Реферат: Компьютерные вирусы

Отдел образования администрации Орджоникидзевского района

Исполнитель:

9 “В” класс

Руководитель:

учитель информатики

Екатеринбург 1999 г.

Что такое компьютерный вирус?

          Компьютерныйвирус – это специально написанная небольшая по размерам программа, котораяможет «приписывать» себя к другим программам, а также выполнять различныенежелательные действия на компьютере. Программа, внутри которой находитсявирус, называется «зараженной». Когда такая программа начинает работу, тосначала управление получает вирус. Вирус находит и «заражает» другие программы,а также выполняет какие-нибудь вредные действия (например, портит файлы илитаблицу размещения файлов на диске, «засоряет» оперативную память и   т. д.).Вирус – это программа, обладающая способностью к самовоспроизведению. Такаяспособность является единственным свойством, присущим всем типам вирусов. Вирусне может существовать в «полной изоляции». Это означает, что сегодня нельзяпредставить себе вирус, который бы так или иначе не использовал код другихпрограмм, информацию о файловой структуре или даже просто имена других программ.Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить

передачу себе управления.

Основные типы компьютерных вирусов

        Существует совершенноформальная система, позволяющая классифицировать компьютерные вирусы и называтьих таким образом, чтобы избежать ситуации, когда один и тот же вирус имеетнеузнаваемо разные имена в классификации разных разработчиков антивирусныхпрограмм. Несмотря на это, всё ещё нельзя сказать о полной унификации имён ихарактеристик вирусов. В значительной степени это определяется тем, что кмоменту, когда были сформулированы некоторые «правила игры», уже существовалиантивирусные средства, работающие в собственной системе обозначений. Всеобщаяунификация потребовала бы приложить значительные усилия и модифицироватьпрограммы и документацию. В ряде случаев это было сделано. Мы станем исходитьиз того, что обычному пользователю нет необходимости вникать во все тонкостифункционирования вируса: объекты атаки, способы заражения, особенностипроявления и пр. Но желательно знать, какими бывают вирусы, понимать общуюсхему их работы.

          Средивсего разнообразия вирусов можно выделитьследующие основные группы:

        – загрузочные вирусы;так называют вирусы, заражающие загрузочные секторы дискет и винчестеров;

      – файловые вирусы; в простейшем случае такие вирусы заражаютисполняемые файлы; если с загрузочными вирусами всё более или менее ясно, тофайловые вирусы – это гораздо менее определённое понятие; достаточно, кпримеру, сказать, что файловый вирус может вообще не модифицировать файл(вирусы-спутники и вирусы семейства Dir-II);

        –загрузочно-файловые вирусы; такие вирусыобладают                                       способностью заражать как кодзагрузочных секторов, так и код файлов. Таких вирусов не очень много, но срединих встречаются чрезвычайно злобные экземпляры (например, известный вирусOneHalf).

Вирусы,написанные на т.н. макроязыках, формально являются файловыми, но заражаютне исполняемые файлы, а файлы данных, правда, устроенные так, что ихможно заражать, – это уже на совести издателей программного обеспечения.

Испорченные и зараженныефайлы

Компьютерныйвирус может испортить, т.е. изменить надлежащим образом, любой файл наимеющихся на компьютере дисках. Но некоторые виды файлов вирус может заразить.Это означает, что вирус может «внедриться» в эти файлы, т.е. изменить их так,что они будут содержать вирус, который при некоторых обстоятельствах можетначать свою работу.

Следуетзаметить, что тексты программ и документов, информационные файлы баз данных,таблицы табличных процессоров и другие аналогичные  файлы не могут бытьзаражены вирусом, он может их только испортить.

Вирусом могутбыть заражены следующие виды файлов:

        1. Исполнимые файлы, т.е.файлы с расширениями имени .COM и .EXE, а также оверлейные файлы, загружаемыепри выполнении других программ. Вирус в зараженных исполнимых файлах начинаетсвою работу при запуске той программы, в которой он находится. Наиболее опасныте файловые вирусы, которые после своего запуска остаются в памяти резидентно –они могут заражать файлы и вредить до следующей перезагрузки компьютера. А еслиони заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS,то и при перезагрузке с жесткого диска вирус снова начнёт свою работу.

