Негосударственное образовательное учреждение высшего профессионального образования
Институт экономики и предпринимательства
НОУ «ИНЭП»
Заочное отделение
КОНТРОЛЬНАЯ РАБОТА
По предмету
«Информатика»
«Компьютерные вирусы»
Студентки группы: М 11 КЗ.
Кепиной Юлии А.
Научный руководитель:
Касаев Марат Борисович
Москва 2010 г
Введение
1. Компьютерные вирусы
а) Что такое компьютерный вирус
б) Испорченные и зараженные файлы
1) Исполнимые файлы
2) Загрузчик операционной системы и главная загрузочная запись жесткого диска
3) Драйверы устройств
4) INTERNET-вирусы
4.1 Вложенные файлы
4.2 Троянские программы
4.3 HTML-вирусы
4.4 Java-вирусы
в) Вирусы, меняющие файловую систему
г) "Невидимые" и самомодифицирующиеся вирусы
1) "Невидимые" вирусы
2) Самомодифицирующиеся вирусы
д) Что могут и чего не могут компьютерные вирусы
2. Основные методы защиты от компьютерных вирусов
а) действия при заражении компьютерным вирусом
б) Лечение компьютера
в) Профилактика против заражения вирусом
1) Копирование информации и разграничение доступа
2) Проверка поступающих извне данных
3) Подготовка "ремонтного набора"
4) Защита от загрузочных вирусов
5) Периодическая проверка на наличие вирусов
Заключение
Список источников информации
Введение
Раздел "компьютерные вирусы" в информационной прессе в настоящее время буквально пестрит разнообразными сообщениями о появлении новых разновидностей вирусных инфекций (в дальнейшем – просто "вирусы"). Но рядом с такими сообщениями всегда рисуется реклама средств активной и пассивной борьбы с вирусами, приводятся рекомендации по предохранению от заражения и леденящие душу описания последствий и симптомов "заболевания".
Распространение компьютерных вирусов приобрело такие масштабы, что практически любому пользователю хоть раз в жизни пришлось столкнуться с вирусом на своем компьютере. Количество известных вирусов исчисляется тысячами (по подсчетам экспертов в настоящее время существует около 3 тысяч вирусов), а хакеры постоянно пишут новые, самоутверждаясь в своих глазах. Надо заметить, что такой способ самоутверждения сильно напоминает привычку писать на заборах, весьма распространенную в определенных кругах. Но это вопрос более этики, чем технологии. Борцы с вирусами идут по пятам их разработчиков. Рынок антивирусных программ в настоящее время выходит на первое место по объему, по крайней мере, по числу продаваемых копий программ. Именно поэтому фирмы стали включать антивирусные средства в комплекты программ или операционных систем.
1. Защита от компьютерных вирусов
а) Что такое компьютерный вирус
Компьютерный вирус - это специально составленная небольшая по размерам программа, которая может "приписывать" себя к другим программам, файлам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере (выдавать нежелательные сообщения, портить данные на дисках, "засорять" память компьютера, размножаться и т.д.).
Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Он находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.
Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:
работа на компьютере существенно замедляется;
некоторые файлы оказываются испорченными;
некоторые программы перестают работать или начинают работать неправильно;
на экран (или принтер) выводятся посторонние сообщения, символы, и т.д.
К этому моменту, как правило, уже достаточно много (или даже большинство) тех программ, которыми Вы пользуетесь, являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с Вашего компьютера могли уже быть перенесены с помощью дискет или по локальной сети на компьютеры Ваших коллег или друзей.
Некоторые разновидности вирусов ведут себя еще более коварно. Они сначала незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу портят данные на жестком диске компьютера. Таким образом, если не предпринимать мер по защите от вирусов, то последствия заражения компьютера могут быть очень серьезными.
Для того чтобы программа-вирус была незаметной, она должна быть небольшой. Поэтому, как правило, вирусы пишутся на языке ассемблера. Некоторые авторы таких программ создали их из озорства, некоторые - из стремления "насолить" кому-либо (например, уволившей их фирме) или из ненависти ко всему роду человеческому. В любом случае созданная программа-вирус может (потенциально) распространиться на всех компьютерах, совместимых с тем, для которого она была написана, и причинить разрушения. Следует принимать во внимание, что написание вируса - не такая уж сложная задача, вполне доступная изучающему программирование студенту. Поэтому в мире еженедельно появляются все новые и новые вирусы. И многие из них "сделаны" в нашей стране и в других недостаточно цивилизованных странах: Болгарии, Пакистане и т.д.
б) Испорченные и зараженные файлы
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу. Следует заметить, что тексты программ и старых версий документов (так сказать DOS-версии), информационные файлы баз данных, таблицы табличных процессоров (DOS-версии) и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.
Вирусом могут быть "заражены" следующие виды файлов:
1) Исполнимые файлы
Исполнимые файлы, т.е. файлы с расширениями имени COM и EXE, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те файловые вирусы, которые после своего запуска остаются в памяти резидентно. Эти вирусы могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнет свою работу.
2) Загрузчик операционной системы и главная загрузочная запись жесткого диска
Вирусы, поражающие эти области, называются загрузочными, или бутовыми. Такой вирус начинает свою работу при начальной загрузке операционной системы и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения – заражение загрузочных записей вставляемых в компьютер дискет. Как правило, такие вирусы состоят из двух частей, поскольку загрузочные записи имеют небольшой размер и в них трудно разместить целиком программу вируса. Часть вируса, не помещающаяся в них, располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затерта при записи данных на диск).
3) Драйверы устройств:
Драйверы устройств, т.е. файлы, указываемые в предложении DEVICE файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же самое относится и к системным файлам DOS (MSDOS.SYS и IO.SYS) - их заражение также теоретически возможно, но для распространения вирусов малоэффективно.
4) INTERNET-вирусы
В последнее время с увеличение числа пользователей появились. Вот некоторые из разновидностей этих вирусов:
4.1 Вложенные файлы . Рассмотрим типичную ситуацию: вы получили электронное письмо, во вложении к которому находится документ Microsoft WORD. Конечно, вы захотите поскорее познакомиться с содержанием файла, благо при использовании большинства современных почтовых программ для этого достаточно щелкнуть мышкой на имени этого файла.
И ЭТО - ОШИБКА!
Если в файле содержится макрокомадный вирус (а вирусы этого типа, заражающие документы Microsoft WORD, Microsoft EXCEL и ряд других популярных систем документооборота, получили в последнее время огромное распространение), он немедленно заразит вашу систему. Так что же делать с вложенным документом? Потратить несколько лишних секунд: сохранить его на диск, проверить антивирусной программой последней версии и только потом, если вирусов нет, открывать. Есть другие решения. Например, имеются антивирусные программы, осуществляющие автоматическую проверку приходящей электронной почты. Если вы используете программу - сторож, то при открытии зараженного файла обязательно получите предупреждение (точнее, вам просто не дадут открыть зараженный файл). Ведь сторожу совершенно безразлично, напрямую вы открываете документ или "из-под" почтовой программы.
4.2 Троянские программы . Известные троянские программы, распространяющиеся через Интернет, по существу, представляют собой утилиты для удаленного администрирования компьютера. Проще говоря, посредством такой программы злоумышленник может получить доступ к вашему компьютеру и выполнить на нем различные операции (практически любые) без вашего ведома и участия.
Характерным представителем описанного типа является программа BASK ORIFICE (BO). BO является системой удаленного администрирования, позволяющей пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. "В локальной сети или через Интернет ВО предоставляет пользователю больше возможности на удаленном WINDOWS-компьютере, чем имеет сам пользователь этого компьютера", - это текст из "рекламного" объявления на одной их хакерских web-страниц. Разумеется, возможность удаленного администрирования вашего компьютера представляет серьезную опасность, но не такую большую, как кажется на первый взгляд. Обычные пользователи проводят в Сети не так много времени (качество телефонных линий этому способствует), да и что такого "интересного" с точки зрения хакера, можно сделать на вашем компьютере? Оказывается, можно, только администрировать ничего не надо. Существенный интерес для хакера представляют пароли, которые вы используете для работы с сервером провайдера. Заполучив пароль, хакер может запросто "просадить" все ваши денежки. К счастью, троянцев, умеющих выполнять указанные функции, довольно мало и все они успешно детектируются антивирусными программами.
4.3 HTML-вирусы. Вирусы данного типа встречаются редко, так что информация о них представляет скорее "академический" интерес, нежели практический. Суть такова: на самом языке HTML, который используется для разметки гипертекстовых документов, никакие вирусы, конечно, написать нельзя. Но для создания динамических страниц, организации взаимодействия с пользователем и прочих действий используются программные вставки (скрипты) в HTML-документы. Известные HTML-вирусы используют скрипты, написанные на языке VISUAL BASIC. С их помощью, находя HTM и HTML-файлы на локальной машине, и записываются в них. Иногда такие вирусы как-нибудь проявляют себя (например, выводят сообщения). Малому распространению вирусов данного типа (равно как и малому их числу) способствует то, что при стандартных настройках браузера выполнение "опасных" (к таковым относятся и те, в которых происходит обращение к файлам локального компьютера) скриптов запрещено. Обычные же, "безопасности", скрипты не могут производить описанные манипуляции.
4.4 Java-вирусы . В настоящее время известны два вируса, написанные на языке JAVA. Опасности они практически не представляют. Кратко поясним, в чем суть: исполняемые модули программ, написанных на JAVA (CLASS-файлы), бывают двух типов: приложения и апплеты. Приложения выполняются под управлением интерпретатора и являются почти обычными программами (почти, ибо имеют все же некоторые ограничения, например, в области работы с памятью). Апплеты, в отличие от приложений, могут выполняться под управлением браузеров, но на них накладываются значительно более серьезные ограничения для обеспечения безопасности: апплеты в частности, не имеют почти никакого доступа к файловой системе компьютера (в отличие от случая со скритами, отключить данное ограничение в браузере невозможно), таким образом, JAVA-вирусы могут быть оформлены только как приложения и для подавляющего большинства пользователей опасности не предоставляют. Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только EXE файлы, некоторые - только COM, а большинство - и те и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко; обычно такие вирусы умеют заражать и исполнимые файлы.
в) Вирусы, меняющие файловую систему
В последнее время получили распространение вирусы нового типа -вирусы, меняющие файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно - в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех COM- и EXE-файлов содержащиеся в соответствующих элементах каталога указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки. Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностном просмотре зараженного диска на "чистом" компьютере также ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным). При анализе на "чистом" компьютере с помощью программ ChkDsk или NDD файловая система зараженного DIR-вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдает кучу сообщений о пересечениях файлов ("... cross linked on cluster...") и о цепочках потерянных кластеров ("... lost clusters found in... chains"). Не следует исправлять эти ошибки программами ChkDsk или NDD - при этом диск окажется совершенно испорченным. Для исправления зараженных этими вирусами дисков надо использовать только специальные антивирусные программы (например, последние версии Aidstest).
г) "Невидимые" и самомодифицирующиеся вирусы
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Я расскажу о двух из них: "невидимых" (Stealth) и самомодифицирующихся вирусах:
1) "Невидимые" вирусы
Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в загрузочных областях диска можно легко обнаружить. Замечу, что некоторые антивирусные программы могут все же обнаруживать "невидимые" вирусы даже на зараженном компьютере. Такие программы для этого выполняют чтение диска, не пользуясь услугами DOS (например, ADinf).
2) Самомодифицирующиеся вирусы
Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса.
Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами. Однако программы-детекторы все же научились ловить "простые" самомодифицирующиеся вирусы. В этих вирусах вариации механизма расшифровки закодированной части вируса касаются только использования тех или иных регистров компьютера, констант шифрования, добавления "незначащих" команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но в последнее время появились вирусы с чрезвычайно сложными механизмами самомодификации. В них стартовая часть вируса генерируется автоматически по весьма сложным алгоритмам: каждая значащая инструкция расшифровщика передается одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд Intel-8088. Проблема распознавания таких вирусов надежного решения пока не получила.
Что могут и чего не могут компьютерные вирусы
У многих пользователей ЭВМ из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати создается своеобразный комплекс боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления:
1. Склонность приписывать любое повреждение данных или необычное явление действию вирусов. Например, если у "вирусофоба" не форматируется дискета, то он объясняет это не дефектами дискеты или дисковода, а действием вирусов. Если на жестком диске появляется сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования, чем действием вирусов.
2. Преувеличенные представления о возможностях вирусов. Некоторые пользователи думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приводит к заражению остальных.
Заражение компьютера вирусом может произойти в одном из следующих случаев:
на компьютере была выполнена зараженная программа типа COM или EXE или зараженный модуль оверлейной программы (типа OVR или OVL);
компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;
на компьютере была установлена зараженная операционная система или зараженный драйвер устройства.
Отсюда следует, что нет никаких оснований бояться заражения компьютера вирусом, если:
на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер "здоров", то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации - это копирование зараженного файла: при этом его копия, разумеется, тоже будет "заражена", но, ни компьютер, ни какие-то другие файлы заражены не будут;
2. Основные методы защиты от компьютерных вирусов
Для защиты от вирусов можно использовать:
общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей; профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вируса. Имеются две основные разновидности этих средств:
копирование информации - создание копий файлов и системных областей дисков;
разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов:
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
Программы-доктора, или "фаги", "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояния с исходным.
При выявлении несоответствий об этом сообщается пользователю.
Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.
Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Следует учесть, что ни один тип антивирусных программ в отдельности не может полностью защитить от вирусов и поэтому советы типа "вставьте команду запуска Aidstest в AUTOEXEC.BAT" не будут достаточными.
Наилучшей стратегией защиты от вирусов является комплексная многоуровневая защита:
Перед первым этапом следует разместить программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов;
На первом этапе размещаются программы-фильтры, т.к. они первыми сообщат о работе вируса и предотвратят заражение программ и дисков;
На втором этапе размещаются ревизоры и доктора: они позволяют обнаружить вирусы, "пробившиеся" через первый этап, а затем вылечить зараженные программы, но следует учитывать, что они не всегда лечат правильно и идеальным вариантом было бы иметь копию нужных программ в архивах на дискетах, защищенных от записи.
Самый главный этап защиты - разграничение доступа, которое не позволяет проникшим вирусам и неверно работающим программам испортить важные данные.
а) Действия при заражении компьютерным вирусом
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать четыре правила :
1. Прежде всего, не надо торопиться и принимать опрометчивых решений: опрометчивые действия могут привести не только к потере части файлов, которые можно было бы восстановить, но и к повторному заражению компьютера.
2. Тем не менее, одно действие должно быть выполнено немедленно надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.
