Компьюторныые вирусы
РУССКИЙ ГУМАНИТАРНО-ТЕХНИЧЕСКИЙ КОЛЛЕДЖ "ТАНТАЛ"
Р Е Ф Е Р А Т
НА ТЕМУ: "КОМПЬЮТЕРНЫЕ ВИРУСЫ"
СТУДЕНТ 1 КУРСА ФАКУЛЬТЕТА
"ТЕХНИЧЕСКАЯ КИБЕРНЕТИКА"
РУСАКОВ СЕРГЕЙ ВИКТОРОВИЧ
УПВ80251
1999
стр.
I. Введение 3
II. Защита от компьютерных вирусов 3
а) Что такое компьютерный вирус ? 4
б) Испорченные и зараженные файлы : 5
1) Исполнимые файлы 5
2) Загрузчик операционной системы и главная 5
загрузочная запись жесткого диска
3) Драйверы устройств 6
4) INTERNET-вирусы 6
4.1 Вложенные файлы. 6
4.2 Троянские программы. 6
4.3 HTML-вирусы. 7
4.4 Java-вирусы. 7
в) Вирусы, меняющие файловую систему 8
г) "Невидимые" и самомодифицирующиеся вирусы : 8
1) "Невидимые" вирусы 8
2) Самомодифицирующиеся вирусы 9
д) Что могут и чего не могут компьютерные вирусы 9
е) Основные методы защиты от компьютерных вирусов 10
ж) действия при заражении компьютерным вирусом 11
з) Лечение компьютера 12
и) Профилактика против заражения вирусом : 13
1) Копирование информации и разграничение 14
доступа
2) Проверка поступающих извне данных 14
3) Подготовка "ремонтного набора" 15
4) Защита от загрузочных вирусов 15
5) Периодическая проверка на наличие вирусов 16
III. Заключение 17
IV. Список источников информации 18
а) литературные издания 18
б) компьюторные источники 18
Введение.
Раздел "компьютерные вирусы" в информационной прессе в настоя-
щее время буквально пестрит разнообразными сообщениями о появле-
нии новых разновидностей вирусных инфекций (в дальнейшем - просто
"вирусы"). Но рядом с такими сообщениями всегда рисуется реклама
средств активной и пассивной борьбы с вирусами, приводятся реко-
мендации по предохранению от заражения и леденящие душу описания
последствий и симптомов "заболевания". Распространение компьютер-
ных вирусов приобрело такие масштабы , что практически любому
пользователю хоть раз в жизни пришлось столкнуться с вирусом на
своем компьютере. Количество известных вирусов исчисляется тысяча-
ми (по подсчетам экспертов в настоящее время существует около 3
тысяч вирусов), а хакеры постоянно пишут новые, самоутверждаясь в
своих глазах. Надо заметить, что такой способ самоутверждения
сильно напоминает привычку писать на заборах, весьма распростра-
ненную в определенных кругах. Но это вопрос более этики,чем техно-
логии.
Борцы с вирусами идут по пятам их разработчиков. Рынок антиви-
русных программ в настоящее время выходит на первое место по объе-
му, по крайней мере по числу продаваемых копий программ. Именно
поэтому фирмы стали включать антивирусные средства в комлекты
программ или операционных систем.
Защита от компьютерных вирусов.
Что такое компьютерный вирус ?
Компьютерный вирус - это специально составленная небольшая по
размерам программа, которая может "приписывать" себя к другим
программам, файлам ( т.е. "заражать" их) , а также выполнять раз-
личные нежелательные действия на компьютере (выдавать нежела-
тельные сообщения, портить данные на дисках, "засорять" память
компьютера, размножаться и т.д.). Программа, внутри которой нахо-
дится вирус, называется "зараженной". Когда такая программа начи-
нает работу , то сначала управление получает вирус. Он находит и
"заражает" другие программы, а также выполняет какие-нибудь вред-
ные действия (например, портит файлы или таблицу размещения фай-
лов на диске, "засоряет" оперативную память и т.д.). Для маскиров-
ки вируса действия по заражению других программ и нанесению вреда
могут выполняться не всегда, а, скажем, при выполнении определен-
ных условий. После того, как вирус выполнит нужные ему действия,
он передает управление той программе, в которой он находится, и
она работает также, как обычно. Тем самым внешне работа заражен-
ной программы выглядит также, как и незараженной.
