Для максимальной защиты компьютера и все информации на нем, необходимо знать, откуда можно ожидать атаку, каким образом вирус может попасть на компьютер, и как он будет действовать.
Если все это учесть, то при первых его признаках можно тут же удалить. Если этого не знать и не предпринимать никаких действий, то можно потерять всю важную информацию.
Среди главных особенностей алгоритма работы компьютерных вирусов можно выделить следующие: резидентность; самошифрование и полиморфичность, использование стелс-алгоритмов и нестандартных приемов.
При инфицировании компьютера резидентный вирус прописывает свою резидентную часть себя в оперативной памяти, которая во время работы перехватывает все без исключения обращения операционной системы к зараженным объектам и моментально внедряется в них. Такие вирусы очень опасные, так как постоянно находятся в оперативной памяти и являются активными вплоть до перезагрузки операционной системы или выключения компьютера. В отличии от резидентных, нерезидентные вирусы сохраняют активность ограниченное время и не заражают память компьютера. Существуют некоторые вирусы, которые оставляют в оперативной памяти компьютера маленькие резидентные программы, которые не занимаются распространением вируса. Такие компьютерные вирусы считаются нерезидентными.
Макро-вирусы так же считаются резидентными, поскольку они на все время работы зараженного редактора постоянно находятся в памяти компьютера. Роль операционной системы, в таком случае, берет на себя редактор, а понятие «перезагрузить ОС» можно объяснить как выход из редактора.
Время «жизни» резидентного DOS-вируса в многозадачных операционных системах также может быть полностью ограничено временем закрытия зараженного DOS-окна, а время жизни и активности загрузочных вирусов в некоторых ОС можно ограничить переустановкой дисковых драйверов OC.
Использование стелс-алгоритмов дает возможность компьютерным вирусам частично или полностью скрыть себя в операционной системе. Сегодня самыми распространенными являются перехват запросов операционной системы на проведение чтения-записи зараженных объектов. Во время таких запросов стелс-вирусы либо временно лечат их, либо заменяют себя на незараженные участки информации. Если рассматривать на примере макро-вирусов, то самый популярный способ — в ручном режиме запрет вызовов меню просмотра макросов. Если посмотреть в историю, то первый файловый стелс-вирус — это вирус под названием «Frodo», а загрузочный стелс-вирус — это «Brain».
Полиморфичность или самошифрование используют практически все типы современных вирусов. Целью использования является возможность максимального усложнения процедуры идентификации (нахождения) вируса на компьютере. И это действительно так. Их очень сложно обнаружить, а, следовательно, и удалить. Эти вирусы не имеют сигнатур. Это означает, что в содержании программы нет ни одного постоянного участка кода. На практике, два образца идентичного полиморфик-вируса не будут иметь совпадений вообще. Это достигается путем проведения шифрования основного тела компьютерного вируса.
Нестандартные методы зачастую используются в компьютерных вирусах для того, чтобы спрятать себя в ядре ОС как можно глубже (примером является вирус под названием «3APA3A»), затруднить лечение от вируса (поместив свою копию в Flash-BIOS), максимально защитить свою резидентную копию от обнаружения (пример: вирусы «TPVO», «Trout2») и т.д.
К вопросу защиты компьютера необходимо подходить с максимальной внимательностью, так как от этого зависит сохранность всей конфиденциальной информации.