2. Загрузчик операционнойсистемы и главная загрузочная

запись жесткого диска. Этиобласти поражают загрузочный вирус.

Такой вирусначинает свою работу при начальной загрузке компьютера и становитсярезидентным, т.е. постоянно находится в памяти компьютера. Механизмраспространения – заражение загрузочных записей вставляемых в компьютер дискет.Часто такие вирусы состоят из двух частей, поскольку загрузочная запись иглавная загрузочная запись имеют небольшой размер ив них трудно разместитьцеликом всю программу вируса. Часть вируса, не помещающаяся в них,располагается в другом участке диска, например в конце корневого каталога дискаили в кластере в области данных диска (обычно такой кластер объявляетсядефектным, чтобы программа вируса не была затёрта при записи данных на диск).

3. Драйверыустройств, т.е. файлы, указываемые в приложении Device файла CONFIG.SYS.Вирус, находящийся в них, начинает свою работу при каждом обращении ксоответствующему устройству. Вирусы заражающие драйверы устройств, очень малораспространены, поскольку драйверы редко переписывают с одного компьютера надругой. То же относится и к системным файлам DOS – их заражение такжетеоретически возможно, но для распространения малоэффективно.

Как правило,каждая конкретная разновидность вируса может заражать только один или два типафайлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторыевирусы заражают только .COM-файлы, некоторые – только .EXE-файлы, а большинство– и те и другие. На втором месте по распространенности загрузочные вирусы.Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы,заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусыумеют заражать и исполнимые файлы.

Вирусы, меняющие файловуюсистему

В последнеевремя получили распространение вирусы нового типа – вирусы, меняющие файловуюсистему на диске. Эти вирусы обычно называются Dir. Такиевирусы прячут своё тело в некоторый участок диска (обычно – в последний кластердиска) и помечают его в таблице размещения файлов (FAT)как конец файла. Для всех .COM- и .EXE-файловсодержащиеся в соответствующих элементах каталога указатели на первый участокфайла заменяются ссылкой на участок диска, содержащий вирус, а правильныйуказатель в закодированном виде прячется в неиспользуемой части элементакаталога. Поэтому при запуске любой программы в память загружается вирус, послечего он остаётся в памяти резидентно, подключается к программам DOS для обработки файлов на диске и       

при всех обращениях к элементамкаталога выдаёт правильные ссылки.

Таким образом,при работающем вирусе файловая система на диске кажется совершенно нормальной.При поверхностной просмотре зараженного диска на «чистом» компьютере ничегостранного не наблюдается. Разве лишь при попытке прочесть или скопировать сзараженной дискеты программные файлы в них будут прочтены или скопированытолько 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любойисполнимой программы   с зараженного таким вирусом диска этот диск, как поволшебству, начинает казаться исправным (неудивительно, ведь компьютер при этомстановится зараженным).

При анализе на«чистом» компьютере с помощью программ ChkDsk или NDD файловаясистема зараженного Dir-вирусом диска кажетсясовершенно испорченной. Так, программа ChkDsk выдаёт кучу сообщений о пересечениях файлов («…cross linked on cluster...») и о цепочках потерянных кластеров («… lost clusters found in … chains»). Не следует исправлятьэти ошибки программами ChkDsk илиNDD – при этом диск окажетсябезнадёжно испорченным. Для исправления зараженных этими вирусами дисков надоиспользовать только специальные антивирусные программы     (например, последниеверсии Aidstest).

«Невидимые» и

самомодифицирующиесявирусы

Чтобыпредотвратить своё обнаружение, некоторые вирусы применяют довольно хитрыеприёмы маскировки. Речь пойдёт о двух из них: «невидимых» исамомодифицирующихся вирусах.

«Невидимые»вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращаютсвоё обнаружение тем, что перехватывают обращения DOS(и тем самым прикладных программ) к зараженным файлам и областям диска и выдаютих в исходном (незараженном) виде. Разумеется этот эффект наблюдается только назараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочныхобластях диска можно легко обнаружить.

