Реферат: Вирусы

СОДЕРЖАНИЕ

Введение

1.Антивирусные программы

2.Профилактика против заражения вирусом

3.Действия при заражении вирусом

4.Что могут и чего не могут компьютерные вирусы

5.Методы маскировки вирусов

6.Особые виды вирусов

Списокиспользованной литературы


ВВЕДЕНИЕ

Компьютерныйвирус — это специально написанная, как правило, небольшаяпо размерам программа, которая может записывать (внедрять) свои копии(возможно, измененные) в компьютерные программы, расположенные в исполняемыхфайлах, системных областях дисков, драйверах, документах и т.д., причем этикопии сохраняют возможность к «размножению».

Процессвнедрения вирусом своей копии в другую программу (системную область диска ит.д.) называется заражением, а программа или иной объект, содержащийвирус — зараженным.

Функционированиевирусов.

Когдазараженная программа начинает работу, то сначала управление получает вирус.Вирус находит и «заражает» другие программы или иные объекты, а также можетвыполнить какие-нибудь вредные действия. Затем вирус передает управление тойпрограмме, в которой он находится, и она работает так же, как обычно. Тем самымвнешне работа зараженной программы выглядит так же, как и незараженной.

Резидентныевирусы.

Многиеразновидности вирусов устроены так, что при запуске зараженной программы вирусостается резидентно, т.е. до перезагрузки DOS,в памяти компьютера. В этом случае вирус может вплоть до перезагрузкикомпьютера заражать программы и выполнять вредные действия на компьютере. Приэтом такие вирусы часто обычно стараются обеспечить свою активизацию и послеперезагрузки компьютера. Имеются даже вирусы, выживающие после выключения компьютераили нажатия кнопки «Reset» с последующейзагрузкой с чистой системной дискеты.

Опасныеи неопасные вирусы

Большинствовирусов не выполняет каких-либо действий, кроме своего распространения(заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либосообщений или иных эффектов («приколов»), придуманных автором вируса: игрымузыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировкиили изменения функций клавиш клавиатуры, замедления работы компьютера, созданиявидеоэффектов и т.д. Однако сознательной (или по недомыслию) порчи информацииэти вирусы не осуществляют. Такие вирусы условно называются неопасными.Впрочем, и эти вирусы способны причинить большие неприятности (например,перезагрузки каждые несколько минут вообще не дадут Вам работать).

Опасные и очень опасные вирусы.

Однакооколо трети всех видов вирусов портят данные на дисках — или сознательно, илииз-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректноговыполнения некоторых действий. Если порча данных происходит лишь эпизодически ине приводит к тяжелым последствиям (например, портится лишь.СОМ — файлы призаражении, если длина этих файлов более 64000 байт), то вирусы называютсяопасными. Если же порча данных происходит часто или вирусы причиняютзначительные разрушения (форматирование жесткого диска, систематическоеизменение данных на диске и т.д.), то вирусы называются очень опасными.

Заражаемые объекты.

Компьютерныевирусы отличаются друг от друга по тому, в какие объекты они внедряются, иначеговоря, что они заражают. Впрочем, некоторые вирусы заражают сразу нескольковидов объектов.

Файловыевирусы.

Большинствовирусов распространяется, заражая исполнимые файлы, т.е. файлы с расширениямиимени.СОМ и.ЕХЕ, а также оверлейные файлы (то есть вспомогательныепрограммные файлы, загружаемые при выполнении других программ). Такие вирусыназываются файловыми. Вирус в зараженных исполнимых файлах начинает свою работупри запуске той программы, в которой он находится.

Загрузочныевирусы.

Ещеодин широко распространенный вид вирусов внедряется в начальный сектор дискетили логических дисков, где находится загрузчик операционной системы, или вначальный сектор жестких дисков, где находится таблица разбиения жесткого дискаи небольшая программа, осуществляющая загрузку с одного из разделов, указанныхв этой таблице. Такие вирусы называются загрузочными, или бутовыми (от слова boot— загрузчик). Эти вирусы начинает свою работу при загрузке компьютера сзараженного диска. Загрузочные вирусы всегда являются резидентными и заражаютвставляемые в компьютер дискеты. Встречаются загрузочные вирусы, заражающиетакже и файлы — файлово-загрузочные вирусы.

Дискеты,через которые распространяются загрузочные вирусы, не обязаны быть системными.На любой дискете в начальном секторе имеется загрузчик ОС, но на системнойдискете он находит файлы ОС, загружает их и передает им управление, а нанесистемной дискете — не находит и выводит сообщение «Non-systemdisk» или др. Для заражения компьютеразагрузочным вирусом достаточно всего один раз оставить зараженную дискету вдисководе А: в момент перезагрузки компьютера. При этом вирус заразит жесткийдиск компьютера. И после этого при загрузке с жесткого «диска компьютера будетзапускаться вирус.

Вирусызаражающие драйверы.

Некоторыевирусы умеют заражать драйверы, то есть файлы, указываемые в предложении DEVICEили DEVICEHIGH файла CONFIG.SYS.Вирус, находящийся в драйвере, начинает свою работу при загрузке данногодрайвера из файла CONFIG.SYSпри начальной загрузке компьютера. Обычно заражающие драйверы вирусы заражаюттакже исполнимые файлы или загрузочные сектора дискет, поскольку иначе им неудавалось бы распространяться — ведь драйверы очень редко переписывают с одногокомпьютера на другой. Иногда заражение драйверов используется в качестве этапав стратегии распространения вируса. Например, вирус JEWS-2339при загрузке из исполнимого файла заражает все драйверы, обнаруженные в CONFIG.SYS,а при загрузке зараженного драйвера становится резидентным и заражает все файлына дискетах (а на жестком диске, наоборот, лечит).

Вирусы,заражающие системные файлы DOS.

Оченьредко встречаются вирусы, заражающие системные файлы DOS(IO.SYSили MSDOS.SYS).Эти вирусы активизируются при загрузке компьютера. Обычно такие вирусы заражаюттакже загрузочные сектора дискет, поскольку иначе им не удавалось быраспространяться.

Вирусы,заражающие командные файлы.

Оченьредкой разновидностью вирусов являются вирусы, заражающие командные файлы.Обычно эти вирусы формируют с помощью команд командного файла (командные файлы ECHOи др.) исполнимый файл на диске (как правило, в формате.СОМ), запускают этотфайл, он выполняет размножение вируса и вредящие действия, после чего данныйфайл стирается. Вирус в зараженных командных файлах начинает свою работу привыполнении командного файла, в котором он находится. Иногда вызов зараженногокомандного файла вставляется в файл AUTOEXEC.BAT.

Вирусы,заражающие документы Wordдля Windows.

Летом1995 г. появилась новая разновидность вирусов — вирусы, заражающие документы Wordдля Windows версий 6.0 и7.0. Вследствие распространенности редактора Wordдля Windows такие документыимеются почти на каждом компьютере. Долгое время заражение файлов документовсчиталось невозможным, так как документы не содержали исполнимых программ.Однако программисты фирмы Microsoftвстроили в документы Wordдля Windows мощный языкмакрокоманд WordBasic. При этоммакрокоманды не видны в редактируемом документе — для их просмотра иредактирования надо выбрать в группе меню Tools(Сервис) пункт Macro (Макрос), амного ли пользователей вообще что-то слышали об этом пункте меню… И, какговорится, «вот злонравия достойные плоды!» — на этом WordBasicстало возможно (и даже очень легко) писать вирусы. Запуск вируса происходит приоткрытии на редактирование зараженных документов (ведь заботливые программистыиз Microsoft предусмотрелимакрокоманду AutoOpen, автоматическивыполняющуюся при открытии документа). При этом макрокоманды вирусазаписываются в глобальный шаблон NORMAL.DOT,так что при новых сеансах работы с Wordдля Windows вирус будетавтоматически активирован. При наличии вируса при сохранении редактируемыхдокументов или записи документов на диск под новым именем (командой SaveAs (Сохранить как…)) вирус копируетсвои макрокоманды в записываемый на диск документ, так что тот оказываетсязараженным.

