Компьютерные вирусы

описание (также на русском языке), поэтому работа с ними здесь не

рассматривается.

Все документы (файлы документов и шаблонов Word, Excel и т.д.),

предполагающие выполнение макрокоманд, необходимо проверить на наличие

макровирусов. Сделать это можно. Например, с помощью все того же Dr.Web.

Если программы поступили к вам в заархивированном виде, то перед

проверкой архив необходимо развернуть. Но до проверки не надо запускать

какие-либо программы из этого архива.

Если вы устанавливаете не одиночную программу, а большой программный

продукт, то необходимо проверить все файлы с дистрибутива до установки, а

сразу после установки произвести повторную проверку, по возможности

предварительно загрузившись с дискеты.

Рекомендуется загружаться только со своих, причем заведомо

незараженных дискет. Строго говоря, лучше иметь для этих целей специальную

дискету, а все остальные диски форматировать без переноса операционной

системы.

Чтобы случайно не загрузиться с дискеты, оставленной в дисководе А:,

рекомендуется в SETUP отключить загрузку с диска А:.

Если по каким-либо причинам вы хотите загрузиться с чужой дискеты, то перед

загрузкой проверьте ее на наличие вирусов.

При постоянном переносе на ваш компьютер новых файлов рекомендуется

установить одну из программ-ревизоров, скажем пакет Adinf (эти программы

отслеживают изменения в системе – изменения на дисках, распределение

памяти, включение и отключение драйверов – и при подозрительных действиях

предупреждают пользователя). Это в какой-то степени застрахует вас от

появления новых вирусов. Сразу после установки новой программы (особенно

неизвестного происхождения) необходимо также на некоторое время установить

одну из программ-фильтров (программ, отслеживающих текущие операции с

диском и памятью и сообщающих о тех из них, которые могут быть вызваны

вирусом). Если в течение нескольких дней никаких подозрительных действий не

обнаружится, то программу-фильтр можно отключить.

5.2.Профилактика заражения вирусом компьютеров группового

пользования

Обеспечить защиту компьютеров группового пользования гораздо сложнее.

Для таких компьютеров есть несколько дополнительных рекомендаций.

Предотвратить ситуацию, когда разные группы пользователей приносят на

компьютер различные программы, как показывает практика, невозможно. Можно

не сомневаться, что кто-то обязательно принесет вирус. Рекомендуется

поступить следующим образом: разрешить приносить любые программы, в том

числе и игры, но при одном условии – все эти программы проверяет на наличие

вирусов и устанавливает на компьютеры системный администратор данной

организации. Если это условие нарушено, то виновного ждут штрафные санкции.

Этот метод действует весьма эффективно, надо только следить, чтобы игры

были не в ущерб работе (чего, как правило, и не бывает).

Другой выход – разграничение доступа. На компьютере создается

системный логический диск и диски для каждой группы пользователей.

Разбиение происходит с помощью одного из существующих менеджеров диска, и

диски защищаются паролем. В обычном режиме для чтение доступен только

системный диск и диск данной группы пользователей, а для записи – только

диск данной группы пользователей. Все остальные диски попросту недоступны.

Системный администратор знает все пароли и может получить доступ к любому

диску. Этот метод позволяет достаточно эффективно бороться с заражением,

но, к сожалению, часть вирусов обходит и такую защиту.

В случае коллективного пользования можно рекомендовать еще один способ

– отключить дисководы. Правда, на практике его можно реализовать только в

том случае, когда компьютеры объединены в сеть. Дисководы остаются

подключенными только на сервере, за которым постоянно сидит системный

администратор, контролирующий все принесенные файлы.

6.ЧТО ДЕЛАТЬ, ЕСЛИ ЗАРАЖЕНИЕ УЖЕ ПРОИЗОШЛО

Рассмотрим теперь действия при заражении компьютера. Предположим,

несмотря на все ваши старания, компьютерному вирусу удалось проникнуть

к вам в систему.

