Що таке комп'ютерний вірус?
Комп'ютерний вірус - це спеціально написана невелика за розміром програма, яка може «приписувати» себе до інших програм, а також виконувати різні небажані дії на комп'ютері. Програма, всередині якої знаходиться вірус, називається «зараженою». Коли така програма починає роботу, то спочатку управління отримує вірус. Вірус знаходить і «заражає» інші програми, а також виконує які-небудь шкідливі дії (наприклад, псує файли або таблицю розміщення файлів на диску, «засмічує» оперативну пам'ять і т. д.). Вірус - це програма, здатна до самовідтворення. Така здатність є єдиною властивістю, що властиво всім типам вірусів. Вірус не може існувати в «повній ізоляції». Це означає, що сьогодні не можна уявити собі вірус, який би так чи інакше не використовував код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина цього досить зрозуміла: вірус має яких-небудь способом забезпечити
передачу собі управління.
Основні типи комп'ютерних вірусів
Існує абсолютно формальна система, що дозволяє класифікувати комп'ютерні віруси і називати їх таким чином, щоб уникнути ситуації, коли один і той же вірус має невпізнанно різні імена в класифікації різних розробників антивірусних програм. Незважаючи на це, все ще не можна сказати про повну уніфікацію імен і характеристик вірусів. Значною мірою це визначається тим, що до моменту, коли були сформульовані деякі «правила гри», вже існували антивірусні засоби, що працюють у власній системі позначень. Загальна уніфікація зажадала б докласти значних зусиль і модифікувати програми та документацію. У ряді випадків це було зроблено. Ми будемо виходити з того, що звичайному користувачеві немає необхідності вникати у всі тонкощі функціонування вірусу: об'єкти атаки, способи зараження, особливості прояву та ін Але бажано знати, якими бувають віруси, розуміти загальну схему їхньої роботи.
Серед усього розмаїття вірусів можна виділити наступні основні групи:
- Завантажувальні віруси; так називають віруси, що заражають завантажувальні сектори дискет і вінчестерів;
- Файлові віруси; в простому випадку такі віруси заражають виконувані файли; якщо з завантажувальними вірусами все більш-менш зрозуміло, то файлові віруси - це набагато менш визначене поняття; достатньо, наприклад, сказати, що файловий вірус може взагалі не модифіковані файл (віруси -супутники і віруси сімейства Dir-II);
- Завантажувально-файлові віруси; такі віруси мають здатність заражати як код завантажувальних секторів, так і код файла. Таких вірусів не дуже багато, але серед них зустрічаються надзвичайно злобні екземпляри (наприклад, відомий вірус OneHalf).
Віруси, написані на т.зв. макромови, формально є файловими, але заражають не виконувані файли, а файли даних, правда, влаштовані так, що їх можна заражати, - це вже на совісті видавців програмного забезпечення.
Зіпсовані і заражені файли
Комп'ютерний вірус може зіпсувати, тобто змінити належним чином, будь-який файл на комп'ютері, що є на дисках. Але деякі види файлів вірус може заразити. Це означає, що вірус може «потрапити» в ці файли, тобто змінити їх так, що вони будуть містити вірус, який за певних обставин може почати свою роботу.
Слід зауважити, що тексти програм і документів, інформаційні файли баз даних, таблиці табличних процесорів і інші аналогічні файли не можуть бути заражені вірусом, він може їх тільки зіпсувати.
Вірусом можуть бути заражені наступні види файлів:
1. Здійснимих файли, тобто файли з розширеннями імені.COM і.EXE, а також оверлейной файли, що завантажуються при виконанні інших програм. Вірус у заражених здійснимих файлах починає свою роботу під час запуску тієї програми, в якій він знаходиться. Найбільш небезпечні ті файлові віруси, які після свого запуску залишаються в пам'яті резидентної - вони можуть заражати файли і шкодити до наступного перезавантаження комп'ютера. А якщо вони заразилися будь-яку програму, яка завантажується з файлу AUTOEXEC.BAT або CONFIG.SYS, то і при перезавантаженні з жорсткого диска вірус знову почне свою роботу.
2. Завантажувач операційної системи і головна завантажувальна
запис жорсткого диска. Ці області вражають завантажувальний вірус.