Вирусы,заражающие другие объекты.

Впринципе, возможно заражение и других объектов, содержащих программы вкакой-либо форме — текстов программ, электронных таблиц и т.д. Например, вирус AsmVirus.238заражает файлы программ на языке ассемблера (.ASM-файлы), вставляя тудаассемблерные команды, которые при трансляции порождают код вируса. Однако числопользователей, программирующих на языке ассемблера, невелико, поэтому широкоераспространение такого вируса невозможно.

Электронныетаблицы содержат макрокоманды, в том числе и макрокоманды, автоматическивыполняющиеся при открытии таблицы. Поэтому для них могут быть созданы вирусы,аналогичные вирусам для документов Wordдля Windows. Пока что такиевирусы были созданы для таблиц табличного процессора Excel.

Какправило, каждая конкретная разновидность вируса может заражать только один илидва типа объектов. Чаще всего встречаются вирусы, заражающие исполнимые файлы.Некоторые вирусы заражают только.СОМ-файлы, некоторые — только.ЕХЕ-файлы, абольшинство — и те, и другие. На втором месте по распространенности загрузочныевирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.Остальные вирусы встречаются редко.

Вирусявляется программой, поэтому объекты, не содержащие программ и не подлежащиепреобразованию в программы, заражены вирусом быть не могут. Например,графические файлы форматов .BMP,-PCX, -GIF,.WMF и др. содержат только описаниярисунков, поэтому как бы их вирус ни изменял, при просмотре или иномиспользовании графического файла можно получить искаженный рисунок илисообщения о неправильном формате файла, но вирус при этом запущен быть неможет. Иными словами, не содержащие программ объекты вирус может толькоиспортить, но не заразить. К числу таких объектов относятся текстовые файлы(кроме командных файлов и текстов программ), документы простых редакторовдокументов типа ЛЕКСИКОНа или Multi-Edit,информационные файлы баз данных и т.д.


1. АНТИВИРУСНЫЕ ПРОГРАММЫ

 

Длязащиты от вирусов созданы специальные антивирусные программы, позволяющиевыявлять вирусы, лечить зараженные файлы и диски, обнаруживать и предотвращатьподозрительные (характерные для вирусов) действия. Разумеется, антивирусныепрограммы надо применять наряду с регулярным резервированием данных ииспользованием профилактических мер, позволяющих уменьшить вероятностьзаражения вирусом.

Видыантивирусных программ.

Антивирусныепрограммы можно разделить на виды в соответствии с выполняемыми ими функциями.

Детекторы.

Программы-детекторыпозволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.Некоторые программы-детекторы также выполняют эвристический анализ файлов исистемных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживатьновые, не известные программе-детектору, вирусы. Многие программы-детекторыпозволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы(разумеется, лечение поддерживается только для вирусов, известныхпрограмме-детектору).

Ревизоры.

Программы-ревизорызапоминают сведения о состоянии файлов и системных областей дисков, а припоследующих запусках — сравнивают их состояние с исходным. При выявлениинесоответствий об этом сообщается пользователю. Часто ревизоры можно настроитьтак, чтобы они выдавали сообщения только о подозрительных (характерных длявирусов или недопустимых) изменениях, не беспокоя лишний раз пользователя.

Частопрограммы-ревизоры позволяют также «лечить» зараженные файлы или диск удаляя изних вирусы (это удается сделать почти для всех типов вирусов).

Сторожа.

Программы-сторожа(или фильтры) располагаются резидентно в оперативной памяти компьютера ипроверяют на наличие вирусов запускаемые файлы и вставляемые в дисководыдискеты. При наличии вируса об этом сообщается пользователю. Кроме топ многиепрограммы-сторожа перехватывают те действия, которые используются вирусами дляразмножения и нанесения вреда (скажем, попытку записи в загрузочный сектор илиформатирование жесткого диска), и сообщают о них пользователю. Пользователь можетразрешить или запретить выполнение соответствующей операции, Программы-сторожапозволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще неуспел размножиться и что-либо испортить. Тем самым можно свеет убытки от вирусак минимуму-

Степеньзащиты, обеспечиваемую программами-сторожами, не следует и переоценивать,поскольку некоторые вирусы для своего размножения и нанесения вреда обращаютсянепосредственно к программам BIOSсистемы, не используя стандартный способ вызова этих программ через прерывания,а резидентные программы для защиты от вирус перехватывают только этипрерывания.

Многиепрограммы-сторожа проверяют перед перезагрузкой, выполняемой по нажатии [Ctrl][AlT][Del]или по запросу программы, вставленные в дисководы дискеты на наличиезагрузочных вирусов. Однако если загрузка осуществляется по нажатию кнопки «Reset»или при включении компьютера, то программы-сторожа ничем помочь не смогут —ведь заражение загрузочным вирусом происходит при загрузке операционнойсистемы, т.е. до запуска любых программ или установки драйверов.

Иногдаприменяются также программы-вакцины, или иммунизаторы, они модифицируютпрограммы и диски таким образом, что это не отражается на работе программ, нотот вирус, от которого производится вакцинация, считает эти программы или дискиуже зараженными. Эти программы малоэффективны и далее не рассматриваются.

Использованиеантивирусных программ.

Ниодин тип антивирусных программ по отдельности не дает, к сожалению, полнойзащиты от вирусов. Поэтому никакие простые советы типа «вставьте в командузапуска программы Aidstestв AUTOEXEC.BAT»не будут достаточными. Однако совместное использование антивирусных программдает неплохие результаты, так как они хорошо дополняют друг друга:

•поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяютпрограммой-детектором. Если эти данные забыли проверить и зараженная программабыла запущена, ее может «поймать» программа-сторож. Правда, в обоих случаяхнадежно обнаруживаются лишь вирусы, известные этим антивирусным программам.Неизвестные вирусы детекторы и сторожа, не включающие в себя эвристическийанализатор, не обнаруживают вовсе (пример — программа Aidstest),имеющие такой анализатор — обнаруживают не более чем в 80—90% случаев;

•сторожа могут обнаруживать даже неизвестные вирусы, если они очень «нагло» себяведут, например, пытаются отформатировать жесткий диск или внести изменениясистемные файлы или области диска на жестком диске. Впрочем, некоторые вирусыумеют обходить такой контроль. Более мелкие пакости вирусов (изменениепрограммных файлов, запись в системные области дискет и т.д.) обычно неотслеживаются, так как эти действия выполняются не только вирусами, но имногими программами;

•если вирус не был обнаружен детектором или сторожем, то результаты егодеятельности обнаружит программа-ревизор.

Какправило, программы-сторожа должны работать на компьютере постоянно, детекторы —использоваться для проверки поступающих из внешних источников данных (файлов идискет), а ревизоры — запускаться раз в день для выявления и анализа измененийна дисках. Разумеется, все это должно сочетаться с регулярным резервированиемданных и использованием профилактических мер, позволяющих уменьшить вероятностьзаражения вирусом.

Посколькуфункции детектора, ревизора и сторожа дополняют друг друга, то в современныеантивирусные комплекты программ обычно входят компоненты, реализующие все этифункции. При этом часто функции детектора и ревизора совмещаются в однойпрограмме.

Пример.В антивирусном комплексе NortonAntiVirus функциидетектора ревизора выполняет основная программа комплекса (NAVW.EXEили NAVW32.EXE),функции сторожа — отдельная резидентная программа (NAVTSR.EXEили NAVBRES.EXE).