Все действия вируса могут выполняться достаточно быстро и без
выдачи каких-либо сообщений, поэтому пользователю очень трудно за-
метить, что в компьютере происходит что-то необычное.
Пока на компьютере заражено относительно мало программ, наличие
вируса может быть практически незаметно. Однако по прошествии не-
которого времени на компьютере начинает твориться что-то странное,
например:
_ работа на компьютере существенно замедляется;
_ некоторые файлы оказываются испорченными;
_ некоторые программы перестают работать или начинают работать
неправильно;
_ на экран (или принтер) выводятся посторонние сообщения, симво-
лы, и т.д. Например при выполнении вируса, называемого Fantom-1,
на экране может отобразиться нечто, весьма похожее на череп.. Или
же вирус может отобразить на экране какое-нибудь стихотворение,
как, например, следущее:
Четвертой кафедре радиофизики посвящается.
Я Фортран бы выучил только за то,
что на нем защищался декан мой.
О, хакеры и программисты, Пишите только на Фортране,
познанье кода - путь тернистый иль назовут вас сосунками,
и есть ваш крест. Позвольте ж мне коль захотите вы в запале
означить путь вам в этой мгле. попробовать себя в Паскале.
Пишите с толком, аккуратней, От необузданной той страсти
чем больше GO TO, тем приятней, пойдут и горе и напасти,
и боже вас оборони и не насытит вас тогда
использовать при этом Си. ООП-овская ерунда.
ООП, рекурсии, структуры Ну что ж, сидите, жмите кнопки,
сгодятся только насмех курам, глазейте на цветные попки,
когда пред вами встанут коды, хоть не познали вы авоста,
всплывут утраченные годы.. все ж вам привет от Эда Поста.
Есть надежда, что еще можно спастись.
Это был лишь частный случай проявления вируса выдачей на экран
посторонних сообщений, в большинстве же случаев вирус себя прояв-
ляет более тривиально, например пишет что-то подобное "ВЫ НЕ ЖДАЛИ
НАС, А МЫ ПРИПЕРЛИСЯ !".
К этому моменту, как правило, уже достаточно много (или даже
большинство) тех программ, которыми Вы пользуетесь, являются зара-
женными вирусом, а некоторые файлы и диски - испорченными. Более
того, зараженные программы с Вашего компьютера могли уже быть пе-
ренесены с помощью дискет или по локальной сети на компьютеры Ва-
ших коллег или друзей.
Некоторые разновидности вирусов ведут себя еще более коварно.
Они сначала незаметно заражают большое число программ или дисков,
а потом причиняют очень серьезные повреждения, например формати-
руют жесткий диск на компьютере. А бывают вирусы, которые старают-
ся вести себя как можно более незаметно, но понемногу портят дан-
ные на жестком диске компьютера.
Таким образом, если не предпринимать мер по защите от вирусов,
то последствия заражения компьютера могут быть очень серьезными.
Для того, чтобы программа-вирус была незаметной, она должна быть
небольшой. Поэтому, как правило, вирусы пишутся на языке ассембле-
ра. Некоторые авторы таких программ создали их из озорства, неко-
торые - из стремления "насолить" кому-либо (например, уволившей их
фирме) или из ненависти ко всему роду человеческому. В любом слу-
чае созданная программа-вирус может (потенциально) распростра-
ниться на всех компьютерах, совместимых с тем, для которого она
была написана, и причинить разрушения.
Следует принимать во внимание, что написание вируса - не такая
уж сложная задача, вполне доступная изучающему программирование
студенту. Поэтому в мире еженедельно появляются все новые и новые
вирусы. И многие из них "сделаны" в нашей стране и в других недос-
таточно цивилизованных странах: Болгарии, Пакистане и т.д.
Испорченные и зараженные файлы.
Компьютерный вирус может испортить, т.е. изменить ненадлежащим
образом, любой файл на имеющихся в компьютере дисках. Но некото-
рые виды файлов вирус может "заразить". Это означает, что вирус
может "внедриться" в эти файлы, т.е. изменить их так, что они бу-
дут содержать вирус, который при некоторых обстоятельствах может
начать свою работу.
Следует заметить, что тексты программ и старых версий докумен-
тов (так сказать DOS-версии), информационные файлы баз данных,
таблицы табличных процессоров (DOS-версии) и другие аналогичные
файлы не могут быть заражены вирусом, он может их только испортить.