Заметим,некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже назараженном компьютере. Так, программа ADinf фирмы«Диалог-Наука» для этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSP фирмы «Диалог-МГУ» – «отключает» на время                         

проверки вирус (последний методработает не всегда).

Некоторыеантивирусные программы используют для борьбы с вирусами свойство «невидимых»файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающемвирусе) информацию из зараженных файлов и записывают их на диск в файл илифайлы, где эта информация хранится в неискаженном виде. Затем, уже послезагрузки с «чистой» дискеты, исполнимые файлы восстанавливаются в исходномвиде.

Самомодифицирующиесявирусы. Другой способ, применяемый вирусами для того, чтобы укрыться отобнаружения, – модификация своего тела. Многие вирусы хранят большую частьсвоего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя былоразобраться в механизме их работы. Самомодифицирующиеся вирусы используют этотприём и часто меняют параметры этой кодировки, а кроме того, изменяют и своюстартовую часть, которая служит для раскодировки остальных команд вируса. Такимобразом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов,по которой можно было бы идентифицировать вирус. Это, естественно, затрудняетнахождение таких вирусов программами-детекторами.

Однакопрограммы-детекторы всё же научились ловить «простые» самомодифицирующиесявирусы. В этих вирусах вариации механизма расшифровки закодированной частивируса касаются только использования тех или иных регистров компьютера,констант шифрования, добавления «незначащих» команд и т.д. И программы-детекторыприспособились обнаруживать команды в стартовой части вируса, несмотря намаскирующие изменения в них. Но в последнее время появились вирусы счрезвычайно сложными механизмами самомодификации. В них стартовая часть вирусагенерируется автоматически по весьма сложным алгоритмам: каждая значащаяинструкция расшифровщика передаётся одним из сотен тысяч возможных вариантов,при этом используется более половины всех команд Intel-8088.Проблема распознавания таких вирусов довольно сложна, и полностью надёжногорешения пока не получила. Впрочем, в некоторых антивирусных программах имеютсясредства для нахождения подобных вирусов, а в программе Dr.Web – также и эвристическиеметоды обнаружения «подозрительных» участков программного кода, типичные длясамомодифицирующихся вирусов.

Основные методы защитыот                    компьютерных вирусов

Для защиты отвирусов можно использовать:

– общиесредства защиты информации, которые полезны также и как страховка от физическойпорчи дисков, неправильно работающих программ или ошибочных действийпользователей;

–профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

–    специализированныепрограммы для защиты от вирусов.

Общие средствазащиты информации полезны не только для защиты от вируса. Имеются две основныеразновидности этих средств:

копированиеинформации – создание копий файлов и системных областей дисков;

разграничениедоступа предотвращает несанкционированное использование информации, вчастности, защиту от изменений программ и данных вирусами, неправильноработающими программами и ошибочными действиями пользователей.

Несмотря на то,что общие средства защиты информации очень важны для защиты от вирусов, всё жеих одних недостаточно. Необходимо и применение специализированных программ длязащиты от вирусов. Эти программы можно разделить на несколько видов: детекторы,доктора (фаги), ревизоры (программы контроля изменений в файлах и системныхобластях дисков), доктора-ревизоры, фильтры (резидентные программы для защитыот вирусов) и вакцины (иммунизаторы). Приведём краткие определения этихпонятий, а затем рассмотрим их подробно.

Программы-детекторыпозволяют обнаружить файлы, зараженные одним из нескольких известныхвирусов.

Программы-доктора,или фаги, «лечат» зараженные программы или диски, «выкусывая» иззараженных программ тело вируса, т.е. восстанавливая программу в том состоянии,в котором она находилась до заражения вирусом.

Программы-ревизорысначала запоминают сведения о состоянии программ и системных областейдисков, а затем сравнивают их состояние с исходным. При выявлениинесоответствий об этом сообщается пользователю.

Доктора-ревизоры– это гибриды ревизоров и докторов, т.е. программы, которые не толькообнаруживают изменения в файлах и системных областях дисков, но и могут вслучае изменений автоматически вернуть их в исходное состояние.