Вантивирусном комплекте DSAVфирмы «Диалог-Наука» функции детектора и ревизора выполняются отдельнымипрограммами (причем в качестве детекторов предлагается использовать сразу двепрограммы — Aidstest и Dr.Web). Однако некоторые элементыинтеграции в этом комплексе все же есть: программа-ревизор ADinfможет формировать список измененных файлов, а программы Aidstestи Dr. Web— проверять файлы только из этого списка. Это заметно сокращает время проверкижестких дисков на наличие вирусов.

Ав качестве фильтра фирма «Диалог-Наука» предлагает аппаратно-программныйкомплекс Sheriff, который позволяетна аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов:изменение загрузочных областей дисков, системных файлов DOS,иных файлов по указанию пользователя. Такая защита гораздо надежнее, чемпрограммная, поскольку ее ни один вирус обойти не может. Однако Sheriffимеет и недостаток — он не проверяет запускаемые программы на наличие вирусов.

2. ПРОФИЛАКТИКА ПРОТИВ ЗАРАЖЕНИЯ ВИРУСОМ

Внастоящем разделе описываются меры, которые позволяют уменьшить вероятностьзаражения компьютера вирусом, а также обнаружить заражение, если оно произошло,как можно раньше. Если Вы будете неуклонно применять данные меры «компьютернойгигиены», то на Вашем компьютере вряд ли заведутся вирусы (подобно тому, как учистоплотного и соблюдающего меры гигиены человека вряд ли заведутся вши).

Нарядус профилактическими мерами против заражения вирусом необходимо использовать иобщие меры, обеспечивающие сохранность данных: регулярное создание резервныхкопий, использование методов ограничения доступа к данным и т.д.

Проверкаданных, поступающих извне.

Всепринесенные дискеты или полученные извне (скажем, по электронной почте) файлыперед использованием следует проверить на наличие вируса с помощьюпрограмм-детекторов. Не используйте и не запускайте принесенные извнепрограммы, назначение которых Вам непонятно.

Еслиполученные файлы содержатся в архивах, следует извлечь их из, архивов ипроверить программами-детекторами сразу после этого (впрочем, некоторыепрограммы-детекторы могут просматривать отдельные типы архивов сами). Еслифайлы из архивов можно извлечь только программой установки пакета программ, тонадо выполнить установку этого пакета и сразу после этого проверить записанныена диск файлы, как это описано выше. Желательно выполнять установку при включеннойрезидентной программе-стороже для защиты от вирусов.

Неследует переписывать программное обеспечение с других компьютеров (особеннотех, к которым могут иметь доступ различные безответственные лица), так как ономожет быть заражено вирусом. Автор не считает возможным вдаваться здесь вобсуждение моральных и юридических аспектов нелегального копирования программ,однако он хочет заметить, что распространяемые производителями программногообеспечения «фирменные» дискеты с программами, как правило, не содержатвирусов.

Периодическаяпроверка на наличие вирусов.

Желательнообеспечить ежедневную проверку дисков на наличие вирусов. Один способ —вставить в командный файл AUTOEXEC.BAT,выполняемый при начальной загрузке DOS,вызов программы или командного файла для проверки на наличие вирусов. В главе40 описано, как сделать, чтобы эта программа или командный файл вызывались нечаще одного раза в день. Так, при использовании антивирусного комплекта DSAV«Диалог-Наука» можно из файла AUTOEXEC.BATвызвать командный файл, запускающий программу-ревизора ADinf, которыйсоставляет список измененных файлов, используемый затем программами-детекторамиAidstest и Dr.Web(это позволяет существенно сократить время проверки). Пример такого командногофайла включен в комплект поставки антивирусного комплекта DSAV.

Приработе в среде Windows,Windows 95 и т.д. дляежедневного выполнения проверки на наличие вирусов можно использоватьпрограммы-планировщики типа Schedulerиз Norton Desktopfor Windows,System Agentиз Microsoft Plus!(пакетадополненийдляWindows 95), Norton Commander Scheduler изNorton Commander дляWindows 95 и т.д.

Защитаот загрузочных вирусов.

Еслипрограмма установки конфигурации компьютера позволяет отключить загрузку сдискеты, желательно сделать это, тогда Вам никакие загрузочные вирусы не будутстрашны.

Напрочих компьютерах перед перезагрузкой с жесткого диска убедитесь, что вдисководе А: нет какой-либо дискеты. Если там имеется дискета, то откройтедверцу дисковода перед перезагрузкой.

ЕслиВы хотите перезагрузить компьютер с дискеты, пользуйтесь только защищенной отзаписи «эталонной» дискетой с операционной системой.

Защитаот вирусов документов Wordдля Windows.

Вирус,заражающие документы Wordдля Windows, запускаютсяблагодаря тому, что в них имеется макрокоманда AutoOpen,автоматически запускающаяся при открытии документа. Однако запуск этоймакрокоманды (как и ее «коллег» — AutoExec,AutoNew, AutoCloseи AutoExit, выполняющихся призапуске Word, создании новогодокумента, закрытии документа и выходе из Word)блокируется при нажатии клавиши [Shift].Так что Вы можете нажимать [Shift]при открытии полученных со стороны документов, и никакой вирус, заражающийдокументы Word для Windows,Вам будет не страшен.

Однаколучше не надеяться на то, что Вы всегда будете нажимать в нужный момент клавишу[Shift] — подобноесовершенство не присуще человеческой природе. Лучше создать макрокоманду сименем AutoExec, отключающую запуск макрокоманды AutoOpen(а заодно и AutoNew, AutoCloseи AutoExit), и поместить ее вглобальный шаблон NORMAL.DOT. Для этого надо выбрать в группеменю Tools (Сервис) пункт Macro(Макрос), в выведенном запросе в поле MacroName (Имя) ввести имя макрокоманды —AutoExec, в поле Macrosavailable in(Макросы из) — выбрать значение Normal.dot(Global Template)(Обычный (общий шаблон)). Затем щелкните кнопку Create(Создать) и введите текст макрокоманды (первая и последняя строки там ужебудут, так что Вам останется только вставить между ними вторую строчку):

Sub MAIN

DisableAutoMacros

End Sub

Затемнажмите [Ctrl] [S],и Word внесет изменения в глобальныйшаблон. Теперь макрокоманда AutoExec будет всегда выполняться при запуске Word,отключая автоматический запуск макрокоманд, в том числе запуск макрокоманды AutoOpen.

Дляпрограмм-детекторов следует периодически обновлять их версии. Новые вирусысейчас появляются каждую неделю, и при использовании версий программполугодовой или годовой давности очень вероятно заражение таким вирусом,который этим программам будет неизвестен.

Длянекоторых программ (например, NortonAntiVirus, AntiviraToolkit Pro)для обновления не надо покупать новую версию программы, а следует лишьпереписать с помощью модема новую версию базы данных со сведениями о вирусах.Обычно это можно делать бесплатно.

Фирма«Диалог-Наука» позволяет приобрести годовой абонемент, позволяющий получатьсамые последние версии программ Aidstest,Dr.Web,ADinf и ADinfExtпо электронной почте или через BBSфирмы «Диалог-Наука». При продлении годового абонемента предоставляется скидка50%. Последние версии базы данных со сведениями о вирусах для программы NortonAntiVirus можно бесплатносписать по модему с FTP-сервера ftp.symantec.comили с WWW-сервера www, Symantec.com.В обоих случаях обновление версий выполняется не реже одного раза в месяц.

 

3. ДЕЙСТВИЯ ПРИ ЗАРАЖЕНИИ ВИРУСОМ

Симптомызаражения вирусом.

