Сведения о компьютерных вирусах

  3. Иногда применяются также программы-вакцины,  или иммунизаторы, они модифицируют программы и диски таким образом, что это не отражается на роботе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже заражёнными. Эти программы малоэффективны и далее не рассматриваются.

  7.2. Использование антивирусных  программ.

  Ни  один тип антивирусных программ по отдельности не даёт, к сожалению, полной защиты от вирусов. Поэтому никакие  простые советы типа «вставьте команду  запуска программы Aidstest в AUTOEXEC.BAT» не будут достаточными. Однако совместное использование антивирусных программ даёт неплохие результаты, так как они хорошо дополняют друг друга:

  Поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяются программой-детектором. Если эти данные забыли проверить, и  заражённая программа была запущена, её может «поймать» программа-сторож. Правда, в обоих случаях надёжно  обнаруживаются лишь вирусы, известные  этим антивирусным программам. Неизвестные  вирусы детекторы и сторожа, не включающие в себя эвристический анализатор, не обнаруживают вовсе (пример – программа  Aidstest), а имеющие такой анализатор – обнаруживают не более чем в 80-90% случаев.

  Сторожа могут обнаруживать даже неизвестные  вирусы, если они очень нагло себя ведут, например, пытаются отформатировать  жёсткий диск или внести изменения  в системные файлы или области  диска на жёстком диске. Впрочем, некоторые вирусы умеют обходить такой контроль. Более мелкие пакости  вирусов(изменение программных файлов, запись в системные области дискет и т.д.) обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами.

  Если  вирус не был обнаружен детектором или сторожем, то результаты его  деятельности –обнаружит программа-ревизор.

  Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы  – использоваться для проверки поступающих  из внешних источников данных (файлов и дискет), а ревизоры – запускаться  раз в день для выявления и  анализа изменений на дисках.

  7.3. Антивирусные комплексы.

  Поскольку функции детектора, ревизора и сторожа  дополняют друг друга, то в современные  антивирусные комплекты программ обычно входят компоненты, реализующие все  эти функции. При этом часто функции  детектора и ревизора совмещаются  в одной программе.

  Пример: в антивирусном комплексе Norton antiviral функции детектора и ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), а функции сторожа – отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE).

  В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции детектора и ревизора выполняются отдельными программами (причём в качестве детекторов предлагается использовать сразу две программы  – Aidstest и Dr.Web). Однако некоторые элементы интеграции в этом комплексе всё же есть: программа-ревизор Adinf может формировать список измененных файлов, а программа Aidstest и Dr.Web – проверять файлы только из этого списка. Это заметно сокращает время проверки  жёстких дисков на наличие вирусов.

  А в качестве фильтра фирма «Диалог-Наука» предлагает аппаратно-программный  комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надёжнее, чем программная, поскольку её ни один вирус обойти не может. Однако, Sheriff имеет и недостаток – он не проверяет запускаемые программы на наличие вирусов.

  7.4. Обновление антивирусных  программ.

  Для программ-детекторов следует периодически обновлять их версии. Новые вирусы сейчас появляются каждую неделю, и  при использовании версий программ полугодовой или годовой давности очень вероятно заражение таки вирусом, который этим программам будет неизвестен.

  Замечания. 1. Для некоторых программ (например, Norton AntiVirus ) для обновления не надо покупать новую версию программы, а следует переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно.

  2. Фирма «Диалог-Наука» позволяет  приобрести годовой абонемент,  позволяющий получать самые последние  версии программ Aidstest, Dr.Web, Adinf и AdinfExt по электронной почте или через BBS фирмы «Диалог-Наука». При продлении годового абонемента предоставляется скидка 50%. Последние версии базы данных со сведениями о вирусах для программы NortonAntiVirus можно бесплатно списать по модему с FTP-сервера ftp. symantec. com или с WWW-сервера www. symantec. com. В обоих случаях обновление версий выполняется не одного раза в месяц.

  8. Действия при заражении  вирусом.

  8.1. Симптомы заражения  вирусом.

  Вы  можете быть уверены, что на Вашем  компьютере имеется вирус, если:

  Программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в  файлах или системных областях на жёстком диске.

  Программа-ревизор  сообщает об изменении файлов, которые  не должны изменяться. При этом изменение  часто выполняется необычным  способом, например, содержание файла  изменено, а время его модификации  – нет.

  Программа-ревизор  сообщает об изменении главной загрузочной  записи жёсткого диска (Master Boot, она содержит таблицу разделения жёсткого диска ) или загрузочной записи (Boot record), а Вы не изменяли разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.