3. Все действия по обнаружению последствий заражения и лечению компьютера следует выполнять только при перезагрузке компьютера с защищенной от записи "эталонной" дискеты с операционной системой.
При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищенных от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при перезагрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
4. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных коллег. Если Вы используете резидентную программу-фильтр для защиты от вируса, то наличие вируса в какой-либо программе можно обнаружить на самом раннем этапе, когда вирус не успел еще заразить другие программы и испортить какие-либо файлы. В этом случае следует перезагрузить DOS с дискеты и удалить зараженную программу, а затем переписать эту программу с эталонной дискеты или восстановить ее из архива. Для того, чтобы выяснить, не испортил ли вирус каких-то других файлов, следует запустить программу - ревизор для проверки изменений в файлах, желательно с широким списком проверяемых файлов. Чтобы в процессе проверки не продолжать заражение компьютера, следует запускать исполнимый файл программы-ревизора, находящийся на дискете.
б) Лечение компьютера
Рассмотрим более сложный случай, когда вирус уже успел заразить или испортить какие-то файлы на дисках компьютера. При этом эксперты рекомендуют следующие действия:
1. Перезагрузить операционную систему DOS с заранее подготовленной эталонной дискеты. Эта дискета, как и другие дискеты, используемые при ликвидации последствий заражения компьютерным вирусом, должна быть снабжена наклейкой для защиты от записи (пятидюймовые дискеты) или открыта защелка защиты от записи (трёхдюймовые дискеты), чтобы вирус не мог заразить или испортить файлы на этих дискетах. Замечу, что перезагрузку не следует выполнять с помощью "Alt+Ctrl+Del", так как некоторые вирусы ухитряются "переживать" такую перезагрузку.
2. Если для Вашего компьютера имеется программа для установки конфигурации (для моделей IBM PC AT и PS/2 она имеется всегда; часто она вызывается при нажатии определенной комбинации клавиш во время начальной загрузки компьютера), следует выполнить эту программу и проверить, правильно ли установлены параметры конфигурации компьютера (они могут быть испорчены вирусом). Если они установлены неправильно, их надо переустановить.
3. Далее следует сам процесс лечения: Если на диске для всех нужных файлов имеются копии в архиве, проще всего заново отформатировать диск, а затем восстановить все файлы на этом диске с помощью архивных копий. Допустим, что на диске имеются нужные файлы, копий которых нет в архиве, например, на диске D: тогда нужно следовать следующим указаниям:
Запустить для диска программу-детектор, обнаруживающую тот вирус, заражению которым подвергся компьютер (если Вы не знаете, какой детектор обнаруживает данный вирус, запускайте все имеющиеся программы-детекторы по очереди, пока одна из них не обнаружит вирус). Режим лечения при этом лучше не устанавливать. Если программа-детектор обнаружила загрузочный вирус, Вы можете смело использовать ее режим лечения для устранения вируса. При обнаружении вируса DIR его также надо удалить с помощью антивирусной программы, ни в коем случае не используя для этого программы типа NDD или ChkDsk.
Теперь (когда известно, что вирусов типа DIR на диске нет) можно проверить целостность файловой системы и поверхности диска с помощью программы NDD: "NDD D: /C". Если повреждения файловой системы значительны, то целесообразно скопировать с диска все нужные файлы, копий которых нет в архиве, на дискеты и заново отформатировать диск. Если диск имеет сложную файловую структуру, то можно попробовать откорректировать ее с помощью программы DiskEdit (из комплекса Norton Utilities).
Если Вы сохраняли сведения о файлах на диске для программы-ревизора, то полезно запустить программу - ревизор для диагностики изменений в файлах. Это позволит установить, какие файлы были заражены или испорчены вирусом. Если программа-ревизор выполняет также функции доктора, можно доверить ей и восстановление зараженных файлов.
Удалить с диска все ненужные файлы, а также файлы, копии которых имеются в архиве. Те файлы, которые не были изменены вирусом (это можно установить с помощью программы-ревизора), удалять не обязательно. Ни в коем случае нельзя оставлять на диске COM- и EXE-файлы, для которых программа-ревизор сообщает, что они были изменены. Те COM- и EXE-файлы, о которых неизвестно, изменены они вирусом или нет, следует оставлять на диске только при самой крайней необходимости.
5. Если диск, который Вы обрабатываете, является системным (т. е. с него можно загрузить операционную систему DOS), то на него следует заново записать загрузочный сектор и файлы операционной системы (это можно сделать командой SYS из комплекса DOS).
6. Если ваш компьютер заразился файловым вирусом, и Вы не производили лечение с помощью ревизора-доктора, следует выполнить программу - доктор для лечения данного диска. Зараженные файлы, которые программа-доктор не смогла восстановить, следует уничтожить. Разумеется, если на диске остались только те файлы, которые не могут заражаться вирусом (например, исходные тексты программ и документы), то программу для уничтожения вируса для данного диска выполнять не надо.
7. С помощью архивных копий следует восстановить файлы, размещавшиеся на диске.
8. Если Вы не уверены в том, что в архиве не было зараженных файлов, и у Вас имеется программа для обнаружения или уничтожения того вируса, которым был заражен компьютер, то следует еще раз выполнить эту программу для диска. Если на диске будут обнаружены зараженные файлы, то те из них, которые можно восстановить с помощью программы для уничтожения вируса, надо скопировать в архив, а остальные - удалить с диска и из архива.
Такой обработке следует подвергнуть все диски, которые могли быть заражены или испорчены вирусом. Если у Вас имеется хорошая антивирусная программа-фильтр (например, VSafe из комплекса DOS),целесообразно хотя бы некоторое время работать, только запустив эту программу. Также следует учитывать, что часто компьютер заражается сразу несколькими вирусами, поэтому, обезвредив один вирус, следует проверить все диски на наличие другого.
в) Профилактика против заражения вирусом
В настоящем разделе описываются меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все-таки произойдет. Вы можете, конечно, использовать не все описываемые средства для профилактики против заражения вирусом, а только те, которые считаете необходимыми.
Меры по защите от вирусов можно разделить на несколько групп.
1) Копирование информации и разграничение доступа
1. Необходимо иметь архивные или эталонные копии используемых Вами пакетов программ и данных и периодически архивировать те файлы, которые Вы создавали или изменяли. Перед архивацией файлов целесообразно проверить их на отсутствие вирусов с помощью программы-детектора (например, AidsTest). Важно, чтобы информация копировалась не слишком редко - тогда потери информации при ее случайном уничтожении будут не так велики.2. Целесообразно также скопировать на дискеты сектор с таблицей разделения жесткого диска, загрузочные сектора всех логических дисков и содержимое CMOS (энергонезависимой памяти компьютера).Это можно сделать с помощью пункта "Create rescue diskette" программы DiskTool из комплекса Norton Utilites. Для восстановления этих областей используется пункт "Restore rescue diskette" того же комплекса.3. Следует устанавливать защиту от записи на дискетах с файлами, которые не надо изменять. На жестком диске целесообразно создать логический диск, защищенный от записи, и разместить на нем программы и данные, которые не надо изменять.4. Не следует переписывать программное обеспечение с других компьютеров (особенно с тех, к которым могут иметь доступ различные безответственные лица), так как оно может быть заражено вирусом.
2) Проверка поступающих извне данных
1. Все принесенные извне дискеты перед использованием следует проверить на наличие вируса с помощью программ-детекторов. Это полезно делать даже в тех случаях, когда Вы хотите использовать на этих дискетах только файлы с данными - чем раньше Вы обнаружите вирус, тем лучше. Для проверки можно использовать программу AidsTest.
Например, для проверки дискеты A: следует ввести команду: AIDSTEST A: /S /G. Здесь режим /S задает медленную работу для поиска испорченных вирусов, а режим /G - проверку всех файлов надиске.2. Если принесенные программы записаны на дискеты в архивированном виде, следует извлечь файлы из архива и проверить их сразу же после этого. Например, если файлы извлечены в каталог C:/TIME, то следует ввести команду: AIDSTEST C:TIME*.* /S /G.3. Если программы из архивов можно извлечь только программой установки пакета программ, то надо выполнить установку этого пакета и сразу после этого перезагрузить компьютер (опять же не"Alt+Ctrl+Del", а "Reset") и проверить записанные на диск файлы, как описано выше. Желательно выполнять установку только при включенной программе-фильтре для защиты от вирусов (например, Vsafe из комплекта MS-DOS).
3) Подготовка "ремонтного набора"
1. Надо заранее подготовить системную дискету с используемой Вами версией DOS. Это можно сделать командой "FORMAT A: /S" или "SYSA:". На эту дискету (если там не хватит места - то на другие дискеты) следует скопировать следующие программы:
программы DOS для обслуживания дисков: Format, FDisk, Label, Sys и т.д.;
другие часто используемые программы для обслуживания файловой системы на диске, например программы NDD, Disk Edit, Disk Tool, Calibrate, UnErase и т.д., входящие в комплекс программ Norton Utilites 7.0;
программу для установки параметров конфигурации компьютера (такая программа может называться SETUP, SETUP 1, AT SETUP и т.п.), если такая программа имеется в комплексе программ, поставляемых с Вашим компьютером;
программы для распаковки всех типов используемых Вами (и Вашими коллегами) архивных файлов: PKUN ZIP, ARJ, LHA, RAR и т.д. Целесообразно на каждую из этих дискет поместить и командный процессор DOS - файл COMMAND.COM, чтобы при работе с этими дискетами не выдавались сообщения, требующие вставить дискету с файлом COMMAND.COM.
На одну из дискет желательно с помощью пункта "Create rescue diskette" программы DiskTool из комплекса Norton Utilites скопировать загрузочные сектора жесткого диска и содержимое CMOS (энергонезависимой памяти) компьютера.
Неплохим решением будет поместить в "ремонтный набор" комплексную программу-оболочку DOS Navigator: она совмещает в себе массу полезных функций при относительно небольшой занимаемой памяти на диске (около 670 Kb), например: всевозможные операции с файлами, DiskEdit, Format, Undelete (Reanimator), Find(поиск), Label, DiskCopy, Calculator, работа с архивами, многое другое (что самое главное - удобное управление).
2. В "ремонтный набор" должны входить и программы для обнаружения и уничтожения различных компьютерных вирусов. Выбирайте такие программы, которые хорошо себя зарекомендовали, рассчитаны на широкий диапазон вирусов или вирусы, которые не "ловятся" другими программами и проверены на то, что в них самих нет вирусов. Для программ-детекторов следует периодически обновлять их версии (например, программа AidsTest "обновляется" несколько раз в месяц). Новые вирусы сейчас появляются каждую неделю, и при использовании версий программ полугодовой или годовой давности очень вероятно заражение таким вирусом, который этим программам не известен.3. На дискетах "ремонтного набора" следует заклеить прорезь защиты от записи (на трёхдюймовых дискетах - открыть защелку защиты от записи), чтобы скопированные файлы не могли быть случайно изменены или испорчены.
4) Защита от загрузочных вирусов
1. На компьютерах, в которых содержащаяся в BIOS (вызываемая при начальной загрузке с помощью нажатия определенной комбинации клавиш) программа установки конфигурации позволяет отключить загрузку с дискеты, желательно сделать это, тогда Вам никакие загрузочные вирусы не страшны. На прочих компьютерах перед перезагрузкой с жесткого диска убедитесь, что в дисководе A: нет какой-либо дискеты. Если там имеется дискета, то откройте дверцу дисковода перед перезагрузкой.
2. Если Вы хотите перезагрузить компьютер с дискеты, пользуйтесь только защищенной от записи "эталонной" дискетой с операционной системой.
5) Периодическая проверка на наличие вирусов
1. Желательно вставить в командный файл AUTOEXEC.BAT, выполняемая лечащая приставка ADInfExt, то при обнаружении зараженных файлов программа ADinf предложит Вам сразу же их вылечить.
2. Очень простой и надежной проверкой на наличие резидентных вирусов является отслеживание изменений в карте памяти компьютера. Опытные пользователи смогут самостоятельно написать командные файлы для автоматической проверки наличия резидентных вирусов.
Заключение
Не следует допускать к работе на компьютере без присмотра посторонних лиц, особенно если они имеют свои дискеты. Наиболее опасны любители компьютерных игр - они способны не только не соблюдать никаких мер предосторожности от вирусов, но и игнорировать любые предупреждения антивирусных средств. Очень часто причиной заражения компьютера вирусом являлась принесенная на дискете игра, в которую кто-то поиграл 10-15 минут на компьютере.
В том случае, если избежать доступа случайных лиц к компьютеру невозможно (например, в учебном центре), целесообразно все или почти все программы, находящиеся на жестком диске компьютера, располагать на логическом диске, защищенном от записи.
Нельзя бояться заражения - его нужно остерегаться, в своей работе умело использовать антивирусные средства, не игнорировать различные предупреждения антивирусных программ, но и не следовать или верить им слепо: в более, чем 85% случаев, необычные действия вызваны не действием вируса, а неверными действиями пользователя или используемых программ. Можно посоветовать использовать в работе только программы, купленные в фирменных магазинах на эталонных дискетах (естественно защищенных от записи), но практика показывает, что следовать подобным советам абсолютное большинство и не собирается
Список источников информации
Литературные издания:
1. Сергей Молявко, Герхард Франкен: MS-DOS 6.0 для пользователя: - Киев: Торгово-издательское бюро BHV, 1993.
2. Фигурнов В.Э.: IBM PC для пользователя: - Уфа, ПК "Дегтярёв и сын", НПО "Информатика и компьютеры", 1993.
3. Электронный журнал "Антивирусное обозрение "Ежики"",1999
4. Приложение к газете "Первое сентября" - "Информатика", номер 38, 1999
Компьютерные источники :
1. Антивирусная программа-доктор Doctor Web (автор - И.А. Данилов).
3. Антивирусный доктор-ревизор MSAV (Microsoft Anty-Virus) из состава MS-DOS 6.22 (фирма Microsoft).
4. Антивирусная программа-фильтр VSafe из состава MS-DOS 6.22 (фирма Microsoft).
5. Антивирусная программа-доктор Aids Test версия 1721(автор - Д.Н. Лозинский).
Вирусы, троянцы, черви и другие зловреды - этой живности всегда хватает в Интернете. Разберемся, что такое вирус, как он живет и чем вредит нашим компьютерам.
Компьютерные вирусы: что это такое?
Вирус - это самостоятельная программа, которая устанавливается против воли пользователя на его компьютер. Вирус устанавливает сам себя в программное обеспечение или в операционную систему, повреждает ПО, а затем продолжает распространяться по системе. То же самое делает биологический вирус человека, вызывающий болезни, отсюда и название.
Слово «вирус» часто используется как обычными пользователями, так и профессионалами в качестве обозначения любых вредоносных программ. Однако, вирус в классическом понимании - это именно вредитель, ломающий ПК, нарушающий его нормальную работу.
