная Д. Ю Мостовым

Недостаток - программ-ревизоров невозможно определить вирус в файлах, которые по­ступают в систему уже зараженными (например, обнаружения зараже­ния макровирусами).

3 Эвристический анализ - как и метод обнаружения изме­нений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения ин­формации о файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Эври­стические анализаторы при обнаружении «подозрительных» ко­манд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Эвристический анализатор имеется, например, в ан­тивирусной программе Doctor Web.

4 В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл.

Существенным недостатком данного метода является значи­тельный процент ложных тревог , что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.

5 Вакцинация программ. Под вакцинацией программ понимается создание специально­го модуля для контроля ее целостности. В качестве характеристи­ки целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обна­руживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.

Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.

Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.

В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом.

6 Постоянный мониторинг. Программы-мониторы имеют одно коренное отличие от других антивирусов. Дело в том, что они работают резидентно, то есть постоянно загружены в память компьютера. В задачу монитора входит проверка всех уязвимых файлов, к которым обращается любое приложение операционной системы.

В принципе, это самый удобный для пользователя вариант. И действительно, не нужно постоянно помнить о необходимости проверки новых файлов. Не нужно терять время в ожидании, пока сканер проверит все файлы на жестком диске. Программы-мониторы работают постоянно и незаметно для пользователя. Хотя, с другой стороны, любое резидентное приложение, тем более такое "активное", требует дополнительных затрат системных ресурсов. Поэтому на старых слабых компьютерах антивирусные мониторы могут стать причиной замедленной работы ПК. Второй важный плюс постоянного мониторинга помимо удобства для пользователей - это надежность. И действительно, этот метод, в отличие от остальных, позволяет определить и обезвредить вирус еще до того, как он приступил к своей разрушительной деятельности.

Монитор "перехватывает" обращения операционной системы к файлам и сначала проверяет их. При этом используются оба описанных выше метода - поиск известных сигнатур и эвристический анализ. Если в результате проверки монитор обнаруживает вирус, то доступ к файлу блокируется, а пользователю выдается специальное сообщение с предложением выбрать необходимое действие (попытаться вылечить файл, удалить его, поместить в специальную папку и т. п.). Ну а если объект "чист", то монитор ничего не делает, а приложение, обращавшееся к нему, продолжает свою работу.

Методы и технологии борьбы с компьютерными вирусами

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач :

* обнаружение вирусов в КС;

* блокирование работы программ-вирусов;

* устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

* удаление вирусов;

* восстановление (при необходимости) файлов, областей памяти.

Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредительских действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами : методы обнаружения вирусов и методы удаления вирусов.

Известны следующие методы обнаружения вирусов:

1. Сканирование - один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером , которая просматривает файлы в поисках опознавательной части вируса - сигнатуры . Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами .

Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.

Метод обнаружения изменений базируется на использовании программ-ревизоров . Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролироваться также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Совершенные программы-ревизоры обнаруживают даже «стелс»-вирусы.

Имеются у этого метода и недостатки . С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе. Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы очень часто изменяются.

2. Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.

3. Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ.

Технологический процесс их применения осуществляется в следующей последовательности: в случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т. п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки «подозрительных» программ, а также для контроля всех поступающих извне файлов (со сменных дисков, по сети).

Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.

4. Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.

5. Самым надежным методом защиты от вирусов является использование аппаратно-программных антивирусных средств . В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе.

В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.

Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:

* работают постоянно;

* обнаруживают все вирусы, независимо от механизма их действия;

* блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один - зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости замены контроллера.

Строение и жизнедеятельность вирусов

В природе вирусы существуют в двух формах: внеклеточной и внутриклеточной.

Внеклеточная форма вируса называется Вирион - это инертная инфекционная частица, которая состоит из нуклеиновой кислоты и белковой оболочки – Капсида . Нуклеиновая кислота в составе вириона – генетический аппарат или геном - может быть только одного типа – либо ДНК, либо РНК. Геном может быть представлен одной цепочкой (однокомпонентный или целостный геном) или их имеется несколько (фрагментированный геном). Большинство вирусов растений являются РНК-содержащими.

Капсид состоит из белковых субъединиц – Капсомеров. Капсиды бывают различной формы:

1). Изометрические : сферические (рис.17А ) или полиэдрические («полиэдр» значит многогранник) с кубическим типом симметрии (рис.17Б ).

2). Анизометрические со спиральным типом симметрии – палочковидные, нитевидные (рис.17Г ). Встречаются вирусы с комбинированным типом симметрии, например, в форме головастика или Бацилловидные (рис.17Д ).

Размеры различных вирусов колеблются чаще всего в пределах от 20 до 300 нм, однако встречаются нитевидные вирусы большей длины – до 2000 нм.

В связи с наличием у вирусов растений белковой оболочки, в которую заключена нуклеиновая кислота, вирусы обладают антигенной активностью, или иммуногенностью то есть способны вызывать образование антител при введении их в организм животных.

Проявления жизнедеятельности вирусов.

Вирусы размножаются только в живых клетках. Многие вирусы способны к заражению какого-либо одного хозяина. Так респираторные вирусы размножаются только в клетках слизистых оболочек дыхательных путей. Другие, например, вирус табачной мозаики (ВТМ), имеют широкий спектр хозяев. Некоторые вирусы растений способны размножаться в телах насекомых-переносчиков.

Внутриклеточная жизнедеятельность вирусов , вероятно, складывается из ряда следующих этапов:

1. Вирус проникает в клетку целиком – полностью вся НК в капсидной оболочке – через повреждения в мембране.

