Компьютерные вирусы

Сторожа могут обнаруживать даже неизвестные вирусы, если они  очень нагло себя ведут, например, пытаются отформатировать жёсткий  диск или внести изменения в системные  файлы или области диска на жёстком диске. Впрочем, некоторые  вирусы умеют обходить такой контроль. Более мелкие пакости вирусов(изменение  программных файлов, запись в системные  области дискет и т.д.) обычно не отслеживаются, так как эти действия выполняются  не только вирусами, но и многими  программами.

     Если  вирус не был обнаружен детектором или сторожем, то результаты его  деятельности –обнаружит программа-ревизор.

     Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы  – использоваться для проверки поступающих  из внешних источников данных (файлов и дискет), а ревизоры – запускаться  раз в день для выявления и  анализа изменений на дисках.

        7.3. Антивирусные комплексы. 

Поскольку функции  детектора, ревизора и сторожа дополняют  друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора  и ревизора совмещаются в одной  программе.

Пример: в антивирусном комплексе Norton antiviral функции детектора и ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), а функции сторожа – отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE). 

В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции  детектора и ревизора выполняются  отдельными программами (причём в качестве детекторов предлагается использовать сразу две программы – Aidstest и Dr.Web). Однако некоторые элементы интеграции в этом комплексе всё же есть: программа-ревизор Adinf может формировать список измененных файлов, а программа Aidstest и Dr.Web – проверять файлы только из этого списка. Это заметно сокращает время проверки  жёстких дисков на наличие вирусов.

А в качестве фильтра  фирма «Диалог-Наука» предлагает аппаратно-программный  комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надёжнее, чем программная, поскольку её ни один вирус обойти не может. Однако, Sheriff имеет и недостаток – он не проверяет запускаемые программы на наличие вирусов.

        7.4. Обновление антивирусных программ.

Для программ-детекторов следует периодически обновлять  их версии. Новые вирусы сейчас появляются каждую неделю, и при использовании  версий программ полугодовой или  годовой давности очень вероятно заражение таки вирусом, который  этим программам будет неизвестен.

Замечания:   1. Для некоторых программ (например, Norton AntiVirus ) для обновления не надо покупать новую версию программы, а следует переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно.

     2. Фирма  «Диалог-Наука» позволяет приобрести  годовой абонемент, позволяющий  получать самые последние версии  программ Aidstest, Dr.Web, Adinf и AdinfExt по электронной почте или через BBS фирмы «Диалог-Наука». При продлении годового абонемента предоставляется скидка 50%. Последние версии базы данных со сведениями о вирусах для программы NortonAntiVirus можно бесплатно списать по модему с FTP-сервера ftp. symantec. com или с WWW-сервера www. symantec. com. В обоих случаях обновление версий выполняется не одного раза в месяц.

     8. Действия при заражении  вирусом. 

       8.1. Симптомы заражения вирусом.

Вы можете быть уверены, что на Вашем компьютере имеется  вирус, если:

Программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в  файлах или системных областях на жёстком диске. 

Программа-ревизор  сообщает об изменении файлов, которые  не должны изменяться. При этом изменение  часто выполняется необычным  способом, например, содержание файла  изменено, а время его модификации  – нет.

Программа-ревизор  сообщает об изменении главной загрузочной  записи жёсткого диска (Master Boot, она содержит таблицу разделения жёсткого диска ) или загрузочной записи (Boot record), а Вы не изменяли разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.

Программа-сторож сообщает о том, что какая-то программа  желает форматироать жёсткий диск, изменять системные области жёсткого диска и т.д. , а Вы не поручали никакой программе выполнять подобные действия.

Программа-ревизор  сообщила о наличии в памяти «невидимых» («стелс») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к диску выдаётся разное содержимое.

       Вирус сам Вам представился, выведя соответствующее сообщение.

       Вы можете подозревать наличие вируса, если:

• Антивирусная программа сообщает об обнаружении неизвестного вируса.
• На экран или принтер начинают выводиться посторонние сообщения, символы и т.д.
• Некоторые файлы оказываются испорченными.
• Некоторые программы перестают работать или начинают работать неправильно.
• Работа на компьютере существенно замедляется.
• Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д.

   8.2. Пять  правил при заражении компьютера  вирусом. 

При заражении компьютера вирусом ( или при подозрении на это ) важно соблюдать пять правил.

Прежде всего, не надо торопиться и принимать опрометчивых явлений. Как говориться, « семь раз  отмерь, один раз отрежь» - непродуманные  действия могут привести не только к потере части данных, которые  можно было бы восстановить, но и  к повторному заражению компьютера.

Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в  том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить  компьютер, чтобы вирус не продолжал  своих разрушительных действий. 

Все действия по обнаружению  вида заражения и лечению компьютера следует выполнять только при  правильной загрузке компьютера с защищённой от записи «эталонной» дискеты с  операционной системой. При этом следует  использовать только программы ( исполнимые файлы ), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила  может привести к очень тяжёлым  последствиям, поскольку при загрузке DOS или запуске программы с  заражённого диска в компьютере может быть активирован вирус, а  при  работающем вирусе лечение компьютера будет бессмысленным, так как  оно будет сопровождаться дальнейшим заражением дисков и программ.