Такий вірус починає свою роботу при початковому завантаженні комп'ютера і стає резидентним, тобто постійно знаходиться в пам'яті комп'ютера. Механізм розповсюдження - зараження завантажувальних записів вставляються в комп'ютер дискет. Часто такі віруси складаються з двох частин, оскільки MBR і головна запис завантаження мають невеликий розмір і в них важко мати цілком всю програму вірусу. Частина вірусу, що не поміщаються в них, розташовується в іншій ділянці диска, наприклад наприкінці кореневого каталогу диска або в кластері в області даних диску (зазвичай такий кластер оголошується дефектним, щоб програма вірусу не була затерта при запису даних на диск).
3. Драйвери пристроїв, тобто файли, які вказуються в додатку Device файлу CONFIG.SYS. Вірус, що знаходиться в них, починає свою роботу при кожному зверненні до відповідного пристрою. Віруси заражають драйвери пристроїв, дуже мало поширені, оскільки драйвери рідко переписують з одного комп'ютера на інший. Те ж відноситься і до системних файлів DOS - їх зараження також теоретично можливо, але для розповсюдження малоефективно.
Як правило, кожна конкретна різновид вірусу може заражати тільки один або два типи файлів. Найчастіше зустрічаються віруси, що заражають здійснимих файли. Деякі віруси заражають только.COM-файли, деякі - только.EXE-файли, а більшість - і ті й інші. На другому місці за поширеністю завантажувальні віруси. Деякі віруси заражають і файли, і завантажувальні області дисків. Віруси, що заражають драйвери пристроїв, зустрічаються вкрай рідко, зазвичай такі віруси вміють заражати і виконані файли.
Віруси, що змінюють файлову систему
Останнім часом набули поширення віруси нового типу - віруси, що змінюють файлову систему на диску. Ці віруси зазвичай називаються Dir. Такі віруси ховають своє тіло в деякий ділянку диску (зазвичай - в останній кластер диска) і позначають його в таблиці розміщення файлів (FAT) як кінець файлу. Для всех.COM-і.EXE-файлів містяться у відповідних елементах каталогу покажчики на першу ділянку файлу замінюються посиланням на ділянку диска, що містить вірус, а правильний покажчик у закодованому вигляді ховається в невикористаної частини елемента каталогу. Тому при запуску будь-якої програми в пам'ять завантажується вірус, після чого він залишається в пам'яті резидентної, підключається до програм DOS для обробки файлів на диску і
при всіх зверненнях до елементів каталогу видає правильні посилання.
Таким чином, при працюючому вірус файлова система на диску видається цілком нормальною. При поверхневій перегляді зараженого диска на «чистому» комп'ютері нічого дивного не спостерігається. Хіба лише при спробі прочитати або скопіювати з зараженої дискети програмні файли в них будуть прочитані або скопійовані лише 512 або 1024 байта, навіть якщо файл набагато довше. А при запуску будь-якої виконані програми з зараженого таким вірусом диска цей диск, як за помахом чарівної палички, починає здаватися справним (не дивно, адже комп'ютер при цьому стає зараженим).
При аналізі на «чистому» комп'ютері за допомогою програм ChkDsk або NDD файлова система зараженого Dir-вірусом диска здається зовсім зіпсованою. Так, програма ChkDsk видає купу повідомлень про пересічних файлів ( «... cross linked on cluster ...») і про ланцюжках втрачених кластерів (« ... lost clusters found in ... chains »). Не слід виправляти ці помилки програмами ChkDsk або NDD - при цьому диск виявиться безнадійно зіпсованим. Для виправлення заражених цими вірусами дисків треба використовувати тільки спеціальні антивірусні програми (наприклад, останні версії Aidstest).
«Невидимі» і
самомодіфіцірующіеся віруси
Щоб запобігти своє виявлення, деякі віруси застосовують досить хитрі прийоми маскування. Мова піде про двох з них: «невидимих» і самомодіфіцірующіхся віруси.
«Невидимі» віруси. Багато резидентні віруси (і файлові, і завантажувальні) запобігають своє виявлення тим, що перехоплюють звернення DOS (і тим самим прикладних програм) до заражених файлів і областях диска і видають їх у вихідному (незараженою) вигляді. Зрозуміло цей ефект спостерігається тільки на зараженому комп'ютері - на «чистому» комп'ютері зміни у файлах і завантажувальних областях диска можна легко виявити.