6.1.Стандартные действия при заражении вирусом

Вы должны:

1. Сразу же выключить питание, чтобы вирус перестал распространяться

дальше. Единственное, что можно сделать до выключения питания, -

это сохранить результаты текущей работы. Не следует использовать

горячую перезагрузку (Ctrl + Alt + Del ), т.к. некоторые вирусы

при этом сохраняют свою активность.

2. Войти в SETUP и включить загрузку с диска А. Заодно рекомендуется

проверить правильность всех установок, включая параметры жестких

дисков. Если произошли какие-либо изменения, то необходимо

восстановить старые значения.

3. Ни в коем случае не запускать ни одной новой программы, находящейся

на жестком диске.

4. Необходимо загрузиться с дискеты (она должна быть защищена от

записи) и запустить по очереди программы-детекторы, находящиеся на

дискете. Если одна из программ обнаружит загрузочный вирус, то его

можно тут же удалить, аналогично надо поступить и при наличии

вируса DIR. Учтите, что вирусов может быть много.

5. Если программа-детектор обнаружит файловый вирус, то возможны два

варианта действий. Если у вас установлена программа-ревизор с

лечащим модулем, то восстановление файлов лучше делать с ее

помощью. Если такой программы нет, то необходимо воспользоваться

для лечения одним из детекторов. Испорченные файлы (если, конечно,

они не текстовые или не файлы данных) необходимо удалить.

6. После того как все вирусы удалены, необходимо заново перенести

операционную систему на жесткий диск (с помощью команды SYS).

7. Необходимо проверить целостность файловой системы на винчестере (с

помощью CHKDSK) и исправить все повреждения. Если таких повреждений

очень много, то перед исправлением файловой структуры необходимо

попытаться скопировать наиболее важные файлы на дискеты.

8. Необходимо еще раз проверить жесткий диск на наличие вирусов, если

таковых не оказалось, то можно перезагрузиться с винчестера. После

перезагрузки винчестера необходимо оценить потери от действий

вируса. Если повреждений очень много, то проще заново

переформатировать винчестер (при необходимости сохранив самые

важные файлы).

9. Необходимо восстановить все необходимые файлы и программы с помощью

архива – и для страховки, еще раз загрузившись с дискеты,

протестировать винчестер. Если снова будет обнаружен вирус, то вам

не повезло, ваш архив также заражен вирусом. В этом случае вы

должны протестировать весь ваш архив.

10. Если все в порядке, то необходимо проверить все дискеты, которые

могли оказаться зараженными вирусом и при необходимости пролечить

их. Не забудьте только отключить загрузку с диска A:.

11. После того, как вирус дезактивирован, вы можете продолжать свою

работу. Рекомендуется только подключить на некоторое время одну из

программ-фильтров.

6.2.Нестандартные ситуации

Во время вирусной атаки может возникнуть ряд нестандартных ситуаций.

Например.

Если у вас установлен менеджер диска, то при загрузке с дискеты часть

дисков может быть недоступна. Тогда необходимо пролечить вначале все

доступные на данный момент диски, затем загрузиться с жесткого системного

диска и пролечить все оставшиеся логические диски.

Если при загрузке с дискеты выясняется, что система просто «не видит»

ваш винчестер, то скорее всего вирус повредил таблицу разбиения жесткого

диска. В этом случае необходимо еще раз проверить установки SETUP

и попытаться восстановить разбиение с помощью Norton Disk Doctor (или,

если вы хорошо представляете себе свои действия, с помощью Norton Disk

Edit). Если это не поможет, то, вся информация с винчестера

потеряна, остается только воспользоваться программой EDISK.

Если вы столкнулись с неизвестным вирусом, то дело обстоит несколько

сложнее. Во-первых, вы можете воспользоваться программой-ревизором, если

она у вас установлена. Вполне возможно, что она поможет обезвредить

ваш вирус. Если ее нет или она не помогла, то остается только заново

перенести на диск операционную систему, а затем удалить с него

все исполняемые и пакетные файлы, драйверы и оверлейные файлы, после

чего восстановить их из архива. Можно также воспользоваться услугами

антивирусной скорой помощи.

