ЗМІСТ
Введення
1. Антивірусні програми
2. Профілактика проти зараження вірусом
3. Дії при зараженні вірусом
4. Що можуть і чого не можуть комп'ютерні віруси
5. Методи маскування вірусів
6. Особливі види вірусів
Список використаної літератури
ВСТУП
Комп'ютерний вірус - це спеціально написана, як правило, невелика за розмірами програма, яка може записувати (впроваджувати) свої копії (можливо, змінені) в комп'ютерні програми, розташовані у виконуваних файлах, системних областях дисків, драйверах, документах і т.д., причому ці копії зберігають можливість до «розмноження».
Процес впровадження вірусом своєї копії в іншу програму (системну область диска тощо) називається зараженням, а програма або інший об'єкт, що містить вірус - зараженим.
Функціонування вірусів.
Коли заражена програма починає роботу, то спочатку управління отримує вірус. Вірус знаходить і «заражає» інші програми чи інші об'єкти, а також може виконати які-небудь шкідливі дії. Потім вірус передає управління тій програмі, в якій він знаходиться, і вона працює так само, як зазвичай. Тим самим зовні робота зараженої програми виглядає так само, як і незараженою.
Резидентні віруси.
Багато різновидів вірусів влаштовані так, що при запуску зараженої програми вірус залишається резидентної, тобто до перезавантаження DOS, в пам'яті комп'ютера. У цьому випадку вірус може аж до перезавантаження комп'ютера заражати програми і виконувати шкідливі дії на комп'ютері. При цьому такі віруси часто зазвичай намагаються забезпечити свою активізацію і після перезавантаження комп'ютера. Є навіть віруси, які виживають після вимкнення комп'ютера або натиснення кнопки «Reset» з наступним завантаженням з чистою системної дискети.
Небезпечні і дуже небезпечні віруси.
Однак близько третини всіх видів вірусів псують дані на дисках - або свідомо, або через що містяться у вірусах помилок, скажімо, з-за не цілком коректного виконання деяких дій. Якщо псування даних відбувається лише епізодично і не призводить до тяжких наслідків (наприклад, псується лише. СОМ - файли при зараженні, якщо довжина цих файлів більш 64000 байт), то віруси називаються небезпечними. Якщо ж псування даних відбувається часто або віруси завдають значних руйнувань (форматування жорсткого диска, систематична зміна даних на диску і т.д.), то віруси називаються дуже небезпечними.
Заражає об'єкти.
Комп'ютерні віруси відрізняються один від одного по тому, в які об'єкти вони впроваджуються, інакше кажучи, що вони заражають. Втім, деякі віруси заражають відразу кілька видів об'єктів.
Файлові віруси.
Більшість вірусів поширюється, заражаючи виконані файли, тобто файли з розширеннями імені. СОМ і. ЕХЕ, а також оверлейной файли (тобто допоміжні програмні файли, що завантажуються при виконанні інших програм). Такі віруси називаються файловими. Вірус в заражених здійснимих файлах починає свою роботу під час запуску тієї програми, в якій він знаходиться.
Завантажувальні віруси.
Ще один широко поширений вид вірусів впроваджується в початковий сектор дискет або логічних дисків, де знаходиться завантажувач операційної системи, або в початковий сектор жорстких дисків, де знаходиться таблиця розбиття жорсткого диска і невелика програма, що здійснює завантаження з одного з розділів, зазначених у цій таблиці. Такі віруси називаються завантажувальними, або бутовими (від слова boot - завантажувач). Ці віруси починає свою роботу при завантаженні комп'ютера з зараженого диску. Завантажувальні віруси завжди є резидентними і заражають вставляються в комп'ютер дискети. Зустрічаються завантажувальні віруси, що заражають також і медіа - файлово-завантажувальні віруси.
Дискети, через які поширюються завантажувальні віруси, не зобов'язані бути системними. На будь-якій дискеті у початковому секторі є завантажувач ОС, але на системній дискеті він знаходить файли ОС, завантажує їх і передає їм керування, а на несистемної дискеті - не знаходить і виводить повідомлення "Non-system disk» або ін Для зараження комп'ютера завантажувальним вірусом достатньо всього один раз залишити заражену дискету в дисководі А: у момент перезавантаження комп'ютера. При цьому вірус заразить жорсткий диск комп'ютера. І після цього при завантаженні з жорсткого «диска комп'ютера буде запускатися вірус.
Віруси заражають драйвери.
Деякі віруси вміють заражати драйвери, тобто файли, які вказуються в пропозиції DEVICE або DEVICEHIGH файлу CONFIG.SYS. Вірус, що знаходиться в драйвері, починає свою роботу при завантаженні цього драйвера з файлу CONFIG.SYS при початковому завантаженні комп'ютера. Зазвичай заражають драйвери віруси заражають також виконані файли або завантажувальні сектори дискет, оскільки інакше їм не вдавалося б поширюватися - адже драйвери дуже рідко переписують з одного комп'ютера на інший. Іноді зараження драйверів використовується як етапу в стратегії розповсюдження вірусу. Наприклад, вірус JEWS-2339 при завантаженні з виконуваного файлу заражає всі драйвери, виявлені в CONFIG.SYS, а при завантаженні зараженого драйвера стає резидентним і заражає всі файли на дискетах (а на жорсткому диску, навпаки, лікує).
Віруси, що заражають системні файли DOS.
Дуже рідко зустрічаються віруси, що заражають системні файли DOS (IO.SYS або MSDOS.SYS). Ці віруси активізуються при завантаженні комп'ютера. Зазвичай такі віруси заражають також завантажувальні сектори дискет, оскільки інакше їм не вдавалося би говорити.
Віруси, що заражають командні файли.
Дуже рідкісною різновидом вірусів є віруси, що заражають командні файли. Зазвичай ці віруси формують за допомогою команд командного файлу (командні файли ECHO та ін) здійснимих файл на диску (як правило, у форматі. СОМ), запускають цей файл, він виконує розмноження вірусу і шкодять дії, після чого цей файл стирається. Вірус в заражених командних файлах починає свою роботу при виконанні командного файлу, в якому він знаходиться. Іноді виклик зараженого командного файлу вставляється у файл AUTOEXEC.BAT.
Віруси, що заражають документи Word для Windows.
Влітку 1995 р. з'явилася нова різновид вірусів - віруси, що заражають документи Word для Windows версій 6.0 і 7.0. Внаслідок поширеності редактора Word для Windows такі документи є майже на кожному комп'ютері. Довгий час зараження файлів документів вважалося неможливим, тому що документи не містили здійснимих програм. Однак програмісти фірми Microsoft вбудували в документи Word для Windows потужний мову макрокоманд WordBasic. При цьому дії не видно в редагованому документі - для їх перегляду і редагування треба вибрати в групі меню Tools (Сервіс) пункт Macro (Макрос), а чи багато користувачів взагалі щось чули про цей пункт меню ... І, як то кажуть, «от лихих звичаїв гідні плоди!» - На цьому WordBasic стало можливо (і навіть дуже легко) писати віруси. Запуск вірусу відбувається при відкритті на редагування заражених документів (адже дбайливі програмісти з Microsoft передбачили макрокоманду AutoOpen, автоматично виконується при відкритті документа). При цьому дії вірусу записуються в глобальний шаблон NORMAL.DOT, так що за нових сеансах роботи з Word для Windows вірус буде автоматично активовано. За наявності вірусу при збереженні редагованих документів або запису документів на диск під новим ім'ям (командою Save As (Зберегти як ...)) вірус копіює свої дії в записуваний на диск документ, так що той виявляється зараженим.
Віруси, що заражають інші об'єкти.
У принципі, можливе зараження і інших об'єктів, що містять програми в будь-якій формі - текстів програм, електронних таблиць і т.д. Наприклад, вірус AsmVirus.238 заражає файли програм на мові асемблера (. ASM-файли), вставляючи туди асемблерні команди, які при трансляції породжують код вірусу. Однак число користувачів, що програмують на мові асемблера, невелика, тому широке поширення такого вірусу неможливо.
Електронні таблиці містять дії, в тому числі й дії, автоматично виконуються при відкритті таблиці. Тому для них можуть бути створені віруси, аналогічні вірусів для документів Word для Windows. Поки що такі віруси були створені для таблиць табличного процесора Excel.
Як правило, кожна конкретна різновид вірусу може заражати тільки один або два типи об'єктів. Найчастіше зустрічаються віруси, що заражають виконані файли. Деякі віруси заражають тільки. СОМ-файли, деякі - тільки. ЕХЕ-файли, а більшість - і ті, і інші. На другому місці за поширеністю завантажувальні віруси. Деякі віруси заражають і файли, і завантажувальні області дисків. Решта віруси зустрічаються рідко.
Вірус є програмою, тому об'єкти, що не містять програм і не підлягають перетворенню в програми, заражені вірусом бути не можуть. Наприклад, графічні файли форматів. BMP, PCX-,-GIF,. WMF і ін містять тільки описи малюнків, тому як би їх вірус ні зраджував, під час перегляду або іншому використанні графічного файлу можна отримати спотворений малюнок або повідомлення про неправильне форматі файлу, але вірус при цьому запущений бути не може. Іншими словами, не містять програм об'єкти вірус може тільки зіпсувати, але не заразити. До числа таких об'єктів відносяться текстові файли (крім командних файлів і текстів програм), документи простих редакторів документів типу ЛЕКСИКОНИ або Multi-Edit, інформаційні файли баз даних і т.д.
1. Антивірусні програми
Для захисту від вірусів створені спеціальні антивірусні програми, що дозволяють виявляти віруси, лікувати заражені файли і диски, виявляти і запобігати підозрілі (характерні для вірусів) дії. Зрозуміло, антивірусні програми треба застосовувати поряд з регулярним резервуванням даних та використанням профілактичних заходів, що дозволяють зменшити ймовірність зараження вірусом.
Види антивірусних програм.
Антивірусні програми можна розділити на види відповідно до виконуваних ними функціями.
Детектори.
Програми-детектори дозволяють виявляти файли, заражені одним з кількох відомих вірусів. Деякі програми-детектори також виконують евристичний аналіз файлів і системних областей дисків, що часто (але аж ніяк не завжди) дозволяє виявляти нові, не відомі програмі-детектору, віруси. Багато програм-детектори дозволяють також «лікувати» заражені файли або диски, видаляючи з них віруси (зрозуміло, лікування можна лише за допомогою вірусів, відомих програмі-детектору).
Ревізори.
Програми-ревізори запам'ятовують відомості про стан файлів і системних областей дисків, а при наступних запусках - порівнюють їх стан з початковим. При виявленні невідповідностей про це повідомляється користувачеві. Часто ревізори можна налаштувати так, щоб вони видавали повідомлення тільки про підозрілих (характерних для вірусів чи неприпустимих) змінах, не турбуючи зайвий раз користувача.
Часто програми-ревізори дозволяють також «лікувати» заражені файли або диск видаляючи з них віруси (це вдається зробити майже для всіх типів вірусів).
Сторожа.
Програми-сторожа (або фільтри) розташовуються резидентно в оперативній пам'яті комп'ютера і перевіряють на наявність вірусів запускаються файли і вставляються в дисководи дискети. За наявності вірусу про це повідомляється користувачеві. Крім топ багато програм-сторожа перехоплюють ті дії, які використовуються вірусами для розмноження і нанесення шкоди (скажімо, спробу запису у завантажувальний сектор або форматування жорсткого диска), і повідомляють про них користувачеві. Користувач може дозволити або заборонити виконання відповідної операції, Програми-сторожа дозволяють виявити багато вірусів на самій ранній стадії, коли вірус ще не встиг розмножитися і щось зіпсувати. Тим самим можна свеет збитки від вірусу до мінімуму-
Ступінь захисту, який забезпечується програмами-сторожами, не слід і переоцінювати, оскільки деякі віруси для свого розмноження і нанесення шкоди звертаються безпосередньо до програм BIOS системи, не використовуючи стандартний спосіб виклику цих програм через переривання, а резидентні програми для захисту від вірус перехоплюють тільки ці переривання .
Багато програм-сторожа перевіряють перед перезавантаженням, що виконується за натисканні [Ctrl] [AlT] [Del] або за запитом програми, вставлені в дисководи дискети на наявність завантажувальних вірусів. Однак якщо завантаження здійснюється після натискання кнопки «Reset» або при включенні комп'ютера, то програми-сторожа нічим допомогти не зможуть - адже зараження завантажувальним вірусом відбувається при завантаженні операційної системи, тобто до запуску будь-яких програм або установки драйверів.
Іноді застосовуються також програми-вакцини, або іммунізатори, вони модифікують програми і диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого виробляється вакцинація, вважає ці програми або диски вже зараженими. Ці програми малоефективні і далі не розглядаються.
Використання антивірусних програм.
Ні один тип антивірусних програм окремо не дає, на жаль, повного захисту від вірусів. Тому ніякі прості поради типу «вставте в команду запуску програми Aidstest в AUTOEXEC.BAT» не будуть достатніми. Однак спільне використання антивірусних програм дає непогані результати, так як вони добре доповнюють один одного:
• надходять із зовнішніх джерел дані (файли, дискети і т.д.) перевіряють програмою-детектором. Якщо ці дані забули перевірити і заражена програма була запущена, її може «піймати» програма-сторож. Щоправда, в обох випадках надійно виявляються лише віруси, відомі цим антивірусним програмам. Невідомі віруси детектори та сторожа, що не включають у себе евристичний аналізатор, не виявляють зовсім (приклад - програма Aidstest), що мають такий аналізатор - виявляють не більш ніж в 80-90% випадків;
• сторожа можуть виявляти навіть невідомі віруси, якщо вони дуже «нахабно» поводяться, наприклад, намагаються відформатувати жорсткий диск або внести зміни системні файли чи області диска на жорсткому диску. Втім, деякі віруси вміють обходити такий контроль. Більш дрібні капості вірусів (зміна програмних файлів, запис в системні області дискет тощо) зазвичай не відстежуються, так як ці дії виконуються не тільки вірусами, а й багатьма програмами;
• якщо вірус не був виявлений детектором або сторожем, то результати його діяльності виявить програма-ревізор.
Як правило, програми-сторожа повинні працювати на комп'ютері постійно, детектори - використовуватися для перевірки надходять із зовнішніх джерел даних (файлів і дискет), а ревізори - запускатися раз на день для виявлення та аналізу змін на дисках. Зрозуміло, все це повинно поєднуватися з регулярним резервуванням даних та використанням профілактичних заходів, що дозволяють зменшити ймовірність зараження вірусом.
Оскільки функції детектора, ревізора і сторожа доповнюють один одного, то в сучасні антивірусні комплекти програм звичайно входять компоненти, що реалізують всі ці функції. При цьому часто функції детектора і ревізора поєднуються в одній програмі.
Приклад. У антивірусному комплексі Norton AntiVirus функції детектора ревізора виконує основна програма комплексу (NAVW.EXE або NAVW32.EXE), функції сторожа - окрема резидентна програма (NAVTSR.EXE або NAVBRES.EXE).
У антивірусному комплекті DSAV фірми «Діалог-Наука» функції детектора і ревізора виконуються окремими програмами (причому в якості детекторів пропонується використовувати відразу дві програми - Aidstest і Dr. Web). Однак деякі елементи інтеграції в цьому комплексі все ж таки є: програма-ревізор ADinf може формувати список змінених файлів, а програми Aidstest та Dr. Web - перевіряти файли тільки з цього списку. Це помітно скорочує час перевірки жорстких дисків на наявність вірусів.
А як фільтр фірма «Діалог-Наука» пропонує апаратно-програмний комплекс Sheriff, який дозволяє на апаратному рівні виявляти і припиняти небажану діяльність вірусів: зміна завантажувальних областей дисків, системних файлів DOS, інших файлів за вказівкою користувача. Такий захист набагато надійніше, ніж програмна, оскільки її жоден вірус обійти не може. Однак Sheriff має і недолік - він не перевіряє запускаються програми на наявність вірусів.
2. ПРОФІЛАКТИКА ПРОТИ ЗАРАЖЕННЯ ВІРУСОМ Введення
1. Антивірусні програми
2. Профілактика проти зараження вірусом
3. Дії при зараженні вірусом
4. Що можуть і чого не можуть комп'ютерні віруси
5. Методи маскування вірусів
6. Особливі види вірусів
Список використаної літератури
ВСТУП
Комп'ютерний вірус - це спеціально написана, як правило, невелика за розмірами програма, яка може записувати (впроваджувати) свої копії (можливо, змінені) в комп'ютерні програми, розташовані у виконуваних файлах, системних областях дисків, драйверах, документах і т.д., причому ці копії зберігають можливість до «розмноження».
Процес впровадження вірусом своєї копії в іншу програму (системну область диска тощо) називається зараженням, а програма або інший об'єкт, що містить вірус - зараженим.
Функціонування вірусів.
Коли заражена програма починає роботу, то спочатку управління отримує вірус. Вірус знаходить і «заражає» інші програми чи інші об'єкти, а також може виконати які-небудь шкідливі дії. Потім вірус передає управління тій програмі, в якій він знаходиться, і вона працює так само, як зазвичай. Тим самим зовні робота зараженої програми виглядає так само, як і незараженою.
Резидентні віруси.
Багато різновидів вірусів влаштовані так, що при запуску зараженої програми вірус залишається резидентної, тобто до перезавантаження DOS, в пам'яті комп'ютера. У цьому випадку вірус може аж до перезавантаження комп'ютера заражати програми і виконувати шкідливі дії на комп'ютері. При цьому такі віруси часто зазвичай намагаються забезпечити свою активізацію і після перезавантаження комп'ютера. Є навіть віруси, які виживають після вимкнення комп'ютера або натиснення кнопки «Reset» з наступним завантаженням з чистою системної дискети.
Небезпечні та безпечні віруси
Більшість вірусів не виконує будь-яких дій, крім свого поширення (зараження інших програм, дисків і т.д.) і, іноді, видачі будь-яких повідомлень чи інших ефектів («приколів»), придуманих автором вірусу: ігри музики, перезавантаження комп'ютера, видачі на екран різних малюнків, блокування або зміни функцій клавіш клавіатури, уповільнення роботи комп'ютера, створення відеоефектів і т.д. Однак свідомого (або через недогляд) псування інформації ці віруси не здійснюють. Такі віруси умовно називаються безпечними. Втім, і ці віруси здатні заподіяти великі неприємності (наприклад, перезавантаження кожні кілька хвилин взагалі не дадуть Вам працювати).Небезпечні і дуже небезпечні віруси.
Однак близько третини всіх видів вірусів псують дані на дисках - або свідомо, або через що містяться у вірусах помилок, скажімо, з-за не цілком коректного виконання деяких дій. Якщо псування даних відбувається лише епізодично і не призводить до тяжких наслідків (наприклад, псується лише. СОМ - файли при зараженні, якщо довжина цих файлів більш 64000 байт), то віруси називаються небезпечними. Якщо ж псування даних відбувається часто або віруси завдають значних руйнувань (форматування жорсткого диска, систематична зміна даних на диску і т.д.), то віруси називаються дуже небезпечними.
Заражає об'єкти.
Комп'ютерні віруси відрізняються один від одного по тому, в які об'єкти вони впроваджуються, інакше кажучи, що вони заражають. Втім, деякі віруси заражають відразу кілька видів об'єктів.
Файлові віруси.
Більшість вірусів поширюється, заражаючи виконані файли, тобто файли з розширеннями імені. СОМ і. ЕХЕ, а також оверлейной файли (тобто допоміжні програмні файли, що завантажуються при виконанні інших програм). Такі віруси називаються файловими. Вірус в заражених здійснимих файлах починає свою роботу під час запуску тієї програми, в якій він знаходиться.
Завантажувальні віруси.
Ще один широко поширений вид вірусів впроваджується в початковий сектор дискет або логічних дисків, де знаходиться завантажувач операційної системи, або в початковий сектор жорстких дисків, де знаходиться таблиця розбиття жорсткого диска і невелика програма, що здійснює завантаження з одного з розділів, зазначених у цій таблиці. Такі віруси називаються завантажувальними, або бутовими (від слова boot - завантажувач). Ці віруси починає свою роботу при завантаженні комп'ютера з зараженого диску. Завантажувальні віруси завжди є резидентними і заражають вставляються в комп'ютер дискети. Зустрічаються завантажувальні віруси, що заражають також і медіа - файлово-завантажувальні віруси.
Дискети, через які поширюються завантажувальні віруси, не зобов'язані бути системними. На будь-якій дискеті у початковому секторі є завантажувач ОС, але на системній дискеті він знаходить файли ОС, завантажує їх і передає їм керування, а на несистемної дискеті - не знаходить і виводить повідомлення "Non-system disk» або ін Для зараження комп'ютера завантажувальним вірусом достатньо всього один раз залишити заражену дискету в дисководі А: у момент перезавантаження комп'ютера. При цьому вірус заразить жорсткий диск комп'ютера. І після цього при завантаженні з жорсткого «диска комп'ютера буде запускатися вірус.
Віруси заражають драйвери.
Деякі віруси вміють заражати драйвери, тобто файли, які вказуються в пропозиції DEVICE або DEVICEHIGH файлу CONFIG.SYS. Вірус, що знаходиться в драйвері, починає свою роботу при завантаженні цього драйвера з файлу CONFIG.SYS при початковому завантаженні комп'ютера. Зазвичай заражають драйвери віруси заражають також виконані файли або завантажувальні сектори дискет, оскільки інакше їм не вдавалося б поширюватися - адже драйвери дуже рідко переписують з одного комп'ютера на інший. Іноді зараження драйверів використовується як етапу в стратегії розповсюдження вірусу. Наприклад, вірус JEWS-2339 при завантаженні з виконуваного файлу заражає всі драйвери, виявлені в CONFIG.SYS, а при завантаженні зараженого драйвера стає резидентним і заражає всі файли на дискетах (а на жорсткому диску, навпаки, лікує).
Віруси, що заражають системні файли DOS.
Дуже рідко зустрічаються віруси, що заражають системні файли DOS (IO.SYS або MSDOS.SYS). Ці віруси активізуються при завантаженні комп'ютера. Зазвичай такі віруси заражають також завантажувальні сектори дискет, оскільки інакше їм не вдавалося би говорити.
Віруси, що заражають командні файли.
Дуже рідкісною різновидом вірусів є віруси, що заражають командні файли. Зазвичай ці віруси формують за допомогою команд командного файлу (командні файли ECHO та ін) здійснимих файл на диску (як правило, у форматі. СОМ), запускають цей файл, він виконує розмноження вірусу і шкодять дії, після чого цей файл стирається. Вірус в заражених командних файлах починає свою роботу при виконанні командного файлу, в якому він знаходиться. Іноді виклик зараженого командного файлу вставляється у файл AUTOEXEC.BAT.
Віруси, що заражають документи Word для Windows.
Влітку 1995 р. з'явилася нова різновид вірусів - віруси, що заражають документи Word для Windows версій 6.0 і 7.0. Внаслідок поширеності редактора Word для Windows такі документи є майже на кожному комп'ютері. Довгий час зараження файлів документів вважалося неможливим, тому що документи не містили здійснимих програм. Однак програмісти фірми Microsoft вбудували в документи Word для Windows потужний мову макрокоманд WordBasic. При цьому дії не видно в редагованому документі - для їх перегляду і редагування треба вибрати в групі меню Tools (Сервіс) пункт Macro (Макрос), а чи багато користувачів взагалі щось чули про цей пункт меню ... І, як то кажуть, «от лихих звичаїв гідні плоди!» - На цьому WordBasic стало можливо (і навіть дуже легко) писати віруси. Запуск вірусу відбувається при відкритті на редагування заражених документів (адже дбайливі програмісти з Microsoft передбачили макрокоманду AutoOpen, автоматично виконується при відкритті документа). При цьому дії вірусу записуються в глобальний шаблон NORMAL.DOT, так що за нових сеансах роботи з Word для Windows вірус буде автоматично активовано. За наявності вірусу при збереженні редагованих документів або запису документів на диск під новим ім'ям (командою Save As (Зберегти як ...)) вірус копіює свої дії в записуваний на диск документ, так що той виявляється зараженим.
Віруси, що заражають інші об'єкти.
У принципі, можливе зараження і інших об'єктів, що містять програми в будь-якій формі - текстів програм, електронних таблиць і т.д. Наприклад, вірус AsmVirus.238 заражає файли програм на мові асемблера (. ASM-файли), вставляючи туди асемблерні команди, які при трансляції породжують код вірусу. Однак число користувачів, що програмують на мові асемблера, невелика, тому широке поширення такого вірусу неможливо.
Електронні таблиці містять дії, в тому числі й дії, автоматично виконуються при відкритті таблиці. Тому для них можуть бути створені віруси, аналогічні вірусів для документів Word для Windows. Поки що такі віруси були створені для таблиць табличного процесора Excel.
Як правило, кожна конкретна різновид вірусу може заражати тільки один або два типи об'єктів. Найчастіше зустрічаються віруси, що заражають виконані файли. Деякі віруси заражають тільки. СОМ-файли, деякі - тільки. ЕХЕ-файли, а більшість - і ті, і інші. На другому місці за поширеністю завантажувальні віруси. Деякі віруси заражають і файли, і завантажувальні області дисків. Решта віруси зустрічаються рідко.
Вірус є програмою, тому об'єкти, що не містять програм і не підлягають перетворенню в програми, заражені вірусом бути не можуть. Наприклад, графічні файли форматів. BMP, PCX-,-GIF,. WMF і ін містять тільки описи малюнків, тому як би їх вірус ні зраджував, під час перегляду або іншому використанні графічного файлу можна отримати спотворений малюнок або повідомлення про неправильне форматі файлу, але вірус при цьому запущений бути не може. Іншими словами, не містять програм об'єкти вірус може тільки зіпсувати, але не заразити. До числа таких об'єктів відносяться текстові файли (крім командних файлів і текстів програм), документи простих редакторів документів типу ЛЕКСИКОНИ або Multi-Edit, інформаційні файли баз даних і т.д.
1. Антивірусні програми
Для захисту від вірусів створені спеціальні антивірусні програми, що дозволяють виявляти віруси, лікувати заражені файли і диски, виявляти і запобігати підозрілі (характерні для вірусів) дії. Зрозуміло, антивірусні програми треба застосовувати поряд з регулярним резервуванням даних та використанням профілактичних заходів, що дозволяють зменшити ймовірність зараження вірусом.
Види антивірусних програм.
Антивірусні програми можна розділити на види відповідно до виконуваних ними функціями.
Детектори.
Програми-детектори дозволяють виявляти файли, заражені одним з кількох відомих вірусів. Деякі програми-детектори також виконують евристичний аналіз файлів і системних областей дисків, що часто (але аж ніяк не завжди) дозволяє виявляти нові, не відомі програмі-детектору, віруси. Багато програм-детектори дозволяють також «лікувати» заражені файли або диски, видаляючи з них віруси (зрозуміло, лікування можна лише за допомогою вірусів, відомих програмі-детектору).
Ревізори.
Програми-ревізори запам'ятовують відомості про стан файлів і системних областей дисків, а при наступних запусках - порівнюють їх стан з початковим. При виявленні невідповідностей про це повідомляється користувачеві. Часто ревізори можна налаштувати так, щоб вони видавали повідомлення тільки про підозрілих (характерних для вірусів чи неприпустимих) змінах, не турбуючи зайвий раз користувача.
Часто програми-ревізори дозволяють також «лікувати» заражені файли або диск видаляючи з них віруси (це вдається зробити майже для всіх типів вірусів).
Сторожа.
Програми-сторожа (або фільтри) розташовуються резидентно в оперативній пам'яті комп'ютера і перевіряють на наявність вірусів запускаються файли і вставляються в дисководи дискети. За наявності вірусу про це повідомляється користувачеві. Крім топ багато програм-сторожа перехоплюють ті дії, які використовуються вірусами для розмноження і нанесення шкоди (скажімо, спробу запису у завантажувальний сектор або форматування жорсткого диска), і повідомляють про них користувачеві. Користувач може дозволити або заборонити виконання відповідної операції, Програми-сторожа дозволяють виявити багато вірусів на самій ранній стадії, коли вірус ще не встиг розмножитися і щось зіпсувати. Тим самим можна свеет збитки від вірусу до мінімуму-
Ступінь захисту, який забезпечується програмами-сторожами, не слід і переоцінювати, оскільки деякі віруси для свого розмноження і нанесення шкоди звертаються безпосередньо до програм BIOS системи, не використовуючи стандартний спосіб виклику цих програм через переривання, а резидентні програми для захисту від вірус перехоплюють тільки ці переривання .
Багато програм-сторожа перевіряють перед перезавантаженням, що виконується за натисканні [Ctrl] [AlT] [Del] або за запитом програми, вставлені в дисководи дискети на наявність завантажувальних вірусів. Однак якщо завантаження здійснюється після натискання кнопки «Reset» або при включенні комп'ютера, то програми-сторожа нічим допомогти не зможуть - адже зараження завантажувальним вірусом відбувається при завантаженні операційної системи, тобто до запуску будь-яких програм або установки драйверів.
Іноді застосовуються також програми-вакцини, або іммунізатори, вони модифікують програми і диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого виробляється вакцинація, вважає ці програми або диски вже зараженими. Ці програми малоефективні і далі не розглядаються.
Використання антивірусних програм.
Ні один тип антивірусних програм окремо не дає, на жаль, повного захисту від вірусів. Тому ніякі прості поради типу «вставте в команду запуску програми Aidstest в AUTOEXEC.BAT» не будуть достатніми. Однак спільне використання антивірусних програм дає непогані результати, так як вони добре доповнюють один одного:
• надходять із зовнішніх джерел дані (файли, дискети і т.д.) перевіряють програмою-детектором. Якщо ці дані забули перевірити і заражена програма була запущена, її може «піймати» програма-сторож. Щоправда, в обох випадках надійно виявляються лише віруси, відомі цим антивірусним програмам. Невідомі віруси детектори та сторожа, що не включають у себе евристичний аналізатор, не виявляють зовсім (приклад - програма Aidstest), що мають такий аналізатор - виявляють не більш ніж в 80-90% випадків;
• сторожа можуть виявляти навіть невідомі віруси, якщо вони дуже «нахабно» поводяться, наприклад, намагаються відформатувати жорсткий диск або внести зміни системні файли чи області диска на жорсткому диску. Втім, деякі віруси вміють обходити такий контроль. Більш дрібні капості вірусів (зміна програмних файлів, запис в системні області дискет тощо) зазвичай не відстежуються, так як ці дії виконуються не тільки вірусами, а й багатьма програмами;
• якщо вірус не був виявлений детектором або сторожем, то результати його діяльності виявить програма-ревізор.
Як правило, програми-сторожа повинні працювати на комп'ютері постійно, детектори - використовуватися для перевірки надходять із зовнішніх джерел даних (файлів і дискет), а ревізори - запускатися раз на день для виявлення та аналізу змін на дисках. Зрозуміло, все це повинно поєднуватися з регулярним резервуванням даних та використанням профілактичних заходів, що дозволяють зменшити ймовірність зараження вірусом.
Оскільки функції детектора, ревізора і сторожа доповнюють один одного, то в сучасні антивірусні комплекти програм звичайно входять компоненти, що реалізують всі ці функції. При цьому часто функції детектора і ревізора поєднуються в одній програмі.
Приклад. У антивірусному комплексі Norton AntiVirus функції детектора ревізора виконує основна програма комплексу (NAVW.EXE або NAVW32.EXE), функції сторожа - окрема резидентна програма (NAVTSR.EXE або NAVBRES.EXE).
У антивірусному комплекті DSAV фірми «Діалог-Наука» функції детектора і ревізора виконуються окремими програмами (причому в якості детекторів пропонується використовувати відразу дві програми - Aidstest і Dr. Web). Однак деякі елементи інтеграції в цьому комплексі все ж таки є: програма-ревізор ADinf може формувати список змінених файлів, а програми Aidstest та Dr. Web - перевіряти файли тільки з цього списку. Це помітно скорочує час перевірки жорстких дисків на наявність вірусів.
А як фільтр фірма «Діалог-Наука» пропонує апаратно-програмний комплекс Sheriff, який дозволяє на апаратному рівні виявляти і припиняти небажану діяльність вірусів: зміна завантажувальних областей дисків, системних файлів DOS, інших файлів за вказівкою користувача. Такий захист набагато надійніше, ніж програмна, оскільки її жоден вірус обійти не може. Однак Sheriff має і недолік - він не перевіряє запускаються програми на наявність вірусів.
У цьому розділі описуються заходи, які дозволяють зменшити ймовірність зараження комп'ютера вірусом, а також виявити зараження, якщо воно сталося, як можна раніше. Якщо Ви будете неухильно застосовувати ці заходи «комп'ютерної гігієни», то на Вашому комп'ютері навряд чи заведуться віруси (подібно до того, як у охайного і дотримує заходи гігієни людини навряд чи заведуться воші).
Поряд з профілактичними заходами проти зараження вірусом необхідно використовувати і загальні заходи, що забезпечують збереження даних: регулярне створення резервних копій, використання методів обмеження доступу до даних і т.д.
Перевірка даних, що надходять ззовні.
Усі принесені дискети або отримані ззовні (скажімо, по електронній пошті) файли перед використанням слід перевірити на наявність вірусу за допомогою програм-детекторів. Не використовуйте та не запускайте принесені ззовні програми, призначення яких Вам незрозуміло.
Якщо отримані файли містяться в архівах, слід витягти їх з, архівів і перевірити програмами-детекторами відразу після цього (втім, деякі програми-детектори можуть переглядати окремі типи архівів самі). Якщо файли з архівів можна витягти тільки програмою установки пакета програм, то треба виконати установку цього пакета і відразу після цього перевірити записані на диск файли, як це описано вище. Бажано виконувати установку при включеній резидентної програмі-сторожі для захисту від вірусів.
Не слід переписувати програмне забезпечення з інших комп'ютерів (особливо тих, до яких можуть мати доступ різні безвідповідальні особи), так як воно може бути заражене вірусом. Автор не вважає можливим вдаватися тут до обговорення моральних і юридичних аспектів нелегального копіювання програм, проте він хоче зауважити, що поширювані виробниками програмного забезпечення «фірмові» дискети з програмами, як правило, не містять вірусів.
Періодична перевірка на наявність вірусів.
Бажано забезпечити щоденну перевірку дисків на наявність вірусів. Один спосіб - вставити в командний файл AUTOEXEC.BAT, що виконується при початковому завантаженні DOS, виклик програми або командного файлу для перевірки на наявність вірусів. У главі 40 описано, як зробити, щоб ця програма або командний файл викликалися не частіше одного разу на день. Так, при використанні антивірусного комплекту DSAV «Діалог-Наука» можна з файлу AUTOEXEC.BAT викликати командний файл, що запускає програму-ревізора ADinf, який складає список змінених файлів, використовуваний потім програмами-детекторами Aidstest і Dr.Web (це дозволяє істотно скоротити час перевірки). Приклад такого командного файлу включений в комплект постачання антивірусного комплекту DSAV.
При роботі в середовищі Windows, Windows 95 і т.д. для щоденного виконання перевірки на наявність вірусів можна використовувати програми-планувальники типу Scheduler з Norton Desktop for Windows, System Agent з Microsoft Plus! (Пакета додатків для Windows 95), Norton Commander Scheduler з Norton Commander для Windows 95 і т.д.
Захист від завантажувальних вірусів.
Якщо програма установки конфігурації комп'ютера дозволяє відключити завантаження з дискети, бажано зробити це, тоді Вам ніякі завантажувальні віруси не будуть страшні.
На інших комп'ютерах перед перезавантаженням з жорсткого диска переконайтеся, що в дисководі А: немає будь-якої дискети. Якщо там є дискета, то відкрийте дверцята дисковода перед перезавантаженням.
Якщо Ви хочете перезавантажити комп'ютер з дискети, користуйтеся тільки захищеної від запису «еталонної» дискетою з операційною системою.
Захист від вірусів документів Word для Windows.
Вірус, що заражають документи Word для Windows, запускаються завдяки тому, що в них є макрокоманда AutoOpen, автоматично запускається при відкритті документа. Однак запуск цієї дії (як і її «колег» - AutoExec, AutoNew, AutoClose і AutoExit, що виконуються під час запуску Word, створення нового документа, закритті документа і вихід з Word) блокується при натисканні клавіші [Shift]. Так що Ви можете натискати [Shift] при відкритті отриманих із сторони документів, і жоден вірус, що заражає документи Word для Windows, Вам буде не страшний.
Проте краще не сподіватися на те, що Ви завжди будете натискати у потрібний момент клавішу [Shift] - подібна досконалість не властиво людській природі. Краще створити макрокоманду з ім'ям AutoExec, що відключає запуск дії AutoOpen (а заодно і AutoNew, AutoClose і AutoExit), і помістити її в глобальний шаблон NORMAL. DOT. Для цього треба вибрати в групі меню Tools (Сервіс) пункт Macro (Макрос), у виведеному запиті в полі Macro Name (Ім'я) ввести ім'я макрокоманди - AutoExec, в полі Macros available in (Макроси з) - вибрати значення Normal.dot (Global Template) (Звичайний (загальний шаблон)). Потім клацніть кнопку Create (Створити) і введіть текст макрокоманди (перша і остання рядки там вже будуть, так що Вам залишиться тільки вставити між ними другий рядок):
Sub MAIN
DisableAutoMacros
End Sub
Потім натисніть [Ctrl] [S], і Word внесе зміни в глобальний шаблон. Тепер макрокоманда AutoExec буде завжди виконуватися при запуску Word, відключаючи автоматичний запуск макрокоманд, в тому числі запуск дії AutoOpen.
Для програм-детекторів слід періодично оновлювати їх версії. Нові віруси зараз з'являється кожного тижня, і при використанні версій програм піврічний або річний давнини дуже ймовірно зараження таким вірусом, який цими програмами буде невідомий.
Для деяких програм (наприклад, Norton AntiVirus, Antivira Toolkit Pro) для оновлення не треба купувати нову версію програми, а слід лише переписати за допомогою модему нову версію бази даних з відомостями про віруси. Звичайно це можна робити безкоштовно.
Фірма «Діалог-Наука» дозволяє придбати річний абонемент, що дозволяє отримувати самі останні версії програм Aidstest, Dr.Web, ADinf і ADinfExt по електронній пошті або через BBS фірми «Діалог-Наука». При продовженні річного абонемента надається знижка 50%. Останні версії бази даних з відомостями про віруси для програми Norton AntiVirus можна безкоштовно списати по модему з FTP-сервера ftp.symantec.com або з WWW-сервера www, Symantec.com. В обох випадках оновлення версій виконується не рідше одного разу на місяць.
3. ДІЇ При зараженні вірусом
Симптоми зараження вірусом.
Ви можете бути впевнені, що на Вашому комп'ютері є вірус, якщо:
• програма-детектор повідомляє про наявність відомого їй вірусу в оперативній пам'яті, у файлах або системних областях на жорсткому диску;
• програма-ревізор повідомляє про зміну файлів, які не повинні змінюватися. При цьому зміна часто виконується незвичайним способом, наприклад, зміст файлу змінено, а час його модифікації - ні;
• програма-ревізор повідомляє про зміну головному завантажувальному запису жорсткого диска (Master Boot, вона містить таблицю поділу жорсткого диска) або завантажувального запису (Boot record), а Ви не змінювали розбиття жорсткого диска, не встановлювали нову версію операційної системи і не давали інших приводів до зміни даних областей жорсткого диска;
• програма-сторож повідомляє про те, що якась програма бажає форматувати жорсткий диск, змінювати системні області жорсткого диска і т.д., а Ви не доручали ніякої програмі виконувати подібні дії;
• програма-ревізор повідомила про наявність у пам'яті «невидимих» («стелс») вірусів. Це проявляється в тому, що для деяких файлів або областей дисків при читанні засобами DOS і при читанні за допомогою прямих звернень до диску видається різний вміст;
• вірус сам Вам представився, вивівши відповідне повідомлення.
Ви можете підозрювати наявність вірусу, якщо:
• антивірусна програма повідомляє про виявлення невідомого вірусу;
• на екран або принтер починають виводитися сторонні повідомлення, символи і т.д.;
• деякі файли виявляються зіпсованими;
• деякі програми перестають працювати або починають працювати неправильно;
• робота на комп'ютері істотно сповільнюється.
Втім, схожі явища можуть викликатися не вірусом, а неправильно працюючими програмами, збоями в апаратурі і т.д.
При зараженні комп'ютера вірусом (або при підозрі на це) важливо дотримуватися п'ять правил.
1. Перш за все, не треба поспішати і приймати необачних рішень. Як то кажуть, «сім разів відміряй, один раз відріж» - непродумані дії можуть призвести не тільки до втрати частини даних, які можна було б відновити, але і до повторного зараження комп'ютера.
2. Тим не менш, одна дія повинна бути виконана негайно. Якщо Ви не впевнені у тому, що виявили вірус до того, як він встиг активізуватися на Вашому комп'ютері, то треба вимкнути комп'ютер, щоб вірус не продовжував своїх руйнівних дій.
3. Всі дії з виявлення виду зараження та лікування комп'ютера слід виконувати тільки при правильній (див. нижче) завантаженні комп'ютера на захищених від запису «еталонної» дискети з операційною системою. При цьому слід використовувати тільки програми (виконані файли), що зберігаються на захищених від записи дискетах. Недотримання цього правила може призвести до дуже тяжких наслідків, оскільки при завантаженні DOS або запуску програми з зараженого диска в комп'ютері може бути активований вірус, а при працюючому вірус лікування комп'ютера буде безглуздим, тому що воно буде супроводжуватися подальшим зараженням дисків і програм.
4. Лікування від вірусу зазвичай нескладно, але іноді (при істотних руйнування, заподіяних вірусом) воно дуже важко. Якщо Ви не володієте достатніми знаннями та досвідом для лікування комп'ютера, попросіть допомогти Вам більш досвідчених колег.
5. Лікування комп'ютера від вірусу - процес творчий, тому будь-які рекомендації з цього приводу (у тому числі і наведені нижче) не треба сприймати як догму. Тим більше письменники вірусів ні-ні, та й придумають щось нове, і деякі рекомендації щодо боротьби з вірусами через це застаріють ...
Деякі користувачі вважають за краще лікувати комп'ютер при зараженні вірусом, не завантажені з «чистою» дискети, вважаючи, що так зручніше. Що ж, раніше були хірурги, не вважали за потрібне мити руки перед операціями. Одні хворі одужували, а інші вмирали від внесеної інфекції ...
Раннє виявлення вірусу.
Якщо Ви використовуєте резидентну програму-сторожа для захисту від вірусу, то наявність вірусу можна виявити на ранньому етапі, коли вірус не встиг ще активізуватися, заразити інші програми або диски і зіпсувати будь-які дані. Наприклад, при зверненні до дискети програма-сторож може вивести повідомлення, що на дискеті є завантажувальний вірус, і запропонувати його видалити. Тоді для видалення вірусу досить погодитися з пропозицією програми-сторожа. Ніяких інших дій у цьому випадку робити не треба. Аналогічно, якщо при перевірці отриманої з боку дискети чи завантаженого по електронній пошті файлу програмами-детекторами типу Aidstest, Dr. Web і т.д. було отримано повідомлення, що дискета або файл містить вірус, то треба вилікувати тільки цю дискету або файл (зрозуміло, якщо Ви не завантажувалися з дискети і не запускали отримані програмні файли).
Правильна перезавантаження.
Розглянемо більш складний випадок, коли вірус вже міг активізуватися, а значить, заразити або зіпсувати якісь дані на дисках комп'ютера. При цьому треба перезавантажити комп'ютер, почати виявлення вірусу і потім лікування. Однак перезавантаження комп'ютера треба виконати правильно, оскільки є віруси, здатні виживати навіть при перезавантаженні з чистої системної дискети.
1. Приготуйте системну дискету, про яку Ви точно знаєте, що на ній немає вірусів. Переконайтеся, що дискета захищена від запису. Вставте дискету в дисковод А: комп'ютера.
2. Натисніть на кнопку перезавантаження («Reset») комп'ютера або вимкніть комп'ютер і увімкніть його знову.
3. Відразу після початку завантаження у відповідь на відповідне запрошення натисніть клавішу або комбінацію клавіш, призначених для входу в програму конфігурації комп'ютера (SETUP). Частіше за все для входу в цю програму використовується клавіша [Del].
4. У програмі конфігурування комп'ютера переконайтеся, що типи дисководів для дискет встановлені правильно. Якщо типи цих дисководів задані невірно, треба їх виправити. Крім того, треба перевірити установки, що відповідають за порядок початкового завантаження: у багатьох типах BIOS можна встановити, що завантаження спочатку здійснюється з жорсткого диска, а лише потім з дискети. Якщо такі установки включені, треба їх вимкнути.
5. Вийдіть з програми конфігурації. Якщо Ви змінювали параметри конфігурації комп'ютера, відповідайте ствердно (зазвичай для цього треба натиснути [Y]) на питання про те, чи треба записувати нові значення параметрів в CMOS.
6. Комп'ютер завантажиться з системної дискети, і вірус при цьому запущений не буде.
Зауваження. 1. Необхідність в кроках 3-5 наведеної вище процедури викликана не тільки тим, що при неправильних параметрах в CMOS комп'ютер може не завантажуватися з дискет, але і тим, що існують віруси, здатні виживати при перезавантаженні з дискети. Ці віруси виправляють інформацію про типи дисководів для дискет в CMOS, наприклад, встановлюючи, що цих дисководів нібито не існує. У цьому випадку програма початкового завантаження завантажує комп'ютер не з дискет, а з жорсткого диска. При цьому запускається вірус, який відновлює інформацію про типи дисководів для дискет в CMOS і продовжує завантаження з дискети. Кроки 3-5 вище дозволяє запобігти ініціалізацію такого вірусу.
2. Перезавантажити комп'ютер бажано навіть при виявленні вірусів, що заражають документи Word для Windows: деякі з цих вірусів заражають також виконані файли.
Лікування комп'ютера від зараження вірусом має суттєві особливості, що відрізняють його, скажімо, від усунення пошкоджень файлової системи, тобто системних даних, що вказують розташування даних на дисках.
Лікування дисків програмами-детекторами.
1. Ми вже говорили, що всі дії з лікування комп'ютера від вірусів слід виконувати тільки після правильної завантаження комп'ютера з дискети, запускаючи при цьому тільки програми із захищених від запису дискет і знімних дисків.
2. Незважаючи на те, що віруси можуть зіпсувати файлову систему на дисках (наприклад, окремі диски можуть бути не видно), програми для усунення пошкоджень на дисках типу NDD, UnFormat і т.д., слід застосовувати в останню чергу. Спочатку треба використовувати антивірусні програми-детектори, тому що вони краще знають, як саме конкретний вірус псує файлову систему. Більше того, для деяких видів вірусів (вірусів типу DIR, вірусів, шифруючих інформацію на дисках і т.д.) після лікування програмами типу NDD або UnFormat відновити інформацію на дисках буде неможливо.
3. Виявлення та лікування від якого-небудь вірусу не означає, що комп'ютер «здоровий» - комп'ютер міг бути заражений декількома вірусами. Тому після закінчення лікування треба обов'язково ще раз перевірити комп'ютер всіма наявними детекторами на відсутність вірусів. До речі, навіть це не гарантує відсутності вірусів - адже комп'ютер може бути заражений вірусом, невідомим наявними у Вас програмами-детекторів.
Запуск програм-детекторів.
Для лікування комп'ютера треба по черзі перевірити за допомогою наявних у Вас програм-детекторів всі логічні диски, розташовані на жорсткому диску. Спочатку, щоб оцінити ситуацію, бажано запускати програми-детектори в діагностичному режимі, без лікування або видалення заражених об'єктів.
З'ясування відомостей про вірус.
Якщо яка-небудь з програм-детекторів повідомить про те, що вона знайшла відомий їй вірус, то бажано прочитати в її документації або вбудованому довіднику відомості про даний тип вірусів. Наприклад, в комплект поставки програм-детекторів Aidstest і Dr. Web входять текстові файли з описами знайомих їм вірусів. Відомості про віруси дозволять Вам оцінити можливі наслідки зараження і вибрати необхідні заходи щодо їх усунення. Наприклад, якщо комп'ютер виявився заражений безпечним завантажувальним вірусом, то крім видалення вірусу з жорсткого диска та дискет, якими Ви користувалися, робити нічого не треба. А усунення наслідків зараження вірусом, що змінює випадково вибрані ділянки диска, можуть бути набагато серйозніше - зазвичай при цьому доводиться заново встановлювати всіх пакетів програм з дистрибутивів, а власні дані - з резервних копій.
Видалення вірусів.
Якщо яка-небудь з програм-детекторів виявила вірус, то слід за допомогою цієї програми вилікувати або видалити заражені об'єкти. Як правило, для системних областей диска програма-детектор пропонує вибрати їх лікування або залишення без змін, а для файлів - лікування, видалення або залишення без змін. Видалення заражених файлів зазвичай краще їх лікування, якщо заражений файл входить в пакет програм, який можна заново встановити з дистрибутивних дисків.
Щоб не пропустити вірус в будь-якому файлі, бажано задати режим пошуку вірусів у всіх файлах, а не тільки у програмних файлах, а також режим пошуку в архівах. Якщо Ви використовуєте архіви видів, які не підтримуються програмою-детектором (див. зауваження нижче), то може знадобитися розпакувати архів в тимчасовий каталог і перевірити його вміст програмою-детектором.
Якщо Ви лікували (а не видаляли) будь-які файли, рекомендується ще раз перевірити комп'ютер всіма наявними детекторами на відсутність вірусів - адже деякі файли могли бути заражені кількома вірусами, «нашаровуються» один на інший.
Norton AntiVirus для Windows підтримує архіви формату. ZIP, Norton AntiVirus для Windows 95 -. ZIP і LZH, Dr. Web --ARJ,. ZIP,. LZH,. RAR,. ZOO і. ICE, a Aidstest - не вміє шукати віруси в архівах взагалі.
Якщо наявні у Вас програми-детектори не знаходять вірусів, то або ці програми-детектори старі, а заразив їх вірус - новий і невідомий програмами-детекторів, або вірусу на Вашому комп'ютері немає. Якщо Ви використовували програму-ревізора, то для з'ясування цього питання можна запустити дану програму і проаналізувати зміни на дисках.
Якщо Ви використовували програму-ревізора, наприклад, ADinf з антивірусного комплекту DSAV фірми «Діалог-Наука» або Norton AntiVirus в режимі інокуляції (див. розділ 51), то після запуску програм-детекторів слід (незалежно від результату роботи з програмами-детекторами) запустити програму-ревізора та проаналізувати зміни на дисках. Часто програма-ревізор сама визначає підозрілі симптоми: зміни в системних областях диска, зміни у файлах при незмінній даті модифікації файлу і т.д.
При виявленні змін програма-ревізор, як правило, пропонує їх виправити (відновивши колишнє стан), пропустити (при наступній перевірці знову буде видане повідомлення про зміну) або запам'ятати відомості про цю зміну (тобто визнати його, так би мовити, законним).
Лікування та її наслідки.
У переважній більшості випадків програми-ревізори відновлюють колишнє стан системних областей дисків і програмних файлів правильно. Тим не менш, іноді лікування програмами-ревізорами може призвести до втрати частини (або навіть усіх) даних на диску. Це відбувається, наприклад, якщо вірус зашифрував якісь сектору жорсткого диска. Саме тому вище я рекомендував застосовувати спочатку програми-детектори (які, знаючи принципи роботи даного вірусу, можуть розшифрувати пошкоджені ділянки диска), а лише потім - програми-ревізори.
Неправильне лікування програмою-детектором.