Вирусом могут быть "заражены" следующие виды файлов :
1. Исполнимые файлы:
Исполнимые файлы, т.е. файлы с расширениями имени COM и EXE, а
также оверлейные файлы, загружаемые при выполнении других прог-
рамм. Вирусы, заражающие файлы, называются файловыми. Вирус в за-
раженных исполнимых файлах начинает свою работу при запуске той
программы, в которой он находится. Наиболее опасны те файловые ви-
русы, которые после своего запуска остаются в памяти резидентно.
Эти вирусы могут заражать файлы и вредить до следующей перезагруз-
ки компьютера. А если они заразят любую программу, запускаемую из
файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жес-
ткого диска вирус снова начнет свою работу.
2. Загрузчик операционной системы и главная загрузочная запись
жесткого диска:
Вирусы, поражающие эти области, называются загрузочными, или бу-
товыми. Такой вирус начинает свою работу при начальной загрузке
операционной системы и становится резидентным, т.е. постоянно на-
ходится в памяти компьютера. Механизм распространения - заражение
загрузочных записей вставляемых в компьютер дискет. Как правило,
такие вирусы состоят из двух частей, поскольку загрузочные записи
имеют небольшой размер и в них трудно разместить целиком програм-
му вируса. Часть вируса, не помещающаяся в них, располагается в
другом участке диска, например в конце корневого каталога диска
или в кластере в области данных диска ( обычно такой кластер
объявляется дефектным, чтобы программа вируса не была затерта при
записи данных на диск ).
3. Драйверы устройств:
Драйверы устройств, т.е. файлы, указываемые в предложении DEVICE
файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу
при каждом обращении к соответствующему устройству. Вирусы, зара-
жающие драйверы устройств, очень мало распространены, поскольку
драйверы редко переписывают с одного компьютера на другой. То же
самое относится и к системным файлам DOS ( MSDOS.SYS и IO.SYS ) -
их заражение также теоретически возможно, но для распространения
вирусов малоэффективно.
4. В последнее время с увеличение числа пользователей появились
INTERNET-вирусы. Вот некоторые из разновиднстей этих вирусов:
4.1 Вложенные файлы.
Рассмотрим типичную ситуацию: вы получили электронное письмо, во
вложении к которому находится документ Microsoft WORD. Конечно, вы
заходите поскорее познакомится с содержанием файла, благо при ис-
пользовании большинства современных почтовых программ для этого
достаточно щелкнуть мышкой на имени этого файла. И ЭТО - ОШИБКА!.
Если в файле содержится макрокомандый вирус ( а вирусы этого типа,
заражающие документы Microsoft WORD, Microsoft EXCEL и ряд других
популярных систем докуметооборота, получили в последнее время ог-
ромное распространение), он немедленно заразит вашу систему. Так
что же делать с вложенным документом?. Потратить несколько лишних
секунд: сохранить его на диск, проверить антивирусной программой
последней версии и только потом, если вирусов нет, открывать. Есть
другие решения. Например, имеются антивирусные программы, осущес-
твляющие автоматическую проверку приходящей электронной почты.
Если вы используете программу-сторож, то при открытии зараженного
файла обязательно получите предупреждение ( точнее, вам просто не
дадут открыть зараженный файл). Ведь сторожу совершенно безразлич-
но, напрямую вы открываете документ или "из-под" почтовой програм-
мы.
4.2 Троянские программы.
Известные троянские программы, распространяющиеся через Интернет,
по существу, представляют собой утилиты для удаленного администри-
рования компьютера. Проще говоря, посредством такой программы
злоумышленник может получить доступ к вашему компьютеру и выпол-
нить на нем различные операции (практически любые) без вашего ве-
дома и участия.
Характерным представителем описанного типа является программ BASK
ORIFICE (BO). BO является системой удаленного администрирования,
позволяющей пользователю контролировать компьютеры при помощи
обычной консули или графической оболочки. "В локальной сети или
через Интернет ВО предоставляет пользователю больше возможности на
удаленном WINDOWS-компьютере, чем имеет сам пользователь этого
компьютера", - это текст из "рекламного" объявления на одной их
хакерских web-страниц. Разумеется, возможность удаленного админис-
трирования вашего компьютера представляет серьезную опасность, но
не такую большую как кажется на первый взгляд. Обычные пользовате-
ли проводят в Сети не так много времени (качество телефонных ли-
ний этому способствует), да и что такого "интересного" с точки
зрения хакера, можно сделать на вашем компьютере? Оказывается,
можно, только администрировать ничего не надо. Существенный инте-
рес для хакера представляют пароли, которые вы используете для ра-
боты с сервером продайвера. Заполучить пароль, хакер может запрос-
то "просадить" все ваши денежки. К счастью, троянцев, умеющих вы-
полнять указанные функции, довольно мало и все они успешно детек-
тируются антивирусными программами.