И в заключение одно замечание. Не стоит приписывать все

ваши неприятности действиям вируса. Говорить же о действии неизвестного

вируса, а тем более прибегать к радикальным мерам следует только

тогда, когда не остается никаких сомнений. Стоит вначале попытаться

восстановить файлы, и, только если это не удается, удалить их.

Ситуация, сложившаяся сейчас в области вирусной безопасности, весьма

стабильна. Различные организации (исключая, конечно, институтские учебные

центры, на которых пробуют свои силы юные авторы вирусов) подвергаются

вирусным атакам весьма редко, - не говоря уже об индивидуальных

пользователях.

7.Виды программ для защиты от вирусов.

7.1Программы-ревизоры

Программы-ревизоры являются самым надежным средством

защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры

это единственное средство, позволяющее следить за целостностью системных

файлов и изменениями в используемых каталогах. Следует отметить, что

получаемая с помощью ревизоров информация существенно облегчает

ориентировку в лабиринте каталогов и "нововведениях" среди трансляторов и

используемых утилит. Поэтому их нельзя рассматривать только в контексте

защиты от вирусов - в настоящее время они должны являться рабочим

инструментом каждого уважающего свой труд программиста.

Существуют два основных типа программ-ревизоров: пакетные и

резидентные.

Программ-ревизоры имеют две стадии работы. Сначала они запоминают

сведения о состоянии программ и системных областей дисков. После этого с

помощью программы-ревизора можно в любой момент сравнить состояние программ

и системных областей дисков с исходными. О выявленных несоответствиях

сообщается пользователю.

Доктора-ревизоры.

В последнее время появились очень полезные гибриды ревизоров и

докторов – программы, которые не только обнаруживают изменения в файлах, но

и могут в случае изменений автоматически вернуть их в исходное состояние.

Такие программы могут быть гораздо более универсальными, чем программы-

доктора, поскольку при лечении они используют заранее сохраненную

информацию о состояни файлов и областей диска. Это позволяет им вылечивать

файлы даже от тех вирусов, которые не были созданы на момент написания

программы.

Конечно, доктора-ревизоры – это не панацея. Они могут

лечить неот всех вирусов, а только от тех, которые используют известные на

момент написания программы, механизмы заражения файлов.

7.2. Программы-детекторы и доктора.

В большинстве случаев для обнаружения вируса, заразившего ваш

компьютер, можно найти уже разработанные программы-детекторы. Эти программы

проверяют, имеются ли в файлах на указанном пользователем диске

специфические для данного вируса комбинация байтов. При ее обнаружении в

каком либо файле на экране выводится соответствующее сообщение. Многие

детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует

подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы,

которые ей «известны».

Лечение от вирусов.

Большинство программ-детекторов имеют также и функцию «доктора», т.е.

они пытаются вернуть зараженные файлы и области диска в их исходное

состояние. Те файлы, которые не удалось восстановить, как правило, делаются

неработоспособными или удаляются.

Большинство программ-докторов умеют «лечить» только от некоторого

фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые

программы могут обучаться не только способам обнаружения, но и способам

лечения новых вирусов. К таким программам относится AVSP фирмы «Диалог-

МГУ». Другой перспективный подход – восстановление файлов на основе заранее

сохраненной информации об их состоянии.

7.3.Программы-фильтры

Одной из причин, из-за которых стало возможным такое явление, как

компьютерный вирус, является отсутствие в операционной системе MS-DOS

эффективных средств для защиты информации от несанкционированного доступа.

Из-за отсутствия средств защиты компьютерные вирусы могут незаметно и

безнаказанно изменять программы, портить таблицы размещения файлов и т.д.

В связи с этим различными фирмами и программистами разработаны

программы- фильтры, или резедентные программы для защиты от вируса, которые

в определенной степени восполняют указанный недостаток DOS.

Эти программы располагаются резедентно в оперативной памяти

компьютера и «перехватывают» те сообщения к операционной системе, которые

используются вирусами для размножения и нанесения вреда.