Выможете быть уверены, что на Вашем компьютере имеется вирус, если:

•программа-детектор сообщает о наличии известного ей вируса в оперативнойпамяти, в файлах или системных областях на жестком диске;

•программа-ревизор сообщает об изменении файлов, которые не должны изменяться.При этом изменение часто выполняется необычным способом, например, содержаниефайла изменено, а время его модификации — нет;

•программа-ревизор сообщает об изменении главной загрузочной записи жесткогодиска (MasterBoot, она содержит таблицу разделенияжесткого диска) или загрузочной записи (Bootrecord), а Вы не изменялиразбиение жесткого диска, не устанавливали новую версию операционной системы ине давали иных поводов к изменению данных областей жесткого диска;

•программа-сторож сообщает о том, что какая-то программа желает форматироватьжесткий диск, изменять системные области жесткого диска и т.д., а Вы непоручали никакой программе выполнять подобные действия;

•программа-ревизор сообщила о наличии в памяти «невидимых» («стелс») вирусов.Это проявляется в том, что для некоторых файлов или областей дисков при чтениисредствами DOS и при чтении с помощьюпрямых обращений к диску выдается разное содержимое;

•вирус сам Вам представился, выведя соответствующее сообщение.

Выможете подозревать наличие вируса, если:

•антивирусная программа сообщает об обнаружении неизвестного вируса;

•на экран или принтер начинают выводиться посторонние сообщения, символы и т.д.;

•некоторые файлы оказываются испорченными;

•некоторые программы перестают работать или начинают работать неправильно;

•работа на компьютере существенно замедляется.

Впрочем,похожие явления могут вызываться не вирусом, а неправильно работающими программами,сбоями в аппаратуре и т.д.

Призаражении компьютера вирусом (или при подозрении на это) важно соблюдать пятьправил.

1.Прежде всего, не надо торопиться и принимать опрометчивых решений. Какговорится, «семь раз отмерь, один раз отрежь» — непродуманные действия могутпривести не только к потере части данных, которые можно было бы восстановить,но и к повторному заражению компьютера.

2.Тем не менее, одно действие должно быть выполнено немедленно. Если Вы неабсолютно уверены в том, что обнаружили вирус до того, как он успелактивизироваться на Вашем компьютере, то надо выключить компьютер, чтобы вирусне продолжал своих разрушительных действий.

3.Все действия по обнаружению вида заражения и лечению компьютера следуетвыполнять только при правильной (см. ниже) загрузке компьютера с защищенной отзаписи «эталонной» дискеты с операционной системой. При этом следуетиспользовать только программы (исполнимые файлы), хранящиеся на защищенных отзаписи дискетах. Несоблюдение этого правила может привести к очень тяжелымпоследствиям, поскольку при загрузке DOSили запуске программы с зараженного диска в компьютере может быть активированвирус, а при работающем вирусе лечение компьютера будет бессмысленным, так каконо будет сопровождаться дальнейшим заражением дисков и программ.

4.Лечение от вируса обычно несложно, но иногда (при существенных разрушениях,причиненных вирусом) оно очень затруднительно. Если Вы не обладаетедостаточными знаниями и опытом для лечения компьютера, попросите помочь Вамболее опытных коллег.

5.Лечение компьютера от вируса — процесс творческий, поэтому любые рекомендациипо этому поводу (в том числе и приведенные ниже) не надо воспринимать какдогму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, инекоторые рекомендации по борьбе с вирусами из-за этого устареют...

Некоторыепользователи предпочитают лечить компьютер при заражении вирусом, не загружаясьс «чистой» дискеты, считая, что так удобнее. Что ж, раньше были хирурги, несчитавшие нужным мыть руки перед операциями. Одни больные выздоравливали, адругие умирали от внесенной инфекции...

Раннееобнаружение вируса.

ЕслиВы используете резидентную программу-сторожа для защиты от вируса, то наличиевируса можно обнаружить на самом раннем этапе, когда вирус не успел ещеактивизироваться, заразить другие программы или диски и испортить какие-либоданные. Например, при обращении к дискете программа-сторож может вывестисообщение, что на дискете имеется загрузочный вирус, и предложить его удалить.Тогда для удаления вируса достаточно согласиться с предложениемпрограммы-сторожа. Никаких других действий в этом случае предпринимать не надо.Аналогично, если при проверке полученной со стороны дискеты или скачанного поэлектронной почте файла программами-детекторами типа Aidstest,Dr. Webи т.д. было получено сообщение, что дискета или файл содержит вирус, то надовылечить только эту дискету или файл (разумеется, если Вы не загружались сдискеты и не запускали полученные программные файлы).

Правильнаяперезагрузка.

Рассмотримболее сложный случай, когда вирус уже мог активизироваться, а значит, заразитьили испортить какие-то данные на дисках компьютера. При этом надо перезагрузитькомпьютер, начать выявление вируса и затем лечение. Однако перезагрузкукомпьютера надо выполнить правильно, поскольку имеются вирусы, способныевыживать даже при перезагрузке с чистой системной дискеты.

1.Приготовьте системную дискету, про которую Вы точно знаете, что на ней нетвирусов. Убедитесь, что дискета защищена от записи. Вставьте дискету в дисководА: компьютера.

2.Нажмите на кнопку перезагрузки («Reset»)компьютера или выключите компьютер и включите его снова.

3.Сразу после начала загрузки в ответ на соответствующее приглашение нажмитеклавишу или комбинацию клавиш, предназначенных для входа в программуконфигурирования компьютера (SETUP).Чаще всего для входа в эту программу используется клавиша [Del].

4.В программе конфигурирования компьютера убедитесь, что типы дисководов длядискет установлены правильно. Если типы этих дисководов заданы неверно, надо ихисправить. Кроме того, надо проверить установки, отвечающие за порядокначальной загрузки: во многих типах BIOSможно установить, что загрузка сначала осуществляется с жесткого диска, а лишьзатем с дискеты. Если такие установки включены, надо их выключить.

5.Выйдите из программы конфигурирования. Если Вы меняли параметры конфигурациикомпьютера, ответьте утвердительно (обычно для этого надо нажать [Y])на вопрос о том, надо ли записывать новые значения параметров в CMOS.

6.Компьютер загрузится с системной дискеты, и вирус при этом запущен не будет.

Замечания.1. Необходимость в шагах 3-5 приведенной выше процедуры вызвана не только тем,что при неправильных параметрах в CMOSкомпьютер может не загружаться с дискет, но и тем, что существуют вирусы,способные выживать при перезагрузке с дискеты. Эти вирусы исправляют информациюо типах дисководов для дискет в CMOS,например, устанавливая, что этих дисководов якобы не существует. В этом случаепрограмма начальной загрузки загружает компьютер не с дискет, а с жесткогодиска. При этом запускается вирус, который восстанавливает информацию о типахдисководов для дискет в CMOSи продолжает загрузку с дискеты. Шаги 3-5 выше позволяет предотвратитьинициализацию такого вируса.

2.Перезагрузить компьютер желательно даже при обнаружении вирусов, заражающихдокументы Word для Windows:некоторые из этих вирусов заражают также исполнимые файлы.

Лечениекомпьютера от заражения вирусом имеет существенные особенности, отличающие его,скажем, от устранения повреждений файловой системы, то есть системных данных,указывающих расположение данных на дисках.

Лечениедисков программами-детекторами.

1.Мы уже говорили, что все действия по лечению компьютера от вирусов следуетвыполнять только после правильной загрузки компьютера с дискеты, запуская приэтом только программы с защищенных от записи дискет и съемных дисков.