4.3 HTML-вирусы.
Вирусы данного типа встречаются редко, так что информация о них
представляет скорее "академический" интерес, нежели практический.
Суть такова: на самой языке HTML, который используется для размет-
ки гипертекстовых документов, никакие вирусы, конечно, написать
нельзя. Но для создания динамических страниц, организации взаимо-
действия с пользователем и прочих действий используются програм-
мное вставки (скрипты) в HTML-документы. Известные HTML-вирусы ис-
пользуют скрипты, написанные на языке VISUAL BASIC. С их помощью
находя HTM и HTML-файлы на локальной машине и записываются в них.
Иногда такие вирусы как-нибудь проявляют себя (например, выводят
сообщения). Малому распространению вирусов данного типа (равно как
и малому их числу) способствует то, что при стандартных настрой-
ках браузера выполнение "опасных"(к таковым относятся и те, в ко-
торых происходит обращение к файлам локального компьютора) скрип-
тов запрещено. Обычные же, "безопасности", скрипты не могут произ-
водить описанные манипуляции.
4.4 Java-вирусы.
В настоящее время известны два вируса, написанные на языке JAVA.
Опасности они практически не представляют. Кратко поясним, в чем
суть. исполняемые модули программ, написанных на JAVA (CLASS-фай-
лы), бывают двух типов: приложения и апплеты. Приложения выпол-
няются под управлением интерпреатора и являются почти обычными
программами (почти, ибо имеют все же некоторые ограничения, напри-
мер, в области работы с памятью). Апплеты, в отличие от приложе-
ний, могут выполняться под управлением броузеров, но на них накла-
дываются значительно более серьезные ограничения для обеспечения
безопасности: апплеты в частности, не имеют почти никакого досту-
па к файловой системе компьютера (в отличии от случая со скритами,
отключить данное ограничение в браузере невозможно). таким обра-
зом, JAVA-вирусы могут быть оформлены только как приложения и для
подавляющего большинства пользователей опасности не предоставляют.
Как правило, каждая конкретная разновидность вируса может зара-
жать только один или два типа файлов. Чаще всего встречаются виру-
сы, заражающие исполнимые файлы. Некоторые вирусы заражают
только EXE файлы, некоторые - только COM , а большинство - и те и
другие. На втором месте по распространенности загрузочные вирусы.
Некоторые вирусы заражают и файлы, и загрузочные области дисков.
Вирусы, заражающие драйверы устройств, встречаются крайне редко;
обычно такие вирусы умеют заражать и исполнимые файлы.
Вирусы, меняющие файловую систему.
В последнее время получили распространение вирусы нового типа -
вирусы, меняющие файловую систему на диске. Эти вирусы обычно на-
зываются DIR. Такие вирусы прячут свое тело в некоторый участок
диска ( обычно - в последний кластер диска ) и помечают его в таб-
лице размещения файлов (FAT) как конец файла. Для всех COM- и
EXE-файлов содержащиеся в соответствующих элементах каталога ука-
затели на первый участок файла заменяются ссылкой на участок дис-
ка, содержащий вирус, а правильный указатель в закодированном ви-
де прячется в неиспользуемой части элемента каталога. Поэтому при
запуске любой программы в память загружается вирус, после чего он
остается в памяти резидентно, подключается к программам DOS для
обработки файлов на диске и при всех обращениях к элементам ката-
лога выдает правильные ссылки.
Таким образом, при работающем вирусе файловая система на диске
кажется совершенно нормальной. При поверхностном просмотре зара-
женного диска на "чистом" компьютере также ничего странного не
наблюдается. Разве лишь при попытке прочесть или скопировать с за-
раженной дискеты программные файлы из них будут прочтены или ско-
пированы только 512 или 1024 байта, даже если файл гораздо длин-
нее. А при запуске любой исполнимой программы с зараженного таким
вирусом диска этот диск, как по волшебству, начинает казаться ис-
правным (неудивительно, ведь компьютер при этом становится зара-
женным).