Зауважимо, деякі антивірусні програми можуть виявляти «невидимі» віруси навіть на зараженому комп'ютері. Так, програма ADinf фірми «Діалог-Наука» для цього виконує читання диска, не користуючись послугами DOS, а програма AVSP фірми «Диалог-МГУ» - «відключає» на час
перевірки вірус (останній метод працює не завжди).
Деякі антивірусні програми використовують для боротьби з вірусами властивість «невидимих» файлових вірусів «виліковувати» заражені файли. Вони зчитують (при працюючому вірус) інформацію із заражених файлів і записують їх на диск у файл або файли, де ця інформація зберігається в неспотвореному вигляді. Потім, уже після завантаження з «чистого» дискети, виконані файли відновлюються у початковому вигляді.
Самомодіфіцірующіеся віруси. Інший спосіб, який застосовується вірусами для того, щоб сховатися від виявлення, - модифікація свого тіла. Багато вірусів зберігають велику частину свого тіла в закодованому вигляді, щоб з допомогою дизассемблер не можна було розібратися в механізмі їх роботи. Самомодіфіцірующіеся віруси використовують цей прийом і часто змінюють параметри цієї кодування, а крім того, змінюють і свою стартову частину, яка служить для розкодування інших команд вірусу. Таким чином, в тілі такого вірусу не є ні одні з сталого ланцюжка байтів, по якій можна було б ідентифікувати вірус. Це, звичайно, ускладнює знаходження таких вірусів програмами-детекторами.
Однак програми-детектори все-таки навчилися ловити «прості» самомодіфіцірующіеся віруси. У цих віруси варіації механізму розшифровки закодованою частини вірусу стосуються тільки використання тих чи інших регістрів комп'ютера, констант шифрування, додавання «незначних» команд і т.д. І програми-детектори пристосувалися виявляти команди у стартовій частини вірусу, не дивлячись на маскуючі зміни до них. Але останнім часом з'явилися віруси з надзвичайно складними механізмами самомодіфікаціі. У них стартова частина вірусу генерується автоматично за досить складних алгоритмах: кожна значуща інструкція розшифровувача передається одним із сотень тисяч можливих варіантів, при цьому використовується більше половини всіх команд Intel-8088. Проблема розпізнавання таких вірусів досить складна, і повністю надійного рішення поки не отримала. Втім, у деяких антивірусних програмах є кошти для знаходження подібних вірусів, а в програмі Dr. Web - також і евристичні методи виявлення «підозрілих» ділянок програмного коду, типові для самомодіфіцірующіхся вірусів.
Основні методи захисту від комп'ютерних вірусів
Для захисту від вірусів можна використовувати:
- Загальні засоби захисту інформації, які корисні також і як страховка від фізичного псування дисків, неправильно працюючих програм або помилкових дій користувачів;
- Профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
- Спеціалізовані програми для захисту від вірусів.
Загальні засоби захисту інформації корисні не тільки для захисту від вірусу. Є дві основні різновиди цих коштів:
копіювання інформації - створення копій файлів і системних областей дисків;
розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.
Незважаючи на те, що загальні засоби захисту інформації дуже важливі для захисту від вірусів, все-таки їх одних недостатньо. Необхідно і застосування спеціалізованих програм для захисту від вірусів. Ці програми можна розділити на кілька видів: детектори, доктора (фаги), ревізори (програми контролю змін у файлах і системних областях дисків), доктори-ревізори, фільтри (резидентні програми для захисту від вірусів) і вакцини (іммунізатори). Наведемо короткі визначення цих понять, а потім розглянемо їх детально.
Програми-детектори дозволяють виявити файли, заражені одним з декількох відомих вірусів.
Програми-лікарі, або фаги, «лікують» заражені програми або диски, «викусивая» із заражених програм тіло вірусу, тобто відновлюючи програму в тому стані, в якому вона перебувала до зараження вірусом.
Програми-ревізори спочатку запам'ятовують відомості про стан програм і системних областей дисків, а потім порівнюють їх стан з початковим. При виявленні невідповідностей про це повідомляється користувачеві.