2.Несмотря на то, что вирусы могут испортить файловую систему на дисках(например, отдельные диски могут быть не видны), программы для устранения поврежденийна дисках типа NDD, UnFormatи т.д., следует применять в последнюю очередь. Сначала надо использоватьантивирусные программы-детекторы, так как они лучше знают, как именноконкретный вирус портит файловую систему. Более того, для некоторых видов вирусов(вирусов типа DIR, вирусов, шифрующихинформацию на дисках и т.д.) после лечения программами типа NDD или UnFormatвосстановить информацию на дисках будет невозможно.

3.Обнаружение и излечение от какого-либо вируса не означает, что компьютер «здоров»— компьютер мог быть заражен несколькими вирусами. Поэтому по окончании лечениянадо обязательно еще раз проверить компьютер всеми имеющимися детекторами наотсутствие вирусов. Кстати, даже это не гарантирует отсутствия вирусов — ведькомпьютер может быть заражен вирусом, неизвестным имеющимся у Васпрограммам-детекторам.

Запускпрограмм-детекторов.

Длялечения компьютера надо поочередно проверить с помощью имеющихся у Васпрограмм-детекторов все логические диски, расположенные на жестком диске.Сначала, чтобы оценить ситуацию, желательно запускать программы-детекторы вдиагностическом режиме, без лечения или удаления зараженных объектов.

Выяснениесведений о вирусе.

Есликакая-либо из программ-детекторов сообщит о том, что она нашла известный ейвирус, то желательно прочесть в ее документации или встроенном справочникесведения о данном типе вирусов. Например, в комплект поставкипрограмм-детекторов Aidstestи Dr. Webвходят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусахпозволят Вам оценить возможные последствия заражения и выбрать необходимые мерыпо их устранению. Например, если компьютер оказался заражен неопаснымзагрузочным вирусом, то кроме удаления вируса с жесткого диска и дискет,которыми Вы пользовались, делать ничего не надо. А устранение последствийзаражения вирусом, изменяющим случайно выбранные участки диска, могут бытьгораздо серьезнее — обычно при этом приходится заново устанавливать все пакетыпрограмм с дистрибутивов, а собственные данные — с резервных копий.

Удалениевирусов.

Есликакая-либо из программ-детекторов обнаружила вирус, то следует с помощью этойпрограммы излечить или удалить зараженные объекты. Как правило, для системныхобластей диска программа-детектор предлагает выбрать их излечение илиоставление без изменений, а для файлов — лечение, удаление или оставление безизменений. Удаление зараженных файлов обычно предпочтительнее их лечения, еслизараженный файл входит в пакет программ, который можно заново установить сдистрибутивных дисков.

Чтобыне пропустить вирус в каком-либо файле, желательно задать режим поиска вирусовво всех файлах, а не только в программных файлах, а также режим поиска вархивах. Если Вы используете архивы видов, не поддерживаемыхпрограммой-детектором (см. замечание ниже), то может потребоваться распаковатьархив во временный каталог и проверить его содержимое программой-детектором.

ЕслиВы лечили (а не удаляли) какие-либо файлы, рекомендуется еще раз проверитькомпьютер всеми имеющимися детекторами на отсутствие вирусов — ведь некоторыефайлы могли быть заражены несколькими вирусами, «наслаивающимися» один надругой.

Norton AntiVirusдля Windows поддерживаетархивы формата .ZIP, NortonAntiVirus для Windows95 — .ZIP и LZH,Dr. Web— -ARJ, .ZIP,.LZH, .RAR,.ZOO и .ICE,a Aidstest— не умеет искать вирусы в архивах вообще.

Еслиимеющиеся у Вас программы-детекторы не находят вирусов, то либо этипрограммы-детекторы старые, а заразивший их вирус — новый и неизвестенпрограммам-детекторам, либо вируса на Вашем компьютере нет. Если Вы использовалипрограмму-ревизора, то для выяснения этого вопроса можно запустить даннуюпрограмму и проанализировать изменения на дисках.

ЕслиВы использовали программу-ревизора, например, ADinfиз антивирусного комплекта DSAVфирмы «Диалог-Наука» или NortonAntiVirus в режиме инокуляции(см. главу 51), то после запуска программ-детекторов следует (независимо отрезультата работы с программами-детекторами) запустить программу-ревизора ипроанализировать изменения на дисках. Часто программа-ревизор сама определяетподозрительные симптомы: изменения в системных областях диска, изменения вфайлах при неизменной дате модификации файла и т.д.

Приобнаружении изменений программа-ревизор, как правило, предлагает их исправить(восстановив прежнее состояние), пропустить (при следующей проверке снова будетвыдано сообщение об изменении) или запомнить сведения о данном изменении (тоесть признать его, так сказать, законным).

Лечениеи его последствия.

Вподавляющем большинстве случаев программы-ревизоры восстанавливают прежнеесостояние системных областей дисков и программных файлов правильно. Тем неменее, иногда лечение программами-ревизорами может привести к потере части (илидаже всех) данных на диске. Это происходит, например, если вирус зашифровалкакие-то сектора жесткого диска. Именно поэтому выше я рекомендовал применятьсначала программы-детекторы (которые, зная принципы работы данного вируса,могут расшифровать поврежденные участки диска), а лишь потом —программы-ревизоры.

Неправильноелечение программой-детектором.

Иногдапрограммы-ревизоры выявляют, что излеченный программой-детектором исполнимыйфайл отличается от оригинала (того файла, который был до заражения). Обычно этоозначает, что программа-детектор неправильно распознала тип вируса и излечилафайл неправильно. В этом случае лучше удалить такой файл и восстановить его издругих источников (например, с дистрибутивных дисков).

Чтоделать после лечения.

Послетого, как Вы выявили и удалили с компьютера вирус, надо выполнить следующиедействия.

Следуетпроверить целостность файловой системы и поверхности диска с помощью программы NDD.Если повреждения файловой системы значительны, то целесообразно скопировать сдиска на дискеты (или иные носители) все нужные файлы, резервных копий которыхне имеется, заново отформатировать диск, а затем заново установить все пакетыпрограмм с дистрибутивов, а собственные данные — с резервных копий.

Надозагрузить компьютер с жесткого диска. Если компьютер не загружается, можновосстановить системные файлы и загрузочный сектор логического диска С:загрузившись с дискеты и введя команду SYSС: .

Многиевирусы не только размножаются, но и портят данные. Если Вы не уверены в том,что вирус ничего не испортил, следует сравнить файлы в резервных копиях ссоответствующими файлами на диске. Большинство программ резервного копированияимеют режим сравнения резервной копии с соответствующими файлами на диске. ЕслиВы обнаружите повреждения в файлах, то есть изменения, которых Вы не делали,следует восстановить поврежденные файлы из резервных копий. В этом случаежелательно также заново установить используемые пакеты программ сдистрибутивных дисков, так как вирус мог повредить и эти пакеты программ.

ПрограммаARJ тоже имеет режим сравнениясодержимого архива с соответствующими файлами на диске.

Частоповреждение файла вирусом можно опознать но тому, что у файла изменилосьсодержимое, а дата и время последней модификации — нет.

Еслиобнаружившая вирус программа-детектор не умеет обрабатывать файлы архивовиспользуемого Вами типа, следует проверить содержащиеся на дисках компьютераархивы, распаковывая их по очереди во временный каталог и проверяя содержимоеэтого каталога программой-детектором.

ЕслиВы в тот период, когда компьютер был заражен вирусом, работали с дискетами илисъемными дисками, на которых не была установлена защита от записи, следуетпроверить эти дискеты и диски на наличие вирусов.

Установкаантивирусных программ.

Потребностьв лечении компьютера от вирусов, а тем более, тяжелые последствия заражениявирусом, как правило, связаны с несоблюдением элементарных правил «компьютернойгигиены», описанных в предыдущем параграфе. Если Вы больше не хотите лечитькомпьютер от вирусов, установите на компьютер антивирусные программы ивыполняйте меры антивирусной профилактики (проверка всех полученных извнеданных программами-детекторами, ежедневная проверка жесткого дискапрограммами-ревизорами, использование резидентной программы-сторожа, регулярноеобновление версий антивирусных программ и т.д.).

Прилечении компьютера от вирусов возможны самые сложные случаи, некоторые изкоторых описаны ниже.

ЕслиВы уверены, что на компьютере имеется вирус, а программы-детекторы его необнаруживают, возможно, компьютер заражен новым вирусом или у Вас устаревшиеверсии программ-детекторов. Последние некоммерческие версии (то есть версиидвухмесячной давности) антивирусных программ Aidstestи Dr.Webфирмы «Диалог-Наука» можно бесплатно списать по модему с FTP-сервера ftp.kiam1.rssi.ruили с некоммерческой линии BBSфирмы «Диалог-Наука» (095)938-28-56. В фирме можно приобрести и годовойабонемент, дающий право на оперативное получение самых последних версий этихпрограмм по электронной почте или через BBSфирмы «Диалог-Наука». Последние версии базы данных со сведениями о вирусах дляпрограммы NortonAntiVirus можно бесплатносписать по модему с FTP-сервера ftp.symantec.comили с WWW-сервера www.symantec.com .

Есливирус все-таки не обнаруживается, можно предпринять следующие меры:

•может быть, вируса все-таки нет и зря беспокоиться не надо? Посоветуйтесь сболее опытными специалистами;

•как известно, самое надежное средство от головной боли — гильотина. Скопируйтес зараженного диска на дискеты (или иные носители) все созданные Вами файлы,резервных копий которых не имеется (кроме исполнимых файлов, ими придетсяпожертвовать), заново отформатируйте жесткий диск, а затем заново установитевсе пакеты программ с дистрибутивов, а собственные данные — с резервных копий;

•можно воспользоваться предоставляемыми фирмой «Диалог-Наука» услугами скоройантивирусной помощи с выездом специалиста на место. Естественно, это делаетсядалеко не бесплатно. Информацию по этому поводу можно получить по тел.(095)938-28-55, 938-29-70;

•та же фирма изготавливает по заказам клиентов новые версии программ Aidstestи Dr.Web,обнаруживающие и удаляющие новые вирусы.

Иногдапрограммы-детекторы не могут правильно восстановить загрузочный сектор дискаили главную загрузочную запись жесткого диска. При этом обычно выдаетсясоответствующее сообщение, например;

Возможнонекорректное лечение загрузочного сектора! Продолжить лечение?

Этосообщение может быть вызвано тем, что исходная главная загрузочная запись (MasterBoot Record,MBR) или загрузочный сектор (BootSector) диска не были найденыв секторе, где вирус обычно их «прячет». Причиной тому может быть либопроведенная кем-либо модификация вируса, либо заражение компьютера несколькимизагрузочными вирусами. В подобных случаях обычно лучше отказаться от лечения ивосстановить системные области диска другими средствами, например:

•другой программой-детектором, если она лучше знает данную модификацию вируса;

•со спасательной дискеты, созданной программой Rescue,если Вы сохраняли системные области диска на спасательную дискету;

•командой SYS, если поврежденоказался загрузочный сектор диска;

•командами FDISK/MBR и затем, послеперезагрузки, NDD /REBUILD,если повреждены таблицы разбиения жесткого диска.

Однакоследует иметь в виду, что иногда подобное восстановление системных областейдиска приводит к потере части данных (или всех данных) на диске (например, есливирус зашифровал какие-то сектора жесткого диска).

Есливирус испортил системные области диска или содержимое CMOS-памяти, то жесткийдиск или отдельные его логические диски могут быть вообще «не видны», в томчисле и антивирусным программам. В этом случае следует восстановить соспасательной дискеты, созданной программой Rescue сначала содержимое CMOS-памяти, если это не помогает — то таблицы разбиенияжесткого диска, а если и это не помогает — то загрузочные записи. Чтобы увидеть,помогло или нет то или иное действие, надо перезагрузить компьютер. После этогологические диски должны опознаваться, но содержимое этих дисков может быть всеже недоступно (скажем, если вирус разрушил корневой каталог диска, то дискможет представляться пустым или содержащим «мусор»), В этих случаях следуетсначала попробовать запустить антивирусные программы-детекторы, а если они непомогут, то воспользоваться программами NDD и/или UnFormat.

Еслиспасательной дискеты Вы не создавали, то содержимое CMOS-памяти придетсявосстанавливать вручную с помощью программы конфигурирования компьютера,таблицы разбиения жесткого диска — с помощью команд FDISK/MBRи (после перезагрузки) NDD/REBUILD, а загрузочных записей — с помощью команды SYS. Однако лучше сначалапосмотреть на содержимое жесткого диска программой DiskEdit(если Вы понимаете правила размещения данных на жестком дискt,чтобы выяснить, что же с жестким диском произошло.

Иногдавосстановление системных областей диска приводит к потере части данных (иливсех данных) на диске — например, если вирус зашифровал какие-то сектора диска.

4. ЧТО МОГУТ И ЧЕГО НЕ МОГУТ КОМПЬЮТЕРНЫЕ ВИРУСЫ

 

Умногих пользователей компьютеров из-за незнания механизма работы компьютерныхвирусов, а также под влиянием различных слухов и некомпетентных публикаций впечати, создается своеобразный комплекс боязни вирусов («вирусофобия»), Этоткомплекс имеет два проявления.

1.Склонность приписывать любое повреждение данных или необычное явление накомпьютере действию вирусов. Например, если у «вирусофоба» не форматируетсядискета, то он объясняет это не дефектами дискеты или дисковода, а действиемвирусов. Если программа «зависает», то в этом тоже, разумеется, виноватывирусы. На самом деле необычные явления на компьютере чаще вызваны ошибкамипользователя, программ или дефектами оборудования, чем действием вирусов.

2.Преувеличенные представления о возможностях вирусов. Некоторые пользователидумают, например, что достаточно вставить в дисковод зараженную дискету, чтобыкомпьютер заразился вирусом. Распространено также мнение, что для компьютеров,объединенных в сеть, или даже просто стоящих в одной комнате, заражение одногокомпьютера обязательно тут же приведет к заражению остальных.

Вирусофобиявовсе не так безобидна, как это может показаться на первый взгляд. Онаприводит, например, к следующим последствиям.

1.Принятие неадекватных, я бы даже сказал, экстремистских, мер при появлениивируса или даже при подозрении на наличие вируса. Так, я знаю организацию, вкоторой по приказу начальства были переформатированы жесткие диски на полусотнекомпьютеров из-за сообщений программы Aidstestо том, что в оперативной памяти находится что-то похожее на вирус. Никакиедоводы специалистов, что к таким мерам прибегать нет необходимости, услышаны небыли. В спешке были потеряны сотни человеко-дней работы и множество важныхдокументов. А потом оказалось, что никакого вируса вообще не было, aAidstest «ругался» нарусификатор MicrosoftWord фирмы «ПараГраф», Кстати, в болееновой версии Aidstest никакихсообщений по поводу этого русификатора уже не выдавалось.

2.Неоправданная изоляция от окружающего мира из-за боязни заражения вирусами. Язнаю несколько организаций, в которых все поступающие документы зановонабивались вручную, даже если они уже имелись на дискетах. И опять же никакиедоводы, что при чтении текстового файла с дискеты компьютер никак не можетзаразиться вирусом, не действовали. В результате из-за панической боязнивирусов впустую тратилось огромное количество труда и времени.

3.Расплывчатые (мягко выражаясь) представления многих руководителей оспособностях вирусов позволяют многим пользователям и программистам ссылатьсяна вирусы как на причину любых задержек и трудностей. К сожалению, вбольшинстве случаев фраза «Я все сделал(а), но тут появился вирус и всеиспортил» означает, что за работу вообще не принимались.

Лучшимлекарством от вирусофобии является знание того, как работают вирусы, что онимогут и чего не могут. Вирусы являются обычными программами и не могутсовершать никаких сверхъестественных действий.

Хотявирусы — это всего лишь программы, но зачастую они сделаны с весьма большойизобретательностью и коварством. Так, некоторые вирусы могут:

•обманывать резидентные программы-сторожа, например, выполняя заражение и порчуинформации не с помощью вызовов функций операционной системы, а посредствомпрямого обращения к программам ввода-вывода BIOSили даже портам контроллера жестких дисков или дискет;

•выживать при перезагрузке — как при нажатии [Ctrl][Alt] [Del],так и при загрузке с чистой системной дискеты после нажатия кнопки «Reset»или выключения и включения компьютера;

•заражать файлы в архивах (для извлечения файлов из архива и помещения их вархив вызывается программа-архиватор, а вывод на экран при этом блокируется);

•заражать файлы только при помещении их на дискеты или в архивы (маскируясь темсамым от обнаружения программами-ревизорами);

•бороться с антивирусными программами, например, уничтожая их файлы или портятаблицы со сведениями о файлах программы-ревизора;

•долгое время никак не проявлять своего присутствия, активизируясь черезнесколько недель или даже месяцев после заражения компьютера;

•шифровать системные области дисков или данные на диске, так, что доступ к нимстановится возможен только при наличии данного вируса в памяти.

Чтобыкомпьютер заразился вирусом, необходимо, чтобы на нем хотя бы один раз былавыполнена программа, содержащая вирус, а именно:

•запущен зараженный исполнимый файл или установлен зараженный драйвер;

•произведена начальная загрузка (либо даже попытка начальной загрузки) сзараженной загрузочным вирусом дискеты;

•открыт на редактирование зараженный документ Wordдля Windows или зараженнаяэлектронная таблица Excel.

Отсюдаследует, что нет оснований бояться заражения компьютера вирусом, если:

•на компьютер переписываются файлы, не содержащие программ и не подлежащиепреобразованию в программы, например, графические файлы, текстовые файлы (кромекомандных файлов и текстов программ), документы редакторов документе! типаЛЕКСИКОНа или Multi-Edit,информационные файлы баз данных и т.д.;

• на незараженном компьютере производится копирование файловс одной дискеты на другую или иные действия, не связанные с запуском «чужих»(полученных извне) программ, перезагрузкой с «чужих» дискет или редактированием«чужих» документов Word для Windowsили электронных таблиц Excel.

Крометого, вирус заражает лишь программы, и не может заразить оборудование(клавиатуру, монитор и т.д.). Вирус не может заразить или изменить данные,находящиеся на дискетах или съемных дисках с установленной защитой от записи, атакже данные, находящиеся на аппаратно защищенных (скажем, установкой перемычкина диске или с помощью комплекса Sheriff)логических дисках.

5. МЕТОДЫ МАСКИРОВКИ ВИРУСОВ

Чтобыпредотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемымаскировки. Мы расскажем о некоторых из них.

Многиерезидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружениетем, что перехватывают обращения операционной системы (и тем самым прикладныхпрограмм) к зараженным файлам и областям диска и выдают их в исходном(незараженном) виде. Такие вирусы называются невидимыми, или stealth(стелс) вирусами. Разумеется, эффект «невидимости» наблюдается только назараженном компьютере — на «чистом» компьютере изменения в файлах и загрузочныхобластях диска можно легко обнаружить.

Некоторыеантивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженномкомпьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS.Такими программами являются, в частности, ADinfфирмы «Диалог-Наука», NortonAntiVirus и др.

Некоторыеантивирусные программы используют для борьбы с вирусами свойство «невидимых»файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе)информацию из зараженных файлов и записывают ее в файл или файлы. Затем, ужепосле загрузки с «чистой» дискеты, исполнимые файлы восстанавливаются висходном виде.

Вирусычасто содержат внутри себя различные сообщения, что позволяет заподозрить неладноепри просмотре содержащих вирус файлов или областей дисков. Чтобы затруднитьсвое обнаружение, некоторые вирусы шифруют свое содержимое, так что припросмотре зараженных ими объектов (даже на «чистом» компьютере, то есть когдавирус не активен) никаких подозрительных текстовых строк Вы не увидите.

Ещеодин способ, применяемый вирусами для того, чтобы укрыться от обнаружения, —модификация своего тела. Это затрудняет нахождение таких вирусовпрограммами-детекторами — в теле таких вирусов не имеется ни одной постояннойцепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусыназываются полиморфными, или самомодифицирующимися.

Многиеполиморфные вирусы используют шифрование своего кода, меняя параметры этойкодировки при создании каждой копии. Кроме того, они тем или иным способомизменяют и свою стартовую часть, которая служит для раскодировки остальныхкоманд вируса.

Впростейших полиморфных вирусах вариации их кода ограничиваются использованиемодних регистров компьютера вместо других, добавлением «незначащих» команд ит.д. И программы-детекторы приспособились обнаруживать команды в стартовойчасти вируса, несмотря на маскирующие изменения в них. Но имеются и вирусы счрезвычайно сложными механизмами самомодификации. В них каждая значащаяинструкция передается одним из сотен тысяч возможных вариантов, при этомиспользуется более половины всех команд процессора.

Темне менее, имеются антивирусные программы-детекторы, способные обнаруживать дажетакие сложные полиморфные вирусы. Как правило, они содержат эмулятор(программный эквивалент) процессора, то есть могут интерпретировать программыбез их реального выполнения (на настоящем процессоре). Такие детекторыинтерпретируют анализируемые программы, то есть «выполняют» их на программном эквивалентепроцессора, и в ходе этого «выполнения» решают, является ли анализируемаяпрограмма вирусом или нет. Эта задача очень сложна (точнее, неразрешима),поскольку вирусы не используют каких-то специфических действий, которые неприменялись бы другими программами. Однако лучшие детекторы способныотлавливать неизвестные полиморфные вирусы в более чем 80% случаев при оченьмалом количестве ложных тревог. Примером такой программы является Dr.Web из антивирусного комплекта DSAVфирмы «Диалог-Наука».

Ранниефайловые вирусы при заражении увеличивали длину файлов, что позволяло их легкообнаруживать. Однако затем появились вирусы, не увеличивающие длину файлов. Дляэтого они могут записывать свой код в «пустые» участки внутри файлов, сжиматькод заражаемого файла и т.д. Разумеется, «невидимым» вирусам к таким уловкамприбегать нужды нет.

6. ОСОБЫЕ ВИДЫ ВИРУСОВ

В1991 г. появились вирусы нового типа — вирусы, меняющие файловую систему надиске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторыйучасток диска (обычно — в последний кластер диска) и помечают его в таблицеразмещения файлов (FAT) как конецфайла или как дефектный участок. Для всех

.СОМ- и.ЕХЕ — файлов указатели на первый кластер (участок) файла, содержащиеся всоответствующих элементах каталога, заменяются ссылкой на участок диска,содержащий вирус, а правильный указатель в закодированном виде прячется внеиспользуемой части элемента каталога. Поэтому при запуске любой программы впамять загружается вирус, после чего он остается в памяти резидентно,подключается к программам DOSдля обработки файлов на диске и при всех обращениях к элементам каталога выдаетправильные ссылки.

Такимобразом, при работающем вирусе файловая система на диске кажется совершеннонормальной. При поверхностном просмотре зараженного диска на «чистом»компьютере также ничего странного не наблюдается. Разве лишь при попыткепрочесть или скопировать с зараженной дискеты программные файлы из них будутпрочтены или скопированы только 512 или 1024 байта, даже если файл гораздодлиннее. А при запуске любой исполнимой программы с зараженного таким вирусомдиска этот диск, как по волшебству, начинает казаться исправным (неудивительно,ведь компьютер при этом становится зараженным).

Прианализе на «чистом» компьютере с помощью программ ChkDsk,ScanDisk или NDDфайловая система зараженного DIR-вирусом диска кажется совершенно испорченной.Так, программа ChkDsk выдает кучу сообщений о пересечениях файлов («...crosslinked oncluster...») и о цепочкахпотерянных кластеров («...lostclusters foundin… chains»).

Особаяопасность вирусов семейства DIR состоит в том, что повреждения файловойструктуры, сделанные этими вирусами, на следует исправлять программами типа ScanDiskили NDD — при этом дискокажется безнадежно испорченным. Для исправления надо применять толькоантивирусные программы.

Замечание.Вирусы семейства DIR формально относят к файловым, хотя они меняют не самифайлы, а способ обращения операционной системы к этим файлам.

Ещеодин необычный тип вирусов — это вирусы, заражающие системный файл IO.SYS.Семейство этих вирусов обычно называется ЗАРАЗА, поскольку первый такой вирусвыводил сообщение «В BOOTСЕКТОРЕ — ЗАРАЗА!».

Данныевирусы являются файлово-загрузочными и используют рассогласование между механизмомначальной загрузки DOS и обычныммеханизмом работы с файлами. При начальной загрузке MSDOS проверяется, что имена двух первыхэлементов в корневом каталоге загрузочного диска — IO.SYSи MSDOS.SYS,но атрибуты этих элементов не проверяются. Если имена совпадают, то программаначальной загрузки считывает в память первый кластер элемента с именем IO.SYSи передает ему управление.

Пользуясьэтим несовершенством программы начальной загрузки, вирус ЗАРАЗА при заражениижестких дисков делает следующее:

•копирует содержимое файла IO.SYSв конец логического диска;

•сдвигает элементы корневого каталога, начиная с третьего, на один элемент кконцу каталога;

•копирует первый элемент корневого каталога (соответствующий файлу IO.SYS)в) освободившийся третий элемент корневого каталога и устанавливает в нем номерначального кластера, указывающий на место, куда было скопировано содержимоефайла IO.SYS;

•записывает свое тело в место, где находился файл IO.SYS(как правило, в начало области данных логического диска);

•у первого элемента корневого каталога диска устанавливает признак «метка тома».

Такимобразом, начало оглавления корневого каталога после заражения будет выглядетьпримерно так (при просмотре программой DiskEdit):

Name

 

.Ext

Size

Date

Time

Cluster

Arc

R/0

Sys

Hid

Dir

Vol

Sector

...

I0 SYS 40744 31.05.94 6:22 2

 

R/0 Sys Hid

 

Vol

 

 

MSDOS SYS 38138 14.07.95 23:44 5

 

R/0 Sys Hid

 

 

 

 

I01 SYS 40744 31.05.94 6:22 63616

 

R/0 Sys Hid

 

 

 

Здесьв столбце «Cluster» у первогоэлемента стоит 2 — номер кластера диска, куда вирус записал свое тело (и гдераньше располагался файл IO.SYS),а у третьего элемента в этом столбце указан номер того кластера, начиная скоторого вирус поместил копию файла IO.SYS.

Иначеговоря, в корневом каталоге появляются два элемента с именем IO.SYS,один из которых помечен атрибутом «метка тома». Однако при начальной загрузкеэто не вызывает сбоев — программа начальной загрузки, проверив, что первые дваэлемента каталога имеют имена IO.SYSи MSDOS.SYS,загрузит кластер, указанный в первом элементе оглавления (на обычном диске —это начало файла IO.SYS,а на зараженном код вируса), и передаст ему управление. Вирус загрузит себя воперативную память, после чего загрузит начало исходного файла IO.SYSи передаст ему управление. Далее начальная загрузка идет, как обычно.

Ачто же при обычной работе в DOS?Неужели в корневом каталоге не будут видны два элемента с именем IO.SYS?Оказывается, нет. DOS и все программы(кроме программы. начальной загрузки) будут считать первый элемент каталога,раз он помечен признаком «метка тома», описанием метки диска С:. А меткиигнорируются при обработке файлов и каталогов, поэтому первый элемент с именем IO.SYSне будет виден при просмотре корневого каталога. Разве лишь метка тома для дискаС:, выводимая при вводе команды VOL С:, станет «IOSYS» (некоторые программы будут показывать ее как IOSYS).Однако мало кто из пользователей обращает внимание на метки дисков!

Опасностьвирусов семейства ЗАРАЗА состоит в следующем: даже если загрузить компьютер с«чистой» системной дискеты и ввести команду SYS С:, вирус не будет удален сдиска! Команда SYS, как и остальные программы DOS,проигнорирует указывающий на вирус первый элемент корневого каталога, посчитавего описанием метки. Перезаписан будет лишь «файл-дублер» IO.SYS,описанный в третьем элементе корневого каталога. Причем если программа SYSзапишет файл IO.SYS в новое место на диске, то система перестанет загружаться сжесткого диска, т.к., вирус в своем теле хранит адрес начального сектора исходногофайла IO.SYS.

Поэтомуобеззараживать диски, инфицированные вирусами семейства ЗАРАЗА, командой SYS неследует, это надо делать антивирусными программами. Напомним, то симптомомвируса семейства ЗАРАЗА является метка тома «IO SYS», то есть в ответ накоманду DOSVOL С: выводится:

Volume in drive Сis I0 SYS

Volume SerialNumber is,. .

Вкрайнем случае, можно использовать следующий прием: с помощью программы DiskEditснять у первых трех элементов (первый и третий — с именами IO.SYS,второй — с именем MSDOS.SYS)корневого каталога диска С: на жестком диске атрибуты «скрытый», «системный»,«только для чтения» и «метка тома», переименовав при этим один из элементов сименем IO.SYS,например, в I01.SYS:

Name

 

.Ext

Size

Date

Time

Cluster

Arc

R/0

Sys

Hid

Dir

Vol

Sector

...

I0 SYS 40744 31.05.94 6:22 2

 

 

 

 

 

 

 

 

MSDOS SYS 38138 14.07.95 23:44 5

 

 

 

 

 

 

 

 

I01 SYS 40744 31.05.94 6:22 63616

 

 

 

 

 

 

 

 

ПослеэтогофайлыIO.SYS, IO1.SYS иMSDOS.SYS можно удалитькомандойDel. Теперькоманда SYS С: сможет записать на диск С: чистые системные файлы.


СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1.   Профессиональнаяработа в MS-DOS, Р.Данкан, Мир, 1993.

2.   Microsoft Systems Journal, Sept 1989. ПолученизComputer Library Periodicals, Jan 1990, Doc #14753.

3.   В.Мельников.«Защита информации в компьютерных системах». Москва. «Финансы и статистика».«Электроинформ». 1997.

4.   «Руководствоадминистратора безопасности системы «Secret Net NT». Информзащита.

5.   С.Штайнке.«Идентификация и криптография». LAN\Журнал сетевых решений. 1998. №2.

6.   В.Жельников.«Криптография от папируса до компьютера». ABF. Москва. 1997.

7.   Г.Дейтел.“Введение в операционные системы”. Т.2. Москва. Мир. 1987.

8.   П.Дайсон.“Овладеваем пакетом Norton Utilities 6”. Москва. Мир. 1993.

еще рефераты
Еще работы по информатике, программированию