Кроме вирусов существуют и другие вредоносные программы. Так, к примеру, есть троянцы - программы, позволяющие злоумышленникам удаленно пользоваться вашим компьютером в своих целях без вашего ведома. Есть черви - размножающиеся вирусы, цель которых - установить себя на как можно большее количество компьютеров. Шп ионское ПО, рекламное ПО и программы-вымогатели также относятся к категории вредоносных программ.
Вирусы могут вредить по-разному
Вирусы существуют с самых ранних этапов компьютерной истории. Когда Интернет еще не существовал, вирусы попадали на другие компьютеры путем переноса зараженных файлов на дискете с компьютера на другой компьютер. Сейчас, когда данные передаются, в основном, через Интернет, заразиться вирусом намного проще.
Компьютерный вирус можно «подхватить» по-разному. К примеру, веб-страницы и почтовые вложения могут использоваться для непосредственного запуска вируса в систему. Часто вирус бывает встроен в скачанную с Интернета программу, которая «выпускает» вирус на волю после того, как вы ее установите.
Когда вирус запускается, он заражает множество файлов, то есть копирует в них свой вредоносный код, чтобы существовать на компьютере как можно дольше. Под угрозу могут попасть как простые документы Word, так и скрипты, библиотеки программ и все другие файлы на вашем компьютере.
Какие повреждения вызывает компьютерный вирус?
Вирусы могут наносить самый различный вред. В большинстве случаев они удаляют файлы или необратимо повреждают их. Если такое произойдет с важным системным файлом, вы не сможете запустить операционную систему после заражения.
Повреждение физического оборудования также возможно, но случается довольно редко. Например, помимо прочего, вирус может разгонять видеокарту, вызывая ее перегрев и приводя к выходу из строя.
Простое уничтожение файлов не приносит финансовой выгоды для преступников, поэтому вирусы стали им неинтересны. Тем более, что сегодня есть значительно более прибыльные вредоносные программы - те же вымогатели или рекламное ПО, так называемая «адварь».
Как распознать вирусы?
Настоящий вирус, написанный профессионалом, не позволяет пользователю узнать, что компьютер заражен. Или же пользователь может понять это только когда уже будет слишком поздно.
Впрочем, есть несколько советов:
- Если ваш компьютер вдруг стал заметно медленнее, это может быть признаком наличия вируса.
- Найти и удалить вирус вам поможет антивирусный сканер. Существует множество бесплатных программ для сканирования компьютера на вирусы.
- Предотвратить проникновение вируса на ПК вам поможет антивирусное программное обеспечение или .
В следующем материале расскажем о лучшем антивирусном ПО для операционной системы Windows и о том, какой антивирус является наиболее производительным.
О мобильных антивирусах для Android вы можете .
Вы можете пользоваться антивирусным программным обеспечением, не имея представления о том, как оно устроено. Однако, в настоящее время существует очень много антивирусных программ, так что вам так или иначе придется на чем-то остановить свой выбор. Чтобы этот выбор был по возможности обоснован и установленные программы обеспечивали максимальную степень защиты от вирусов, необходимо изучить методики, применяемые этими программами.
Существует несколько основопологающих методик обнаружения и защиты от вирусов. Антивирусные программы могут реализовывать только некоторые методики или их комбинации.
· Сканирование
· Обнаружение изменений
· Эвристический анализ
· Резидентные мониторы
· Вакцинирование программ
· Аппаратная защита от вирусов
Кроме того, большинство антивирусных программ обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов.
Объекты заражения
В первой главе мы уже рассказали о различных типах вирусов и о способах их распространения. Перед тем как приступить к рассмотрению антивирусных средств, перечислим области файловой системы компьютера, которые подвергаются заражению вирусами и которые необходимо проверять:
· Выполнимые файлы программ, драйверов
· Главная загрузочная запись и загрузочные секторы
· Файлы конфигурации AUTOEXEC.BAT и CONFIG.SYS
· Документы в формате текстового процессора Microsoft Word for Windows
Когда резидентный вирус становится активным, он помещает свой постоянно работающий модуль в оперативной памяти компьютера. Поэтому антивирусные программы должны выполнять проверку оперативной памяти. Так как вирусы могут использовать не только стандартную память, то желательно выполнять проверку верхней памяти. Например, антивирус Doctor Web проверяет первые 1088 Кбайт оперативной памяти.
Сканирование
Самая простая методика поиска вирусов, заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.
Определение сигнатуры вируса довольно сложная задача. Сигнатура не должна содержаться в нормальных программах, не зараженных данным вирусом. В противном случае возможны ложные срабатывания, когда вирус обнаруживается в совершенно нормальной, не зараженной программе.
Конечно, программам-сканерам не обязательно хранить в себе сигнатуры всех известных вирусов. Они могут, например, хранить только контрольные суммы сигнатур.
Антивирусные программы-сканеры, которые могут удалить обнаруженные вирусы, обычно называются полифагами. Самой известной программой-сканером является Aidstest Дмитрия Лозинского. Aidstest выполняет поиск вирусов по их сигнатурам. Поэтому он обнаруживает только простейшие полиморфные вирусы.
В первой главе мы рассказывали о так называемых шифрующихся и полиморфных вирусах. Полиморфные вирусы полностью изменяют свой код при заражении новой программы или загрузочного сектора. Если вы выделите два экземпляра одного и того же полиморфного вириуса, то они могут не совпадать ни в одном байте. Как следствие, для таких вирусов невозможно определить синатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.
Антивирусные программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены и для которых была определена сигнатура. Таким образом, использование программ-сканеров не защищает ваш компьютер от проникновения новых вирусов.
Для эффективного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая самые последние версии.
Эвристический анализ
Эвристический анализ является относительно новым методом в обнаружении вирусов. Он позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует метод обнаружения изменений.
Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Так например, эвристический анализатор может обнаружить, что в проверяемой программе присутствует код, устанавливающий резидентный модуль в памяти.
Антивирусная программа Doctor Web, входящая в состав комплекта AO “ДиалогНаука”, имеет мощный эвристический анализатор, позволяющий обнаружить большое количество новых вирусов.
Если эвристический анализатор сообщает, что файл или загрузочный сектор возможно заражен вирусом, вы должны отнестись к этому с большим вниманием. Желательно исследовать такие файлы с помощью самых последних версий антивирусных программ или направить их для детального изучения в АО “ДиалогНаука”.
В комплект IBM AntiVirus входит специальный модуль, ориентированный на обнаружение вирусов в загрузочных секторах. Этот модуль использует запатентованную технологию (patent-pending neural network technology from IBM) эвристического анализа и позволяет определить, заражен ли загрузочный сектор вирусом.
Обнаружение изменений
Когда вирус заражает компьютер, он обязательно делает изменения на жестком диске, например, дописывает свой код в выполнимый файл, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник.
Антивирусные программы могут предварительно запомнить характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверять их (отсюда происходит их название программы-ревизоры). Если будет обнаружено изменение, тогда возможно что на компьютер напал вирус.
Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов, а также информацию о структуре каталогов и номера плохих кластеров диска. Могут проверяться и другие характеристики компьютера - объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.
Программы-ревизоры могут обнаружить большинство вирусов, деже тех, которые ранее не были известны. Вирусы, заражающие файлы программ только при их копировании, ревизоры как правило обнаружить не могут, так как они не знают параметров файла, которые были до копирования.
Однако следует учитывать, что не все изменения вызваны вторжением вирусов. Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные. Командные файлы изменяются еще чаще, например, файл AUTOEXEC.BAT обычно изменяется во время установки нового программного обеспечения.
Программы-ревизоры не помогут и в том случае, когда вы записали в компьютер новый файл, зараженный вирусом. Правда, если вирус заразит другие программы, уже учтенные ревизором, он будет обнаружен.
Простейшая программа-ревизор Microsoft Anti-Virus (MSAV) входит в состав операционной системы MS-DOS. Основным, и возможно единственным ее достоинством является то, что на нее не нужно дополнительно тратить деньги.
Значительно более развитые средства контроля предоставляет программа-ревизор Advanced Diskinfoscope (ADinf), входящая в состав антивирусного комплекта АО “ДиалогНаука”. Более подробно мы рассмотрим эти средства в следующем разделе, а сейчас только заметим, что вместе с ADinf вы можете использовать лечащий модуль ADinf Cure Module (ADinfExt). ADinf Cure Module использует собранную ранее информацию о файлах для восстановления их после поражения неизвестными вирусами.
Конечно, не все вирусы могут быть удалены ADinf Cure Module и другими программными средствами, основанными на контроле и периодической проверке компьютера. Например, если новый вирус шифрует диск, как это делает вирус OneHalf, тогда его удаление без расшифровки диска скорее всего приведет к потере информации. Вирусы такого типа могут быть удалены только после внимательного изучения специалистами и включения модулей для борьбы с ними в обычные полифаги - Aidstest или Doctor Web.
Известные нам на момент написания книги антивирусные программы-ревизоры непригодны для обнаружения вирусов в файлах документов, так как они по своей сути постоянно изменяются. Ряд программ после внедрения в них кода вакцины перестают работать. Поэтому для контроля за ними следует использовать программы-сканеры или эвристический анализ.
Резидентные мониторы
Существует еще целый класс антивирусных программ, которые постоянно находятся в оперативной памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название резидентных мониторов или сторожей.
Резидентный монитор сообщит пользователю, если какая-либо программа попытается изменить загрузочный сектор жесткого диска или дискеты, выполнимый файл. Резидентный монитор сообщит вам, что программа пытается оставить в оперативной памяти резидентный модуль и т. д.
Большинство резидентных мониторов позволяют автоматически проверять все запускаемые программы на заражение известными вирусами, тоесть выполняют функции сканера. Такая проверка будет занимать некторое время и процесс загрузки программы замедлится, но зато вы будете уверены, что известные вирусы не смогут активизироваться на вашем компьютере.
К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования.
Многие программы, даже не содержащие вирусов, могут выполнять действия, на которые реагируют резидентные мониторы. Например, обычная команда LABEL изменяет данные в загрузочном секторе и вызывает срабатывание монитора.
Поэтому работа пользователя будет постоянно прерываться раздражающими сообщениями антивируса. Кроме того, пользователь должен будет каждый раз решать, вызвано ли это срабатывание вирусом или нет. Как показывает практика, рано или поздно пользователь отключает резидентный монитор.
И наконец, самый маленький недостаток резидентных мониторов заключается в том, что они должны быть постоянно загружены в оперативную память и, следовательно, уменьшают объем памяти, доступной другим программам.
В составе операционной системы MS-DOS уже есть резидентный антивирусный монитор VSafe.
Вакцинирование программ
Для того, чтобы человек смог избежать некоторых заболеваний, ему делают прививку. Существует способ защиты программ от вирусов, при котором к защищаемой программе присоединяется специальный модуль контроля, следящий за ее целостностью. При этом может проверяться контрольная сумма программы или какие-либо другие характеристики. Когда вирус заражает вакцинированный файл, модуль контроля обнаруживает изменение контрольной суммы файла и сообщает об этом пользователю.
Увы, в отличие от прививок человеку, вакцинирование программ во многих случаях не спасает их от заражения. Стелс-вирусы легко обманывают вакцину. Зараженные файлы работают также как обычно, вакцина не обнаруживает заражения. Поэтому мы не станем останавливаться на вакцинах и продолжим рассмотрение других средств защиты.
Аппаратная защита от вирусов
На сегодняшний день одним из самых надежных спсобов защиты компьютеров от нападений вирусов являются аппаратно-программные средства. Обычно они представляют собой специальный контроллер, вставляемый в один из разъемов расширения компьютера и программное обеспечение, управляющее работой этого контроллера.
Благодаря тому, что контроллер аппаратной защиты подключен к системной шине компьютера, он получает полный контроль над всеми обращениями к дисковой подсистеме компьютера. Программное обеспечение аппаратной защиты позволяет указать области файловой системы, которые нельзя изменять. Вы можете защитить главную загрузочную запись, загрузочные сектора, выполнимые файлы, файлы конфигурации и т. д.
Если аппаратно-программный комплекс обнаружит, что какая-либо программа пытается нарушить установленную защиту, он может сообщить об этом пользователю и заблокировать дальнейшею работу компьютера.
Аппаратный уровень контроля за дисковой подсистемой компьютера не позволяет вирусам замаскировать себя. Как только вирус проявит себя, он сразу будет обнаружен. При этом совершенно безразлично, как работает вирус и какие средства он использует для доступа к дискам и дискетам.
Аппаратно-программные средства защиты позволяют не только защитить компьютер от вирусов, но также вовремя пресечь работу троянских программ, нацеленных на разрушение файловой системы компьютера. Кроме того аппаратно-программные средства позволяют защитить компьютер от неквалифицированного пользователя и злоумышленника, они не дадут ему удалить важную информацию, отформативать диск, изменить файлы конфигурации.
В настоящее время в России серийно производится только аппаратно-программный комплекс Sheriff. Он надежно предотвратит заражение компьютера, позволит пользователю тратить значительно меньше времени на антивирусный контроль компьютера обычными программными средствами.
За рубежом производится намного больше средств аппаратно-программной защиты, но их цена занчительно выше, чем у Sheriff и составляет несколько сотен американских долларов. Вот несколько названий таких комплексов:
|
Наименование комплекса |
Изготовитель |
|
JAS Technologies of the Americas |
|
|
Leprechaum Software International |
|
|
Digital Enterprises |
|
|
G lynn Internati onal |
|
|
Swabian Electronics Reutlingen |
|
|
Telstar Electronics |
|
|
Bugovics & Partner |
Помимо выполнения своей основной функции, аппаратно-программные средства защиты компьютера могут обеспечивать различный дополнительный сервис. Они могут управлять разграничением прав доступа различных пользователей к ресурсам компьютера - жестким дискам, дисководам и т. д.
Защита, встроенная в BIOS компьютера
Многие фирмы, выпускающие системные платы компьютеров, стали встраивать в них простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. В случае, если любая программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение. При этом он может разрешить это изменение или запретить его.
Однако, такой контроль нельзя назвать настоящим контролем на аппаратном уровне. Программный модуль, отвечающий за контроль доступа к загрузочным секторам, находится в ПЗУ BIOS и может быть обойден вирусами, если они заменяют загрузочные секторы, обращаясь непосредственно к портам ввода/вывода контроллера жестких и гибких дисков.
Существуют вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.