Доктора-ревізори - це гібриди ревізорів і докторів, тобто програми, які не тільки виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично повернути їх в початковий стан.
Програми-фільтри розташовуються резидентної в оперативній пам'яті комп'ютера і перехоплюють ті звернення до операційної системи, що використовуються вірусами для розмноження і нанесення шкоди, і повідомляють про них користувачеві.
Програми-вакцини, або іммунізатори, модифікують програми і диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого здійснюється вакцинація, вважає ці програми або диски вже зараженими. Ці програми є вкрай неефективним і далі не розглядаються.
Програми-детектори та доктора
У більшості випадків для виявлення вірусу, що заразив Ваш комп'ютер, можна знайти вже розроблені програми-детектори. Ці програми перевіряють, чи є у файлах на вказаному користувачем диску специфічна для даного вірусу комбінація байтів. При її виявленні в будь-якому файлі на екран виводиться соответствущее повідомлення. Багато детектори мають режими лікування або знищення заражених файлів.
Слід підкреслити, що програми-детектори можуть виявляти тільки ті віруси, які їй «відомі». Програма Scan фірми McAfee Associates і Aidstest Д. Н. Лозинського дозволяють виявляти близько 1000 вірусів, але всього їх більше п'яти тисяч! Деякі програми-детектори, наприклад Norton AntiVirus або AVSP фірми «Диалог-МГУ», можуть налаштовуватися на нові типи вірусів, їм необхідно вказати лише комбінації байтів, властиві цих вірусів. Проте неможливо розробити таку програму, яка могла б виявляти будь-який заздалегідь невідомий вірус.
Таким чином, з того, що програма не розпізнається детекторами як заражена, не випливає, що вона здорова - у ній можуть сидіти який-небудь новий вірус або злегка модифікована версія старого вірусу, невідомі програмами-детекторів.
Програми-ревізори
Програми-ревізори мають дві стадії роботи. Спочатку вони запам'ятовують відомості про стан програм і системних областей дисків (завантажувального сектора і сектора з таблицею розбиття жорсткого диска). Передбачається, що в цей момент програми та системні області дисків не заражені. Після цього за допомогою програми-ревізора можна в будь-який момент порівняти стан програм і системних областей дисків з вихідним. Про виявлені
невідповідності повідомляється користувачеві.
Багато користувачів включають команду запуску програми-ревізора в командний файл AUTOEXEC.BAT, щоб перевірка стану програм і дисків проходила при кожному завантаженні операційної системи. Це дозволяє виявити зараження комп'ютерним вірусом, коли він ще не встиг завдати великої шкоди. Більше того, та ж програма-ревізор зможе знайти ушкоджені вірусом файли.
Програми-фільтри
Однією з причин, через які стало можливим таке явище, як комп'ютерний вірус, є відсутність в операційній системі MS DOS ефективних засобів для захисту інформації від несанкціонованого доступу. Через відсутність засобів захисту комп'ютерні віруси можуть непомітно і безкарно змінювати програми, псувати таблиці розміщення файлов і т.д.
У зв'язку з цим різними фірмами і програмістами розроблені програми-фільтри, або резидентні програми для захисту від вірусу, які певною мірою заповнюють зазначений недолік DOS. Ці програми розташовуються резидентної в оперативній пам'яті комп'ютера і «перехоплюють» ті звернення до операційної системи, що використовуються вірусами для розмноження і нанесення шкоди. Такими «підозрілими» діями є, зокрема, ізмененіе.COM і.EXE-файлів, зняття з файлу атрибут «тільки для читання», прямий запис на диск (запис по абсолютному адресою), форматування диска установка «резидентної» (постійно знаходиться в оперативної пам'яті) програми.
При кожному запиті не «підозріле» дію на екран комп'ютера виводиться повідомлення про те, яку дію обов `язковою, і яка програма бажає його виконати. Можна або дозволити виконання цієї дії, або заборонити його (рис. 1).
Рис. 1. Запит на дозвіл виконати «підозріле» дію.
Деякі програми-фільтри не «ловлять» підозрілі дії, а перевіряють викликаються на виконання програми на наявність вірусів. Це, зрозуміло, викликає уповільнення роботи комп'ютера.