При анализе на "чистом" компьютере с помощью программ ChkDsk или
NDD файловая система зараженного DIR-вирусом диска кажется совер-
шенно испорченной. Так, программа ChkDsk выдает кучу сообщений о
пересечениях файлов ( ".. cross linked on cluster.." ) и о це-
почках потерянных кластеров (".. lost clusters found in..
chains"). Не следует исправлять эти ошибки программами ChkDsk или
NDD - при этом диск окажется совершенно испорченным. Для исправле-
ния зараженных этими вирусами дисков надо использовать только спе-
циальные антивирусные программы ( например, последние версии
Aidstest).
"Невидимые" и самомодифицирующиеся вирусы.
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют
довольно хитрые приемы маскировки. Я расскажу о двух из них: "не-
видимых" (Stealth) и самомодифицирующихся вирусах:
"Невидимые" вирусы.
Многие резидентные вирусы (и файловые, и загрузочные) предотвра-
щают свое обнаружение тем, что перехватывают обращения DOS (и тем
самым прикладных программ) к зараженным файлам и областям диска и
выдают их в исходном виде. Разумеется, этот эффект наблюдается
только на зараженном компьютере - на "чистом" компьютере измене-
ния в загрузочных областях диска можно легко обнаружить.
Замечу, что некоторые антивирусные программы могут все же обнару-
живать "невидимые" вирусы даже на зараженном компьютере. Такие
программы для этого выполняют чтение диска, не пользуясь услугами
DOS (например, ADinf ).
Некоторые антивирусные программы (например, AVSP) используют для
борьбы с вирусами свойство "невидимых" файловых вирусов "вылечи-
вать" зараженные файлы. Они считывают (при работающем вирусе) ин-
формацию из зараженных файлов и записывают их на диск в файл или
файлы, где эта информация хранится в неискаженном виде. Затем, уже
после загрузки с "чистой" дискеты, исполнимые файлы восстанавли-
ваются в исходном виде.
Самомодифицирующиеся вирусы.
Другой способ, применяемый вирусами для того, чтобы укрыться от
обнаружения, - модификация своего тела. Многие вирусы хранят
большую часть своего тела в закодированном виде, чтобы с помощью
дизассемблеров нельзя было разобраться в механизме их работы. Са-
момодифицирующиеся вирусы используют этот прием и часто меняют па-
раметры этой кодировки, а кроме того, изменяют и свою стартовую
часть, которая служит для раскодировки остальных команд вируса.
Таким образом, в теле подобного вируса не имеется ни одной пос-
тоянной цепочки байтов, по которой можно было бы идентифицировать
вирус. Это, естественно, затрудняет нахождение таких вирусов прог-
раммами-детекторами.
Однако программы-детекторы все же научились ловить "простые" са-
момодифицирующиеся вирусы. В этих вирусах вариации механизма рас-
шифровки закодированной части вируса касаются только использова-
ния тех или иных регистров компьютера, констант шифрования, добав-
ления "незначащих" команд и т.д. И программы-детекторы приспособи-
лись обнаруживать команды в стартовой части вируса, несмотря на
маскирующие изменения в них. Но в последнее время появились виру-
сы с чрезвычайно сложными механизмами самомодификации. В них стар-
товая часть вируса генерируется автоматически по весьма сложным
алгоритмам: каждая значащая инструкция расшифровщика передается
одним из сотен тысяч возможных вариантов, при этом используется
более половины всех команд Intel-8088. Проблема распознования та-
ких вирусов надежного решения пока не получила.
Что могут и чего не могут компьютерные вирусы.
У многих пользователей ЭВМ из-за незнания механизма работы ком-
пьютерных вирусов, а также под влиянием различных слухов и неком-
петентных публикаций в печати создается своеобразный комплекс
боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления:
1. Склонность приписывать любое повреждение данных или необычное
явление действию вирусов. Например, если у "вирусофоба" не форма-
тируется дискета, то он объясняет это не дефектами дискеты или
дисковода, а действием вирусов. Если на жестком диске появляется
сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На са-
мом деле необычные явления на компьютере чаще вызваны ошибками
пользователя, программ или дефектами оборудования, чем действием
вирусов.
