Реферат: Компьютерные вирусы

Негосударственное образовательноеучреждение высшего профессионального образования

Институт экономики ипредпринимательства

НОУ «ИНЭП»

Заочное отделение

КОНТРОЛЬНАЯ РАБОТА

По предмету

«Информатика»

на тему

«Компьютерные вирусы»

Студентки группы: М 11 КЗ.

Кепиной Юлии А.

Научный руководитель:

Касаев Марат Борисович

Москва 2010 г


Введение

1. Компьютерные вирусы

а) Что такое компьютерный вирус

б) Испорченные и зараженные файлы

1) Исполнимые файлы

2) Загрузчик операционной системы иглавная загрузочная запись жесткого диска

3) Драйверы устройств

4) INTERNET-вирусы

4.1 Вложенные файлы

4.2 Троянские программы

4.3 HTML-вирусы

4.4 Java-вирусы

в) Вирусы, меняющие файловую систему

г) «Невидимые» исамомодифицирующиеся вирусы

1) «Невидимые» вирусы

2) Самомодифицирующиеся вирусы

д) Что могут и чего не могуткомпьютерные вирусы

2. Основные методы защиты откомпьютерных вирусов

а) действия при заражении компьютернымвирусом

б) Лечение компьютера

в) Профилактика против заражениявирусом

1) Копирование информации иразграничение доступа

2) Проверка поступающих извне данных

3) Подготовка «ремонтногонабора»

4) Защита от загрузочных вирусов

5) Периодическая проверка на наличиевирусов

Заключение

Список источников информации

Введение

 

Раздел «компьютерныевирусы» в информационной прессе в настоящее время буквально пестритразнообразными сообщениями о появлении новых разновидностей вирусных инфекций(в дальнейшем – просто «вирусы»). Но рядом с такими сообщениямивсегда рисуется реклама средств активной и пассивной борьбы с вирусами,приводятся рекомендации по предохранению от заражения и леденящие душу описанияпоследствий и симптомов «заболевания».

Распространение компьютерныхвирусов приобрело такие масштабы, что практически любому пользователю хоть разв жизни пришлось столкнуться с вирусом на своем компьютере. Количествоизвестных вирусов исчисляется тысячами (по подсчетам экспертов в настоящеевремя существует около 3 тысяч вирусов), а хакеры постоянно пишут новые,самоутверждаясь в своих глазах. Надо заметить, что такой способ самоутверждениясильно напоминает привычку писать на заборах, весьма распространенную вопределенных кругах. Но это вопрос более этики, чем технологии. Борцы свирусами идут по пятам их разработчиков. Рынок антивирусных программ внастоящее время выходит на первое место по объему, по крайней мере, по числупродаваемых копий программ. Именно поэтому фирмы стали включать антивирусныесредства в комплекты программ или операционных систем.


 

1. Защита откомпьютерных вирусов

 

а) Что такоекомпьютерный вирус

Компьютерный вирус — этоспециально составленная небольшая по размерам программа, которая может«приписывать» себя к другим программам, файлам (т.е.«заражать» их), а также выполнять различные нежелательные действия накомпьютере (выдавать нежелательные сообщения, портить данные на дисках,«засорять» память компьютера, размножаться и т.д.).

Программа, внутри которойнаходится вирус, называется «зараженной». Когда такая программаначинает работу, то сначала управление получает вирус. Он находит и«заражает» другие программы, а также выполняет какие-нибудь вредныедействия (например, портит файлы или таблицу размещения файлов на диске,«засоряет» оперативную память и т.д.). Для маскировки вируса действияпо заражению других программ и нанесению вреда могут выполняться не всегда, а,скажем, при выполнении определенных условий. После того, как вирус выполнитнужные ему действия, он передает управление той программе, в которой оннаходится, и она работает также, как обычно. Тем самым внешне работа зараженнойпрограммы выглядит так же, как и незараженной. Все действия вируса могутвыполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователюочень трудно заметить, что в компьютере происходит что-то необычное.

Пока на компьютерезаражено относительно мало программ, наличие вируса может быть практическинезаметно. Однако по прошествии некоторого времени на компьютере начинаеттвориться что-то странное, например:

работа на компьютересущественно замедляется;

некоторые файлыоказываются испорченными;

некоторые программыперестают работать или начинают работать неправильно;

на экран (или принтер)выводятся посторонние сообщения, символы, и т.д.

К этому моменту, какправило, уже достаточно много (или даже большинство) тех программ, которыми Выпользуетесь, являются зараженными вирусом, а некоторые файлы и диски — испорченными. Более того, зараженные программы с Вашего компьютера могли ужебыть перенесены с помощью дискет или по локальной сети на компьютеры Вашихколлег или друзей.