Ступінь захисту, забезпечується програмою-фільтрами, не слід переоцінювати, оскільки багато вірусів для свого розмноження і нанесення шкоди мають прямого доступу до програм операційної системи, не використовуючи стандартний спосіб виклику цих програм через переривання, а резидентні програми для захисту від вірусу перехоплюють тільки ці переривання. Крім того, програми-фільтри не допомагають від зараження вірусами вінчестера, які поширюються через завантажувальний сектор, оскільки таке зараження відбувається при завантаженні DOS, тобто до запуску будь-яких програм або встановлення драйверів.
Однак переваги використання програм-фільтрів дуже значні - вони дозволяють виявити багато вірусів на самій ранній стадії, коли вірус ще не встиг розмножитися і що-небудь зіпсувати. Тим самим можна звести збитки від вірусу до мінімуму.
Що можуть і чого не можуть
комп'ютерні віруси
Через незнання механізму роботи комп'ютерних вірусів, а також під впливом різних чуток і некомпетентних публікацій у пресі часто створюється своєрідний комплекс боязні вірусів, т.зв. «Вірусофобія». Цей комплекс має два прояви.
1. Схильність приписувати будь-яке пошкодження даних або незвичайне явище на комп'ютері дії вірусів. Наприклад, не форматується дискета, це для «вірусофоба» не можливий дефект дискети або дисковода, а дія вірусу. Якщо на жорсткому диску з'являється зіпсований блок, то в цьому теж, зрозуміло, винен вірус. Насправді ж незвичайні явища на комп'ютері частіше викликані помилками користувача, програм або дефектами обладнання.
2. Перебільшені уявлення про можливості вірусів. Деякі думають, наприклад, що досить вставити в дисковод заражену дискету, щоб комп'ютер заразився вірусом. Поширена також думка, що для комп'ютерів, об'єднаних
в мережу, або навіть просто стоять в одній кімнаті, зараження одного комп'ютера обов'язково відразу призведе до зараження інших.
Кращим ліками від вірусофобіі є знання того, як працюють віруси, що вони можуть і чого не можуть. Віруси є звичайними програмами і не можуть робити ніяких надприродних дій.
Для того, щоб комп'ютер заразився вірусом, необхідно, щоб на ньому хоча б один раз була виконана програма, що містить вірус. Тому первинне зараження комп'ютера вірусом може відбутися в одному з наступних випадків:
- На комп'ютері була виконана заражена програма тіпа.COM ілі.EXE або заражений модуль оверлейной програми;
- Комп'ютер завантажувався з дискети, яка містить заражений завантажувальний сектор;
- На комп'ютері була встановлена заражена операційна система або заражений драйвер пристрою;
Звідси випливає, що немає ніяких підстав боятися зараження комп'ютера вірусом, якщо:
- На комп'ютері переписуються тексти програм, документів, інформаційні файли баз даних або електронних таблиць і т.д. Ці файли не є програмами, а тому вони не можуть бути заражені вірусом;
- На незараженою комп'ютері проводиться копіювання файлів з однієї дискети на іншу. Якщо комп'ютер «здоровий», то ні він сам, ні скопіювати, дискети не будуть заражені вірусом. Єдиний варіант передачі вірусу в цій ситуації - це копіювання зараженого файлу: при цьому його копія, зрозуміло, теж буде «заражена", але ні комп'ютер, ні якісь інші файли заражені не будуть;
- За допомогою наявних на жорсткому диску комп'ютера незараженою текстових процесорів, електронних таблиць, систем управління базами даних та інших програм обробляються інформаційні файли, що містяться на дискетах.
Дії при зараженні вірусом
При зараженні комп'ютера вірусом (або при підозрі на це) важливо дотримуватися чотири правила.
1. Перш за все не треба поспішати і приймати необачних рішень - непродумані дії можуть призвести не лише до втрати з файлів, які можна було б і відновити, але і до повторного зараження комп'ютера.
2. Одна дія повинна бути виконана негайно - треба вимкнути комп'ютер, щоб вірус не продовжував своїх руйнівних дій.