2. Преувеличенные представления о возможностях вирусов. Некото-
рые пользователи думают, например, что достаточно вставить в дис-
ковод зараженную дискету, чтобы компьютер заразился вирусом. Рас-
пространено также мнение, что для компьютеров просто стоящих в од-
ной комнате, заражение одного компьютера обязательно тут же приво-
дит к заражению остальных.
Лучшим "лекарством" от вирусофобии является знание того, как ра-
ботают вирусы, что они могут и чего не могут. Вирусы являются
обычными программами, и они не могут совершать никаких сверхъес-
тественных действий.
Для того чтобы компьютер заразился вирусом, необходимо, чтобы на
нем хотя бы один раз была выполнена программа, содержащая вирус.
Поэтому первичное заражение компьютера вирусом может произойти в
одном из следующих случаев:
_ на компьютере была выполнена зараженная программа типа COM или
EXE или зараженный модуль оверлейной программы (типа OVR или OVL);
_ компьютер загружался с дискеты, содержащей зараженный загрузоч-
ный сектор;
_ на компьютере была установлена зараженная операционная система
или зараженный драйвер устройства.
Отсюда следует, что нет никаких оснований бояться заражения ком-
пьютера вирусом, если:
_ на незараженном компьютере производится копирование файлов с
одной дискеты на другую. Если компьютер "здоров", то ни он сам, ни
копируемые дискеты не будут заражены вирусом. Единственный ва-
риант передачи вируса в этой ситуации - это копирование зараженно-
го файла: при этом его копия, разумеется, тоже будет "заражена",
но ни компьютер, ни какие-то другие файлы заражены не будут;
Основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
_ общие средства защиты информации, которые полезны также и как
страховка от физической порчи дисков, неправильно работающих прог-
рамм или ошибочных действий пользователей; профилактические меры,
позволяющие уменьшить вероятность заражения вирусом;
_ специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от
вируса. Имеются две основные разновидности этих средств:
_ копирование информации - создание копий файлов и системных об-
ластей дисков;
_ разграничение доступа предотвращает несанкционированное ис-
пользование информации, в частности, защиту от изменений прог-
рамм и данных вирусами, неправильно работающими программами и
ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важ-
ны для защиты от вирусов, все же их одних недостаточно. Необходи-
мо и применение специализированных программ для защиты от вирусов.
Эти программы можно разделить на несколько видов:
_ Программы-детекторы позволяют обнаруживать файлы, зараженные
одним из нескольких известных вирусов.
_ Программы-доктора, или "фаги", "лечат" зараженные программы или
диски, "выкусывая" из зараженных программ тело вируса, т.е. вос-
станавливая программу в том состоянии, в котором она находилась до
заражения вирусом.
_ Программы-ревизоры сначала запоминают сведения о состоянии
программ и системных областей дисков, а затем сравнивают их сос-
тояния с исходным. При выявлении несоответствий об этом сообщает-
ся пользователю.
_ Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. прог-
раммы, которые не только обнаруживают изменения в файлах и систем-
ных областях дисков, но и могут в случае изменений автоматически
вернуть их в исходное состояние.
_ Программы-фильтры располагаются резидентно в оперативной памя-
ти компьютера и перехватывают те обращения к операционной системе,
которые используются вирусами для размножения и нанесения вреда, и
сообщают о них пользователю. Пользователь может разрешить или зап-
ретить выполнение соответствующей операции.
Следует учесть, что ни один тип антивирусных программ в от-
дельности не может полностью защитить от вирусов и поэтому советы
типа "вставьте команду запуска Aidstest в AUTOEXEC.BAT" не будут
достаточными. Наилучшей стратегией защиты от вирусов является ком-
плексная многоуровневая защита:
_ Перед первым этапом следует разместить программы-детекторы,
позволяющие проверять вновь полученное програмное обеспечение на
наличие вирусов;
_ На первом этапе размещаются программы-фильтры, т.к. они первы-
ми сообщат о работе вируса и предотвратят заражение программ и
дисков;
_ На втором этапе размещаются ревизоры и доктора: они позволяют
обнаружить вирусы, "пробившиеся" через первый этап, а затем выле-
чить зараженные программы, но следует учитывать, что они не всег-
да лечат правильно и идеальным вариантом было бы иметь копию нуж-
ных программ в архивах на дискетах, защищенных от записи.
_ Самый главный этап защиты - разграничение доступа, которое не
позволяет проникшим вирусам и неверно работающим программам испор-
тить важные данные.