Вирусы Tchechen .1912 и 1914
Очень опасные резидентные шифрованные вирусы. Пытаются найти в ПЗУ BIOS текстовые строки Megatrends и AWARD. Если поиск закончился успешно, они считают, что в компьютере установлен BIOS фирм AWARD или AMI, отключают контроль за загрузочными секторами и заражают главную загрузочную запись жеского диска. Примерно через месяц после заражения вирус удаляет информацию со всего первого жесткого диска
Самое простое средство аппаратной защиты - отключить от компьютера все каналы, через которые в него может проникнуть вирус. Если компьютер не подключен к локальной сети и в нем не установлен модем, то достаточно отключить накопители на гибких дисках и основной канал поступления вирусов в компьютер будет перекрыт.
Однако такое отключение далеко не всегда возможно. В большинстве случаев пользователю для нормальной работы необходим доступ к дисководам или модемам. Кроме того, зараженные программы могут проникнуть в компьютер через локальную сеть или компакт-диски, а их отключение значительно сузит область применения компьютера.
Методы удаления вирусов
Обнаружить вирус на компьютере – это только половина дела. Теперь его необходимо удалить. В большинстве случаев антивирусные программы, которые обнаруживают вирус, могут его удалить. Существуют две основные методики, используемые антивирусными программами для удаления вирусов.
Если вы обнаружили вирус, проверяя выполнимые файлы, с расширениями имени COM и EXE, следует проверить все другие типы файлов, в которых содержится исполнимый код. В первую очередь это файлы с расширением SYS, OVL, OVI, OVR , BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC
Вы даже можете проверить вообще все файлы на жестких дисках компьютера. Возможно кто-нибудь переименовал зараженный выполнимый файл, изменив его расширение. Например, файл EDITOR.EXE переименовали в EDITOR.EX_. Такой файл проверен не будет. Если впоследствии его переименуют обратно, вирус снова сможет активизироваться и распространиться в компьютере
Первая, наиболее распространенная методика предусматривает, что антивирусная программа удаляет уже известный вирус. Чтобы вирус мог быть правильно удален, необходимо чтобы он был изучен, разработан алгоритм его лечения и этот алгоритм был реализован в новой версии антивируса.
Вторая методика позволяет восстанавливать файлы и загрузочные секторы, зараженные ранее неизвестными вирусами. Для этого антивирусная программа заранее, до появления вирусов, должна проанализировать все выполняемые файлы и сохранить о них много разнообразной информации.
При последующих запусках антивирусной программы она повторно собирает данные о выполняемых файлах и сверяет ее с данными, полученными ранее. Если обнаруживаются несоответствия, то возможно файл заражен вирусом.
В этом случае антивирус пытается восстановить зараженный файл, используя для этого сведения о принципах внедрения вирусов в файлы и информацию о данном файле, полученную до его заражения.
Некоторые вирусы заражают файлы и загрузочные секторы, замещая своим кодом часть заражаемого объекта, то есть безвозвратно уничтожая заражаемый объект. Файлы и загрузочные секторы, зараженные такими вирусами, не могут быть вылечены по первой методике, но как правило могут быть восстановлены по второй методике. Если восстановить зараженные выполнимые файлы с помощью антивирусных программ не получается, вы должны будете восстановить их с дистрибутива или резервной копии или просто удалить (если они не нужны).
С главной загрузочной записью и загрузочными секторами дело обстоит несколько сложнее. Если антивирусная программа не в состоянии восстановить их в автоматическом режиме, вы должны будете сделать это вручную, воспользовавшись командами FDISK, SYS, FORMAT. Ручное восстановление загрузочных секторов будет описано несколько позже, в шестой главе.
Существует целая группа вирусов, которые, заражая компьютер, становятся частью его операционной системы. Если вы просто удалите такой вирус, например восстановив зараженный файл с дискеты, то система может стать частично или полностью неработоспособной. Такие вирусы надо лечить пользуясь первой методикой.
В качестве примера таких вирусов можно привести загрузочные вирусы OneHalf и группу вирусов VolGU.
Во время загрузки компьютера вирус OneHalf постепенно шифрует содержимое жесткого дисска. Если вирус находится резидентным в памяти, то он перехватывает все обращения к жесткому диску. В случае, когда какая-либо программа пытается считать уже зашифрованный сектор, вирус расшифровывает его. Если вы удалите вирус OneHalf, информация на зашифрованной части жесткого диска станет недоступной.
Вирус VolGU не шифрует данные, но он не менее опасен, чем OneHalf. Каждый сектор жесткого диска хранит не только данные, записанные в нем, он также содержит дополнительную проверочную информацию. Она представляет собой контрольную сумму всех байт сектора. Эта контрольная сумма используется для проверки соохранности информацции.
Обычно, когда программа обращается к дисковой подсистеме компьютера, считываются и записываются только данные, контрольная сумма корректируется автоматически. Вирус VolGU, перехватывает обращения всех программ к жесткому диску и при записи данных на диск портит контрольные суммы секторов.
Когда вирус активен, он позволяет считывать секторы с неправильной контрольной суммой. Если просто удалить такой вирус, тогда секторы с неправильной контрольной суммой читаться не будут. Операционная система сообщит вам о ошибке чтения с жесткого диска (сектор не найден).
Подготовка к вирусной атаке
Пользователи компьютеров должны заблаговременно подготовиться к возможной атаке вирусов, а не ждать до последней минуты, когда вирус уже появится. Благодаря этому вы сможете быстрее обнаружить вирус и удалить его.
В чем же должна заключаться такая подготовка?
¨ Заранее подготовьте системную дискету. Запишите на нее антивирусные программы-полифаги, например Aidstest и Doctor Web
¨ Постоянно обновляйте версии антивирусных программ, записанных на системной дискете
¨ Периодически проверяйте компьютер при помощи различных антивирусных средств. Контролируйте все изменения на диске с помощью программы-ревизора, например ADinf. Новые и изменившиеся файлы проверяйте программами-полифагами Aidstest и Doctor Web
¨ Проверяйте все дискеты перед использованием. Для проверки применяйте как можно более поздние версии антивирусных программ
¨ Проверяйте все выполнимые файлы, записываемые на компьютер
¨ Если вам нужен высокий уровень защиты от вирусов, установите в компьютере аппаратный контроллер защиты, например Sheriff. Совместное использование аппаратного контроллера и традиционных антивирусных средств позволят максимально обезопасить вашу систему
Создание системной дискеты
Обычно в компьютере установлены два накопителя на гибких магнитных дисках. Один - для дискет размером 5.25 дюйма, а второй для дискет размером 3.5 дюйма. Операционная система MS-DOS, а также операционные системы Windows, Windows 95, Windows NT и OS/2 присваивают им имена A: и B:. Какой из дисководов имеет имя A:, а какой B:, зависит от аппаратуры компьютера.
Как правило, пользователь может изменить имена дисководов. Для этого необходимо открыть корпус компьютера и переключить несколько разъемов. Если есть такая возможность, то эту работу следует доверить техническому специалисту.
Накопители на магнитных дисках размером 5.25 дюйма постепенно выходят из употребления, поэтому в новых компьютерах устанавливают только один накопитель на гибких магнитных дисках, рассчитанный на дискеты размера 3.5 дюйма. В этом случае он имеет имя A:, диск B: отсутствует.
Загрузить компьютер с помощью системной дискеты можно только с дисковода A:. Таким образом, для изготовления системной дискеты к своему компьютеру вы должны взять дискету соответствующего размера.
Существует множество программ, позволяющих подготовить системную дискету. Такие программы входят в состав всех операционных систем - MS-DOS, Windows 3.1, Windows 95 и OS/2 и др.
Самыми простыми программами для подготовки системных дискет являются команды FORMAT или SYS, входящие в состав операционных систем MS-DOS и Windows 95 и поэтому в первую очередь мы опишем именно их.
Использование команды FORMAT
Команда FORMAT выполняет форматирование дискеты и может записать на нее файлы операционной системы. При форматировании гибких дисков FORMAT выполняет разметку дорожек на дискете, и формирует системные области - загрузочный сектор, таблицу размещения файлов и корневой каталог.
Во время форматирования дискеты вся информация, записанная на ней, стирается. Так как FORMAT заново записывает на дискету загрузочный сектор, то если она ранее была заражена загрузочным вирусом, вирус удаляется. Можно сказать, что команда FORMAT выполняет основную функцию антивируса - удаляет с дискеты любые вирусы.
При вызове команды FORMAT можно задать большое количество различных параметров. Их описание вы можете найти в четвертом томе серии “Персональный компьютер - шаг за шагом”, который называется “Что вы должны знать о своем компьютере”. В этой книге мы опишем только несколько самых необходимых нам параметров:
FORMAT drive:
В качестве параметра drive вы должны задать имя дисковода, который будет форматировать дискету. Параметр /S означает, что после форматирования дискеты на нее переносятся основные файлы операционной системы и дискета становится системной. Для подготовки системной дискеты следует обязательно указать этот параметр.
Как мы говорили, команда FORMAT удаляет с форматируемой дискеты все записанные на ней файлы. Обычно FORMAT записывает на дискете скрытую информацию, позволяющую в случае необходимости восстановить удаленные с нее файлы.
Для восстановления файлов, удаленных во время выполнения форматирования дискеты, используйте команду UNFORMAT
Если вы твердо уверены, что воосстанавливать их не придется, можно ускорить форматирование дискеты, указав дополнительный параметр /U. В этом случае информация о удаляемых файлах не сохраняется и их нельзя будет восстановить.
Вы можете значительно ускорить процесс подготовки системной дискеты, если укажите команде FORMAT дополнительный параметр /Q. В этом случае выполняется быстрое форматирование дискеты:
Опишем процесс подготовки системной дискеты более подробно. Введите следующую команду:
На экране появится предложение вставить дискету в
дисковод A: и нажать клавишу
Insert new diskette for drive A:
and press ENTER when ready...
Начнется процесс форматирования. На экране в процентах будет отображаться объем выполненной работы.
Formatting 1.2M
77 percent completed.
После окончания форматирования на дискету записываются
основные файлы операционной системы. Затем вы можете ввести метку дискеты.
Метка должна содержать не более одиннадцати символов. После ввода метки нажмите
клавишу
Format complete.
System transferred
Volume label (11 characters, ENTER for none)?
Затем на экране появится различная статистическая информация: общая емкость дискеты, объем пространства, занятый файлами операционной системы, объем доступного свободного пространства. Если на дискете обнаружены плохие секторы, недоступные для использования, отображается их суммарный объем в байтах. Ниже выводится размер сектора в байтах, количество свободных секторов на дискете и ее серийный номер:
1,213,952 bytes total disk space
198,656 bytes used by system
1,015,296 bytes available on disk
512 bytes in each allocation unit.
1,983 allocation units available on disk.
Volume Serial Number is 2C74-14D4
Format another (Y/N)?
На этом подготовку системной дискеты можно считать
завершенной. Если вы не планируете сразу создать несколько системных дискет,
нажмите клавишу
Использование команды SYS
Если у вас есть свободная чистая отформатированная дискета, быстрее всего можно сделать ее системной при помощи команды SYS. Для этого вставьте дискету в дисковод компьютера и введите следущую команду:
SYS drive2:
Команда SYS имеет один обязательный параметр - drive2 . Этот параметр должен задавать имя дисковода, в котором подготавливается системная дискета. Вам следует указать в качестве параметра drive2 имя A: или B:.
Необязательные параметры drive1 и path определяют расположение системных файлов на диске. Если вы не укажете эти параметры, команда SYS будет брать системные файлы из корневого каталога текущего диска.
Запись антивирусных программ на системную дискету
На системной дискете располагаются основные файлы операционной системы MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Если системная дискета изготовлена в операционной системе совместимой с MS-DOS, например IBM PC -DOS , то имена этих файлов могут быть другие.
Файлы IO.SYS и MSDOS.SYS представляют собой ядро операционной системы. Файл COMMAND.COM обычно называют командным процессором. Это та самая программа, которая выводит на экран компьютера системное приглашение и выполняет команды операционной системы. Последний файл на системной дискете - DBLSPACE.BIN. Он содержит расширение операционной системы, которое обеспечивает доступ к уплотненным дискам системы DoubleSpace.
Основные файлы операционной системы - IO.SYS, MSDOS.SYS имеют атрибут "скрытый файл" и не показываются командой DIR. Чтобы увидеть их, добавьте к команде DIR параметр /A.
После того как вы изготовили системную дискету, на ней осталось еще много свободного места. Суммарный объем, занимаемый основными файлами операционной системы MS-DOS - IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN составляет около 200 Кбайт. Таким образом, если вы использовали дискету с высокой плотностью запсиси, то в вашем распоряжении оказывается больше мегабайта свободного пространства.
Запишите на системную дискету программное обеспечение, необходимое для тестирования и восстановления поврежденной операционной системы. В первую очередь необходимо записать антивирусные программы, выполняющие поиск вирусов и программу для проверки целостности файловой системы. Полезно записать команды FORMAT и FDISK - они могут понадобиться для ручного восстановления системы. Для удобства можно дополнительно записать на системную дискету оболочку, например Norton Commander, и любой текстовый редактор.
В следующей таблице перечислены программы, которые окажут вам помощь при восстановлении работоспособности компьютера. Желательно все их записать на системную дискету. В случае, если они не поместятся на одну системную дискету, подготовьте еще одну дискету и запишите оставшиеся программы на нее.
|
Программа |
Назначение |
|
Антивирусная программа-полифаг. Позволяет обнаружить и удалить большое количество вирусов. Полиморфные вирусы, которые Aidstest не может обнаружить, определяются программой Doctor Web |
|
|
Антивирусная программа-полифаг, в которой реализован эвристический алгоритм поиска вирусов. Позволяет обнаружить сложные полиморфные вирусы. Вы должны использовать ее вместе с антивирусом Aidstest |
|
|
ScanDisk
или |
Во многих случаях причиной неисправности и странного поведения компьютера служат не вирусы, а испорченная файловая система. Программы ScanDisk и Norton Disk Doctor обнаруживают и автоматически исправляют ошибки в файловой системе MS-DOS |
|
Программа для тестирования всех подсистем компьютера. Позволяет обнаружить неисправность аппаратуры |
|
|
Norton Commander |
Оболочка для операционной системы MS-DOS. Значительно облегчает работу с компьютером. Содержит встроенный текстовый редактор, программы просмотра файлов в различных форматах |
|
Команда MS-DOS. Предназначена для форматирования жестких и гибких дисков компьютера |
|
|
Команда MS-DOS. Предназначена для создания и удаления логических дисков. Команды FDISK и FORMAT могут понадобиться в случае полного разрушения информации на жестком диске. Их применение описывается в главе “Восстановление файловой системы” |
|
|
Редактор диска. Позволяет просматривать и редактировать любую информацию, записанную на диске, включая системные области. Disk Editor позволяет отредактировать главный загрузочный сектор, загрузочные секторы, таблицы размещения FAT, стуктуры каталогов и файлы |
В некоторых случаях для доступа к жестким дискам компьютера могут использоваться специальные драйверы или резидентные программы. Их обязательно нужно записать на подготовленную системную дискету. Чтобы они автоматически подключались при загрузке компьютера с системной дискеты, создайте на ней файлы CONFIG.SYS и AUTOEXEC.BAT, записав в них команды загрузки необходимых драйверов.