3. Всі дії з виявлення виду зараження і лікування комп'ютера слід виконувати тільки під час завантаження комп'ютера з захищеної від запису «еталонної» дискети з операційною системою. При цьому слід використовувати тільки програми (виконані файли), що зберігаються на захищених від запису дискетах. Недотримання цього правила може призвести до дуже тяжких наслідків, оскільки при завантаженні DOS або запуску програми з зараженого диска в комп'ютері може бути активований вірус, а при працюючому вірус лікування комп'ютера буде безглуздим, тому що воно буде супроводжуватися подальшим зараженням дисків і програм.
4. Якщо використовується резидентна програма-фільтр для захисту від вірусу, то наявність вірусу в будь-якій програмі можна виявити на ранньому етапі, коли вірус ще не встиг заразити інші програми і зіпсувати будь-які файли. У цьому випадку слід перезавантажити DOS з дискети і видалити заражену програму, а потім переписати цю програму з еталонної дискети або відновити її з архіву. Для того щоб з'ясувати, чи не зіпсував чи вірус якихось інших файлів, слід запустити програму-ревізор для перевірки змін у файлах, бажано з широким списком перевіряються файлів. Щоб у процесі перевірки не продовжувати зараження комп'ютера, слід запускати здійснимих файл програми-ревізора, що знаходиться на дискеті.
Лікування комп'ютера. У випадку, коли вірус вже встиг заразити або зіпсувати якісь файли на дисках комп'ютера, необхідно виконати наступні дії.
1. Перезавантажити операційну систему DOS із заздалегідь підготовленої еталонної дискетою. Ця дискета, як і інші дискети, що використовуються при ліквідації наслідків зараження комп'ютерним вірусом, повинна бути забезпечена наклейкою для захисту від запису, щоб вірус не зміг заразити або зіпсувати файли на цих дискетах. Зауважимо, що перезавантаження не слід виконувати за допомогою сполучення клавіш Ctrl + Alt + Del, тому що деякі віруси примудряються «переживати» таку перезавантаження.
2. Якщо для комп'ютера є програма для установки конфігурації (вона викликається при натисненні певної комбінації клавіш під час початкового завантаження комп'ютера), то слід виконати цю програму і перевірити, чи правильно встановлені параметри конфігурації комп'ютера, тому що вони можуть бути зіпсовані вірусом. Якщо вони встановлені неправильно, то їх треба перевстановити.
3. Якщо є програми-детектори для виявлення того вірусу, яким заражений комп'ютер, слід запустити ці програми для перевірки дисків комп'ютера. Щоб знайти потрібну програму, можна по черзі запускати наявні програми-детектори для перевірки зараженого диска (при цьому краще не використовувати ті режими програм-детекторів, в яких вони лікують або видаляють без підтвердження заражені файли). Спочатку має сенс запускати програми, які виявляють відразу кілька вірусів, наприклад Scan або Aidstest. Якщо яка-небудь з програм-детекторів повідомить про те, що вона знайшла вірус, то її треба використовувати в процесі усунення наслідків зараження комп'ютера вірусом, як це описано далі. Слід зауважити, однак, що дуже часто комп'ютери заражаються відразу декількома вірусами, тому, виявивши один вірус, не слід заспокоюватися, в комп'ютері може бути і другий, і третій вірус.
4. Далі слід послідовно знешкодити всі диски, які могли піддатися зараженню вірусом, як це описано нижче. Зауважимо, що якщо жорсткий диск у комп'ютері розділений на декілька логічних дисків, то під час запуску з дискети може бути доступний тільки один логічний диск - той, з якого завантажується операційна система DOS. У цьому випадку слід спочатку знешкодити логічний диск, з якого завантажується DOS, а потім завантажитися з жорсткого диска і знешкодити інші логічні диски.
Лікування диска. Якщо на диску для всіх потрібних файлів є копії в архіві, простіше за все заново відформатувати диск, а потім відновити всі файли на цьому диску за допомогою архівних копій. Припустимо тепер, що на диску є файли, копій яких немає в архіві. Для визначеності будемо вважати, що цей диск знаходиться на дисководі (В:). Необхідно виконати наступні дії.
1. Запустити для диска програму-детектор, яка виявляє той вірус, зараження яким піддається комп'ютер (якщо не ясно, який детектор виявляє вірус, слід запускати програми-детектори по черзі, поки один з них не виявить вірус). Режим лікування при цьому краще не встановлювати.