Действия при заражении вирусом.
При заражении компьютера вирусом (или при подозрении на это)
важно соблюдать четыре правила:
1. Прежде всего не надо торопиться и принимать опрометчивых реше-
ний: опрометчивые действия могут привести не только к потере час-
ти файлов, которые можно было бы восстановить, но и к повторному
заражению компьютера.
2. Тем не менее одно действие должно быть выполнено немедленно -
надо выключить компьютер, чтобы вирус не продолжал своих разруши-
тельных действий.
3. Все действия по обнаружению последтвий заражения и лечению
компьютера следует выполнять только при перезагрузке компьютера с
защищенной от записи "эталонной" дискеты с операционной системой.
При этом следует использовать только программы (исполнимые файлы),
хранящиеся на защищенных от записи дискетах. Несоблюдение этого
правила может привести к очень тяжелым последствиям, поскольку при
перезагрузке DOS или запуске программы с зараженного диска в ком-
пьютере может быть активирован вирус, а при работающем вирусе ле-
чение компьютера будет бессмысленным, так как оно будет сопровож-
даться дальнейшим заражением дисков и программ.
4. Если Вы не обладаете достаточными знаниями и опытом для лече-
ния компьютера, попросите помочь Вам более опытных коллег.
Если Вы используете резидентную программу-фильтр для защиты от
вируса, то наличие вируса в какой-либо программе можно обнаружить
на самом раннем этапе, когда вирус не успел еще заразить другие
программы и испортить какие-либо файлы. В этом случае следует пе-
резагрузить DOS с дискеты и удалить зараженную программу, а затем
переписать эту программу с эталонной дискеты или восстановить ее
из архива. Для того, чтобы выяснить, не испортил ли вирус ка-
ких-то других файлов, следует запустить программу-ревизор для про-
верки изменений в файлах, желательно с широким списком проверяе-
мых файлов. Чтобы в процессе проверки не продолжать заражение ком-
пьютера, следует запускать исполнимый файл программы-ревизора, на-
ходящийся на дискете.
Лечение компьютера.
Рассмотрим более сложный случай, когда вирус уже успел заразить
или испортить какие-то файлы на дисках компьютера. При этом эк-
сперты рекомендуют следующие действия:
1. Перезагрузить операционную систему DOS с заранее подготовлен-
ной эталонной дискеты. Эта дискета, как и другие дискеты, ис-
пользуемые при ликвидации последствий заражения компьютерным виру-
сом, должна быть снабжена наклейкой для защиты от записи (пятидюй-
мовые дискеты) или открыта защелка защиты от записи (трёхдюймовые
дискеты), чтобы вирус не мог заразить или испортить файлы на этих
дискетах. Замечу, что перезагрузку не следует выполнять с помощью
"Alt+Ctrl+Del", так как некоторые вирусы ухитряются "переживать"
такую перезагрузку.
2. Если для Вашего компьютера имеется программа для установки
конфигурации (для моделей IBM PC AT и PS/2 она имеется всегда;
часто она вызывается при нажатии определенной комбинации клавиш во
время начальной загрузки компьютера), следует выполнить эту прог-
рамму и проверить, правильно ли установлены параметры конфигура-
ции компьютера (они могут быть испорчены вирусом). Если они уста-
новлены неправильно, их надо переустановить.
3. Далее следует сам процесс лечения:
Если на диске для всех нужных файлов имеются копии в архиве,
проще всего заново отформатировать диск, а затем восстановить все
файлы на этом диске с помощью архивных копий. Допустим, что на
диске имеются нужные файлы, копий которых нет в архиве, например,
на диске D:, тогда нужно следовать следующим указаниям:
_ Запустить для диска программу-детектор, обнаруживающую тот ви-
рус, заражению которым подвергся компьютер (если Вы не знаете, ка-
кой детектор обнаруживает данный вирус, запускайте все имеющиеся
программы-детекторы по очереди, пока одна из них не обнаружит ви-
рус). Режим лечения при этом лучше не устанавливать. Если програм-
ма-детектор обнаружила загрузочный вирус, Вы можете смело ис-
пользовать ее режим лечения для устранения вируса. При обнаруже-
нии вируса DIR его также надо удалить с помощью антивирусной прог-
раммы, ни в коем случае не используя для этого программы типа NDD
или ChkDsk.