Если к компьютеру подключено устройство чтения компакт-дисков, запишите на системную дискету программное обеспечение, необходимое для его использования. Для MS-DOS вам надо записать драйвер устройства чтения и программу MSCDEX, входящую в состав операционной системы. Доступ к устройству чтения позволит оперативно восстановить программное обеспечение, записанное на компакт-дисках.
Операционная система Windows 95 не нуждается в программе MSCDEX, однако если графическая оболочка этой системы на загружается, MSCDEX все же надо подключить
После того как вы полностью подготовили системную дискету и записали не нее все необходимые программы, установите на нее защиту от записи. Для этого на дискете размером 5,25" необходимо заклеить прорезь на краю дискеты, а на дискете размером 3,5" открыть окно защиты. Защита от записи даст гарантию того, что вы случайно не испортите содержимое дискеты и вирусы не смогут на нее проникнуть. Так как дискеты иногда выходят из строя, то на этот случай лучше всего иметь несколько идентичных системных дискет.
Загрузка с системной дискеты
Чтобы загрузить компьютер с системной дискеты, надо установить приоритетную загрузку операционной системы с гибких магнитных дисков. Приоритет загрузки операционной системы определяется в CMOS-памяти. Чтобы изменить его, следует запустить программу Setup. Подробнее о программе Setup вы можете узнать из четвертого тома серии “Персональный компьютер - шаг за шагом”, который называется “Что вы должны знать о своем компьютере”.
Существуют вирусы, изменяющие приоритет загрузки компьютера. Для этого они меняют данные, записанные в CMOS-памяти. Примером таких вирусов могут быть вирусы Mammoth.6000 и ExeBug. Эти вирусы отключают в CMOS-памяти дисководы, временно подключая их, если какая-либо программа желает прочитать или записать информацию на дискету. Когда пользователь пытается загрузить компьютер с дискеты, загрузка будет выполняться с жесткого диска, так как дисковод отключен. Вирус получит управление, а затем выполнит загрузку компьютера с дискеты.
При этом с точки зрения пользователя все выглядит как обычно. Он видит, что операционная система загружается с дискеты, но к этому времени вирус уже находится в оперативной памяти и контролирует работу компьютера.
Поэтому непосредственно перед тем как выполнять загрузку MS-DOS с системной дискеты, убедитесь, что содержимое CMOS-памяти установлено правильно. Для этого запустите программу установки параметров BIOS и проверьте указанный там тип дисководов, а также порядок загрузки компьютера.
Вставьте системную дискету в дисковод A: и перезапустите
компьютер. Если вы подозреваете наличие вирусов, для перезагрузки необходимо
выключить и включить питание компьютера или нажать кнопку "Reset" на
корпусе компьютера. Некоторые вирусы отслеживают перезагрузку при помощи клавиш
После первоначального тестирования компьютера начнется загрузка операционной системы с дискеты. При этом должен гореть светодиод дисковода A:. Процесс загрузки с дискеты проходит несколько медленнее, чем с жесткого диска, поэтому вам придется немного подождать. Когда загрузка операционной системы завершится, на экране появиться соответствующее сообщение.
Затем операционная система запросит у вас текущую дату и время. Дата и время запрашиваются только в том случае, если на дискете (диске) отсутствует системный конфигурационный файл AUTOEXEC.BAT.
Если вы не хотите изменять дату и время, нажмите два раза
клавишу
Вы можете создать на системной дискете пустой файл AUTOEXEC.BAT, тогда дата и время запрашиваться не будут и после загрузки операционной системы на экране сразу появится системное приглашение.
Можно ли предотвратить проникновение вирусов
Если периодически не проводить работу по профилактике и лечению компьютеров от вирусов, возможность потери хранимой информации и разрушения операционной среды становится более чем реальной.
Негативные последствия вашей халатности могут быть различными, в зависимости от того, какой вирус попадет в компьютер. Вы можете потерять либо часть информации из файлов, хранящихся в компьютере, либо отдельные файлы, либо даже все файлы на диске. Но хуже всего, если вирус внесет небольшие изменения в файлы данных, которые сначала могут быть не замечены, а потом приведут к ошибкам в финансовых или научных документах.
Работы по профилактике и лечению компьютеров от вирусов могут включать следующие действия:
w Устанавливать программное обеспечение следует только с дистрибутивов
w Установите на всех ваших дискетах защиту от записи и снимайте ее только в случае необходимости
w Ограничьте обмен программами и дискетами, проверяйте такие программы и дискеты на наличие вирусов
w Периодически проверяйте оперативную память и диски компьютера на наличие вирусов с помощью специальных антивирусных программ
w Выполняйте резервное копирование информации пользователя
Не знакомьтесь с незнакомыми людьми
Никакие меры защиты не помогут защитить компьютер от проникновения вирусов, если вы не будете предварительно проверять все записываемые в него выполнимые файлы. На сегодняшний день такая проверка осуществима только с помощью антивирусных программ-полифагов.
Постоянное появление все новых и новых вирусов требует использования самых последних версий антивирусных программ. Желательно, чтобы ими обеспечивался поиск не только известных вирусов, но также и эвристический анализ проверяемых программ и загрузочных секторов. Он позволит обнаружить файлы, зараженные новыми, еще неизвестными и неизученными вирусами.
К сожалению, антивирусные программы не могут дать полной гарантии отсутствия в проверяемом программном обеспечении вирусов и тем более троянских программ или логических бомб. Записывая на свой компьютер программное обеспечение неизвестного происхождения, вы всегда рискуете
В больших организациях имеет смысл выделить специальный компьютер для установки в него сомнительного программного обеспечения, например компьютерных игр. Этот компьютер должен быть изолирован от остальных компьютеров организации. В первую очередь необходимо отключить его от локальной сети и запретить пользователям не только копировать с него программы, но и записывать на него файлы со своих рабочих дискет, заранее не защищенных от записи.
На время работы с подозрительным программным обеспечением используйте программы-мониторы, например монитор VSafe, входящий в состав MS-DOS. Если программа действительно окажется заражена вирусом или она содержит логическую бомбу, монитор сообщит о любых несанкционированных действиях с ее стороны. К сожалению программы-мониторы типа VSafe легко могут быть обмануты вирусами, поэтому более надежно использовать программно-аппаратные средства защиты.
В состав антивирусного комплекта “ДиалогНаука” входит программно-апаратный комплекс защиты Sheriff. Помимо всего прочего, он выполняет все функции программ мониторов, но делает это значительно лучше. За счет того что контроль компьютера обеспечивается специальным контроллером защиты на аппаратном уровне, вирусы не смогут обмануть Sheriff.
Как защитить дискеты от записи
Вы можете защитить свои дискеты от записи. Защита работает на уровне аппаратуры компьютера и ее нельзя отключить программными методами. Поэтому вирус не сможет заразить загрузочный сектор и выполнимые файлы, записанные на дискете с установленной защитой от записи.
Все дистрибутивы программного обеспечения, записанные на дискетах, следует защитить от записи. Большинство программного обеспечения можно устанавливать с дискет, на которых установлена защита от записи
Если вы попытаетесь записать данные на дискету с установленной защитой от записи, операционная система выведет на экран компьютера предупреждающее сообщение. Оно может иметь различный вид, в зависимости от того, какие средства используются для записи на дискету.
Например, если вы используете команды COPY или XCOPY операционной системы MS-DOS, и пытаетесь записать файл на защищенную дискету, тогда на экране появится следующее сообщение:
Write protect error reading drive A
Abort, Retry, Fail?
Пользователь должен ответить, как операционная система
должна поступить в этой ситуации. Вы можете выбрать три ответа: Abort, Retry
или Fail. Для этого достаточно ввести с клавиатуры первый символ выбранного
отвеста: Abort - , Retry -
Выбор Abort или Fail означает, что операционная система должна отказаться от попытки записать информацию на дискету (Abort просто отменяет выполнение операции, а Fail указывает на необходимость вернуть программе код ошибки). Если вам надо выполнить операцию записи, снимите с дискеты защиту от записи и выберите Retry.
Необходимо внимательно отнестись к сообщению о попытке записи на защищенную дискету. Чтение файлов с дискеты, и запуск с нее большинства программ не должны вызывать записи на нее. Если вы уверены, что запись на дискету выполняться не должна, но она происходит, велика вероятность, что компьютер заражен вирусом.
Некоторые вирусы блокируют вывод сообщения о попытке нарушения защиты от записи, когда заражают выполнимые файлы или загрузочный сектор дискеты. Это позволяет им остаться незамеченными, если на дискете установлена защита. Тем не менее, вы достигнете желаемого результата, дискета останется незараженной.
Вирус Plague.2647
Неопасный резидентный стелс-вирус. При открытии инфицированных файлов удаляет из них свой код, а затем снова заражает, когда файл закрывается. При заражении файлов на дискетах проверяет, установлена ли защита от записи. Если защита установлена, вирус не будет пытаться заразить файлы на нем. Содержит строку "PLAGUE"
Защиту от записи можно установить на дискету любого размера - 3,5 дюймов и 5,25 дюймов. Проще всего это делается на дискетах размера 3,5 дюймов. Вам достаточно закрыть маленькое отверстие в углу дискеты специальной пластмассовой крышкой, как это показано на рис. 2.1. Снять защиту от записи также просто: достаточно открыть защитное отверстие.
Рис. 2.1. Защита от записи на дискете размера 3,5 дюймов
Чтобы защитить от записи дискету 5,25”, нужно заклеить прорезь в конверте дискеты (рис. 2.2). Для этого используется небольшой прямоугольный кусочек клейкой бумаги. Обычно такая бумага продается вместе с дискетами. В крайнем случае вы можете воспользоваться обычной изолентой. Снять защиту от записи можно, удалив приклеенный вами кусочек бумаги.
Часто снимать и устанавливать защиту на дискете 5,25” очень трудно, рано или поздно это надоест и вирус сможет проникнуть на дискету. Поэтому по возможности откажитесь от дискет размером 5,25” и замените их более удобными дискетами размера 3,5”.
Рис. 2.2. Защита от записи на дискете размера 5,25 дюймов
Правильный выбор порядка загрузки компьютера
Операционная система может быть загружена или с жесткого дисска или с дискеты. Обычно компьютер загружается с жесткого диска, однако если в момент включения питания компьютера или его перезагрузки в дисковод A: вставлена дискета (случайно или нарочно), загрузка операционной системы начнется с нее. Если дискета заражена загрузочным вирусом, он получит управление и сразу попытается заразить жесткий диск компьютера.
Большинство компьютеров позволяют указать приоритет, в котором должна выполняться загрузка операционной системы. Этот порядок устанавливается при помощи программы BIOS Setup. Более подробно о программе BIOS Setup вы прочитаете в разделе “Восстановление файловой системы”.
Чтобы защитить компьютер от случайного заражения загрузочным вирусом, укажите, что операционная система должна загружаться сначала с диска C:, и только в случае его неисправности - с диска A:.
Если надо загрузить компьютер с дискеты, удостоверьтесь, что на ней нет вирусов. Для этого сначала проверьте ее несколькими антивирусными программами, например программами Doctor Web и Aidstest.
Лучше всего, если вы приготовите системную дискету заранее, а чтобы ее случайно не испортили, установите на ней защиту от записи. На системную дискету полезно записать программы для диагностики компьютера - антивирусные программы, программы проверки целостности файловой системы и исправности аппаратуры компьютера. Как создать системную дискету мы рассказали в разделе “Создание системной дискеты”.
Непопулярные меры
В организациях очень эффективными могут оказаться жесткие меры защиты, связанные с отключением от компьютеров каналов возможного поступления вирусов. В первую очередь это относится к дисководам для гибких дисков. Дисководы могут быть отключены физически и сняты с компьютера или их можно отключить только в CMOS-памяти, при этом на программу BIOS Setup следует поставить пароль.
В идеальном случае от компьютера надо отключить все дисководы, устройства чтения компакт-дисков, модемы, последовательные и параллельные порты, сетевые адаптеры. Конечно это нереально, однако не следует полностью отказываться от такой идеи.
Резервное копирование
Очень важно организовать резервное копирование информации, хранимой в компьютере. В зависимости от средств, которыми вы располагаете, можно выполнять полное копирование жестких дисков компьютера или копирование только самой важной информации, которая не может быть восстановлена другим путем.
Для резервного копирования обычно используют магнитные ленты. Запись на них осуществляется специальными цифровыми магнитофонами, называемыми стримерами. Объем магнитных кассет составляет от 200 Мбайт до 4 Гбайт. В последнее время стали доступны устройства магнито-оптической дисковой памяти. По надежности и удобству использования они значительно превосходят магнитную ленту. Объем магнитооптических дисков широко варьируются и составляет от десятков мегабайт до нескольких гигабайт.
Если в вашем распоряжении нет ни стримера, ни магнитооптического диска, то во многих случаях достаточно использовать простые дискеты. Конечно запись на дискеты - это самый плохой способ резервного копирования. Во-первых, дискеты имеют очень маленький объем - немногим больше одного мегабайта. Во-вторых, дискеты очень ненадежны. Иногда с них не удается считать ранее записанную информацию.
Одной резервной копии недостаточно. Вы должны иметь несколько резервных копий. Вот небольшой пример. Вы выполняете очередное копирование и вдруг происходит сбой питания или нападение вируса. Компьютер зависает, данные записанные в компьютере и их копия оказываются испорченными
Выполняя резервное копирование, надо быть предельно осторожным. Перед копированием всегда проверяйте целостность копируемой информации. Выполняйте поиск вирусов и проверку файловой системы. Для этого используйте самые последние версии антивирусов и программы типа ScanDisk. Если не соблюдать этого правила, то все резервные копии рано или поздно окажутся испорченными.
В особо ответственных случаях выполняйте циклическое копирование данных. Например, одну копию обновляйте каждый день, вторую - каждую неделю, третью - каждый месяц.
Архивирование файлов
Если для резервного копирования используются обычные дискеты, тогда перед записью на них файлов их следует сжать какой-либо программой архивации. Программы-архиваторы позволяют уменьшить размер дисковой памяти, занимаемый файлами. Это происходит за счет устранения избыточности информации, хранимой в сжимаемых файлах.