Якщо програма-детектор виявила завантажувальний вірус, можна сміливо використовувати її режим лікування для усунення вірусу. При виявленні вірусу типу Dir його також треба видалити за допомогою тієї чи іншої антивірусної програми, не якому разі не використовуючи для цього програми типу NDD і ChkDsk.
2. Тепер, коли відомо, що вірусів типу Dir на диску немає, можна перевірити цілісність файлової системи і поверхні
диска за допомогою програми NDD: NDD B: C. Якщо пошкодження файлової системи значні, то доцільно скопіювати з диска всі потрібні файли, копій яких немає в архіві, на дискеті та заново відформатувати диск. Якщо диск має складну файлову структуру, то можна спробувати відкоригувати її за допомогою програми DiskEdit з комплекту Norton Utilites.
3. Якщо відомості про файли на диску для програми-ревізора збереглися, то корисно запустити програму-ревізор для діагностики змін у файлах. Це дозволить встановити, які файли були заражені або зіпсовані вірусом. Якщо програма-ревізор виконує також і функцію доктора, можна довірити їй та відновлення зіпсованих файлів.
4. Видалити з диска всі непотрібні файли, а також файли, копії яких є в архіві. Ті файли, які не були змінені вірусом (це можна встановити за допомогою програми-ревізора), видаляти не обов'язково.
Ні в якому разі не можна залишати на діске.COM-і.EXE-файли, для яких програма-ревізор повідомляє, що вони були змінені. Те.COM-і.EXE-файли, про які невідомо, змінені вони вірусом чи ні, слід залишати на диску лише за крайньої необхідності.
5. Якщо диск, який ви обробляєте, є системним (тобто з нього можна завантажити операційну систему DOS), то на нього слід заново записати завантажувальний сектор і файли операційної системи. Це можна зробити командою SYS.
6. Якщо комп'ютер заразився файловим вірусом і ви не проводили лікування за допомогою ревізора-доктора, слід виконати програму-лікар для лікування даного диска. Заражені файли, які програма-доктор не змогла відновити, слід знищити. Зрозуміло, якщо на диску залишилися тільки ті файли, які не можуть заражатися вірусом (наприклад, вихідні тексти програм і документи), то програму для знищення вірусу для даного диска виконувати не треба.
7. За допомогою архівних копій слід відновити файли, що розміщувалися на диску.
8. Якщо ви не впевнені в тому, що в архіві не було заражених файлів, і у є програма для виявлення або знищення тієї версії вірусу, якій був заражений комп'ютер, то слід ще раз виконати цю програму для диска. Якщо на диску будуть виявлені заражені файли, то ті з них, які можна відновити за допомогою програми для знищення вірусу, треба скопіювати в архів, а решту - видалити з диска та з архіву.
Такий обробці слід піддати всі диски, які могли
бути заражені або зіпсовані вірусом.
Якщо є хороша антивірусна програма-фільтр, доцільно після зараження комп'ютера вірусом хоча б якийсь час працювати тільки запустивши цю програму.
Профілактика проти
зараження вірусом
Заходи щодо захисту від вірусів можна розбити на кілька груп.
Копіювання інформації та розмежування доступу:
1. Необхідно мати архівні або еталонні копії використовуваних пакетів програм і даних і періодично архівувати ті файли, які ви створювали або змінювали. Перед архівацією файлів доцільно перевірити їх на відсутність вірусів за допомогою програми-детектора (наприклад, AidsTest і Dr.Web). Важливо, щоб інформація копіювалася не дуже рідко - тоді втрати інформації при її випадковому знищенні будуть не такі великі.
2. Доцільно також скопіювати на дискети сектор з таблицею розділення жорсткого диска, розвантажувальні сектора всіх логічних дисків та вміст CMOS (незалежній пам'яті комп'ютера). Копіювання та відновлення цих даних можна зробити за допомогою програми Rescue з комплексу Norton Utilities 8.0 (в попередніх версіях Norton Utilities копіювання цих областей на дискету здійснювалося за допомогою пункту «Create rescue diskette» програми DiskTool, а їх відновлення - за допомогою пункту «Restore rescue diskette »тієї ж програми).
