Компьютерные вирусы

на наличие  загрузочных вирусов. Однако если загрузка осуществляется по

нажатию кнопки «Reset» или по включению компьютера, то программы-сторожа

ничем помочь не смогут – ведь заражение загрузочным  вирусом происходит при

загрузке операционной системы, т.е. до запуска любых программ или установки

драйверов.

3. Иногда применяются  также программы-вакцины, или  иммунизаторы, они

модифицируют  программы и диски таким образом, что это не отражается на роботе

программ, но тот  вирус, от которого производится вакцинация, считает эти

программы или  диски уже заражёнными. Эти программы  малоэффективны и далее не

рассматриваются.

    

7.2. Использование  антивирусных программ.

 

Ни один тип  антивирусных программ по отдельности  не даёт, к сожалению, полной

защиты от вирусов. Поэтому никакие простые советы типа «вставьте команду

запуска программы Aidstest в AUTOEXEC.BAT» не будут достаточными. Однако

совместное  использование антивирусных программ даёт неплохие результаты, так

как они хорошо дополняют друг друга:

1.     Поступающие из внешних источников  данные (файлы, дискеты и т.д.)

проверяются программой-детектором. Если эти данные забыли проверить, и

заражённая  программа была запущена, её может «поймать» программа-сторож.

Правда, в обоих  случаях надёжно обнаруживаются лишь вирусы, известные этим

антивирусным  программам. Неизвестные вирусы детекторы и сторожа, не

включающие  в себя эвристический анализатор, не обнаруживают вовсе (пример –

программа Aidstest), а имеющие такой анализатор –  обнаруживают не более чем в

80-90% случаев.

2.     Сторожа могут обнаруживать даже  неизвестные вирусы, если они очень

нагло себя ведут, например, пытаются отформатировать  жёсткий диск или внести

изменения в  системные файлы или области  диска на жёстком диске. Впрочем,

некоторые вирусы умеют обходить такой контроль. Более  мелкие пакости

вирусов(изменение программных файлов, запись в системные области дискет и

т.д.) обычно не отслеживаются, так как эти действия выполняются не только

вирусами, но и  многими программами.

3.     Если вирус не был обнаружен  детектором или сторожем, то результаты  его

деятельности –обнаружит программа-ревизор.

Как правило, программы-сторожа  должны работать на компьютере постоянно,

детекторы –  использоваться для проверки поступающих  из внешних источников

данных (файлов и дискет), а ревизоры – запускаться  раз в день для выявления и

анализа изменений на дисках.

    

7.3. Антивирусные  комплексы.

 

Поскольку функции  детектора, ревизора и сторожа дополняют  друг друга, то в

современные антивирусные комплекты программ обычно входят компоненты,

реализующие все  эти функции. При этом часто функции детектора и ревизора

совмещаются в  одной программе.

Пример: в антивирусном комплексе Norton antiviral функции детектора  и

ревизора выполняет  основная программа комплекса (NAVW.EXE или NAVW32.EXE), а

функции сторожа  – отдельная резидентная программа (NAVTSR.EXE или

NAVBRES.EXE).

В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции детектора и

ревизора выполняются  отдельными программами (причём в качестве детекторов

предлагается  использовать сразу две программы  – Aidstest и Dr.Web). Однако

некоторые элементы интеграции в этом комплексе всё же есть: программа-ревизор

Adinf может формировать  список измененных файлов, а программа  Aidstest и

Dr.Web – проверять  файлы только из этого списка. Это заметно сокращает время

проверки  жёстких дисков на наличие вирусов.

А в качестве фильтра фирма  «Диалог-Наука» предлагает аппаратно-программный

комплекс Sheriff, который позволяет  на аппаратном уровне выявлять и пресекать

нежелательную деятельность вирусов: изменение загрузочных  областей дисков,

системных файлов DOS, иных файлов по указанию пользователя. Такая защита

гораздо надёжнее, чем программная, поскольку её ни один вирус обойти не

может. Однако, Sheriff имеет и недостаток – он не проверяет запускаемые

программы на наличие  вирусов.

    

7.4. Обновление  антивирусных программ.

 

Для программ-детекторов следует периодически обновлять  их версии. Новые

вирусы сейчас появляются каждую неделю, и при использовании версий программ

полугодовой или  годовой давности очень вероятно заражение таки вирусом,

который этим программам будет неизвестен.