Сжатые файлы могут занимать значительно меньше места на диске, чем их оригиналы. Так, текстовые файлы, подготовленные, например, в текстовом процессоре Microsoft Word for Windows, обычно уменьшаются вдвое. Конечно, работать с таким файлом невозможно. Перед работой его надо восстановить с помощью той же программы архивации.
В настоящее время наиболее популярны архиваторы ARJ, PKZIP, RAR. Все они выполняют примерно одинаковые функции и могут быть использованы для создания резервных копий документов.
Более подробно вопросы архивирования данных рассмотрены в десятом томе серии “Библиотека системного программиста”, который называется “Компьютер IBM PC/AT, MS-DOS и Windows. Вопросы и ответы”. Сейчас мы только приведем пример использования архиватора ARJ для подготовки резервных копий файлов. Формат вызова архиватора ARJ достаточно сложен:
ARJ <команда> [-<ключ> [-<ключ>...]]
<имя архива>
[<имена файлов>...]
Первый параметр - команда - определяет режим работы архиватора:
|
Режим работы архиватора |
|
|
Добавление новых файлов в архив |
|
|
Удаление файлов из архива |
|
|
Извлечение файлов из архива |
|
|
Просмотр содержимого архива |
|
|
Перенос файлов в архив. Файлы записываются в архив, а затем исходные файлы удаляются с диска |
|
|
Восстановление файлов вместе со структурой каталогов и подкаталогов, в которой эти файлы были расположены при архивации |
|
|
Восстановление файлов архива. Структура каталогов и подкаталогов не восстанавливается, все файлы из архива помещаются в один каталог |
|
|
Обновить файлы в архиве. В архив записываются только измененные и новые файлы. Файлы, оставшиеся без изменения, заново не архивируются. За счет этого экономится много времени |
После одной из приведенных команд могут следовать один или несколько необязательных дополнительных параметров ключ . Дополнительные параметры должны выделяться символом "-". Приведем таблицу наиболее важных дополнительных параметров и опишем их назначение:
|
Дополнительный параметр |
Назначение |
|
Защита создаваемого архива паролем |
|
|
Используется с командами "a" или "m" для указания того, что в архив должны войти файлы из текущего каталога и всех его подкаталогов |
|
|
Создание и восстановление многотомных архивов, расположенных на нескольких дискетах. Каждая дискета содержит один том архива (файл). Существует несколько модификаций параметра -v: VV - выдавать звуковой сигнал между обработкой отдельных томов архива; VA - автоматически определять объем свободного пространства на дискете (размер очередного тома архива); Vnnnnn - размер отдельных томов архива, например V20000 - создать архив из томов по 20 Кбайт; V360, V720, V1200, V1440 - создать тома, фиксированного размера по 360 Кбайт, 720 Кбайт, 1,2 Мбайт, 1,44 Мбайт |
|
|
Восстановить файлы из поврежденного архива. Используйте этот параметр, если восстановление файлов из архива прервалось сообщением архиваторе о нарушениях в структуре файла-архива |
|
|
X |
|
|
Архиватор не будет запрашивать у пользователя разрешения для выполнение различных действий, например для создания нового файла многотомного архива, создания каталогов |
После дополнительных параметров следует имя файла архива, а за ним - список имен извлекаемых, добавляемых или удаляемых файлов. При указании имен этих файлов можно использовать символы "?" и "*". Если вы не укажете список file_names, то будут подразумеваться все файлы, расположенные в текущем каталоге или архиве.
Программы-архиваторы очень удобны для создания резервных копий на дискетах. Если файл архива не помещается на одной дискете, архиватор позволяет создать многотомный архив, состоящий из нескольких файлов. Для этого надо указать дополнительный параметр V. Отдельные файлы многотомного архива можно записать на несколько дискет.
Следующая команда создает многотомный архив, из всех файлов, расположенных в текущем каталоге и всех его подкаталогах, за исключением файлов, имеющих имя TMP или расширение имени BAK. Файлы многотомного архива будут иметь размер немного больший, чем 1,44 Мбайт. Вы сможете записать их на 3-дюймовые дискеты.
ARJ A -R -X*.BAK -XTMP.* -V1440 !COLLAPS
Файлы созданного архива будут иметь имя!COLLAPS и различные расширения:
COLLAPS.ARJ
!COLLAPS.A01
!COLLAPS.A02
!COLLAPS.A03
....
Восстановить файлы, записанные в этом многотомном архиве, можно либо предварительно скопировав их на жесткий диск компьютера или непосредственно с дискет. Например, для восстановления с дискет используйте следующую команду:
ARJ X -V A:\!COLLAPS
После восстановления файла архива пользователю будет
выдан запрос на обработку следующего файла архива. Вставьте в дисковод
следующую дискету и нажмите кнопку
Резервное копирование документов в Windows 95
Операционная система Windows 95 предоставляет удобные средства для резервного копирования отдельных документов и целых каталогов на дискеты. Для этого достаточно открыть пиктограмму My Computer и перейти в каталог, файлы из которого надо записать на дискеты.
Затем переместите указатель мыши на пиктограмму того файла или каталога, который должен быть скопирован, и нажмите правую кнопку мыши. На экране появится небольшое меню.
Рис. 2.3. Запись каталога Library на дискеты
Выберите из этого меню строку Send To, а затем в открывшемся временном меню укажите дисковод, на котором будет происходить копирование. На рисунке 2.3 мы показали, как надо выполнять копирование каталога Library на дискеты размера 3,5 дюйма.
После того как вы укажете дисковод, начнется процесс копирования. Если для копирования всех файлов каталога одной дискеты окажется недостаточно, операционная система попросит вас вставить следующую дискету.
К сожалению, продемонстрированный нами способ выгрузки не позволяет скопировать на дискеты файлы, размер которых превышает объем самой дискеты. Поэтому скопировать, таким образом, очень большие документы невозможно.
Проверим, нет ли вирусов
Для проверки новых программ, которые вы записываете в свой компьютер, надо использовать антивирусные программы-полифаги последних версий. Они смогут обнаружить любые вирусы, известные на момент создания программы-антивируса. Желательно, чтобы используемые вами антивирусы выполняли эвристический анализ программ. Возможно, это позволит обнаружить новые, еще не известные вирусы.
Популярность антивирусных программ Aidstest и Doctor Web настолько велика, что они установлены практически на каждом компьютере. Поэтому сейчас мы проверим ваш компьютер с помощью этих программ и посмотрим, нет ли в нем вирусов.
Если у вас нет самых последних версий антивирусов, воспользуйтесь теми программами, которые у вас есть. Несмотря на то, что такая проверка будет неполной, она все же позволит обнаружить большое количество вирусов.
Поиск вирусов на жестком диске компьютера
В начале проверим все жесткие диски компьютера программой Aidstest. Введите в системном приглашении DOS следующую команду.
Внимательно следите за сообщениями, выдаваемыми программой во время проверки компьютера. Если будет обнаружен вирус, Aidstest сообщит об этом.
Многие вирусы, которые не обнаруживает Aidstest, могут быть пойманы программой Doctor Web. Кроме того, Doctor Web позволяет выполнить эвристический анализ программ и загрузочных секторов. Поэтому повторите проверку с помощью Doctor Web.
DRWEB * /CL /HI /AR /HA1 /RV /UP
Антивирус Doctor Web проверит все жесткие диски компьютера, при этом он выполнит поиск вирусов не только непосредственно в выполнимых файлах, но и в файлах архивов, а также в сжатых выполнимых файлах. Если вирусы будут обнаружены, программа выведет на экран соответствующее сообщение.
Во всех примерах, приведенных в этом разделе, выполняется только поиск вирусов, ни один из обнаруженных вирусов не будет удален. Для этого надо запустить программу-антивирус еще один раз, загрузившись с системной дискеты.
Поиск вирусов на дискетах
Все новые дискеты, а также дискеты, которые вы отдавали кому-либо, необходимо проверить на заражение вирусами. Для этого используйте антивирусы-полифаги Aidstest и Doctor Web. Последовательно вызовите сначала одну, а затем другую программы. В следующем примере показано как проверить дискету, вставленную в дисковод A:.
AIDSTEST A: /B
DRWEB A: /CL /AR /HA1 /UP /NM /OF
Вирусы в файлах архивов
Чтобы увеличить объем свободного пространства на жестком диске и дискетах, многие пользователи архивируют редко используемые файлы. Для этого могут использоваться специальные программы-архиваторы, уменьшающие размер файлов за счет устранения избыточности данных, записанных в файле. Когда пользователю вновь требуется файл из архива, он снова использует программу-архиватор.
Файлы внутри архива хранятся в сжатом виде, исключающем возможность поиска вируса по их сигнатурам. Поэтому, если вы записали в архив зараженную программу, она может остаться незаметной для многих антивирусов.
Некоторые антивирусные программы, например Doctor Web, позволяют проверять файлы, записанные внутри архивов. Проверяя архивы, Doctor Web временно восстанавливает записанные в нем файлы и последовательно просматривает их.
Если вы обнаружили в своем компьютере вирусы, обязательно проверьте все файлы архивов, даже если ваша антивирусная программа не умеет работать с архивами. Самостоятельно восстановите файлы из всех архивов на диске, а затем проверьте их вашей антивирусной программой
Обычно, когда на одном компьютере работает несколько человек, они используют различные средства разграничения доступа к жестким дискам. Например Diskreet из пакета Norton Utilities, позволяет создать несколько логических дисков. Каждый пользователь может иметь доступ только к некоторым дискам, остальные для него будут полностью недоступны.
Вирус ArjVirus
Неопасный нерезидентный вирус. Выполняет поиск в текущем каталоге и его подкаталогах файлов архивов, созданных программой-архиватором ARJ. Файлы архивов вирус отличает только по их расширению - ARJ.
Если файл архива будет обнаружен, вирус создает файл, имеющий случайное имя, состоящее из четырех символов от "A" до "V", с расширением COM. В этот файл вирус записывает 5 Кбайт своего кода и в конце дополняет его произвольным количеством байт.
Затем вирус вызывает программу-архиватор ARJ, считая, что он расположен в одном из каталогов, перечисленных в переменной PATH. Для этого используется командный процессор:
C:\COMMAND.COM /C ARJ A
В качества параметра ArjFile указывается имя найденного вирусом файла-архива. Параметр ComFile содержит имя только что созданного выполнимого файла вируса. Такая команда добавляет в обнаруженный вирусом файл-архив новый выполнимый файл вируса. Затем исходный файл вируса удаляется.
Чтобы пользователь не увидел на экране информацию, обычно отображаемую программой-архиватором ARJ, вирус временно отключает весь вывод на экран монитора.
Основная идея вируса заключается в том, что пользователь восстановивший файлы из зараженного архива обнаружит в нем неизвестный выполнимый файл и запустит его из любопытства
Необходимо выполнять поиск вирусов на всех дисках. Лучше всего если это будет делать пользователь, имеющий доступ ко всем дискам компьютера. В противном случае каждый пользователь должен будет проверять доступные ему диски. Если кто-либо из пользователей обнаружит, что на диске, доступном ему, присутствует вирус, он обязательно должен сообщить об этом всем другим пользователям компьютера.
Если вы обнаружили вирус
Самую большую ценность представляют ваши данные, записанные в компьютере. Это могут быть текстовые документы, файлы электронных таблиц, базы данных, исходные тексты программ и т. д. Их стоимость может в много и много раз превышать стоимость самого компьютера и установленного в нем программного обеспечения.
Любое программное обеспечение, разрушенное вирусами, можно восстановить с дистрибутивов или резервных копий. А вот с данными дело обстоит значительно хуже. Если данные постоянно не копировались, они могут быть безвозвратно потеряны.
Поэтому обнаружив вирус, в первую очередь надо перезагрузиться с чистой дискеты и скопировать ваши данные с жесткого диска компьютера на дискеты, магнитные ленты или любые другие устройства хранения информации. Только после этого можно приступать к лечению компьютера.
Если обнаружен вирус, то возможно, он уже разрушил хранимую в компьютере информацию. Разрушения могут носить различный характер. Возможно, файлы с данными будут уничтожены полностью и вы даже не сможете их прочитать, а возможно они будут изменены незначительно и вы не сможете это сразу заметить.
Вирус Rogue.1208
Опасный резидентный вирус. Уничтожает файлы с расширением DBF, записывая в них первый байт "R" и производя с остальным содержимым файла логическую операцию ИСКЛЮЧАЮЩЕЕ ИЛИ с числом 13, до первого символа, который имеет код 13. Уничтожает файлы CHKLIST ???. В месяц, когда сумма значения года и значения месяца равна 2000, вирус выводит текст: “Now you got a real virus! I"m the ROGUE ...!”
Постарайтесь выяснить, какой именно вирус попал к вам в компьютер и что он делает. Получить подобную информацию можно из описаний вирусов, поставляемых вместе с антивирусными программами. Фактически все антивирусные программы имеют такие списки. Они могут быть выполнены в виде простых текстовых файлов или в виде специальных гипертекстовых баз данных.
Если вы обнаружили в компьютере вирус, он уже мог успеть распространиться, заразив другие компьютеры в вашей организации. Их необходимо проверить в обязательном порядке. Многие пользователи сегодня имеют компьютеры у себя дома. Они также могут оказаться заражены.
Необходимо проверить все дискеты, использовавшиеся для работы с зараженными компьютерами. Они могут оказаться заражены загрузочными и файловыми вирусами. Вирус может сохраниться на них, а затем снова заразить компьютер. Дискеты, зараженные вирусами, надо вылечить или отформатировать.
Как лечить компьютер
После того как вы попытались скопировать с компьютера все свои данные (документы, исходные тексты, файлы баз данных) пора начинать лечение компьютера и удаление заразивших его вирусов. Для вас существует как минимум три возможности удалить вирусы из компьютера.
Самый простой из них заключается в полной смене всего программного обеспечения, установленного в компьютере. Вы должны будете переустановить операционную систему и все остальные программы заново. Если вирус заразил загрузочную запись, то ее можно обновить, отформатировав логические диски компьютера, воспользовавшись для этого командой FORMAT. Однако даже форматирование не удалит вирус из главной загрузочной записи жесткого диска. Для этого следует воспользоваться командой FDISK с недокументированным параметром /MBR, а затем снова создать на жестком диске разделы и логические диски.
Такие операции, как форматирование логического диска, удаление раздела или логического диска командой FDISK полностью уничтожают все файлы на данном диске. Поэтому предварительно удалять файлы нет никакой необходимости.
После того как вы заново создадите на жестком диске разделы и логические диски и отформатируете их, можно приступать к установке операционной системы и остальных программ. Полная установка программного обеспечения компьютера отнимает много времени. Чтобы ускорить этот процесс, по возможности устанавливайте программные продукты не с дискет, а с компакт-дисков.
Вы можете значительно облегчить восстановление работоспособности компьютера, если заблаговременно будете выполнять резервное копирование всей информации, записанной в компьютере. В этом случае после создания и форматирования логических дисков можно восстановить программное обеспечение с этих резервных копий. Как будет происходить это восстановление, зависит от средств, используемых вами при создании резервных копий.
Вторая возможность предполагает ручное удаление вирусов и восстановление поврежденных загрузочных секторов и файлов. Этот метод наиболее сложный и требует высокой квалификации. Мы расскажем о ручном восстановлении компьютера несколько позже в главе “Ручное восстановление операционной системы”.
И, наконец, последняя возможность предполагает применение специальных антивирусных программ. Антивирусные программы сами обнаружат и удалят вирусы, восстановив работоспособность компьютера. К сожалению, такое восстановление не всегда возможно, так как большая категория вирусов необратимо портит программы и данные, записанные на дисках компьютера. В этом случае необходимо заново установить программное обеспечение.
Сейчас мы очень кратко рассмотрим лечение компьютера антивирусными программами-полифагами Aidstest и Doctor Web. Более подробно об этих и других программах, позволяющих удалить вирусы из компьютера, читайте в следующей главе, которая называется “Лучшее средство”.
Лечение компьютера антивирусными программами
Целый ряд резидентных вирусов, находясь в памяти компьютера, препятствует успешному лечению зараженных программ и загрузочных секторов. Поэтому желательно выполнять лечение только после загрузки компьютера с системной дискеты, свободной от вирусов. На эту дискету предварительно надо записать антивирусные программы-полифаги, например Aidstest и Doctor Web.
Программа Aidstest позволяет удалить обнаруженные ей вирусы. Для этого запустите Aidstest с параметром /F:
Некоторые вирусы не могут быть обнаружены и удалены программой Aidstest, поэтому ее надо использовать совместно с антивирусом Doctor Web:
DRWEB * /CL /UP /CU
Программы Aidstest и Doctor Web могут лечить не только жесткие диски, но и дискеты. Для этого вместо параметра *, означающего работу со всеми жесткими дисками компьютера, надо указать имя дисковода:
AIDSTEST A: /F
DRWEB A: /CL /UP /CU
Для комфортной и безопасной работы за компьютером необходимо иметь минимум знаний по обеспечению защиты персональных данных. Для этого, в первую очередь, нужно знать о том, что такое компьютерный вирус. Также нужно помнить, что лучшим средством борьбы с ним является антивирусное программное обеспечение.
Определение компьютерного вируса звучит следующим образом: "Компьютерный вирус - это программное обеспечение с возможностями самокопирования, внедрения в системный код и другие программные продукты, а также нанесения непоправимого ущерба аппаратной части компьютера и информации, хранящейся на его носителях.
Основная цель любого вируса - нанесение вреда, хищение информации или наблюдение за компьютером. Также прослеживаются и другие действия компьютерных вирусов. Склонность к размножению позволяет нанести максимальный урон. Тот факт, что вирусы способны размножаться не только в рамках локальной машины, но еще и путешествовать по сетям, в том числе глобальным, говорит о том, что возможны вспышки эпидемий компьютерных вирусов.
Фазы и состояния, характерные для компьютерных вирусов
- Пассивное существование: в этом состоянии вирус записан на жесткий диск, но не предпринимает никаких действий, пока не будут выполняться заданные программистом условия.
- Размножение: состояние, при котором вирус создает несчетное количество копий самого себя и размещается на жестком диске компьютера, а также передается в локальную сеть со служебными пакетами.
- Активное существование: в этом режиме вирус начинает выполнять свое предназначение - уничтожать, копировать данные, искусственно занимать дисковое пространство и поглощать оперативную память.
Как появились компьютерные вирусы
Официально история компьютерных вирусов начинается с 1981 года. Вычислительная техника находилась в стадии становления. Тогда никто еще не знал, что такое компьютерный вирус. Ричард Скрента написал первый загрузочный вирус для компьютера Apple II. Он был сравнительно безобидным и выводил на экран стихотворение. Позже начали появляться вирусы и для MS-DOS. В 1987 году были зафиксированы сразу три эпидемии вирусов. Этому поспособствовал выход на рынок сравнительно недорогого компьютера IBM и рост компьютеризации в целом по земному шару.
Первая эпидемия была спровоцирована вредоносной программой Brain, или "Пакистанским вирусом". Разработали его братья Алви, чтобы наказать пользователей, использующих взломанные версии их программного обеспечения. Братья не ожидали, что вирус выйдет за пределы Пакистана, однако это произошло, и вирусом Brain были заражены компьютеры по всему миру.
Вторая эпидемия возникла в Лехайском университете в Соединенных Штатах Америки, и несколько сотен дискет в библиотеке вычислительного центра университета были уничтожены. Эпидемия имела средние по тем временам масштабы, и вирус поразил всего 4 тысячи компьютеров.
Третий вирус - Jerusalem возник сразу в нескольких странах мира. Вирус уничтожал все файлы сразу при их запуске. Среди эпидемий 1987-1988 года эта была самой масштабной.
1990 год стал отправной точкой активной борьбы с вирусами. К этому времени было написано уже много программ, наносящих вред компьютерам, но до 90-х годов это не было большой проблемой.
В 1995 году начали появляться сложные вирусы, и произошел инцидент, при котором все диски с бета-версией Windows 95 оказались заражены вирусами.
Сегодня выражение "компьютерный вирус" стало привычным для всех, и индустрия программ для нанесения вреда стремительно растет и развивается. Ежедневно возникают новые вирусы: компьютерные, телефонные, а теперь и вирусы для часов. В пику им различные компании производят защитные комплексы, однако компьютеры по-прежнему заражаются во всех уголках света.
Компьютерный вирус "Эбола"
Сегодня очень актуален компьютерный вирус "Эбола". Хакеры рассылают его по электронной почте, прикрываясь названиями известных компаний. Вирус поражает программное обеспечение, установленное на компьютерах, и способен очень быстро удалить все, что установлено на машине. Кроме того, он может размножаться, в том числе и по локальной сети. Таким образом, "Эбола" считается одним из самых опасных объектов на сегодняшний день.
Классификация вредоносных программ
Компьютерные вирусы классифицируются по различным признакам. В зависимости от поведения их условно разделили на 6 категорий: по среде обитания, по особенностям строения кода, по способу заражения компьютера, по целостности, по возможностям, и дополнительно есть категория неклассифицируемых вирусов.
По среде обитания бывают следующие виды компьютерных вирусов:
- Сетевые - эти вирусы распространяются по локальным или глобальным сетям, заражая огромное количество компьютеров по всему миру.
- Файловые - внедряются в файл, заражая его. Опасность начинается в момент исполнения зараженного файла.
- Загрузочные - внедряются в загрузочный сектор жесткого диска и приступают к исполнению в момент загрузки системы.
По особенностям строения кода вирусы делят на:
По способу заражения кода вирусы делят на две группы:
- Резидентные - вредоносные программы, которые заражают оперативную память.
- Нерезидентные - вирусы, не заражающие оперативную память.
По целостности они делятся на:
- Распределенные - программы, разделенные на несколько файлов, но имеющие сценарий последовательности их исполнения.
- Целостные - единый блок программ, который выполняется прямым алгоритмом.
По возможностям предусмотрено деление вирусов на четыре следующие категории:
- Безвредные - виды компьютерных вирусов, способные замедлить работу компьютера путем своего размножения и поглощения свободного пространства на жестком диске.
- Неопасные - вирусы, которые замедляют работу компьютера, занимают значительный объем оперативной памяти и создают звуковые и графические эффекты.
- Опасные - вирусы, которые могут привести к серьезным системным сбоям, от зависания компьютера до разрушения операционной системы.
- Очень опасные - вирусы, способные стереть системную информацию, а также привести к физическому разрушению компьютера посредством нарушения распределения питания основных компонентов.
Разные вирусы, не попавшие под общую классификацию:
- Сетевые черви - вирусы, которые вычисляют адреса доступных компьютеров в сети и размножающиеся. Как правило, относятся к неопасным вирусам.
- Троянские программы, или трояны. Эти типы компьютерных вирусов получили свое название в честь знаменитого троянского коня. Эти вирусы маскируются под полезные программы. Предназначены в основном для хищения конфиденциальной информации, но есть и разновидности более опасных представителей вредоносного ПО.
Как обнаружить вирус на компьютере?
Вирусы способны быть незаметными, но в то же время выполнять нежелательные действия с компьютером. В одном случае присутствие вируса практически невозможно обнаружить, а в другом пользователь наблюдает ряд признаков заражения компьютера.
Для тех, кто не знает, что такое компьютерный вирус, подозрение на наличие опасности должны вызывать следующие действия компьютера:
- Компьютер начал работать медленнее. Причем замедление работы более чем значительно.
- Появление файлов, которые пользователь не создавал. Особое внимание нужно уделить файлам, имеющим вместо адекватного имени набор символов или неизвестное расширение.
- Подозрительное увеличение занятой области оперативной памяти.
- Самопроизвольное выключение и перезагрузка компьютера, его нестандартное поведение, мигание экрана.
- Невозможность загрузки программ.
- Неожиданно появляющиеся ошибки и сообщения о сбоях.
Все эти признаки говорят о том, что компьютер, скорее всего, заражен, и необходимо срочно проверить его на наличие файлов с вредоносным кодом. Способ проверить компьютер на наличие вирусов только один - антивирусное программное обеспечение.
Антивирусные программы, или антивирусы, - это программные комплексы, имеющие обширные базы компьютерных вирусов, и выполняющие тщательную проверку жесткого диска на предмет наличия знакомых файлов или кода. Антивирусное ПО может вылечить, удалить или изолировать файл в специально отведенную область.
Способы и методы защиты от вредоносных программ
Защита от компьютерных вирусов базируется на технических и организационных методах. Технические методы направлены на использование средств предотвращения вирусных угроз: антивирусы, брендмауэры, антиспамы и, конечно же, своевременное обновление операционной системы. Организационные - методы, которые описывают правильное поведение пользователя за компьютером с точки зрения информационной безопасности.
Технические методы предотвращают возможность проникновения вирусов на компьютер посредством программного обеспечения.
Антивирусы
- контролируют файловую систему, неустанно проверяют и выискивают следы вредоносного кода. Брендмауэр предназначен для контроля за поступающей через сетевые каналы информацией и блокировки нежелательных пакетов.
Брендмауэр позволяет запретить определенный вид соединений по различным критериям: портам, протоколам, адресам и действиям.
Антиспамы - контролируют поступление нежелательной почты, и при поступлении в почтовый клиент подозрительного сообщения блокируют возможность исполнения вложенных файлов, пока пользователь не выполнит их принудительно. Бытует мнение, что антиспамы - самый неэффективный способ борьбы, однако ежедневно ими блокируются десятки миллионов писем с вложенными вирусами.
Обновление операционной системы - процесс, при котором разработчики исправляют ошибки и недочеты в работе ОС, использующиеся программистами для написания вирусов.
Организационные методы описывают правила работы за персональным компьютером, обработки информации, запуска и использования программного обеспечения, базирующиеся на четырех основных принципах:
- Запускать и открывать только те документы и файлы, которые поступили из надежных источников, и в безопасности которых есть твердая уверенность. При этом пользователь берет ответственность на себя, запуская ту или иную программу.
- Проверять всю поступающую информацию из любых внешних источников, будь то Интернет, оптический диск или флеш-накопитель.
- Всегда поддерживать в актуальном состоянии антивирусные базы и версию оболочки программного обеспечения по отлову и устранению угроз. Это обусловлено тем, что разработчики антивирусного ПО постоянно совершенствуют свои продукты, опираясь на появление новых вирусов;
- Всегда соглашаться с предложениями антивирусных программ проверить флеш-накопитель или винчестер, подключенный к компьютеру.
С появлением вирусов стали появляться программы, позволяющие их находить и обезвреживать. Ежедневно в мире появляются новые вирусы. Компьютерные продукты по их устранению обновляются по несколько раз в день, чтобы оставаться актуальными. Так, не затихая, идет постоянная борьба с компьютерными вирусами.
На сегодняшний день выбор антивирусных программ очень велик. На рынке то и дело появляются новые предложения, причем самые разнообразные: от полноценных программных комплексов до небольших подпрограмм, ориентированных только на один тип вирусов. Можно найти бесплатные или распространяющиеся по платной срочной лицензии решения безопасности.
Антивирусы хранят в своих базах сигнатур выдержки из кода огромного количества опасных для компьютерных систем объектов и во время проверки сравнивают коды документов и исполняемых файлов со своей базой. Если соответствие будет найдено, антивирус сообщит об этом пользователю и предложит один из вариантов обеспечения безопасности.
Компьютерные вирусы и антивирусные программы - неотъемлемые части друг друга. Бытует мнение, что ради коммерческой выгоды антивирусные программы самостоятельно разрабатывают опасные объекты.
Антивирусные программные утилиты делятся на несколько типов:
- Программы-детекторы. Предназначены для поиска объектов, зараженных одним из ныне известных компьютерных вирусов. Обычно детекторы только выискивают зараженные файлы, но в некоторых случаях способны заниматься лечением.
- Программы-ревизоры - эти программы запоминают состояние файловой системы, а спустя некоторое время проверяют и сверяют изменения. Если данные не соответствуют друг другу, программа проверяет, был ли подозрительный файл отредактирован пользователем. При отрицательном результате проверки пользователю выводится сообщение о возможном заражении объекта.
- Программы-лекари - предназначены для лечения программ и целых винчестеров.
- Программы-фильтры - выполняют проверку поступающей на компьютер извне информации и запрещают доступ подозрительным файлам. Как правило, выводят запрос пользователю. Программы-фильтры уже внедряются во все современные браузеры, чтобы своевременно найти компьютерный вирус. Это очень действенное решение, учитывающее сегодняшнюю степень развития Интернета.
Крупнейшие антивирусные комплексы содержат в себе все утилиты, которые объединены в один крупный защитный механизм. Яркими представителями антивирусного программного обеспечения на сегодняшний день являются: антивирус Касперского, Eset NOD32, Dr.Web, Norton Anti-Virus, Avira Antivir и Avast.
Эти программы обладают всеми основными возможностями, чтобы иметь право называться защитными программными комплексами. Некоторые из них имеют крайне ограниченные бесплатные версии, а некоторые предоставляются только за денежное вознаграждение.
Разновидности антивирусных программ
Антивирусы бывают для домашних компьютеров, офисных сетей, файловых серверов и сетевых шлюзов. Каждый из них может находить и удалять вирусы, но основной упор в разных версиях таких программ делается на прямое предназначение. Самым полным функционалом, конечно, же обладает антивирусное ПО для дома, которому приходится выполнять задачи по защите всех возможных уязвимых мест.