Некоторые разновидностивирусов ведут себя еще более коварно. Они сначала незаметно заражают большоечисло программ или дисков, а потом причиняют очень серьезные повреждения,например, форматируют жесткий диск на компьютере. А бывают вирусы, которыестараются вести себя как можно более незаметно, но понемногу портят данные нажестком диске компьютера. Таким образом, если не предпринимать мер по защите отвирусов, то последствия заражения компьютера могут быть очень серьезными.

Для того чтобыпрограмма-вирус была незаметной, она должна быть небольшой. Поэтому, какправило, вирусы пишутся на языке ассемблера. Некоторые авторы таких программсоздали их из озорства, некоторые — из стремления «насолить»кому-либо (например, уволившей их фирме) или из ненависти ко всему родучеловеческому. В любом случае созданная программа-вирус может (потенциально)распространиться на всех компьютерах, совместимых с тем, для которого она быланаписана, и причинить разрушения. Следует принимать во внимание, что написаниевируса — не такая уж сложная задача, вполне доступная изучающемупрограммирование студенту. Поэтому в мире еженедельно появляются все новые иновые вирусы. И многие из них «сделаны» в нашей стране и в другихнедостаточно цивилизованных странах: Болгарии, Пакистане и т.д.


 

б) Испорченные изараженные файлы

Компьютерный вирус можетиспортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся вкомпьютере дисках. Но некоторые виды файлов вирус может «заразить».Это означает, что вирус может «внедриться» в эти файлы, т.е. изменитьих так, что они будут содержать вирус, который при некоторых обстоятельствахможет начать свою работу. Следует заметить, что тексты программ и старых версийдокументов (так сказать DOS-версии), информационные файлы баз данных, таблицытабличных процессоров (DOS-версии) и другие аналогичные файлы не могут бытьзаражены вирусом, он может их только испортить.

Вирусом могут быть«заражены» следующие виды файлов:

1) Исполнимые файлы

Исполнимые файлы, т.е.файлы с расширениями имени COM и EXE, а также оверлейные файлы, загружаемые привыполнении других программ. Вирусы, заражающие файлы, называются файловыми.Вирус в зараженных исполнимых файлах начинает свою работу при запуске тойпрограммы, в которой он находится. Наиболее опасны те файловые вирусы, которыепосле своего запуска остаются в памяти резидентно. Эти вирусы могут заражатьфайлы и вредить до следующей перезагрузки компьютера. А если они заразят любуюпрограмму, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и приперезагрузке с жесткого диска вирус снова начнет свою работу.

 

2) Загрузчикоперационной системы и главная загрузочная запись жесткого диска

Вирусы, поражающие этиобласти, называются загрузочными, или бутовыми. Такой вирус начинает своюработу при начальной загрузке операционной системы и становится резидентным,т.е. постоянно находится в памяти компьютера. Механизм распространения –заражение загрузочных записей вставляемых в компьютер дискет. Как правило, такиевирусы состоят из двух частей, поскольку загрузочные записи имеют небольшойразмер и в них трудно разместить целиком программу вируса. Часть вируса, непомещающаяся в них, располагается в другом участке диска, например в концекорневого каталога диска или в кластере в области данных диска (обычно такойкластер объявляется дефектным, чтобы программа вируса не была затерта призаписи данных на диск ).

3) Драйверы устройств:

Драйверы устройств, т.е.файлы, указываемые в предложении DEVICE файла CONFIG.SYS. Вирус, находящийся вних, начинает свою работу при каждом обращении к соответствующему устройству.Вирусы, заражающие драйверы устройств, очень мало распространены, посколькудрайверы редко переписывают с одного компьютера на другой. То же самоеотносится и к системным файлам DOS (MSDOS.SYS и IO.SYS) — их заражение такжетеоретически возможно, но для распространения вирусов малоэффективно.

4) INTERNET-вирусы

В последнее время сувеличение числа пользователей появились. Вот некоторые из разновидностей этихвирусов:

4.1 Вложенные файлы. Рассмотрим типичную ситуацию: выполучили электронное письмо, во вложении к которому находится документMicrosoft WORD. Конечно, вы захотите поскорее познакомиться с содержанием файла,благо при использовании большинства современных почтовых программ для этогодостаточно щелкнуть мышкой на имени этого файла.

И ЭТО — ОШИБКА!

Если в файле содержитсямакрокомадный вирус (а вирусы этого типа, заражающие документы Microsoft WORD,Microsoft EXCEL и ряд других популярных систем документооборота, получили впоследнее время огромное распространение), он немедленно заразит вашу систему.Так что же делать с вложенным документом? Потратить несколько лишних секунд:сохранить его на диск, проверить антивирусной программой последней версии итолько потом, если вирусов нет, открывать. Есть другие решения. Например,имеются антивирусные программы, осуществляющие автоматическую проверкуприходящей электронной почты. Если вы используете программу — сторож, то приоткрытии зараженного файла обязательно получите предупреждение (точнее, вампросто не дадут открыть зараженный файл). Ведь сторожу совершенно безразлично,напрямую вы открываете документ или «из-под» почтовой программы.