• Лечение от вируса обычно несложно, но иногда ( при существенных разрушениях, причинённых вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных коллег.
• Лечение компьютера от вируса – процесс творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устареют…

Замечание: некоторые  пользователи предпочитают лечить компьютер  при заражении вирусом, не загружаясь с «чистой» дискеты, считая, что так  удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед  операциями. Одни больные выздоравливали, а другие умирали от внесённой  инфекции…

     9. Раннее обнаружение  вируса.

Если Вы используете  резидентную программу-сторожа для  защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус ещё не успел  активизироваться, заразить другие программы  или диски и испортить какие-либо данные. Например, при обращении  к дискете программа-сторож может  вывести сообщение, что на диске  имеется загрузочный вирус, и  предложить его удалить. Тогда для  удаления вируса достаточно согласиться  с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны  дискеты или скачанного по электронной  почте файла программами-детекторами  типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, если Вы не загружались с дискеты и не запускали полученные программные файлы ).

     10. Выяснение сведений  о вирусе.

Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в её документации или встроенном справочнике  сведения о данном типе вируса. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если компьютер оказался заражён неопасным загрузочным вирусом, то кроме удаления вируса с жёсткого диска и дискет, которыми Вы пользовались, делать ничего не надо. А устранение последствий устранения вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьёзнее – обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные – с резервных копий.

     11. Удаление вирусов. 

Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы  излечить или удалить заражённые объекты. Как правило, для системных  областей диска программа-детектор предлагает выбрать их излечение  или оставление без изменений, а  для файлов – лечение, удаление или  оставление без изменений. Удаление заражённых файлов обычно предпочтительнее их лечения, если заражённый файл входит в пакет программ, который можно  заново установить с дистрибутивных дисков.

Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска вируса во всех файлах, а не только в программных файлах, а также режим поиска в архивах. Если Вы используете архивы видов, не поддерживаемых программой-детектором, то может потребоваться распаковать архив во временны каталог и проверить его содержимое программой-детектором.

Если Вы лечили ( а  не удаляли ) какие-либо файлы, рекомендуется  ещё раз проверить компьютер  всеми имеющимися детекторами на отсутствие вирусов – ведь некоторые  файлы могли быть заражены несколькими  вирусами, «наслаивающимися» один на другой.

Замечание: Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 - . ZIP и LZH, Dr.Web - . ARJ, . ZIP, . LZH, . RAR, . ZOO и . ICE, а Aidstest – не умеет искать вирусы в архивах вообще.

     12. Что могут и  чего не могут  компьютерные вирусы.

       12.1. Вирусофобия.

У многих пользователей  компьютеров из-за незнания механизма  работы компьютерных вирусов, а также  под влиянием различных слухов и  некомпетентны публикаций в печати, создаётся своеобразный комплекс боязни вирусов («вирусофобия»). Этот комплекс имеет два проявления.

Склонность приписывать  любое повреждение данных или  необычное явление на компьютере действию вирусов. Например, если у  «вирусофоба» не форматируется дискета, то он объясняет это не дефектами дискеты или дисковода, а действием вирусов. Если программа «зависает», то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования, чем действием вирусов.

Преувеличенные представления  о возможностях вирусов. Некоторые  пользователи думают, например, что  достаточно вставить в дисковод заражённую дискету, чтобы компьютер заразился  вирусом. Распространено также мнение, что для компьютеров, объединённых в сеть, или даже просто стоящих  в одной комнате, заражение одного компьютера обязательно тут же приведёт к заражению остальных.

       12.2. И её последствия.

Вирусофобия вообще не так безобидна, как это может показаться на первый взгляд. Она приводит, например, к следующим последствиям.

       Принятие неадекватных, я бы даже сказал, экстремистских, мер при появлении вируса или даже при подозрении на наличии вируса.

       Неоправданная изоляция от окружающего мира из-за боязни заражения вирусами.

Расплывчатые (мягко  выражаясь ) представления многих руководителей  о способностях вирусов позволяют  многим пользователям и программистам  ссылаться на вирусы как на причину  любых задержек и трудностей. К  сожалению, в большинстве случаев  фраза «Я всё сделал(а), но тут  появился вирус и всё испортил»  означает, что за работу вообще не принимались.

Лучшим лекарством от вирусофобии является знание того, как работают вирусы, что они могут и чего они не могут. Вирусы  являются обычными программами и не могут совершать никаких сверхъестественных действий.

     13. Что могут вирусы.

Хотя вирусы –  это всего лишь программы, но зачастую они сделаны с весьма большой  изобретательностью и коварством. Так, некоторые вирусы могут :

1. Обманывать резидентные программы-сторожа, например, выполняя заражение и порчу информации не с помощью вызова функций операционной системы, а посредством прямого обращения к программам ввода-вывода BIOS или даже портам контроллера жёстких дисков или дискет.
2. Выживать при перезагрузке – как при нажатии Ctrl Alt Del, так и при загрузке с чистой системной дискеты после нажатия кнопки «Reset» или выключения и включения компьютера.
3. Заражать файлы в архивах (для извлечения файлов из архива и помещения их в архив вызывается программа-архиватор, а вывод на экран при этом блокируется ).
4. Заражать файлы только при помещении их на дискеты или в архивы (маскируясь тем самым от обнаружения программами-ревизорами).
5. Бороться с антивирусными программами, например, уничтожая их файлы или портя таблицы со сведениями о файлах программы-ревизора.
6. Долгое время никак не проявлять своего присутствия, активизируясь через несколько недель или даже месяцев после заражения компьютера.
7. Шифровать системные области дисков или данные на диске, так что доступ к ним  становиться возможен только при наличии данного вируса в памяти.