_ Теперь ( когда известно, что вирусов типа DIR на диске нет )
можно проверить целостность файловой системы и поверхности диска с
помощью программы NDD: "NDD D: /C". Если повреждения файловой сис-
темы значительны, то целесообразно скопировать с диска все нужные
файлы, копий которых нет в архиве, на дискеты и заново отформати-
ровать диск. Если диск имеет сложную файловую структуру, то можно
попробовать откорректировать ее с помощью программы DiskEdit (из
комплекса Norton Utilities).
_ Если Вы сохраняли сведения о файлах на диске для программы-ре-
визора, то полезно запустить программу-ревизор для диагностики из-
менений в файлах. Это позволит установить, какие файлы были зара-
жены или испорчены вирусом. Если программа-ревизор выполняет так-
же функции доктора, можно доверить ей и восстановление зараженных
файлов.
_ Удалить с диска все ненужные файлы, а также файлы, копии кото-
рых имеются в архиве. Те файлы, которые не были изменены вирусом
(это можно установить с помощью программы-ревизора), удалять не
обязательно.
Ни в коем случае нельзя оставлять на диске COM- и EXE-файлы, для
которых программа-ревизор сообщает, что они были изменены. Те COM-
и EXE-файлы, о которых неизвестно, изменены они вирусом или нет,
следует оставлять на диске только при самой крайней необходимости.
5. Если диск, который Вы обрабатываете, является системным (т. е.
с него можно загрузить операционную систему DOS), то на него сле-
дует заново записать загрузочный сектор и файлы операционной сис-
темы (это можно сделать командой SYS из комплекса DOS).
6. Если ваш компьютер заразился файловым вирусом и Вы не произво-
дили лечение с помощью ревизора-доктора, следует выполнить прог-
рамму-доктор для лечения данного диска. Зараженные файлы, которые
программа-доктор не смогла восстановить, следует уничтожить. Разу-
меется, если на диске остались только те файлы, которые не могут
заражаться вирусом (например, исходные тексты программ и докумен-
ты), то программу для уничтожения вируса для данного диска выпол-
нять не надо.
7. С помощью архивных копий следует восстановить файлы, размещав-
шиеся на диске.
8. Если Вы не уверены в том, что в архиве не было зараженных фай-
лов, и у Вас имеется программа для обнаружения или уничтожения то-
го вируса, которым был заражен компьютер, то следует еще раз вы-
полнить эту программу для диска. Если на диске будут обнаружены
зараженные файлы, то те из них, которые можно восстановить с по-
мощью программы для уничтожения вируса, надо скопировать в архив,
а остальные - удалить с диска и из архива.
Такой обработке следует подвергнуть все диски, которые могли
быть заражены или испорчены вирусом. Если у Вас имеется хорошая
антивирусная программа-фильтр (например VSafe из комплекса DOS),
целесообразно хотя бы некоторое время работать только запустив эту
программу. Также следует учитывать, что часто компьютер заражает-
ся сразу несколькими вирусами, поэтому, обезвредив один вирус,
следует проверить все диски на наличие другого.
Профилактика против заражения вирусом.
В настоящем разделе описываются меры, которые позволяют уменьшить
вероятность заражения компьютера вирусом, а также свести к миниму-
му ущерб от заражения вирусом, если оно все-таки произойдет. Вы
можете, конечно, использовать не все описываемые средства для про-
филактики против заражения вирусом, а только те, которые считаете
необходимыми.
Меры по защите от вирусов можно разделить на несколько групп.
Копирование информации и разграничение доступа:
1. Необходимо иметь архивные или эталонные копии используемых Ва-
ми пакетов программ и данных и периодически архивировать те файлы,
которые Вы создавали или изменяли. Перед архивацией файлов целе-
сообразно проверить их на отсутствие вирусов с помощью програм-
мы-детектора (например, AidsTest). Важно, чтобы информация копиро-
валась не слишком редко - тогда потери информации при ее случай-
ном уничтожении будут не так велики.
2. Целесообразно также скопировать на дискеты сектор с таблицей
разделения жесткого диска, загрузочные сектора всех логических
дисков и содержимое CMOS (энергонезависимой памяти компьютера).
Это можно сделать с помощью пункта "Create rescue diskette" прог-
раммы DiskTool из комплекса Norton Utilites. Для восстановления
этих областей используется пункт "Restore rescue diskette" того же
комплекса.
3. Следует устанавливать защи
Вместе с этим смотрят: