Заражение компьютерным вирусом

Общие сведения о компьютерных вирусах. Меры защиты
Энциклопедия компьютерных вирусов – www.avp.ru
Что такое компьютерный вирус
Компьютерным вирусом называется программа (программный код), способный выполнить на
компьютере несанкционированные действия. Эти действия могут быть совершенно безвредными,
но могут быть и катастрофическими - все зависит от конкретного вируса.
Заражение компьютерным вирусом
Поскольку компьютерный вирус – программа, то чтобы он сумел произвести разрушительное
действие, его кто-то должен запустить. Без этого вирус может сколь угодно долго храниться на
любом диске и ничего сделать не сможет. На этом свойстве вирусов основаны и методы борьбы с
ними. Пока вирус «дремлет « в виде исполнимого файла (или внутри файла), его можно
обнаружить и уничтожить. Важно только не запускать этот файл на исполнение.
Удаление вируса называется лечением. В большинстве случаев излечение зараженных файлов
происходит без вредных последствий для самих файлов, хотя это зависит от свойств вируса. В
общем случае может быть и так, что излеченный файл перестанет быть работоспособным – тогда
надо либо заменить его аналогичным, но «здоровым», либо отказаться от использования данного
приложения и подобрать другое, аналогичное.
Большинство вирусов запускаем мы сами. Вариаций может быть множество. Можно, например,
запустить его вместе с неизвестной программой, полученной из сомнительных источников.
Удивительно, но несмотря на изобилие «левых» программных средств, заражение вирусом через
пиратский CD – явление крайне редкое (вероятность - < 1%). Пиратские коллективы исторически
отличаются технической грамотностью и знают, как проверить то, что распространяют.
Напротив, гораздо выше вероятность получить вирус вместе с файлом, приложенным к
сообщению электронной почты. Если оно поступило от неизвестного лица, с которым вы никогда
не состояли в переписке, можете не сомневаться в том, что в файле, присоединенном к
сообщению, лежит «сувенир».
Некоторые породы вирусов могут быть запущены не людьми, а программами. Например, при
запуске компьютера операционная система начинает свою работу с чтения информации из так
называемого загрузочного сектора диска. Если в этом секторе диска записан вредоносный код, он
поступит в оперативную память. Такие вирусы называются загрузочными.
Вирус может быть имплантирован в программу, запускаемую автоматически, например, в драйвер
устройства. Этот прием использовали американские спецслужбы незадолго до войны в
Персидском заливе. Они имплантировали компьютерный вирус в драйверы принтеров,
поставлявшихся в Ирак, заранее зная, что часть этих принтеров попадет в штаб.
Существует возможность запуска вируса совершенно невинной, на первый взгляд, программой,
например, текстовым процессором, системой управления базами данных, электронными
таблицами и т.п. Если приложение позволяет так называемые макрокоманды, то оно может
столкнуться с макрокомандой разрушительного действия, имплантированной в документ. Такие
вирусы называются макровирусами. Хотя они не оформлены в виде отдельных программ и
содержатся внутри документов, тем не менее это тоже программный код, который может быть
исполнен, если соответствующая функция в приложении не отключена.
Схемы работы компьютерных вирусов
Известно несколько десятков тысяч компьютерных вирусов. В зависимости от того, как считать
разновидности одной породы, их насчитывают от 30 до 50 тысяч. При таком количестве вирусов,
1
конечно, трудно говорить о какой-то единой схеме их срабатывания, но обобщенно можно
сказать, что средний вирус проходит в развитии три этапа: заражение – размножение- атака.
Некоторые обходятся без размножения 9бомбы). Некоторые обходятся без атаки (троянские
кони). Есть и такие, которые имеют еще этап маскировки (полиморфные и стелс-вирусы).
Заражение. Происходит при запуске инфицированной программы или при обращении к
носителю, имеющему вредоносный код в системной области. Обычно код вируса сначала
поступает в оперативную память работающего компьютера, откуда он копируется на
запоминающие устройства.
Размножение. Происходит как серия последовательных заражений. Если на компьютере
образовался зараженный исполнимый файл, то при запуске код вируса перемещается в
оперативную память (вирус становится резидентной программой), откуда происходит заражение
других файлов при их запуске. В первую очередь поражаются файлы самой операционной
системы. Чем чаще срабатывает механизм, тем больше файлов поражается.
Если речь идет не о файловом вирусе, а о загрузочном, то после загрузки операционной системы
код вируса перемещается со служебных секторов носителя в оперативную память, а потом
копируется оттуда в служебные секторы других носителей (например, гибких дисков), запись
которых осуществляется на данном компьютере.
Атака. Вирусная атака – последняя фаза развития вируса. Во время атаки вирус производит более
или менее разрушительные действия и при этом непременно проявляет себя. Если бы каждый
вирус сразу после поступления на компьютер начинал немедленную атаку, вирусов давно бы уже
не было – их бы все вывели. Это естественно, ведь когда разрушительные вирусы уничтожают
все, сто есть на компьютере, то гибнут и сами. А если вирус не разрушительный, а просто
вредный, то во время атаки он демаскируется, попадает под огонь средств защиты и гибнет.
Поэтому большинству вирусов и не нужна пассивная фаза размножения. Пока вирус не наделал
достаточного числа собственных копий, запускать его механизм срабатывания бессмысленно.
Механизм вирусной атаки может запускаться по счетчику, когда создано определенное число
копий, по системным часам в определенную дату, по командам из удаленного центра управления,
если компьютер работает в сети, при запуске определенных файлов или открытии определенных
документов.
Классификация компьютерных вирусов
Среда обитания вирусов
Файловые вирусы. Этот тип вирусов поражает исполнимые файлы, имплантируя в них опасный
код. Заражение происходит в тот момент, когда файл находится в оперативной памяти, то есть в
момент исполнения. Во времена MS-DOS к исполнимым (или программным) файлам относились
файлы с расширением .COM и .EXE. Сегодня на компьютерах, работающих под управлением
Windows, программный код содержится и в файлах типов .SYS, .ВIN, в динамических
библиотеках (.DLL, в файлах драйверов (.DRV, .VXD) а также некоторых других. Поэтому при
поиске вирусов в наши дни список файлов, относящихся к «программным», значительно
расширен.
Загрузочные вирусы (Вооt-вирусы). Такие вирусы располагаются в служебных секторах
носителей данных и поступают в оперативную память только при загрузке компьютера с этого
носителя. Например, загрузочный вирус может находиться в загрузочной записи (Вооt Rесогd)
гибкого диска, но если вы никогда не загружаете операционную систему с этого диска, вирус
никогда не перейдет на жесткий диск. Именно поэтому при настройке последовательности
запуска компьютера средствами ВIOS следует для защиты от Вооt-вирусов установить загрузку
только с жесткого диска С: и лишь при проведении ремонтно-восстановительных работ
подключать загрузку с дисковода гибких дисков (А:) или с дисковода компакт-дисков (СD-RОМ).
Разумеется, при этом вставлять в эти дисководы можно только проверенные носители.
Сетевые вирусы. Эти вирусы обитают только в оперативной памяти компьютеров и не копируют
себя на носители данных. На автономном компьютере такие вирусы существовать не могут, так
2
как при выключении питания непременно погибнут. Компьютеры крупных сетей не
выключаются, а если какой-то отдельный компьютер и выключится, то этот период вирус
перейдет на других компьютерах. Эта порода вирусов для индивидуальных пользователей не
страшна, и мы ее рассматривать не будем.
Макровирусы. Это единственная (пока) порода вирусов, способная обитать в файлах
документов. Чаще всего они поражают документы, подготовленные в текстовом процессоре
МСТОБОЙ МУогй, что связано с огромной распространенностью данной программы, хотя в общем
случае они могут поражать документы, подготовленные и в других приложениях, если эти
приложения имеют свой язык макрокоманд и позволяют встраивать макрокоманды в документ.
Для защиты от вирусов этого типа достаточно отключить в приложении возможность исполнения
макрокоманд при просмотре документов, поступивших извне. Для документов, подготавливаемых
самостоятельно («от нуля»), макрокоманды можно подключить снова. Следует иметь в виду,
что если документ готовится на основе шаблона, то это уже не значит «от нуля.». Шаблон, даже
пустой, — точно такой же документ, и он тоже может быть заражен макровирусом. Поэтому
следует сразу настроить текстовый процессор таким образом, чтобы никто, кроме вас самих не
мог перезаписывать ваши шаблоны.
Разрушающее воздействие вирусов
Для человека биологические вирусы представляют различную опасность — от одних мы чихаем и
кашляем, другие — смертельны. Аналогичная ситуация и в мире компьютеров. Одни вирусы
практически безвредны, другие способны полностью уничтожить информацию на жестких
дисках.
«Безвредные» вирусы. Множество вирусов не представляют прямой опасности (их механизм
срабатывания не предполагает опасных действий) и занимаются только размножением. Цель их
создателей — шалость, желание самоутвердиться, не беря греха на душу, и, конечно, проба сил.
Мы берем слово «безвредность» в кавычки, потому что на самом деле вред от них не столь мал,
как кажется. Во-первых, они перегружают ресурсы компьютерных систем и способны заметно
понижать их производительность, а во-вторых, обнаружение такого вируса на компьютерах
предприятия или организации резко роняет престиж этого предприятия в глазах клиентов и
партнеров. Убытки от этого вполне реальны — их можно измерить как в условных, так и в
безусловных единицах.
Малоопасные вирусы. Вирусы этой категории в момент активизации не производят
разрушительных действий, но беспокоят пользователей неожиданными сообщениями, экранными
и звуковыми эффектами. Вредность примерно та же, что и у «безвредных» вирусов,
рассмотренных выше. Положительное свойство: они предупреждают владельца компьютерной
системы о том, что в его системе безопасности не все в порядке и, как знать, может быть спасают
его от больших неприятностей.
Разрушительные вирусы. Во время вирусной атаки вирусы этой породы наносят реальное
поражение данным, имеющимся на компьютере. Если стирать данные по-настоящему, то на это
уходит не меньше времени, чем на их запись. Вирусы не могут обрабатывать жесткий диск
жертвы часами так, чтобы никто ничего не заметил. Поэтому они обычно уничтожают только
служебные области — операция занимает доли секунды, а найти на этом диске нужную
информацию рядовой пользователь уже не сможет. Восстановление диска потребует специальных
знаний и специальных средств (например, утилит Norton Utilities 2000).
Современные разновидности вирусов-разрушителей способны повредить не только данные на
жестком диске. Они умудряются добраться до данных, хранящихся в микросхеме СМ0S-памяти, а
в тех случаях, когда на компьютере использована перезаписываемая микросхема ПЗУ (флэшпамять), то и до нее. Восстановление микросхемы ПЗУ часто приходится производить путем ее
замены, и это несколько подрывает классическую аксиому о том, что вирусы не в состоянии
повреждать оборудование. Но если эту микросхему перепрограммировать, не заменяя, старый
принцип пока еще остается в силе. Радикальный метод защиты состоит в физическом отключении
возможности перезаписи ПЗУ с помощью перемычек материнской платы. В некоторых моделях
портативных компьютеров такой возможности может и не быть — в них ВIOS представлен фай3
лами на жестком диске. Тогда нужно, по крайней мере, отключить возможность перезаписи ПЗУ
программным путем при настройке ВIOS. В некоторых наиболее простых случаях это убережет от
заражения.
Механизмы срабатывания вирусов
Бомбы замедленного действия. Эта разновидность вирусов-разрушителей отличается тем, что
не имеет фазы размножения. Имплантированный тем или иным способом, единственный
экземпляр вируса пассивно «дремлет» в ожидании момента срабатывания. С одной стороны,
«отлавливать» такие вирусы трудно, поскольку они никак себя не проявляют. С другой стороны,
их не менее трудно и распространять, так как любое срабатывание экземпляра такого вируса
становится для него последним. Вирусам этой породы прогнозируется важная роль в
межгосударственных и межкорпоративных информационных войнах XXI века.
«Троянские кони». Троянские кони не предназначены для разрушения. Их задача — агентская.
Например, такой агент может фиксировать нажатия клавиш в момент ввода парольных или
регистрационных данных и записывать их в невидимый файл.
Получив доступ к инфицированному компьютеру, злоумышленник может легко скопировать
конфиденциальные данные и унести их с собой. В связи с развитием Интернета в последнее время
распространились «троянцы», выполняющие функции сетевого сервера. Во время работы в
Интернете этот невидимый сервер занимается поставкой в Сеть информации от нас без нашего
ведома. Что он передает и кому — это зависит от свойств конкретного «троянца». Обычно он
передает парольную информацию тем, кто способен его «услышать». Злоумышленники с
помощью специальных сканирующих программ перебирают IP-адреса Интернета в поисках
потенциальной жертвы. Разыскав такой работающий «сервер», они получают с его помощью
доступ к компьютеру жертвы, как к своему собственному.
Операция сканирования IР-адресов считается запрещенной. При заключении договора на предоставление
Интерет-услуг сервис-провайдер должен брать подписку от клиента о том, что тот об этом оповещен. При
обнаружении факта сканирования сервис-провайдер принимает меры к нарушителю.
Использование вирусами алгоритмов маскировки
Охота на компьютерные вирусы ведется по всему миру. Дело поставлено очень серьезно. Каждый
компьютер, оснащенный антивирусными средствами, становится эффективным барьером.
Обнаружив и уничтожив вирус, вы не только защищаете свой компьютер, но и обеспечиваете
безопасность других компьютеров, на которые вирус мог бы перекочевать от вас. Зная об этом,
авторы вирусных программ идут на хитрости, чтобы преодолеть защиту, поставленную
антивирусными программами. Основной прием, который при этом используется, — маскировка.
Большинство антивирусных программ выявляют вирусы по известным образцам их программного
кода. Они просматривают все слайды подряд и ищут в них группы кодов, характерные для
известных вирусов. Если в файле имеется последовательность байтов, зарегистрированная в базе
данных как характерная для вируса, выдается сигнал тревоги.
Полиморфные вирусы — вирусы «призраки». Чтобы обмануть антивирусные средства,
полиморфные вирусы не имеют постоянного кода. Взяв несколько разных экземпляров одного и
того же полиморфного вируса, можно убедиться, что в последовательностях их байтов нет ничего
общего. Хитрость состоит в том, что вирус распространяется в закодированном виде. Алгоритм
случайного кодирования и декодирования находится в самом же вирусе. Поскольку алгоритм
случайный, вирус всякий раз выглядит по-новому. «Ловить» такие вирусы простым сравнением
их сигнатур (то есть определенных кодовых последовательностей) с данными из базы
невозможно. Против них антивирусные программы используют специальные алгоритмы
эвристического анализа.
Стелс-вирусы — вирусы «невидимки». Это весьма совершенные программы, которые нельзя
увидеть средствами операционной системы. Например, если просмотреть зараженный файл с
помощью какой-нибудь программы, например, нажав клавишу FЗ в оболочке Norton Commander,
4
то на экране будет виден файл, не содержащий вируса. Это происходит потому, что вирус
перехватывает обращения к операционной системе, и при открытии файла на чтение немедленно
удаляет свое тело из зараженного файла, а при закрытии файла заражает его опять. Для
обнаружения таких вирусов антивирусные программы используют собственные средства
просмотра, независимые от операционной системы.
Методы защиты от компьютерных вирусов
Можно ли защититься от компьютерных вирусов?
На этот вопрос два ответа: и да, и нет. Все зависит от того, в каком смысле «защититься». Тот, кто
ограничит себя так, чтобы никогда не получать и не устанавливать никакие программы,
становится жертвой автоматически. Правда, не жертвой вирусной атаки, а жертвой вирусной
угрозы, но еще неизвестно, что на самом деле хуже.
А можно рассчитывать на то, что антивирусные средства защиты блокируют все возможные
вирусные атаки? Разумеется, нет. Уж на что хорошо защищены от подделки американские
доллары, но и их подделывают. Подделки, нарисованные от руки, определяются невооруженным
глазом. Для определения более сложных подделок используют технические средства, основанные
на том, что механизмы подделки известны и находятся в обороте. А попробуйте обнаружить
поддельный доллар, который никогда в обороте не был и хранится где-нибудь под подушкой?
Наверное, есть вирусы, до сих пор неразоблаченные, но зато и никак себя не проявляющие. Коль
скоро они себя не проявляют, мы можем считать, что цель защиты достигнута.
Взаимодействие вирусов и средств защиты находится в динамическом равновесии. Пока вирус
безвреден, он может где-то существовать. Но если он попробует размножиться или, не дай бог,
нанести кому-то ущерб, его найдут, вычислят и обезвредят. Первый день его активности станет и
последним.
Так что окончательный вывод такой: полностью защититься, конечно, нельзя, но минимизировать
угрозу так, чтобы вред от нее стал меньше, чем вред от перебоев в электросети, от собственной
невнимательности и от случайных сбоев в операционной системе, безусловно, можно.
Этапы защиты от компьютерных вирусов
Говорят, что болезнь легче предотвратить, чем лечить. Наверное, в медицинской практике это
верно, но в компьютерном деле этот подход не раз приводил к печальным последствиям. Дело в
том, что предохранение от вирусов — это отнюдь не первоочередная задача. Если расслабиться и
понадеяться на принятые меры предосторожности, можно очень жестоко поплатиться в тот
момент, когда они не сработают. А рано или поздно это непременно произойдет, причем вовсе не
потому, что средства защиты от вирусов недостаточно надежны, а потому, что если подходить к
понятию «вирус» в широком смысле слова, то к категории вирусов надо отнести еще и самих
себя, и операционную систему компьютера. Из-за собственного головотяпства и ротозейства мы
теряем в среднем гораздо больше данных, чем из-за компьютерных вирусов. Нередко к потерям
информации ведет и нестабильная работа операционной системы.
Этап 1. Подготовка к последствиям
Статистика, собранная нами за долгие годы, примерно такова:
на три выхода из строя жестких дисков «по старости» приходятся два выхода по собственной
небрежности и лишь один в результате вирусной атаки. Так что если заниматься только защитой
от вирусной атаки, можно предотвратить лишь одну аварию из шести. А если работать так, чтобы
не полагаться ни на какие средства защиты, можно все шесть аварий свести к обыкновенным
рабочим неприятностям.
1. Прежде всего, следует обратить внимание на резервное копирование. Все, что представляет
ценность, должно регулярно копироваться на внешние носители и храниться отдельно от
компьютера. Если в качестве носителей используются гибкие диски, то надо иметь не менее
5
двух резервных копий, поскольку гибкие диски совершенно ненадежны, особенно если
покупать самые дешевые образцы и долго носить их в карманах.
Резервные копии, выполненные на том же жестком диске, где хранятся оригиналы резервными копиями
не считаются. Они зря занимают место. Резервные копии, выполненные на отдельном жестком диске,
могут считаться таковыми лишь условно. Они помогут в случае выхода основного жесткого диска из
строя, но могут не помочь в случае вирусной атаки.
2. Если для экономии места на гибких дисках данные резервируются в запакованном виде, то к
выбору архиватора следует подходить с умом (см. раздел, посвященный менеджерам архивов).
Когда архив, распределенный ни нескольких дискетах, создан не теми средствами, какими надо,
достаточно выйти из строя одной дискете, как все остальные станут бесполезными.
3.Следует в обязательном порядке хранить дистрибутивные диски всех программ, установленных
на компьютере. Резервное копирование программ — занятие бесполезное и ненужное. Оно
мешает сосредоточиться на главном — резервировании данных. В работе с программами, в том
числе и с самой операционной системой, следует быть готовым к их переустановке в любую
минуту и рассматривать это не как событие особой важности, а как обычное периодическое
обслуживание.
4. Хотя программные средства и не подлежат резервному копированию, файлы их настройки
резервировать полезно. Это позволит значительно сократить время, необходимое на переустановку и настройку приложений.
5. Следует особо позаботиться о сохранении паролей и адресов, хранящихся на компьютере. Их
придется переписать в записную книжку, которую надо хранить подальше от посторонних глаз.
6. Необходимо обязательно создать системный загрузочный диск компьютера, заранее проверить
его работоспособность и хранить в надежном месте.
7. Крайне рекомендуется использовать удобный пакет служебных программ, такой как Norton
Utilities, создать с его помощью аварийный комплект дискет для реанимации компьютера и
регулярно создавать текущий образ жесткого диска программой Image.
8. Забудьте о том, что в операционной системе есть средства для сжатия дисков и работы с ними.
Они не для тех, кто покупает программы на «рынках» и запускает все, что только в руки
попадет. Они не для любознательных экспериментаторов, а для тех, кто работает в стерильных
условиях.
Этап 2. Меры защиты от компьютерных «вирусов»
Подготовившись должным образом к реанимации компьютера, можно приступать к защите.
Чтобы обезопасить себя от собственного головотяпства, неплохо использовать Защищенную
Корзину, например такую, как в пакете служебных программ Norton Utilities. Для защиты от
фокусов операционной системы надо исключить некорректность в установке и удалении
программ. Методы борьбы достаточно подробно описаны в разделе, посвященном
деинсталляторам и мониторам установки новых программ.
И, наконец, для борьбы с компьютерными вирусами надо установить специальные антивирусные
программы. Причем интересно отметить, что их может быть несколько. Когда мы говорили о
файловых менеджерах, интегрированных служебных пакетах и мониторах установки, то
рекомендовали не распыляться и использовать только одно какое-либо средство: либо самое
лучшее, либо самое привычное. Дублировать их нет необходимости. Когда же речь идет о
средствах антивирусной защиты, то чем их больше, тем лучше. Очень полезно иметь в арсенале
как западные, так и отечественные антивирусы. Во-первых, Россия и Украина в деле создания
вирусов давно обошли Запад, во-вторых, отечественные средства защиты явно превосходят
западные (спасибо многолетним трудам Лозинского и Касперского) и, в третьих, потому что
заранее неизвестно откуда придет очередной вирус — с Запада или совсем наоборот.
Пакет антивирусных средств содержит некоторые типичные компоненты, которые мы кратко
рассмотрим: сканер, монитор, ревизор дисков, загрузочный комплект.
Антивирусный сканер. Это программа, предназначенная для проверки оперативной памяти и
подключенных носителей. Сканер проверяет код, содержащийся в файлах, сравнивает его со
своей антивирусной базой данных и сигнализирует об опасности в случае совпадения.
Современные сканеры находят и идентифицируют вирусы, даже если они находятся в файловых
архивах. Для борьбы со стелс-вирусами они должны иметь собственные средства просмотра,
6
независимые от операционной системы. На практике для этого используются процедуры,
зашитые в ВIOS.
Для борьбы с полиморфными вирусами сканер может использовать так называемые
эвристические алгоритмы. Он имитирует запуск файла и прослеживает цепочки возможных ветвлений процессов, которые при этом образуются. Поскольку полиморфные вирусы занимаются
перекодированием собственного кода, сканер проходит по декодирующей цепочке, анализирует
ее поведение и может, не добираясь до сути конечных операций, предсказать, что в файле не все
так чисто, как кажется внешне. В ходе сканирования фиксируются различные «вирусоподобные»
фрагменты программного кода, например выполняющие перехват векторов прерываний, заgись в
программныt файлы, изменение загрузочных записей диска и т. д. Эвристические алгоритмы
могут предупредить даже о неизвестном и доселе незарегистрированном вирусе. Недостатком
эвристического анализа является то, что он может поставить под сомнение совершенно невинный
файл, но это лишь теоретически. На практике процент ложных срабатываний намного ниже, чем
подлинных.
Антивирусный монитор. Эта программа использует те же методы распознавания вирусов
(эвристические алгоритмы, независимые средства просмотра и т. д.), что и сканер, но запускается
при загрузке операционной системы и, работая в фоновом режиме, непрерывно сканирует файлы,
к которым в данный момент обращается операционная система. При обнаружении вируса в
открываемом файле монитор останавливает работу операционной системы и исполняет
собственную программу по удалению, лечению файла и т. д. Антивирусный монитор способен
обнаружить вирус в файле даже не при попытке его запустить, я хот бы скопировать или открыть
для просмотра. Антивирусный монитор является очень мощным средством защиты от проникновения вируса и позволяет примерно в 95% случаев предотвратить проникновение вируса в
компьютер. Немаловажно и то, что вовремя поданное предупреждение позволяет определить
источник заражения.
Ревизор дисков. В условиях повышенной вирусной опасности (компьютерный класс, активная
работа в Интернете), или повышенным требованиям к безопасности (банковский компьютер)
кроме мониторов и сканеров дополнительно применяют ревизоры дисков (или инспекторы
дисков). Эти программы сканируют диск компьютера (например один раз в день) и создают базу
данных, в которой содержатся сведения о размерах всех файлов на диске и их контрольных
суммах. При следующем сканировании выявляются «подозрительные» изменения, произошедшие
с файлами и служебными секторами диска. Эти изменения оцениваются с точки зрения поведения
вирусов. Например, если зафиксировано изменение длины файла или его содержимого, но при
этом осталась неизменной дата и время создания — это похоже на внедрение вируса. Если
несколько совершенно разных файлов увеличились на одно и то же число байтов — это очень
похоже на процесс размножения вируса. Если зафиксирована запись в программные файлы или
изменение файлов, которые в принципе должны оставаться неизменными (например
command.com, io.sys, msdos.sys), то это тоже может быть результатом воздействия вируса и т.
д. В зависимости от результатов проверки ревизор диска может либо проинформировать о
подозрительных изменениях, либо автоматически запустить антивирусный сканер для детальной
проверки новых и измененных файлов.
Антивирусный комплект дискет. Если заражение все же произошло, запуск антивирусного
сканера с жесткого диска не приведет к успеху. Схема примерно следующая. При заражении
вирус внедряется в память компьютера. Теперь будет инфицироваться любая программа,
запускаемая на компьютере. Запуск антивирусного сканера тут же приводит к его заражениюСканеры, как правило, начинают лечение с поиска и устранения вируса в памяти. Но сам сканер
уже инфицирован. Такое лечение обычно заканчивается тем, что вирус вновь оказывается в
памяти еще до того, как работа со сканером завершится. Лечение зараженных файлов
бессмысленно, так как они тут же вновь заразятся при их запуске — образуется замкнутый круг.
Надо заметить, что современные антивирусные программы при запуске контролируют
собственную неприкосновенность, и если замечено постороннее вмешательство в программный
код, то дальнейшая работа блокируется и выдается предупреждение о нарушении целостности
антивирусной программы и необходимости ее переустановки. Получение такого сообщения является косвенным свидетельством заражения, но в любом случае использование сканера для
7
лечения становится невозможным. Выход заключается в загрузке компьютера с «чистого» носителя, например с заранее заготовленного антивирусного комплекта — загрузочной дискеты, на
которой имеется автономный антивирусный сканер. Обычно такую дискету для большей
безопасности защищают от записи с помощью защелки.
И еще один совет. Если услышите по телевизору, по радио, узнаете из газет или от друзей о том,
что сегодня где-то произошла массовая вирусная атака, не торопитесь загружать свой компьютер
для проверки. Первым делом после включения питания войдите в настройку ВIOS и измените
системную дату, «откатив» ее на несколько дней назад. Теперь смело загружайтесь — для вашего
компьютера сегодняшний день наступит не сегодня. Тщательно просканируйте свое хозяйство
последними версиями антивирусных программ и сделаете резервные копии самых важных
данных, после чего можете восстановить правильную дату.
Если ваш компьютер личный, а не служебный, и вам вообще все равно, какая там стоит дата,
«откатите» ее назад на неделю и оставьте так навсегда. О массовых эпидемиях вирусов типа
«чернобыльской» вы будете сначала узнавать из газет, а потом уже во всеоружии разбираться с
ними лично.
Рекомендуемые программы:
Брандмауэры (Firewalls):
Kerio Personal Firewall (и антивирус и antispy)
http://www.sunbelt-software.com/Kerio.cfm
Norton Internet Security (Norton AntiVirus, Norton™ Personal Firewall , Norton AntiSpam....)
http://www.symantec.com/home_homeoffice/products/internet_security/nis2006/index.html
ZoneAlarm Internet Security Suite (Firewall, Antivirus, Anti-Spy...)
http://www.zonelabs.com/store/application?namespace=zls_catalog&origin=global.jsp&event=link.skuList&dc=12b
ms&ctry=&lang=et&lid=nav_ss
Outpost Firewall FREE
http://www.agnitum.com/products/outpostfree/download.php
Antivirus:
avast! 4 Home Edition Download
http://www.avast.com/eng/download-avast-home.html
AntiVir® PersonalEdition Classic
http://www.free-av.com/
F-Prot Antivirus
http://www.f-prot.com/download/
Также:
Антивирус Dr.Web
Kaspersky Anti-Virus AVP – www.avp.ru
Antivirus NOD32
Panda Antivirus
McAfee VirusScan Professional
8
Trend Micro Antivirus
Antivirus BitDefender
Sophos Anti-Virus
PC-Cillin 98/2001
и
др
Antispy:
Botspot Personal Antispy 1.14
http://www.botspot.com/Intelligent_Agent/2235.html
Ad-Aware
http://www.lavasoft.de/
Антитрояны
Anti Trojan
PC-Door Guard
Trojan Remover
Trojan Hunter и др.
9