Что делать при подозрении на заражение компьютера?
Если пользователю кажется, что компьютер заражен вирусом, в первую очередь нужно не паниковать, а строго выполнить следующую последовательность действий:
- Закрыть все программы и файлы, с которыми пользователь работает в данный момент.
- Запустить антивирусную программу (если программа не установлена - установить ее).
- Найти функцию полной проверки и запустить.
- После окончания проверки антивирус предложит пользователю несколько вариантов действий с найденными вредоносными объектами: файлы - лечить, вредоносные программы - удалить, то, что не удаляется, - поместить в карантин.
- Желательно строго следовать рекомендациям антивирусного программного обеспечения.
- По завершении очистки повторно запустить проверку.
Если же антивирус во время проверки не нашел ни одной угрозы, значит, нестандартная работа компьютера вызвана неполадками в аппаратной части ПК либо внутренними ошибками операционной системы, что тоже случается довольно часто, особенно если операционная система редко подвергается обновлению.
Вирусы - самая известная и распространённая электронная угроза. Практически каждый обладатель компьютера равно или поздно сталкивается с этой заразой, но мало кто знает, что же представляют собой компьютерные вирусы, каким путём они заражают компьютер, как размножаются и чем отличаются друг от друга, и - главное - как с ними бороться.
Собственно, на большую часть самых популярных вопросов, касающихся компьютерных вирусом, можно ответить, просто дав строгое определение этого типа угроз. Итак, компьютерный вирус
- это отдельная разновидность программ для компьютера, отличающаяся деструктивными функциями (уничтожение данных, блокировка доступа к документам, повреждение программ) и способностью к размножению.
Немного истории
Прежде чем приступить к рассмотрению различных классификаций вирусов, давайте вспомним их историю.
Впервые самовоспроизводящиеся программы были описаны ещё самим Джоном фон Нейманом в 1951 году. Первую модель такой программы описали супруги Пенроуз в статье для журнал Nature в 1957 году, после чего некий Ф. Ж. Шталь написал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в рамках которой виртуальные существа двигались, «питаясь» символами, вводимыми с клавиатуры. После «поедания» определённого количества символов существо размножалось, причём часть его функций могла «мутировать». Эта программа, однако, не была вирусом как таковым, поскольку не обладала способностью к заражению и не несла никаких деструктивных функций.
Первым «настоящими» вирусами стали программы для компьютеров Apple, появившихся в 1977 году, и умевшим объединяться в сеть. Эти вирусы «размножались» «вручную» — авторы выкладывали их под видом полезных программ на BBS (предшественники современных форумов и чатов) и после запуска уничтожали данные пользователей. Причём некоторые модификации этих прото-вирусов могли проявлять свою истинную сущность через определённое время или при определённых условиях.
Первый вирус, получивший известность среди пользователей, был написан в 1981 году Ричардом Скрентом. Зараза, получившая название ELK CLONER, внедрялась в загрузочную запись диска Apple II и обнаруживала себя выводом сообщения с небольшим стихотворением. В том же году студент Техасского университета A&M Джо Деллинджер создал вирус для операционной системы компьютеров Apple II, который мешал нормальной работе популярной в то время игры CONGO. В течение нескольких недель копии этой игры, имеющиеся на компьютерах университета перестали работать и автор «заразы» решил написать первый «антивирус» — модификацию вируса, которая замещала код своего предшественника.
Собственно термин «компьютерный вирус» был впервые предложен в сентябре 1984 года Ф. Коэном. Его статья, в которой описал результаты своего исследования вредоносных программ, стала вторым академическим исследованием новой проблемы.
Первые серьёзные эпидемии вирусов случились в 1987 год, когда широкое распространение получили дешёвые компьютеры IBM PC. Так, вирус Brain («Пакистанский вирус»), написанный братьями Амджатом и Базитом Алви был обнаружен летом 1987, когда эпидемия поразила 18 тысяч компьютеров в США. Вирус этот, правда, был своего рода «карой» для пользователей, использующих нелицензионные программы тех же разработчиков. Что интересно, этот вирус был первым, использующим маскировку - при попытке чтения заражённого сектора он «отдавал» вопрошающей программе незаражённый оригинал.
Первый вирус, изначально ориентированный на заражение целых сетей, появился в 1988 году. Этот «червяк», впрочем, не нёс никаких деструктивных действий и был создан неким Робертом Моррисом с единственной целью - заразить операционную систему UNIX Berkeley 4.3 на всех компьютерах, подключенных к сети ARPANET, никак себя не обнаружив. Достигнув своей цели, этот вирус начинал размножаться и рассылать свои копии. Всего червь Морриса поразил более 6 тысяч компьютеров, часть из которых (в силу активного размножения вируса) вышла из строя на несколько дней (до обнаружения источника проблем и исправления ошибок в ОС). Двумя годами позже Моррис был признан виновным в причинении материального ущерба (невозможность использования сети в течение нескольких дней) и был приговорён к условному заключению сроком на два года, 400 часам общественных работ и штрафу в 10 тысяч долларов.
На год позже «червя Морриса», в 1989 году, появился первый «троянский конь». Вирус с названием AIDS (ВИЧ) блокировал доступ ко всей информации на жёстком диске, попутно отображая на экране надпись «Пришлите чек на $189 на такой-то адрес». Само собой, по точным координатам автора удалось быстро вычислить и в последствии он был осуждён за вымогательство.
Но переломным моментом в истории развития можно считать 1990 год. Началось всё первого полиморфного вируса Chameleon, который стал образцом для подражания, так как был прятаться от антивирусных программ. Когда же вирусописатели стали объединять в своих творениях различные методы сокрытия, проблема компьютерных вирусов приобрела по-настоящему глобальный масштаб.
Классификация компьютерных вирусов
Единой классификации компьютерных вирусов
не существует, однако силами антивирусных компаний из разных стран сложилась общепринятая система, которая разделяет вирусы на группы, отличающиеся средой обитания, способами проникновения и заражения, вредоносным действиям и особенностям функционирования.
Классификация по среде обитания
. С первой классификацией всё просто. Файловые вирусы
внедряют своё тело в исполнимые файлы (читай - программы) с расширениями *.exe, *.dll, *.sys, *.bat и *.com. Такие вирусы, как и их , «присасываются» к носителю, перехватывая базовые управляющие функции. В результате заражённая программа при запуске первым делом выполняет код вируса, а только затем - запускается сама. В редких случаях файловые вирусы полностью заменяют код программы на своё собственное тело, выполняя таким образом деструктивные функции (см. ниже).
Более хитро прячутся загрузочные вирусы
- они записывают свой код в загрузочный сектор диска (boot-сектор) или так называемую Master Boot Record (сектор винчестера, содержащий код вызова загрузчика).
Следующий вид вирусов, макро-вирусы
, внедряются уже не в программы, а в документы, обрабатываемые программами с поддержкой макросов (алгоритмов автоматизайции рутинных действий пользователя). Чаще других от таких вирусов «страдают» документы Microsoft Word и Excel.
Строго говоря, эта классификация не является всеобъемлющей, поскольку всё чаще встречаются вирусы, способные скрывать своё тело сразу в нескольких средах (например, в исполнимых файлах и в загрузочном секторе).
Классификация по способам проникновения и заражения
. По мере усложнения компьютеров и программного обеспечения у вирусов появляется всё больше путей проникновения на компьютеры. Самый простой из них - запуск заражённой программы самими пользователем
. Как правило, вирусы, запускающиеся таким методом, приходят в электронных письмах или распространяются под видом различных полезных программ (в том числе - в виде ссылок, присылаемых через ICQ). Причём, всё чаще авторы столь простой в техническом плане заразы используют методы социальной инженерии, правдами и неправдами убеждая пользователя запустить вирус (к примеру, вирус может быть замаскирован под картинку, от которой подвоха не ждут даже опытные пользователи).
Более прогрессивные вирусы используют для запуска самое себя встроенные функции операционных систем
. Самая популярная из них - механизм автозапуска программ в Windows
. Вставив в USB-порт банальную флешку, можно заполучить заразу, даже не запуская никаких программ с этого носителя - за вас всё сделает файл autorun.inf, который уже активный вирус записал на флешку на другом компьютере.
Ещё одна разновидность вирусов - web-зараза, попадающая на компьютер с заражённых сайтов
. Здесь всё просто - браузеры (особенно часто этим грешит Internet Explorer) обрабатывают имеющийся на странице код (чаще всего - JavaScript), который и делает «чёрное дело» - к примеру, скачивает из Сети и запускает «традиционный» программный вирус.
Наконец, самая опасная зараза, способная обойтись без явной или неявной помощи со стороны пользователя, это так называемые «черви» - вирусы, проникающие на компьютер-жертву через так называемые «дыры» (уязвимости)
в программах или операционной системе. Чаще всего такие вирусы используют «веерный» метод проникновения - каждый заражённый компьютер становится источником заразы, рассылая новые копии вируса по всем доступным компьютерам.
Что касается способов заражения , то здесь все вирусы можно поделить на две группы: резидентные (такая «зараза» постоянно «висит» в памяти компьютера и может не только совершать деструктивные действия, но активно препятствовать своему уничтожению) и нерезидентные (после выполнения определённого набора действий такие вирусы выгружаются из памяти и не проявляют никакой активности).
Классификация по вредоносным действиям . Как ни странно, но в этой классификации на первом месте стоят вирусы безвредные . Обычно они являются «первыми ласточками», на которых вирусописатели испытывают новые технологии и методы проникновения. На следующей ступеньке стоят вирусы неопасные , чьё воздействие на компьютер ограничивается различными эффектами (вывод сообщений, замена обоев, звуковые эффекты и т. п.). Третью строчку в классификации занимают опасные вирусы , способные привести к сбоям в работе компьютера (например, блокируют некоторые сайты или препятствуют запуску ряда программ). Наконец, существуют и очень опасные вирусы , способные уничтожить данные, повредить файловую систему, полностью блокировать компьютер и т. п.
Лечение
Фактически, обобщив все распространённые классификации вирусов, мы дали ответы на самые распространённые вопросы о вирусах, за исключением главного - как с ними бороться.
Как и в случае с , лучшим лечением будет профилактика. Проще говоря - использование активной антивирусной защиты (так называемых «мониторов»). «Мониторы» постоянно находятся в памяти компьютера, контролируя все процессы в оперативной памяти компьютера и все обращения к файлам.
Для разовой проверки компьютера (например, при подозрении на заражение в отсутствие «монитора») можно использовать программы-сканеры, проверяющие операционную систему и пользовательские файлы по запросу.
Оба типа антивирусных программ используют в своей работе несколько алгоритмов, позволяющих обнаруживать «заразу». Самый распространённый из них - «сигнатурный» (сравнительный метод, проверка по базе)
. Антивирус попросту использует базу, содержащую образцы кода вирусов, сверяя фрагменты проверяемых программ и документов с «эталонами». Базы создаются разработчиками антивирусных программ и постоянно обновляются. При обнаружении совпадений антивирус может удалить инфицированный файл полностью, попытаться «вылечить» файл, удалив тело вируса, заблокировать доступ к инфицированному файлу, или отправить файл в «карантин» (специальную папку, в которой все действия вируса опять-таки блокируются).
При всей своей эффективности сигнатурный метод имеет один существенный недостаток: в случае, если в базе антивируса не нашлась подходящая запись (что не редкость в случае с новыми «полиморфами»), антивирус оказывается бесполезен.
Более эффективный метод - «поведенческий» (проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System, HIPS)
. Он основан на анализе поведения программ и сравнении полученных данных с известными антивирусу «нормальными» поведенческими алгоритмами. В случае обнаружения «подозрительных» действий антивирус уведомит пользователя.
В современных антивирусах поведенческий метод обычно сочетается с «эвристическим»
, основанным на алгоритмах «предположений». К примеру, антивирус может предположить, что программа, осуществляющая запись в загрузочную запись диска, но при этом не являющаяся известной антивирусу дисковой утилитой, становится под «подозрение» и может быть удалена. Такой метод, будучи неплохим подспорьем в деле обнаружения новых и неизвестных угроз, не может, однако считаться абсолютно надёжным и использовании высокого уровня эвристики даёт самое большое число ложных срабатываний. К эвристическим методам относят и эмуляцию проверяемой программы в своеобразной «виртуальной» машине, создаваемой антивирусом. К примеру, антивирус может начать исполнение программы, инфицированной полиморфным вирусом, пошагово выполняя программу и контролируя её действия до тех пор, пока не убедится в её безопасности, или же не «вычислит» вирус. Наконец, «эвристика» позволяет проверять исходный код программы (после её дизассемблирования в памяти), анализируя его вероятные действия или сверяя фрагменты кода с базой известных вирусных алгоритмов.
Наконец, самый эффективный (но при этом - самый неудобный с точки зрения пользователя) метод - «Белый список»
. Суть его - в составлении пользователем списка «доверенных» программы, которые могут запускаться на защищаемом компьютере. Все прочие программы будут полностью блокироваться антивирусом. Такой метод, впрочем, чаще реализуется не в антивирусах, а в брэндмауерах («защитных экранах»), поскольку строго говоря сам по себе он не может гарантировать «чистоту» программ (пользователь сам того не зная может внести в список уже заражённую программу).
Как правило, антивирусные программы используют различные комбинации описанных методов. Главная проблема разработчиков антивирусов в данном случае - добиться оптимального соотношения эффективности обнаружения угроз и производительности программы. Некоторые разработчики возлагают эту заботу на плечи пользователей, предлагая им самостоятельно выбрать необходимые алгоритмы, а также настроить уровень их «подозрительности».
Заключение
Мы рассказали обо всех аспектах «жизни» компьютерных вирусов, которые интересуют рядовых пользователей. В заключение подведём краткие итоги.
Итак, вирус
- это программа, выполняющая разрушительные действия и способная к размножению. Вирусы отличаются по способам распространения, проникновения на компьютеры пользователей, алгоритмам работы и типу деструктивных действий.
Вирусы могут жить самостоятельно, имя отдельное «тело»-файл, или же «прикрепляться» к программа и документам пользователя. Большая часть вирусов «живёт» в исполнимых файлах (*.exe, *.dll и других) или документах, которые могут содержать макросы. Однако в теории вирус может быть заключён в любой файл, обрабатываемый уязвимой программой. «Ошибаясь» такая программа запускает на исполнение код из самого безобидного файла (скажем, картинки).
Компьютерные вирусы могут размножаться путём копирования собственного тела, или посредством передачи своего кода через компьютерные сети.
Также стоит помнить, что создание и распространение компьютерных вирусов и вредоносных программ преследуется в России по закону (глава 28, статья 273 Уголовного Кодекса РФ).