Программы-фильтрырасполагаются резидентно в оперативной памяти компьютера иперехватывают те обращения к операционной системе, которые используютсявирусами для размножения и нанесения вреда, и сообщают о них пользователю.

 Программы-вакцины,или иммунизаторы, модифицируют программы и диски такимобразом, что это не отражается на работе программ, но тот вирус, от которогопроизводится вакцинация, считает эти программы или диски уже зараженными. Этипрограммы крайне неэффективны и далее не рассматриваются.

Программы-детекторы идоктора

В большинствеслучаев для обнаружения вируса, заразившего Ваш компьютер, можно найти ужеразработанные программы-детекторы. Эти программы проверяют, имеется ли в файлахна указанном пользователем диске специфическая для данного вируса комбинациябайтов. При её обнаружении в каком-либо файле на экран выводится соответствущеесообщение. Многие детекторы имеют режимы лечения или уничтожения зараженныхфайлов.

Следуетподчеркнуть, что программы-детекторы могут обнаруживать только те вирусы,которые ей «известны». Программа Scan фирмыMcAfee Associatesи Aidstest Д.Н.Лозинскогопозволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч!Некоторые программы-детекторы, например Norton AntiVirus илиAVSP фирмы «Диалог-МГУ», могутнастраиваться на новые типы вирусов, им необходимо указать лишь комбинациибайтов, присущие этим вирусам. Тем не менее невозможно разработать такуюпрограмму, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом,из того, что программа не опознаётся детекторами как зараженная, не следует,что она здорова – в ней могут сидеть какой-нибудь новый вирус или слегкамодифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры

Программы-ревизорыимеют две стадии работы. Сначала они запоминают сведения о состоянии программ исистемных областей дисков (загрузочного сектора и сектора с таблицей разбиенияжесткого диска). Предполагается, что в этот момент программы и системныеобласти дисков не заражены. После этого с помощью программы-ревизора можно влюбой момент сравнить состояние программ и системных областей дисков сисходным. О выявленных

несоответствиях сообщаетсяпользователю.                                                                       

Многиепользователи включают команду запуска программы- ревизора в командный файл AUTOEXEC.BAT, чтобы проверкасостояния программ и дисков проходила при каждой загрузке операционной системы.Это позволяет обнаружить заражение компьютерным вирусом, когда он ещё не успелнанести большого вреда. Более того, та же программа-ревизор сможет найтиповреждённые вирусом файлы.

Программы-фильтры

Одной изпричин, из-за которых стало возможным такое явление, как компьютерный вирус,является отсутствие в операционной системе MS DOS эффективныхсредств для защиты информации от несанкционированного доступа. Из-за отсутствиясредств защиты компьютерные вирусы могут незаметно и безнаказанно изменятьпрограммы, портить таблицы размещения файлов и т.д.

В связи с этимразличными фирмами и программистами разработаны программы-фильтры, илирезидентные программы для защиты от вируса, которые в определённой степенивосполняют указанный недостаток DOS. Эти программырасполагаются резидентно в оперативной памяти компьютера и «перехватывают» теобращения к операционной системе, которые используются вирусами для размноженияи нанесения вреда. Такими «подозрительными» действиями являются, в частности,изменение .COM и .EXE-файлов, снятие с файла атрибута «только для чтения»,прямая запись на диск (запись по абсолютному адресу), форматирование дискаустановка «резидентной» (постоянно находящейся в оперативной памяти) программы.

При каждомзапросе не «подозрительное» действие на экран компьютера выводится сообщение отом, какое действие затребовано и какая программа желает его выполнить. Можнолибо разрешить выполнение этого действия, либо запретить его (рис. 1).

/>

Рис. 1. Запрос на разрешение выполнить«подозрительное» действие.

Некоторыепрограммы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые навыполнение программы на наличие вирусов. Это, понятно, вызывает замедление работыкомпьютера.