  Программа-сторож сообщает о том, что какая-то программа  желает форматироать жёсткий диск, изменять системные области жёсткого диска и т.д. , а Вы не поручали никакой программе выполнять подобные действия.

  Программа-ревизор  сообщила о наличии в памяти «невидимых» («стелс») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к диску выдаётся разное содержимое.

  Вирус сам Вам представился, выведя соответствующее  сообщение.

  Вы  можете подозревать наличие вируса, если:

  Антивирусная  программа сообщает об обнаружении  неизвестного вируса.

  На  экран или принтер начинают выводиться посторонние сообщения, символы  и т.д.

  Некоторые файлы оказываются испорченными.

  Некоторые программы перестают работать или  начинают работать неправильно.

  Работа  на компьютере существенно замедляется.

  Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими  программами, сбоями в аппаратуре и  т.д.

  8.2. Пять правил при  заражении компьютера  вирусом.

  При заражении компьютера вирусом ( или при подозрении на это ) важно соблюдать пять правил.

  Прежде  всего, не надо торопиться и принимать  опрометчивых явлений. Как говориться, « семь раз отмерь, один раз отрежь» - непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера.

  Тем не менее, одно действие должно быть выполнено  немедленно. Если Вы не абсолютно уверены  в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить  компьютер, чтобы вирус не продолжал  своих разрушительных действий.

  Все действия по обнаружению вида заражения  и лечению компьютера следует  выполнять только при правильной загрузке компьютера с защищённой от записи «эталонной» дискеты с  операционной системой. При этом следует  использовать только программы ( исполнимые файлы ), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила может привести к очень тяжёлым последствиям, поскольку при загрузке DOS или запуске программы с заражённого диска в компьютере может быть активирован вирус, а при  работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

  Лечение от вируса обычно несложно, но иногда ( при существенных разрушениях, причинённых вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных коллег.

  Лечение компьютера от вируса – процесс  творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают  что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого  устареют…

  Замечание: некоторые пользователи предпочитают лечить компьютер при заражении  вирусом, не загружаясь с «чистой» дискеты, считая, что так удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед операциями. Одни больные  выздоравливали, а другие умирали  от внесённой инфекции…

  9. Раннее обнаружение  вируса.

  Если  Вы используете резидентную программу-сторожа  для защиты от вируса, то наличие  вируса можно обнаружить на самом  раннем этапе, когда вирус ещё  не успел активизироваться, заразить другие программы или диски и  испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что  на диске имеется загрузочный  вирус, и предложить его удалить. Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны  дискеты или скачанного по электронной  почте файла программами-детекторами  типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, если Вы не загружались с дискеты и не запускали полученные программные файлы ).

  10. Выяснение сведений  о вирусе.

  Если  какая-либо из программ-детекторов сообщит  о том, что она нашла известный  ей вирус, то желательно прочесть в  её документации или встроенном справочнике  сведения о данном типе вируса. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если компьютер оказался заражён неопасным загрузочным вирусом, то кроме удаления вируса с жёсткого диска и дискет, которыми Вы пользовались, делать ничего не надо. А устранение последствий устранения вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьёзнее – обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные – с резервных копий.

  11. Удаление вирусов.

  Если  какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить заражённые объекты. Как правило, для системных областей диска программа-детектор предлагает выбрать их излечение или оставление без изменений, а для файлов – лечение, удаление или оставление без изменений. Удаление заражённых файлов обычно предпочтительнее их лечения, если заражённый файл входит в пакет программ, который можно заново установить с дистрибутивных дисков.

  Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска вируса во всех файлах, а вен только в программных файлах, а также  режим поиска в архивах. Если Вы используете архивы видов, не поддерживаемых программой-детектором, то может потребоваться распаковать архив во временны каталог и проверить его содержимое программой-детектором.

  Если  Вы лечили ( а не удаляли ) какие-либо файлы, рекомендуется ещё раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов – ведь некоторые файлы могли быть заражены несколькими вирусами, «наслаивающимися» один на другой.

  Замечание: Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 - . ZIP и LZH, Dr.Web - . ARJ, . ZIP, . LZH, . RAR, . ZOO и . ICE, а Aidstest – не умеет искать вирусы в архивах вообще.

  12. Что могут и  чего не могут  компьютерные вирусы.

  12.1. Вирусофобия.

  У многих пользователей компьютеров  из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентны  публикаций в печати, создаётся своеобразный комплекс боязни вирусов («вирусофобия»). Этот комплекс имеет два проявления.