3. Слід встановлювати захист від запису на дискетах з файлами, які не потрібно змінювати. На жорсткому диску доцільно створити логічний диск, захищений від запису, і розмістити на ньому програми і дані, які не потрібно змінювати.
4. Не слід переписувати програмне забезпечення з інших комп'ютерів (особливо тих, до яких можуть мати доступ різні безвідповідальні особи), тому що воно може бути заражене вірусом. Однак слід зауважити, що розповсюджуються виробниками «фірмові» дискети з програмами, як правило, не містять вірусів.
Перевірка що надходять ззовні даних:
1. Усі принесені ззовні дискети перед використанням слід перевірити на наявність вірусу за допомогою програм-детекторів. Це корисно робити навіть у тих випадках, коли потрібно використовувати на цих дискетах тільки файли з даними - чим
раніше буде виявлений вірус, тим краще. Для перевірки можна використовувати програму AidsTest. Наприклад, для перевірки дискети А: необхідно ввести команду: AIDSTEST A:/S/G. Тут режим/S задає повільну роботу для пошуку зіпсованих вірусів, а режим/G - перевірку всіх файлів на диску.
2. Якщо принесені програми записані на дискети в сархівірованном вигляді, слід витягти файли з архіву та перевірити їх відразу після цього. Наприклад, якщо файли витягнуті в каталог C: TEMP, то треба ввести команду AIDSTEST C: TEMP *.*/S/G.
3. Якщо програми з архівів можна витягти тільки програмою установки пакета програм, то треба виконати установку цього пакета і відразу після цього перевірити записані на диск файли, як це описано вище. Бажано виконувати установку при включеній резидентної програмі-фільтрі для захисту від вірусів.
Захист від завантажувальних вірусів:
1. На комп'ютерах, яких містяться в BIOS програма установки конфігурації дозволяє відключити завантаження з дискети, бажано це зробити, тоді ніякі завантажувальні віруси не страшні.
2. Якщо потрібно завантажити комп'ютер з дискети, то треба користуватися тільки захищеної від запису «еталонної» дискетою з операційною системою.
Заразна «Меліса»
Нещодавно в газеті «Труд» опублікована замітка про новий комп'ютерному супервірусе під назвою «Меліса» - на ім'я дівчини із стрип-бару (Флорида, США). Девід Сміт, обвинувачений у написанні і заслати в комп'ютерну мережу вірусу нового покоління, пішов сучасним революційним шляхом. Він вписав свій вірус у програму електронної пошти і, з огляду на крайню популярності?? секс-сайтів Інтернету, тим самим передбачив його вибуховий распрастраненіе. Його послання з вірусом (з приміткою, що це пошта від друзів) прийняли перші відвідувачі дискусійною групи Alt.sex, і відразу ж кожен з одержувачів негайно привів у дію програму, яка розіслала 50 копій листа їх власним друзям, використовуючи адресну книгу в їх комутаціонной програмі. У тексті листа-список секс-сайтів та перелік паролів до них. У лічені години ланцюгова реакція охопила комп'ютерні мережі на всіх п'яти континентах планети. «Меліса» не була настільки вже убивчою, вона лише злегка змінювала програму-
редактор, ховаючись у ній. Сміт показав, як легко можуть передавати у комп'ютерах програми на багато небезпечніше «Меліса».
Компанії, що спеціалізуються на випуску антивірусних програм вже оголосили про необхідність створення принципово нової захисту. Програми майбутнього, за їх словами, будуть здатні виробляти в комп'ютерів якийсь імунітет, як відомим, так і новим «інфекцій», розрізняти невідомі віруси і знищувати їх ще до того, як вони доберуться до дисків комп'ютерної пам'яті.
Використаної літератури
1. Інформатика. Комп'ютерні віруси. Додаток до газети «Перше вересня» № 37, 1997 р.
2. В. Е. фігурні. IBM PC для користувача. 1996
3. Газета «Труд», стаття. За квітень, 1999 р.
4.
КОМП'ЮТЕРНІ ВІРУСИ
Реферат з інформатики
учня 9 "в" класу
середньої школи № 67
Новікова Олександра
м. Єкатеринбург