ЗАКЛЮЧЕНИЕ

В настоящее время для существует несколько десятков тысяч

компьютерных вирусов и их число продолжает расти. Поэтому следует, с

одной стороны, ожидать постепенного проникновения в Россию новых, более

опасных и изощренно написанных вирусов, включая стелс-вирусы, и с другой

- потока сравнительно простых, а зачастую и безграмотно написанных

вирусов в результате "вирусного взрыва" внутри самой страны. Не следует

думать, что эволюция вирусов пойдет только в направлении их усложнения.

Опыт показал, что сложность стелс-вирусов существенно снижает их

жизнеспособность. Как отмечал С.Н.Паркинсон в одном из своих знаменитых

законов, "рост означает усложнение, а усложнение - разложение". По-

видимому, эволюция компьютерных вирусов будет идти сразу в нескольких

направлениях, лишь одним из которых являются стелс-вирусы.

Хотя общее количество вирусов велико, лежащие в их основе идеи

сравнительно малочисленны и не так просто поддаются расширению. Поэтому

основной тенденцией, наблюдаемой в настоящее время, является не столько

появление новых типов вирусов, сколько комбинирование уже известных

идей. Такие "гибриды", как правило, оказываются опаснее базисных видов.

Еще чаще наблюдается тенденция к минимальной модификации одного из

получивших широкое распространение вирусов, что приводит к образованию

вокруг "базисного" вируса группы штаммов, причем их количество в некоторых

случаях превышает десяток

ПРИЛОЖЕНИЕ 1

Описание некоторых компьютерных вирусов

Есть ли спасение от вируса «Чернобыль»?

Вирус этот не новый: впервые он был обнаружен почти год назад. CIN

(«Чернобыль»)

Активизируется 26 числа каждого месяца. А в 13-ю годовщину трагедии на АЭС

всплеск был особенно силен. Вирус переносится в файлах с расширением «exe»,

работающих в программах Microsoft Windows. Заражение может произойти при

установке программ с пиратского компакт-диска (а таковых у нас 94

процента), при перекачке файлов по сети Интернет и по электронной почте.

Сейчас CIN у нас – самый распространенный вирус. Утешает одно: «Чернобыль»

успешно ликвидируют большинство современных антивирусных программ.

Однако если уж он проникает в систему, то последствия разрушительны.

Он способен в лучшем случае стереть все, что есть в памяти персонального

компьютера, а в худшем – полностью вывести его из строя.

По прогнозам экспертов, вспышка этого цикличного вируса 26 апреля

2000 года будет столь же сильной.

Специалисты говорят, что «заболевший» компьютеры можно оживить,

заменив микросхему Flash-BIOS. Однако на некоторых моделях она не может

быть отделена от материнской платы, и в этом случае придется покупать новую

материнскую плату.

. Вирус Cookie Monster - Печеньевое чудовище

Данная легенда основана на демонстрационном вирусе,

действительно существовавшем на компьютерах с микропроцессором 8080 или

Apple II. Или, возможно, вирус полностью уничтожен и относится к

"ископаемым" вирусам. Название данного вируса связано с персонажем

популярной в США детской телевизионной программы SESAME STREET. Проявление

этого вируса связано с выдачей на экран сообщения

I WANT COOKIE

(Хочу печенья)

Только ввод с клавиатуры слова COOKIE позволяет

продолжить работу с программой. Вводом тайного пароля "OREO" можно

"усыпить" вирус на несколько недель. В некоторых вариантах легенды вирус

стирает файлы при неправильном ответе или слишком длительной задержке с

ответом.

Отечественный аналог данного мифа под названием Чуча (якобы выдающий

сообщение "Хочу чучу") опубликован в [Павлов89]

Исторические сведения. Слухи о данном вирусе дошли до

Киева в конце 1988 г., т.е. до появления в Киеве настоящих

компьютерных вирусов. Вирус упоминается в ряде зарубежных публикаций.

Страницы: 1, 2, 3