2. Сбрасывание капсида . При инфицировании ВТМ первые симптомы появляются на несколько часов позже, чем при инфицировании свободной РНК этого вируса. Это факт в пользу утверждения о том, что проникший в клетку вирус «раздевается» - сбрасывает капсид.

3. Размножение вирусов . Вирусная РНК чаще внедряется в ядро растительной клетки, где синтезируется комплементарная РНК-(¾)-цепь и образуется Двуцепочечная РНК – репликативная форма (РФ) . Затем, вероятно, в ядрышках происходит многократная репликация вирусной РНК.

4. Биосинтез структурного белка вируса . После усиления репликации вирусной РНК в клетке возрастает количество капсидного белка. Синтез этих белков проходит на рибосомах клетки-хозяина.

5. Агрегация вирусной РНК и капсида . Появление зрелых вирусных частиц.

6. Выход вирусов из клетки у растений происходит по плазмодесмам, у животных – через повреждения в мембране.

Вирусологический метод

Вирусологический метод включает культивирование вирусов, их индикацию и идентификацию. Материалами для вирусологического исследования могут быть кровь, различные секреты и экскреты, биоптаты органов и тканей человека. Исследование крови часто проводят в целях диагностики арбовирусных заболеваний. В слюне могут быть обнаружены вирусы бешенства, эпидемического паротита, простого герпеса. Носоглоточные смывы служат для выделения возбудителя гриппа, кори, риновирусов, респираторно-синцитиального вируса, аденовирусов. В смывах с конъюнктивы обнаруживают аденовирусы. Из фекалий выделяют различные энтеровирусы, адено-, рео- и ротавирусы.

Для выделения вирусов используют культуры клеток, куриные эмбрионы, иногда лабораторных животных.

Источник получения клеток - ткани, извлечённые у человека при операции, органы эмбрионов, животных и птиц. Используют нормальные или злокачественно перерождённые ткани: эпителиальные, фибробластического типа и смешанные. Вирусы человека лучше размножаются в культурах клеток человека или почечных клеток обезьян.

Большинство патогенных вирусов отличает наличие тканевой и типовой специфичности. Например, полиовирус репродуцируется только в клетках приматов, что определяет необходимость подбора соответствующей культуры. Для выделения неизвестного возбудителя целесообразно одномоментное заражение 3-4 культур клеток, так как одна из них может оказаться чувствительной.

Методы обнаружения вирусов

Лабораторные методы при диагностике вирусных инфекций включают:

Выделение и идентификацию возбудителя;

Обнаружение и определение титров противовирусных AT;

Обнаружение Аг вирусов в образцах исследуемого материала;

Микроскопическое исследование препаратов исследуемого материала.

Забор материала. При заборе материала для исследований необходимо выполнять следующие условия:

Образцы следует отбирать как можно раньше либо с учётом ритма циркуляции возбудителя;

Материал следует отбирать в объёме, достаточном для всего комплекса исследований;

Образцы следует доставлять в лабораторию незамедлительно, при относительно кратковременной транспортировке (не более 5 сут) образцы сохраняют на льду, при более длительной - при температуре -50 °С.

• Специальная программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в файлах или системных областях на жёстком диске.
• Программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержание файла изменено, а время его модификации - нет.

• Программа-ревизор сообщает об изменении главной загрузочной записи жёсткого диска или загрузочной записи, а Вы не изменяем разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.
• Программа-сторож сообщает о том, что какая-то программа желает форматировать жёсткий диск, изменять системные облает жёсткого диска и т.д., а Вы не поручали никакой программе выполнять подобные действия.
• Программа-ревизор сообщила о наличии в памяти «невидимых » («стелс ») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении помощью прямых обращений к диску выдаётся разное содержимое.
• Вирус сам Вам представился, выведя соответствующее сообщение.

• Антивирусная программа сообщает об обнаружении неизвестного вируса.
• На экран или принтер начинают выводиться посторонние сообщения символы и т.д.
• Некоторые файлы оказываются испорченными.
• Некоторые программы перестают работать или начинают работать неправильно.
• Работа на компьютере существенно замедляется.

Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д.

Пять правил при заражении компьютера вирусом.

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил.

1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Как говориться, «семь раз отмерь, один раз отрежь »- непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера вирусом.

2. Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной загрузке компьютера с защищённой от записи «эталонной » дискеты с операционной системой. При этом следует использовать только программы, хранящиеся на защищённых от записи дискетах или флешках. Несоблюдение этого правила может привести к очень тяжёлым последствиям, поскольку при загрузке DOS или запуске программы с заражённого диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причинённых вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных, коллег.

5. Лечение компьютера от вируса - процесс творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более создатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устаревают...

Раннее обнаружение компьютерного вируса

Если Вы используете резидентную программу-сторожа для зашить вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус еще не успел активизироваться, заразить другие программы или диски и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на диске имеется загрузочный вирус, и предложить его удалить.

Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл.

Выяснение сведений о компьютерном вирусе вирусе

Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в её документации или встроенном справочнике сведения о данном типе вируса. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению.

Например, если компьютер оказался заражён неопасным загрузочным вирусом, то кроме удаления вируса с жёсткого диска и дискет, которыми Вы пользовались, делать ничего не надо. Устранение последствий действий вируса, изменяющим случайно выбранные участки диска, могут быть гораздо серьёзнее обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные с резервных копий.