Степень защиты,обеспечиваемую программами-фильтрами, не следует переоценивать, посколькумногие вирусы для своего размножения и нанесения вреда обращаютсянепосредственно к программам операционной системы, не используя стандартныйспособ вызова этих программ через прерывания, а резидентные программы длязащиты от вируса перехватывают только эти прерывания. Кроме того,программы-фильтры не помогают от заражения винчестера вирусами, которыераспространяются через загрузочный сектор, поскольку такое заражение происходитпри загрузке DOS, т.е. до запуска любых программ илиустановки драйверов.

Однакопреимущества использования программ-фильтров весьма значительны – они позволяютобнаружить многие вирусы на самой ранней стадии, когда вирус ещё не успелразмножиться и что-либо испортить. Тем самым можно свести убытки от вируса кминимуму.

Что могут и чего не могут

компьютерные вирусы

Из-за незнаниямеханизма работы компьютерных вирусов, а также под влиянием различных слухов инекомпетентных публикаций в печати часто создаётся своеобразный комплекс боязнивирусов, т.н. «вирусофобия». Этот комплекс имеет два проявления.

       1.  Склонность приписыватьлюбое повреждение данных или необычное явление на компьютере действию вирусов.Например, не форматируется дискета, это для «вирусофоба» не возможный дефектдискеты или дисковода, а действие вируса. Если на жёстком диске появляетсясбойный блок, то в этом тоже, разумеется, виноват вирус. На самом же деленеобычные явления на компьютере чаще вызваны ошибками пользователя, программили дефектами оборудования.

      2. Преувеличенныепредставления о возможностях вирусов. Некоторые думают, например, чтодостаточно вставить в дисковод зараженную дискету, чтобы компьютер заразилсявирусом. Распространено также мнение, что для компьютеров, объединённых

в сеть, или даже просто стоящих водной комнате, заражение одного компьютера обязательно тут же приведёт кзаражению остальных. 

Лучшимлекарством от вирусофобии является знание того, как работают вирусы, что онимогут и чего не могут. Вирусы являются обычными программами и не могутсовершать никаких сверхъестественных действий.

Для того чтобыкомпьютер заразился вирусом, необходимо, чтобы на нём хотя бы один раз былавыполнена программа, содержащая вирус. Поэтому первичное заражение компьютеравирусом может произойти в одном из следующих случаев:

        – на компьютере былавыполнена зараженная программа типа .COM или .EXE илизараженный модуль оверлейной программы­;

        – компьютер загружался сдискеты, содержащей зараженный загрузочный сектор;             

–    накомпьютере была установлена зараженная операционная система или зараженныйдрайвер устройства;

Отсюда следует,что нет никаких оснований бояться заражения компьютера вирусом, если:

–    накомпьютер переписываются тексты программ, документов, информационные файлы базданных или табличных процессоров и т.д. Эти файлы не являются программами, апоэтому они не могут быть заражены вирусом;

–    нанезараженном компьютере производится копирование файлов с одной дискеты надругую. Если компьютер «здоров», то ни он сам, ни копируемые дискеты не будутзаражены вирусом. Единственный вариант передачи вируса в этой ситуации – этокопирование зараженного файла: при этом его копия, разумеется, тоже будет «заражена»,но ни компьютер, ни какие-то другие файлы заражены не будут;

–    спомощью имеющихся на жестком диске незараженного компьютера текстовыхпроцессоров, табличных процессоров, систем управления базами данных и другихпрограмм обрабатываются информационные файлы, содержащиеся на дискетах.        

Действия при заражениивирусом

При заражениикомпьютера вирусом (или при подозрении на это) важно соблюдать четыре правила.

1.   Преждевсего не надо торопиться и принимать опрометчивых решений – непродуманные действиямогут привести не только к потере части файлов которые можно было бы ивосстановить, но и к повторному заражению компьютера.

2. Однодействие должно быть выполнено немедленно – надо выключить компьютер, чтобывирус не продолжал своих разрушительных действий.      

      3. Все действия пообнаружению вида заражения и лечению компьютера следует выполнять только призагрузке компьютера с защищённой от записи «эталонной» дискеты с операционнойсистемой. При этом следует использовать только программы (исполнимые файлы),хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила можетпривести к очень тяжелым последствиям, поскольку при загрузке DOS или запуске программы с зараженного диска в компьютере можетбыть активирован вирус, а при работающем вирусе лечение компьютера будетбессмысленным, т.к. оно будет сопровождаться дальнейшим заражением дисков ипрограмм. 

4. Еслииспользуется резидентная программа-фильтр для защиты от вируса, то наличиевируса в какой-либо программе можно обнаружить на самом раннем этапе, когдавирус не успел ещё заразить другие программы и испортить какие-либо файлы. Вэтом случае следует перезагрузить DOS сдискеты и удалить зараженную программу, а затем переписать эту программу сэталонной дискеты или восстановить её из архива. Для того чтобы выяснить, неиспортил ли вирус каких-то других файлов, следует запустить программу-ревизордля проверки изменений в файлах, желательно с широким списком проверяемыхфайлов. Чтобы в процессе проверки не продолжать заражение компьютера, следуетзапускать исполнимый файл программы-ревизора, находящийся на дискете.

Лечениекомпьютера. В случае, когда вирус уже успел заразить или испортить какие-тофайлы на дисках компьютера, необходимо выполнить следующие действия.

1.    Перезагрузить операционную систему DOS с заранее подготовленной эталонной дискетой. Эта дискета,как и другие дискеты, используемые при ликвидации последствий заражениякомпьютерным вирусом, должна быть снабжена наклейкой для защиты от записи,чтобы вирус не смог заразить или испортить файлы на этих дискетах. Заметим, чтоперезагрузку не следует выполнять с помощью сочетания клавиш Ctrl+Alt+Del, т.к. некоторые вирусы ухитряются «переживать» такуюперезагрузку.

2.    Если для компьютера имеется программа для установки конфигурации (онавызывается при нажатии определенной комбинации клавиш во время начальнойзагрузки компьютера), то следует выполнить эту программу и проверить, правильноли установлены параметры конфигурации компьютера, т.к. они могут быть испорченывирусом. Если они установлены неправильно, то их  надо переустановить. 

3.    Если имеются программы-детекторы для обнаружения того вируса, которымзаражен компьютер, следует запустить эти программы для проверки дисковкомпьютера. Чтобы найти нужную программу, можно поочередно запускать имеющиесяпрограммы-детекторы для проверки зараженного диска (при этом лучше неиспользовать те режимы программ-детекторов, в которых они лечат или удаляют безподтверждения зараженные файлы). Сначала имеет смысл запускать программы,обнаруживающие сразу несколько вирусов, например Scan или Aidstest. Если какая-либо изпрограмм-детекторов сообщит о том, что она нашла вирус, то её надо использоватьв процессе устранения последствий заражения компьютера вирусом, как это описанодалее. Следует заметить, однако, что очень часто компьютеры заражаются сразунесколькими вирусами, поэтому, обнаружив один вирус, не следует успокаиваться,в компьютере может быть и второй, и третий вирус.

4.    Далее следует последовательно обезвредить все диски, которые моглиподвергнуться заражению вирусом, как это описано ниже. Заметим, что еслижесткий диск в компьютере разделён на несколько логических дисков, то призагрузки с дискеты может быть доступен только один логический диск – тот, скоторого загружается операционная система DOS. В этомслучае следует сначала обезвредить логический диск, с которого загружается DOS, а затем загрузиться с жесткого диска и обезвредитьдругие логические диски.

 Лечениедиска. Если на диске для всех нужных файлов имеются копии в архиве, прощевсего заново отформатировать диск, а затем восстановить все файлы на этом дискес помощью архивных копий. Предположим теперь, что на диске имеются нужныефайлы, копий которых нет в архиве. Для определённости будем считать, что этот дискнаходится на дисководе (В:). Необходимо выполнить следующие действия.

1.   Запуститьдля диска программу-детектор, обнаруживающую тот вирус, заражению которымподвергается компьютер (если не ясно, какой детектор обнаруживает вирус,следует запускать программы-детекторы по очереди, пока одна из них не обнаружитвирус). Режим лечения при этом лучше не устанавливать.

Еслипрограмма-детектор обнаружила загрузочный вирус, можно смело использовать еёрежим лечения для устранения вируса. При обнаружении вируса типа Dir его также надо удалить с помощьютой или иной антивирусной программы, не коем случае не используя для этогопрограммы типа NDD и ChkDsk.       

2.   Теперь,когда известно, что вирусов типа Dir надиске нет, можно проверить целостность файловой системы и поверхности

диска с помощью программы NDD: NDD B: \C. Если поврежденияфайловой системы значительны, то целесообразно скопировать с диска все нужныефайлы, копий которых нет в архиве, на дискеты и заново отформатировать диск.Если диск имеет сложную файловую структуру, то можно попробоватьоткорректировать её с помощью программы DiskEdit из комплекта NortonUtilites.

3.   Еслисведения о файлах на диске для программы-ревизора сохранились, то полезнозапустить программу-ревизор для диагностики изменений в файлах. Это позволитустановить, какие файлы были заражены или испорчены вирусом. Еслипрограмма-ревизор выполняет также и функцию доктора, можно доверить ей ивосстановление испорченных файлов.

4.   Удалить с дискавсе ненужные файлы, а также файлы, копии которых имеются в архиве. Те файлы,которые не были изменены вирусом (это можно установить с помощьюпрограммы-ревизора), удалять не обязательно.

        Ни  в коем случае нельзяоставлять на диске .COM- и .EXE-файлы,для которых программа-ревизор сообщает, что они были изменены. Те .COM- и .EXE-файлы, о которыхнеизвестно, изменены они вирусом или нет, следует оставлять на диске только присамой крайней необходимости.

5.  Если диск, который вы обрабатываете, является системным (т.е. снего можно загрузить операционную систему DOS), то нанего следует заново записать загрузочный сектор и файлы операционной системы.Это можно сделать командой SYS.

6.   Есликомпьютер заразился файловым вирусом и вы не производили лечения с помощьюревизора-доктора, следует выполнить программу-доктор для лечения данного диска.Зараженные файлы, которые программа-доктор не смогла восстановить, следуетуничтожить. Разумеется, если на диске остались только те файлы, которые немогут заражаться вирусом (например, исходные тексты программ и документы), топрограмму для уничтожения вируса для данного диска выполнять не надо.

7.   С помощьюархивных копий следует восстановить файлы, размещавшиеся на диске.

8.   Если вы неуверены в том, что в архиве не было зараженных файлов, и у имеется программадля обнаружения или уничтожения той версии вируса, которой был зараженкомпьютер, то следует ещё раз выполнить эту программу для диска. Если на дискебудут обнаружены зараженные файлы, то те из них, которые можно восстановить спомощью программы для уничтожения вируса, надо скопировать в архив, а остальные– удалить с диска и из архива.

        Такой обработке следуетподвергнуть все диски, которые могли     

быть заражены или испорченывирусом.

Если имеетсяхорошая антивирусная программа-фильтр, целесообразно после заражения компьютеравирусом хотя бы некоторое время работать только запустив эту программу.

Профилактика против

заражения вирусом

Меры по защитеот вирусов можно разбить на несколько групп.

Копированиеинформации и разграничение доступа:

1.    Необходимо иметь архивные или эталонные копии используемых пакетовпрограмм и данных и периодически архивировать те файлы, которые вы создавалиили изменяли. Перед архивацией файлов целесообразно проверить их на отсутствиевирусов с помощью программы-детектора (например, AidsTest и Dr.Web). Важно,чтобы информация копировалась не слишком редко – тогда потери информации при еёслучайном уничтожении будут не так велики.

2.    Целесообразно также скопировать на дискеты сектор с таблицей разделенияжесткого диска, разгрузочные сектора всех логических дисков и содержимое CMOS (энергонезависимой памяти компьютера). Копирование ивосстановление этих данных можно сделать с помощью программы Rescue из комплекса NortonUtilities 8.0 (впредыдущих версиях Norton Utilities копирование этих областей на дискету осуществлялосьс помощью пункта «Create rescue diskette»программы DiskTool, а их восстановление – с помощьюпункта «Restore rescue diskette»той же программы).