4.2 Троянскиепрограммы. Известныетроянские программы, распространяющиеся через Интернет, по существу,представляют собой утилиты для удаленного администрирования компьютера. Прощеговоря, посредством такой программы злоумышленник может получить доступ квашему компьютеру и выполнить на нем различные операции (практически любые) безвашего ведома и участия.

Характернымпредставителем описанного типа является программа BASK ORIFICE (BO). BOявляется системой удаленного администрирования, позволяющей пользователюконтролировать компьютеры при помощи обычной консоли или графической оболочки.«В локальной сети или через Интернет ВО предоставляет пользователю большевозможности на удаленном WINDOWS-компьютере, чем имеет сам пользователь этогокомпьютера», — это текст из «рекламного» объявления на одной иххакерских web-страниц. Разумеется, возможность удаленного администрированиявашего компьютера представляет серьезную опасность, но не такую большую, каккажется на первый взгляд. Обычные пользователи проводят в Сети не так много времени(качество телефонных линий этому способствует), да и что такого«интересного» с точки зрения хакера, можно сделать на вашемкомпьютере? Оказывается, можно, только администрировать ничего не надо.Существенный интерес для хакера представляют пароли, которые вы используете дляработы с сервером провайдера. Заполучив пароль, хакер может запросто«просадить» все ваши денежки. К счастью, троянцев, умеющих выполнятьуказанные функции, довольно мало и все они успешно детектируются антивируснымипрограммами.

4.3 HTML-вирусы. Вирусы данного типа встречаютсяредко, так что информация о них представляет скорее «академический»интерес, нежели практический. Суть такова: на самом языке HTML, которыйиспользуется для разметки гипертекстовых документов, никакие вирусы, конечно,написать нельзя. Но для создания динамических страниц, организациивзаимодействия с пользователем и прочих действий используются программныевставки (скрипты) в HTML-документы. Известные HTML-вирусы используют скрипты,написанные на языке VISUAL BASIC. С их помощью, находя HTM и HTML-файлы налокальной машине, и записываются в них. Иногда такие вирусы как-нибудьпроявляют себя (например, выводят сообщения). Малому распространению вирусовданного типа (равно как и малому их числу) способствует то, что при стандартныхнастройках браузера выполнение «опасных» (к таковым относятся и те, вкоторых происходит обращение к файлам локального компьютера) скриптовзапрещено. Обычные же, «безопасности», скрипты не могут производитьописанные манипуляции.

4.4 Java-вирусы. В настоящее время известны двавируса, написанные на языке JAVA. Опасности они практически не представляют.Кратко поясним, в чем суть: исполняемые модули программ, написанных на JAVA(CLASS-файлы), бывают двух типов: приложения и апплеты. Приложения выполняютсяпод управлением интерпретатора и являются почти обычными программами (почти,ибо имеют все же некоторые ограничения, например, в области работы с памятью).Апплеты, в отличие от приложений, могут выполняться под управлением браузеров,но на них накладываются значительно более серьезные ограничения для обеспечениябезопасности: апплеты в частности, не имеют почти никакого доступа к файловойсистеме компьютера (в отличие от случая со скритами, отключить данноеограничение в браузере невозможно), таким образом, JAVA-вирусы могут бытьоформлены только как приложения и для подавляющего большинства пользователейопасности не предоставляют. Как правило, каждая конкретная разновидность вирусаможет заражать только один или два типа файлов. Чаще всего встречаются вирусы,заражающие исполнимые файлы. Некоторые вирусы заражают только EXE файлы,некоторые — только COM, а большинство — и те и другие. На втором месте пораспространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, изагрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаютсякрайне редко; обычно такие вирусы умеют заражать и исполнимые файлы.

в) Вирусы, меняющие файловую систему

 

В последнее времяполучили распространение вирусы нового типа -вирусы, меняющие файловую системуна диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело внекоторый участок диска (обычно — в последний кластер диска) и помечают его втаблице размещения файлов (FAT) как конец файла. Для всех COM- и EXE-файловсодержащиеся в соответствующих элементах каталога указатели на первый участокфайла заменяются ссылкой на участок диска, содержащий вирус, а правильныйуказатель в закодированном виде прячется в неиспользуемой части элементакаталога. Поэтому при запуске любой программы в память загружается вирус, послечего он остается в памяти резидентно, подключается к программам DOS дляобработки файлов на диске и при всех обращениях к элементам каталога выдаетправильные ссылки. Таким образом, при работающем вирусе файловая система надиске кажется совершенно нормальной. При поверхностном просмотре зараженногодиска на «чистом» компьютере также ничего странного не наблюдается.Разве лишь при попытке прочесть или скопировать с зараженной дискетыпрограммные файлы из них будут прочтены или скопированы только 512 или 1024байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программыс зараженного таким вирусом диска этот диск, как по волшебству, начинаетказаться исправным (неудивительно, ведь компьютер при этом становитсязараженным). При анализе на «чистом» компьютере с помощью программChkDsk или NDD файловая система зараженного DIR-вирусом диска кажетсясовершенно испорченной. Так, программа ChkDsk выдает кучу сообщений опересечениях файлов ("… cross linked on cluster..." ) и о цепочкахпотерянных кластеров ("… lost clusters found in… chains"). Неследует исправлять эти ошибки программами ChkDsk или NDD — при этом дискокажется совершенно испорченным. Для исправления зараженных этими вирусамидисков надо использовать только специальные антивирусные программы (например,последние версии Aidstest).

г) «Невидимые» исамомодифицирующиеся вирусы

 

Чтобы предотвратить своеобнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Ярасскажу о двух из них: «невидимых» (Stealth) и самомодифицирующихсявирусах:

1) «Невидимые»вирусы

Многие резидентные вирусы(и файловые, и загрузочные) предотвращают свое обнаружение тем, чтоперехватывают обращения DOS (и тем самым прикладных программ) к зараженнымфайлам и областям диска и выдают их в исходном виде. Разумеется, этот эффектнаблюдается только на зараженном компьютере — на «чистом» компьютереизменения в загрузочных областях диска можно легко обнаружить. Замечу, чтонекоторые антивирусные программы могут все же обнаруживать«невидимые» вирусы даже на зараженном компьютере. Такие программы дляэтого выполняют чтение диска, не пользуясь услугами DOS (например, ADinf).

2) Самомодифицирующиесявирусы

Другой способ,применяемый вирусами для того, чтобы укрыться от обнаружения, — модификациясвоего тела. Многие вирусы хранят большую часть своего тела в закодированномвиде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме ихработы. Самомодифицирующиеся вирусы используют этот прием и часто меняютпараметры этой кодировки, а кроме того, изменяют и свою стартовую часть,которая служит для раскодировки остальных команд вируса.

Таким образом, в телеподобного вируса не имеется ни одной постоянной цепочки байтов, по которойможно было бы идентифицировать вирус. Это, естественно, затрудняет нахождениетаких вирусов программами-детекторами. Однако программы-детекторы все женаучились ловить «простые» самомодифицирующиеся вирусы. В этихвирусах вариации механизма расшифровки закодированной части вируса касаютсятолько использования тех или иных регистров компьютера, констант шифрования,добавления «незначащих» команд и т.д. И программы-детекторыприспособились обнаруживать команды в стартовой части вируса, несмотря намаскирующие изменения в них. Но в последнее время появились вирусы счрезвычайно сложными механизмами самомодификации. В них стартовая часть вирусагенерируется автоматически по весьма сложным алгоритмам: каждая значащаяинструкция расшифровщика передается одним из сотен тысяч возможных вариантов,при этом используется более половины всех команд Intel-8088. Проблемараспознавания таких вирусов надежного решения пока не получила.

Что могут и чего немогут компьютерные вирусы

У многих пользователейЭВМ из-за незнания механизма работы компьютерных вирусов, а также под влияниемразличных слухов и некомпетентных публикаций в печати создается своеобразныйкомплекс боязни вирусов («вирусофобия»). Этот комплекс имеет двапроявления:

1. Склонность приписыватьлюбое повреждение данных или необычное явление действию вирусов. Например, еслиу «вирусофоба» не форматируется дискета, то он объясняет это недефектами дискеты или дисковода, а действием вирусов. Если на жестком дискепоявляется сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На самомделе необычные явления на компьютере чаще вызваны ошибками пользователя,программ или дефектами оборудования, чем действием вирусов.

2. Преувеличенныепредставления о возможностях вирусов. Некоторые пользователи думают, например,что достаточно вставить в дисковод зараженную дискету, чтобы компьютерзаразился вирусом. Распространено также мнение, что для компьютеров простостоящих в одной комнате, заражение одного компьютера обязательно тут жеприводит к заражению остальных.

Заражение компьютеравирусом может произойти в одном из следующих случаев:

на компьютере былавыполнена зараженная программа типа COM или EXE или зараженный модульоверлейной программы (типа OVR или OVL);

компьютер загружался сдискеты, содержащей зараженный загрузочный сектор;

на компьютере былаустановлена зараженная операционная система или зараженный драйвер устройства.

Отсюда следует, что нетникаких оснований бояться заражения компьютера вирусом, если:

на незараженномкомпьютере производится копирование файлов с одной дискеты на другую. Есликомпьютер «здоров», то ни он сам, ни копируемые дискеты не будутзаражены вирусом. Единственный вариант передачи вируса в этой ситуации — этокопирование зараженного файла: при этом его копия, разумеется, тоже будет«заражена», но, ни компьютер, ни какие-то другие файлы заражены небудут;

2. Основные методызащиты от компьютерных вирусов

 

Для защиты от вирусовможно использовать:

общие средства защитыинформации, которые полезны также и как страховка от физической порчи дисков,неправильно работающих программ или ошибочных действий пользователей;профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

специализированныепрограммы для защиты от вирусов.

Общие средства защитыинформации полезны не только для защиты от вируса. Имеются две основныеразновидности этих средств:

копирование информации — создание копий файлов и системных областей дисков;

разграничение доступапредотвращает несанкционированное использование информации, в частности, защитуот изменений программ и данных вирусами, неправильно работающими программами и ошибочнымидействиями пользователей.

Несмотря на то, что общиесредства защиты информации очень важны для защиты от вирусов, все же их однихнедостаточно. Необходимо и применение специализированных программ для защиты отвирусов. Эти программы можно разделить на несколько видов:

Программы-детекторыпозволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.

Программы-доктора, или«фаги», «лечат» зараженные программы или диски,«выкусывая» из зараженных программ тело вируса, т.е. восстанавливаяпрограмму в том состоянии, в котором она находилась до заражения вирусом.

Программы-ревизорысначала запоминают сведения о состоянии программ и системных областей дисков, азатем сравнивают их состояния с исходным.

При выявлениинесоответствий об этом сообщается пользователю.

Доктора-ревизоры — этогибриды ревизоров и докторов, т.е. программы, которые не только обнаруживаютизменения в файлах и системных областях дисков, но и могут в случае измененийавтоматически вернуть их в исходное состояние.

Программы-фильтрырасполагаются резидентно в оперативной памяти компьютера и перехватывают теобращения к операционной системе, которые используются вирусами для размноженияи нанесения вреда, и сообщают о них пользователю. Пользователь может разрешитьили запретить выполнение соответствующей операции. Следует учесть, что ни одинтип антивирусных программ в отдельности не может полностью защитить от вирусови поэтому советы типа «вставьте команду запуска Aidstest вAUTOEXEC.BAT» не будут достаточными.

Наилучшей стратегиейзащиты от вирусов является комплексная многоуровневая защита:

Перед первым этапомследует разместить программы-детекторы, позволяющие проверять вновь полученноепрограммное обеспечение на наличие вирусов;

На первом этаперазмещаются программы-фильтры, т.к. они первыми сообщат о работе вируса ипредотвратят заражение программ и дисков;

На втором этаперазмещаются ревизоры и доктора: они позволяют обнаружить вирусы,«пробившиеся» через первый этап, а затем вылечить зараженныепрограммы, но следует учитывать, что они не всегда лечат правильно и идеальнымвариантом было бы иметь копию нужных программ в архивах на дискетах, защищенныхот записи.

Самый главный этап защиты- разграничение доступа, которое не позволяет проникшим вирусам и неверноработающим программам испортить важные данные.


а) Действия при заражении компьютернымвирусом

 

При заражениикомпьютера вирусом (или при подозрении на это) важно соблюдать четыре правила:

1. Прежде всего, не надоторопиться и принимать опрометчивых решений: опрометчивые действия могутпривести не только к потере части файлов, которые можно было бы восстановить,но и к повторному заражению компьютера.

2. Тем не менее, однодействие должно быть выполнено немедленно надо выключить компьютер, чтобы вирусне продолжал своих разрушительных действий.

3. Все действия пообнаружению последствий заражения и лечению компьютера следует выполнять толькопри перезагрузке компьютера с защищенной от записи «эталонной» дискетыс операционной системой.

При этом следуетиспользовать только программы (исполнимые файлы), хранящиеся на защищенных отзаписи дискетах. Несоблюдение этого правила может привести к очень тяжелымпоследствиям, поскольку при перезагрузке DOS или запуске программы сзараженного диска в компьютере может быть активирован вирус, а при работающемвирусе лечение компьютера будет бессмысленным, так как оно будет сопровождатьсядальнейшим заражением дисков и программ.

4. Если Вы не обладаетедостаточными знаниями и опытом для лечения компьютера, попросите помочь Вамболее опытных коллег. Если Вы используете резидентную программу-фильтр длязащиты от вируса, то наличие вируса в какой-либо программе можно обнаружить насамом раннем этапе, когда вирус не успел еще заразить другие программы ииспортить какие-либо файлы. В этом случае следует перезагрузить DOS с дискеты иудалить зараженную программу, а затем переписать эту программу с эталоннойдискеты или восстановить ее из архива. Для того, чтобы выяснить, не испортил ливирус каких-то других файлов, следует запустить программу — ревизор дляпроверки изменений в файлах, желательно с широким списком проверяемых файлов.Чтобы в процессе проверки не продолжать заражение компьютера, следует запускатьисполнимый файл программы-ревизора, находящийся на дискете.

б) Лечение компьютера

 

Рассмотрим более сложныйслучай, когда вирус уже успел заразить или испортить какие-то файлы на дискахкомпьютера. При этом эксперты рекомендуют следующие действия:

1. Перезагрузить операционнуюсистему DOS с заранее подготовленной эталонной дискеты. Эта дискета, как идругие дискеты, используемые при ликвидации последствий заражения компьютернымвирусом, должна быть снабжена наклейкой для защиты от записи (пятидюймовыедискеты) или открыта защелка защиты от записи (трёхдюймовые дискеты), чтобывирус не мог заразить или испортить файлы на этих дискетах. Замечу, чтоперезагрузку не следует выполнять с помощью «Alt+Ctrl+Del», так какнекоторые вирусы ухитряются «переживать» такую перезагрузку.

2. Если для Вашегокомпьютера имеется программа для установки конфигурации (для моделей IBM PC ATи PS/2 она имеется всегда; часто она вызывается при нажатии определеннойкомбинации клавиш во время начальной загрузки компьютера), следует выполнитьэту программу и проверить, правильно ли установлены параметры конфигурациикомпьютера (они могут быть испорчены вирусом). Если они установленынеправильно, их надо переустановить.

3. Далее следует сампроцесс лечения: Если на диске для всех нужных файлов имеются копии в архиве, прощевсего заново отформатировать диск, а затем восстановить все файлы на этом дискес помощью архивных копий. Допустим, что на диске имеются нужные файлы, копийкоторых нет в архиве, например, на диске D: тогда нужно следовать следующим указаниям:

Запустить для дискапрограмму-детектор, обнаруживающую тот вирус, заражению которым подвергсякомпьютер (если Вы не знаете, какой детектор обнаруживает данный вирус,запускайте все имеющиеся программы-детекторы по очереди, пока одна из них необнаружит вирус). Режим лечения при этом лучше не устанавливать. Еслипрограмма-детектор обнаружила загрузочный вирус, Вы можете смело использоватьее режим лечения для устранения вируса. При обнаружении вируса DIR его такженадо удалить с помощью антивирусной программы, ни в коем случае не используядля этого программы типа NDD или ChkDsk.

Теперь (когда известно,что вирусов типа DIR на диске нет) можно проверить целостность файловой системыи поверхности диска с помощью программы NDD: «NDD D: /C». Если поврежденияфайловой системы значительны, то целесообразно скопировать с диска все нужныефайлы, копий которых нет в архиве, на дискеты и заново отформатировать диск.Если диск имеет сложную файловую структуру, то можно попробоватьоткорректировать ее с помощью программы DiskEdit (из комплекса NortonUtilities).

Если Вы сохранялисведения о файлах на диске для программы-ревизора, то полезно запуститьпрограмму — ревизор для диагностики изменений в файлах. Это позволитустановить, какие файлы были заражены или испорчены вирусом. Еслипрограмма-ревизор выполняет также функции доктора, можно доверить ей ивосстановление зараженных файлов.

Удалить с диска всененужные файлы, а также файлы, копии которых имеются в архиве. Те файлы,которые не были изменены вирусом (это можно установить с помощьюпрограммы-ревизора), удалять не обязательно. Ни в коем случае нельзя оставлятьна диске COM- и EXE-файлы, для которых программа-ревизор сообщает, что они былиизменены. Те COM- и EXE-файлы, о которых неизвестно, изменены они вирусом илинет, следует оставлять на диске только при самой крайней необходимости.

5. Если диск, который Выобрабатываете, является системным (т. е. с него можно загрузить операционнуюсистему DOS), то на него следует заново записать загрузочный сектор и файлыоперационной системы (это можно сделать командой SYS из комплекса DOS).

6. Если ваш компьютерзаразился файловым вирусом, и Вы не производили лечение с помощьюревизора-доктора, следует выполнить программу — доктор для лечения данногодиска. Зараженные файлы, которые программа-доктор не смогла восстановить,следует уничтожить. Разумеется, если на диске остались только те файлы, которыене могут заражаться вирусом (например, исходные тексты программ и документы),то программу для уничтожения вируса для данного диска выполнять не надо.

7. С помощью архивныхкопий следует восстановить файлы, размещавшиеся на диске.

8. Если Вы не уверены втом, что в архиве не было зараженных файлов, и у Вас имеется программа дляобнаружения или уничтожения того вируса, которым был заражен компьютер, тоследует еще раз выполнить эту программу для диска. Если на диске будутобнаружены зараженные файлы, то те из них, которые можно восстановить с помощьюпрограммы для уничтожения вируса, надо скопировать в архив, а остальные — удалитьс диска и из архива.

Такой обработке следуетподвергнуть все диски, которые могли быть заражены или испорчены вирусом. Еслиу Вас имеется хорошая антивирусная программа-фильтр (например, VSafe изкомплекса DOS), целесообразно хотя бы некоторое время работать, только запустивэту программу. Также следует учитывать, что часто компьютер заражается сразунесколькими вирусами, поэтому, обезвредив один вирус, следует проверить вседиски на наличие другого.

 


 

в) Профилактика противзаражения вирусом

 

В настоящем разделеописываются меры, которые позволяют уменьшить вероятность заражения компьютеравирусом, а также свести к минимуму ущерб от заражения вирусом, если оновсе-таки произойдет. Вы можете, конечно, использовать не все описываемыесредства для профилактики против заражения вирусом, а только те, которыесчитаете необходимыми.

Меры по защите от вирусовможно разделить на несколько групп.

 

1) Копированиеинформации и разграничение доступа

1. Необходимо иметьархивные или эталонные копии используемых Вами пакетов программ и данных ипериодически архивировать те файлы, которые Вы создавали или изменяли. Передархивацией файлов целесообразно проверить их на отсутствие вирусов с помощьюпрограммы-детектора (например, AidsTest). Важно, чтобы информация копироваласьне слишком редко — тогда потери информации при ее случайном уничтожении будутне так велики. 2. Целесообразно также скопировать надискеты сектор с таблицей разделения жесткого диска, загрузочные сектора всехлогических дисков и содержимое CMOS (энергонезависимой памяти компьютера).Этоможно сделать с помощью пункта «Create rescue diskette» программыDiskTool из комплекса Norton Utilites. Для восстановления этих областейиспользуется пункт «Restore rescue diskette» того же комплекса. 3. Следует устанавливать защиту от записи на дискетах сфайлами, которые не надо изменять. На жестком диске целесообразно создать логическийдиск, защищенный от записи, и разместить на нем программы и данные, которые ненадо изменять.4. Не следует переписывать программное обеспечение с другихкомпьютеров (особенно с тех, к которым могут иметь доступ различныебезответственные лица), так как оно может быть заражено вирусом.

2) Проверкапоступающих извне данных

1. Все принесенные извнедискеты перед использованием следует проверить на наличие вируса с помощьюпрограмм-детекторов. Это полезно делать даже в тех случаях, когда Вы хотитеиспользовать на этих дискетах только файлы с данными — чем раньше Вы обнаружитевирус, тем лучше. Для проверки можно использовать программу AidsTest.

Например, для проверкидискеты A: следует ввести команду: AIDSTEST A: /S /G. Здесь режим /S задаетмедленную работу для поиска испорченных вирусов, а режим /G — проверку всехфайлов надиске.2. Если принесенные программы записаны на дискеты в архивированномвиде, следует извлечь файлы из архива и проверить их сразу же после этого.Например, если файлы извлечены в каталог C:/TIME, то следует ввести команду:AIDSTEST C:TIME*.* /S /G.3. Если программы из архивов можно извлечь толькопрограммой установки пакета программ, то надо выполнить установку этого пакета исразу после этого перезагрузить компьютер (опять же не«Alt+Ctrl+Del»,а «Reset») и проверить записанные на диск файлы, как описано выше.Желательно выполнять установку только при включенной программе-фильтре длязащиты от вирусов (например, Vsafe из комплекта MS-DOS).

3) Подготовка«ремонтного набора»

1. Надо заранееподготовить системную дискету с используемой Вами версией DOS. Это можносделать командой «FORMAT A: /S» или «SYSA:». На эту дискету(если там не хватит места — то на другие дискеты) следует скопировать следующиепрограммы:

программы DOS дляобслуживания дисков: Format, FDisk, Label, Sys и т.д.;

другие часто используемыепрограммы для обслуживания файловой системы на диске, например программы NDD,Disk Edit, Disk Tool, Calibrate, UnErase и т.д., входящие в комплекс программNorton Utilites 7.0;

программу для установкипараметров конфигурации компьютера (такая программа может называться SETUP,SETUP 1, AT SETUP и т.п.), если такая программа имеется в комплексе программ, поставляемыхс Вашим компьютером;

программы для распаковкивсех типов используемых Вами (и Вашими коллегами) архивных файлов: PKUN ZIP,ARJ, LHA, RAR и т.д. Целесообразно на каждую из этих дискет поместить икомандный процессор DOS — файл COMMAND.COM, чтобы при работе с этими дискетамине выдавались сообщения, требующие вставить дискету с файлом COMMAND.COM.

На одну из дискетжелательно с помощью пункта «Create rescue diskette» программыDiskTool из комплекса Norton Utilites скопировать загрузочные сектора жесткогодиска и содержимое CMOS (энергонезависимой памяти) компьютера.

Неплохим решением будетпоместить в «ремонтный набор» комплексную программу-оболочку DOS Navigator:она совмещает в себе массу полезных функций при относительно небольшойзанимаемой памяти на диске (около 670 Kb), например: всевозможные операции сфайлами, DiskEdit, Format, Undelete (Reanimator), Find(поиск), Label, DiskCopy,Calculator, работа с архивами, многое другое (что самое главное — удобное управление).

2. В «ремонтныйнабор» должны входить и программы для обнаружения и уничтожения различныхкомпьютерных вирусов. Выбирайте такие программы, которые хорошо себязарекомендовали, рассчитаны на широкий диапазон вирусов или вирусы, которые не«ловятся» другими программами и проверены на то, что в них самих нетвирусов. Для программ-детекторов следует периодически обновлять их версии(например, программа AidsTest «обновляется» несколько раз в месяц). Новыевирусы сейчас появляются каждую неделю, и при использовании версий программполугодовой или годовой давности очень вероятно заражение таким вирусом,который этим программам не известен.3. На дискетах «ремонтногонабора» следует заклеить прорезь защиты от записи (на трёхдюймовыхдискетах — открыть защелку защиты от записи), чтобы скопированные файлы немогли быть случайно изменены или испорчены.

 

4) Защита отзагрузочных вирусов

1. На компьютерах, вкоторых содержащаяся в BIOS (вызываемая при начальной загрузке с помощьюнажатия определенной комбинации клавиш) программа установки конфигурациипозволяет отключить загрузку с дискеты, желательно сделать это, тогда Вамникакие загрузочные вирусы не страшны. На прочих компьютерах передперезагрузкой с жесткого диска убедитесь, что в дисководе A: нет какой-либодискеты. Если там имеется дискета, то откройте дверцу дисковода передперезагрузкой.

2. Если Вы хотитеперезагрузить компьютер с дискеты, пользуйтесь только защищенной от записи«эталонной» дискетой с операционной системой.

5) Периодическая проверка на наличиевирусов

1. Желательно вставить вкомандный файл AUTOEXEC.BAT, выполняемая лечащая приставка ADInfExt, то приобнаружении зараженных файлов программа ADinf предложит Вам сразу же ихвылечить.

2. Очень простой инадежной проверкой на наличие резидентных вирусов является отслеживаниеизменений в карте памяти компьютера. Опытные пользователи смогут самостоятельнонаписать командные файлы для автоматической проверки наличия резидентныхвирусов.


Заключение

Не следует допускать кработе на компьютере без присмотра посторонних лиц, особенно если они имеютсвои дискеты. Наиболее опасны любители компьютерных игр — они способны нетолько не соблюдать никаких мер предосторожности от вирусов, но и игнорироватьлюбые предупреждения антивирусных средств. Очень часто причиной заражениякомпьютера вирусом являлась принесенная на дискете игра, в которую кто-топоиграл 10-15 минут на компьютере.

В том случае, еслиизбежать доступа случайных лиц к компьютеру невозможно (например, в учебномцентре), целесообразно все или почти все программы, находящиеся на жесткомдиске компьютера, располагать на логическом диске, защищенном от записи.

Нельзя бояться заражения- его нужно остерегаться, в своей работе умело использовать антивирусныесредства, не игнорировать различные предупреждения антивирусных программ, но ине следовать или верить им слепо: в более, чем 85% случаев, необычные действиявызваны не действием вируса, а неверными действиями пользователя или используемыхпрограмм. Можно посоветовать использовать в работе только программы, купленныев фирменных магазинах на эталонных дискетах (естественно защищенных от записи),но практика показывает, что следовать подобным советам абсолютное большинство ине собирается


Список источниковинформации

 

Литературные издания:

1. Сергей Молявко, Герхард Франкен: MS-DOS6.0 для пользователя: — Киев: Торгово-издательское бюро BHV, 1993.

2. Фигурнов В.Э.: IBM PC дляпользователя: — Уфа, ПК «Дегтярёв и сын», НПО «Информатика икомпьютеры», 1993.

3. Электронный журнал«Антивирусное обозрение „Ежики“»,1999

4. Приложение к газете «Первоесентября» — «Информатика», номер 38, 1999

Компьютерные источники:

1. Антивирусная программа-докторDoctor Web (автор — И.А. Данилов).

2. Антивирусный доктор-ревизор ADinf (автор- Д.Ю. Мостовой) с лечащей приставкой A DinExt (авторы — В.С. Ладыгин и Д.Г.Зуев).

3. Антивирусный доктор-ревизор MSAV(Microsoft Anty-Virus) из состава MS-DOS 6.22 (фирма Microsoft).

4. Антивирусная программа-фильтрVSafe из состава MS-DOS 6.22 (фирма Microsoft).

5. Антивирусная программа-доктор AidsTest версия 1721(автор — Д.Н. Лозинский).

еще рефераты
Еще работы по информатике, программированию