Замечания. 1. Для  некоторых программ (например, Norton AntiVirus ) для

обновления  не надо покупать новую версию программы, а следует переписать с

помощью модема новую версию базы данных со сведениями о вирусах. Обычно это

можно делать бесплатно.

2. Фирма «Диалог-Наука» позволяет приобрести годовой абонемент, позволяющий

получать самые  последние версии программ Aidstest, Dr.Web, Adinf и AdinfExt

по электронной  почте или через BBS фирмы «Диалог-Наука». При продлении

годового абонемента предоставляется скидка 50%. Последние  версии базы данных

со сведениями о вирусах для программы NortonAntiVirus можно бесплатно списать

по модему с FTP-сервера ftp. symantec. com или с WWW-сервера www. symantec.

com. В обоих  случаях обновление версий выполняется  не одного раза в месяц.

    

8. ДЕЙСТВИЯ ПРИ  ЗАРАЖЕНИИ ВИРУСОМ.

 

8.1. Симптомы  заражения вирусом.

 

Вы можете быть уверены, что на Вашем компьютере имеется вирус, если:

·        Программа-детектор сообщает о наличии известного ей вируса в

оперативной памяти, в файлах или системных областях на жёстком диске.

·        Программа-ревизор сообщает об изменении файлов, которые не должны

изменяться. При  этом изменение часто выполняется  необычным способом,

например, содержание файла изменено, а время его  модификации – нет.

·        Программа-ревизор сообщает об изменении главной загрузочной записи

жёсткого диска (Master Boot, она содержит таблицу разделения жёсткого диска )

или загрузочной  записи (Boot record), а Вы не изменяли разбиение  жёсткого

диска, не устанавливали  новую версию операционной системы  и не давали иных

поводов к изменению  данных областей жёсткого диска.

·        Программа-сторож сообщает о том, что какая-то программа желает

форматироать  жёсткий диск, изменять системные  области жёсткого диска и т.д. ,

а Вы не поручали никакой программе выполнять  подобные действия.

·        Программа-ревизор сообщила о наличии в памяти «невидимых» («стелс»)

вирусов. Это  проявляется в том, что для  некоторых файлов или областей дисков

при чтении средствами DOS и при чтении с помощью прямых обращений к диску

выдаётся разное содержимое.

·        Вирус сам Вам представился, выведя соответствующее сообщение.

Вы можете подозревать  наличие вируса, если:

·        Антивирусная программа сообщает об обнаружении неизвестного вируса.

·        На экран или принтер начинают выводиться посторонние сообщения,

символы и т.д.

·        Некоторые файлы оказываются испорченными.

·        Некоторые программы перестают работать или начинают работать

неправильно.

·        Работа на компьютере существенно замедляется.

Впрочем, похожие  явления могут вызываться не вирусом, а неправильно

работающими программами, сбоями в аппаратуре и т.д.

    

8.2. Пять правил  при заражении компьютера вирусом.

 

При заражении  компьютера вирусом ( или при подозрении на это ) важно

соблюдать пять правил.

1.     Прежде всего, не надо торопиться  и принимать опрометчивых явлений.  Как

говориться, « семь раз отмерь, один раз отрежь» - непродуманные действия

могут привести не только к потере части данных, которые можно было бы

восстановить, но и к повторному заражению компьютера.

2.     Тем не менее, одно действие  должно быть выполнено немедленно. Если Вы

не абсолютно  уверены в том, что обнаружили вирус до того, как он успел

активизироваться  на Вашем компьютере, то надо выключить  компьютер, чтобы

вирус не продолжал  своих разрушительных действий.

3.     Все действия по обнаружению  вида заражения и лечению компьютера

следует выполнять  только при правильной загрузке компьютера с защищённой от

записи «эталонной» дискеты с операционной системой. При этом следует

использовать  только программы ( исполнимые файлы ), хранящиеся на защищённых

от записи дискетах. Несоблюдение этого правила может привести к очень тяжёлым

последствиям, поскольку при загрузке DOS или  запуске программы с заражённого

диска в компьютере может быть активирован вирус, а  при  работающем вирусе

лечение компьютера будет бессмысленным, так как оно будет сопровождаться

дальнейшим  заражением дисков и программ.

4.     Лечение от вируса обычно несложно, но иногда ( при существенных

разрушениях, причинённых  вирусом) оно очень затруднительно. Если Вы не

обладаете достаточными знаниями и опытом для лечения компьютера, попросите

помочь Вам  более опытных коллег.

5.     Лечение компьютера от вируса  – процесс творческий, поэтому  любые

рекомендации  по этому поводу не надо воспринимать как догму. Тем более

писатели вирусов  нет-нет, да и придумают что-то новое, и некоторые

рекомендации  по борьбе с вирусами из-за этого  устареют.

Замечание: некоторые  пользователи предпочитают лечить компьютер  при заражении

вирусом, не загружаясь с «чистой» дискеты, считая, что так удобнее. Что ж,

раньше были хирурги, не считавшие нужным мыть руки перед операциями. Одни

больные выздоравливали, а другие умирали от внесённой  инфекции.

    

9. Раннее обнаружение  вируса.

 

Если Вы используете  резидентную программу-сторожа для  защиты от вируса, то

наличие вируса можно обнаружить на самом раннем этапе, когда вирус ещё не

успел активизироваться, заразить другие программы или диски  и испортить

какие-либо данные. Например, при обращении к дискете  программа-сторож может

вывести сообщение, что на диске имеется загрузочный  вирус, и предложить его

удалить. Тогда  для удаления вируса достаточно согласиться  с предложением

программы-сторожа. Никаких других действий в этом случае предпринимать не

надо. Аналогично, если при проверке полученной со стороны  дискеты или

скачанного  по электронной почте файла программами-детекторами типа Aidstest,

Dr.Web и т.д.  было получено сообщение, что  дискета или файл содержит  вирус,

то надо вылечить только эту дискету или файл (разумеется, если Вы не

загружались с  дискеты и не запускали полученные программные файлы ).

    

10. Выяснение  сведений о вирусе.

 

Если какая-либо из программ-детекторов сообщит о  том, что она нашла известный

ей вирус, то желательно прочесть в её документации или встроенном справочнике

сведения о  данном типе вируса. Например, в комплект поставки программ-

детекторов Aidstest и Dr.Web входят текстовые файлы с  описаниями знакомых им

вирусов. Сведения о вирусах позволят Вам оценить  возможные последствия

заражения и  выбрать необходимые меры по их устранению. Например, если

компьютер оказался заражён неопасным загрузочным вирусом, то кроме удаления

вируса с  жёсткого диска и дискет, которыми Вы пользовались, делать ничего не

надо. А устранение последствий устранения вирусом, изменяющим случайно

выбранные участки  диска, могут быть гораздо серьёзнее – обычно при этом

приходиться заново устанавливать все пакеты программ с дистрибутивов, а

собственные данные – с резервных копий.

    

11. Удаление  вирусов.

 

Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью

этой программы излечить или удалить заражённые объекты. Как правило, для

системных областей диска программа-детектор предлагает выбрать их излечение

или оставление без изменений, а для файлов –  лечение, удаление или оставление

без изменений. Удаление заражённых файлов обычно предпочтительнее их лечения,

если заражённый файл входит в пакет программ, который  можно заново установить

с дистрибутивных дисков.

Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска

вируса во всех файлах, а вен только в программных файлах, а также режим

поиска в  архивах. Если Вы используете архивы видов, не поддерживаемых

программой-детектором, то может потребоваться распаковать  архив во временны

каталог и проверить  его содержимое программой-детектором.

Если Вы лечили ( а не удаляли ) какие-либо файлы, рекомендуется ещё раз

проверить компьютер  всеми имеющимися детекторами на отсутствие вирусов – ведь

некоторые файлы  могли быть заражены несколькими  вирусами, «наслаивающимися»

один на другой.

Замечание: Norton AntiVirus для Windows поддерживает архивы формата .ZIP,

Norton AntiVirus для  Windows 95 - . ZIP и LZH, Dr.Web - . ARJ, . ZIP, . LZH,

. RAR, . ZOO и . ICE, а Aidstest – не умеет искать  вирусы в архивах вообще.

    

12. ЧТО МОГУТ  И ЧЕГО НЕ МОГУТ КОМПЬЮТЕРНЫЕ  ВИРУСЫ.

 

12.1. Вирусофобия.

 

У многих пользователей  компьютеров из-за незнания механизма  работы

компьютерных  вирусов, а также под влиянием различных слухов и некомпетентны

публикаций  в печати, создаётся своеобразный комплекс боязни вирусов

(«вирусофобия»). Этот комплекс имеет два проявления.

1.     Склонность приписывать любое  повреждение данных или необычное  явление

на компьютере действию вирусов. Например, если у «вирусофоба» не