3.    Следует устанавливать защиту от записи на дискетах с файлами, которые ненадо изменять. На жестком диске целесообразно создать логический диск,защищенный от записи, и разместить на нём программы и данные, которые не надоизменять.

4.    Не следует переписывать программное обеспечение с других компьютеров(особенно тех, к которым могут иметь доступ различные безответственные лица),т.к. оно может быть заражено вирусом. Однако следует заметить, чтораспространяемые производителями «фирменные» дискеты с программами, какправило, не содержат вирусов.

        Проверка поступающихизвне данных:

1. Всепринесенные извне дискеты перед использованием следует проверить на наличиевируса с помощью программ- детекторов. Это полезно делать даже в тех случаях,когда нужно использовать на этих дискетах только файлы с данными – чем    

раньше будет обнаружен вирус, темлучше. Для проверки можно использовать программу AidsTest.Например, для проверки дискеты А: следует ввести команду: AIDSTEST A: /S /G. Здесь режим /S задаёт медленную работу для поиска испорченных вирусов, арежим /G – проверку всех файловна диске.

2.   Еслипринесённые программы записаны на дискеты в сархивированном виде, следуетизвлечь файлы из архива и проверить их сразу после этого. Например, если файлыизвлечены в каталог C:\TEMP, тонадо ввести команду AIDSTEST C:\TEMP\*.* /S/G.

3.   Еслипрограммы из архивов можно извлечь только программой установки пакета программ,то надо выполнить установку этого пакета и сразу после этого проверитьзаписанные на диск файлы, как это описано выше. Желательно выполнять установкупри включенной резидентной программе-фильтре для защиты от вирусов.

       Защита от загрузочныхвирусов:

1.  На компьютерах,которых содержатся в BIOS программаустановки конфигурации позволяет отключить загрузку с дискеты, желательно этосделать, тогда никакие загрузочные вирусы не страшны.

2.  Если требуетсязагрузить компьютер с дискеты, то нужно пользоваться только защищенной отзаписи «эталонной» дискетой с операционной системой.

Заразная «Мелиса»

Недавно в газете«Труд» опубликована заметка о новом компьютерном супервирусе под названием«Мелиса» – по имени девушки из стрип-бара (Флорида, США). Девид Смит, обвиняемыйв написании и засылке в компьютерную сеть вируса нового поколения, пошелсовременным революционным путём. Он вписал свой вирус в программу электроннойпочты и, учитывая крайнюю популярность секс-сайтов Интернета, тем самымпредугадал его взрывное распрастранение. Его послания с вирусом (с примечанием,что это почта от друзей) приняли первые посетители дискуссионной группы Alt.sex, и сразу же каждый изполучателей немедленно привёл в действие программу, которая разослала 50 копийписьма их собственным друзьям, используя адресную книгу в их комутационнойпрограмме. В тексте письма –список секс-сайтов и перечень паролей к ним. Всчитанные часы цепная реакция охватила компьютерные сети на всех пятиконтинентах планеты. «Мелиса» не была столь уж убийственной, она лишь слегкаизменяла программу–

редактор, прячась в ней. Смитпоказал, как легко могут распространятся в компьютерах программы на многоопаснее «Мелисы».

Компании,специализирующиеся на выпуске антивирусных программ уже объявили онеобходимости создания принципиально новой защиты. Программы будущего, по ихсловам, будут способны вырабатывать у компьютеров некий иммунитет, какизвестным, так и новым «инфекциям», различать неизвестные вирусы и уничтожатьих ещё до того, как они доберутся до дисков компьютерной памяти.       

/>

ИСПОЛЬЗУЕМАЯЛИТЕРАТУРА

1.  Информатика. Компьютерные вирусы. Приложение к газете «Первое сентября»№ 37, 1997 г.

2.  В.Э.Фигурнов. IBM PC для пользователя. 1996 г.

3.  Газета «Труд», статья. За апрель, 1999 г.  

КОМПЬЮТЕРНЫЕ ВИРУСЫ

Рефератпо информатике

ученика9”в” класса

среднейшколы № 67

                                                                       Новикова Александра

г.Екатеринбург