Іноді програми-ревізори виявляють, що заживається програмою-детектором здійснимих файл відрізняється від оригіналу (того файлу, який був до зараження). Зазвичай це означає, що програма-детектор неправильно розпізнала тип вірусу і вилікувала файл неправильно. У цьому випадку краще видалити такий файл і відновити його з інших джерел (наприклад, з дистрибутивних дисків).
Що робити після лікування.
Після того, як Ви виявили та вилучили з комп'ютера вірус, треба виконати наступні дії.
Слід перевірити цілісність файлової системи і поверхні диска за допомогою програми NDD. Якщо ушкодження файлової системи значні, то доцільно скопіювати з диска на дискети (чи інші носії) всі потрібні файли, резервних копій яких не є, заново відформатувати диск, а потім заново встановити всі пакети програм з дистрибутивів, а власні дані - з резервних копій.
Треба завантажити комп'ютер з жорсткого диска. Якщо комп'ютер не завантажується, можна відновити системні файли і завантажувальний сектор логічного диска С: завантажившись з дискети і ввівши команду SYS С:.
Багато віруси не тільки розмножуються, а й псують дані. Якщо Ви не впевнені в тому, що вірус нічого не зіпсував, слід порівняти файли в резервних копіях з відповідними файлами на диску. Більшість програм резервного копіювання мають режим порівняння резервної копії з відповідними файлами на диску. Якщо Ви виявите пошкодження у файлах, тобто зміни, яких Ви не робили, слід відновити пошкоджені файли з резервних копій. У цьому випадку бажано також заново встановити використовувані пакети програм з дистрибутивних дисків, так як вірус міг пошкодити і ці пакети програм.
Програма ARJ теж має режим порівняння вмісту архіву з відповідними файлами на диску.
Часто пошкодження файлу вірусом можна впізнати але тому, що у файлу змінилося вміст, а дата і час останньої модифікації - ні.
Якщо виявила вірус програма-детектор не вміє обробляти файли архівів використовуваного Вами типу, слід перевірити містяться на дисках комп'ютера архіви, розпаковуючи їх по черзі в тимчасовий каталог і перевіряючи вміст цього каталогу програмою-детектором.
Якщо Ви в той період, коли комп'ютер був заражений вірусом, працювали з дискетами або знімними дисками, на яких не була встановлена захист від запису, слід перевірити ці дискети та диски на наявність вірусів.
Встановлення антивірусних програм.
Потреба в лікуванні комп'ютера від вірусів, а тим більше, важкі наслідки зараження вірусом, як правило, пов'язані з недотриманням елементарних правил «комп'ютерної гігієни», описаних у попередньому параграфі. Якщо Ви більше не хочете лікувати комп'ютер від вірусів, встановіть на комп'ютер антивірусні програми і виконуйте заходи антивірусної профілактики (перевірка всіх отриманих ззовні даних програмами-детекторами, щоденна перевірка жорсткого диска програмами-ревізорами, використання резидентної програми-сторожа, регулярне оновлення версій антивірусних програм і т.д.).
При лікуванні комп'ютера від вірусів можливі найскладніші випадки, деякі з яких описані нижче.
Якщо Ви впевнені, що на комп'ютері є вірус, а програми-детектори його не виявляють, можливо, комп'ютер заражений новим вірусом або у Вас застарілі версії програм-детекторів. Останні некомерційні версії (тобто версії двомісячної давності) антивірусних програм Aidstest і Dr.Web фірми «Діалог-Наука» можна безкоштовно списати по модему з FTP-сервера ftp.kiam1.rssi.ru або з некомерційною лінії BBS фірми «Діалог-Наука» (095) 938-28-56. У фірмі можна придбати й річний абонемент, який дає право на оперативне отримання самих останніх версій цих програм електронною поштою або через BBS фірми «Діалог-Наука». Останні версії бази даних з відомостями про віруси для програми Norton AntiVirus можна безкоштовно списати по модему з FTP-сервера ftp.symantec.com або з WWW-сервера www.symantec.com.
Якщо вірус все-таки не виявляється, можна зробити наступні заходи:
• може бути, вірусу все-таки немає і даремно турбуватися не треба? Порадьтеся з більш досвідченими фахівцями;
• як відомо, самий надійний засіб від головного болю - гільйотина. Скопіюйте з зараженого диска на дискети (чи інші носії) всі створені Вами файли, резервних копій яких не є (крім здійснимих файлів, ними доведеться пожертвувати), заново відформатуйте жорсткий диск, а потім заново встановіть всі пакети програм з дистрибутивів, а власні дані - з резервних копій;
• можна скористатися наданими фірмою «Діалог-Наука», послугами швидкої антивірусної допомоги з виїздом фахівця на місце. Природно, це робиться далеко не безкоштовно. Інформацію з цього приводу можна отримати за тел. (095) 938-28-55, 938-29-70;
• та ж фірма виготовляє на замовлення клієнтів нові версії програм Aidstest і Dr.Web, що виявляють і видаляють нові віруси.
Іноді програми-детектори не можуть правильно відновити завантажувальний сектор диска або головний завантажувальний запис жорсткого диска. При цьому зазвичай видається відповідне повідомлення, наприклад;
Можливо некоректне лікування завантажувального сектора! Продовжити лікування?
Це повідомлення може бути викликано тим, що вихідна головна запис (Master Boot Record, MBR) або завантажувальний сектор (Boot Sector) диска не були знайдені в секторі, де вірус зазвичай їх «ховає». Причиною тому може бути або проведена будь-ким модифікація вірусу, або зараження комп'ютера декількома завантажувальними вірусами. У подібних випадках звичайно краще відмовитися від лікування і відновити системні області диска іншими засобами, наприклад:
• іншою програмою-детектором, якщо вона краще знає дану модифікацію вірусу;
• з рятувальною дискети, створеною програмою Rescue, якщо Ви зберігали системні області диска на рятувальну дискету;
• командою SYS, якщо пошкоджений виявився завантажувальний сектор диска;
• командами FDISK / MBR і потім, після перезавантаження, NDD / REBUILD, якщо пошкоджені таблиці розбиття жорсткого диска.
Проте слід мати на увазі, що іноді подібне відновлення системних областей диска призводить до втрати частини даних (або всіх даних) на диску (наприклад, якщо вірус зашифрував якісь сектору жорсткого диска).
Якщо вірус зіпсував системні області диска або вміст CMOS-пам'яті, то жорсткий диск або окремі його логічні диски можуть бути взагалі «не видно», в тому числі і антивірусних програм. У цьому випадку слід відновити з рятувальною дискети, створеною програмою Rescue спочатку вміст CMOS-пам'яті, якщо це не допомагає - то таблиці розбиття жорсткого диска, а якщо й це не допомагає - то завантажувальні записи. Щоб побачити, допомогло чи ні ту чи іншу дію, треба перезавантажити комп'ютер. Після цього логічні диски повинні орієнтуватися, але вміст цих дисків може бути все-таки недоступне (скажімо, якщо вірус зруйнував кореневий каталог диска, то диск може представлятися порожнім або містить «сміття»), У цих випадках слід спочатку спробувати запустити антивірусні програми-детектори, а якщо вони не допоможуть, то скористатися програмами NDD і / або UnFormat.
Якщо рятувальної дискети Ви не створювали, то вміст CMOS-пам'яті доведеться відновлювати вручну за допомогою програми конфігурування комп'ютера, таблиці розбиття жорсткого диска - з допомогою команд FDISK / MBR і (після перезавантаження) NDD / REBUILD, а завантажувальних записів - за допомогою команди SYS. Проте краще спочатку подивитися на вміст жорсткого диска програмою DiskEdit (якщо Ви розумієте правила розміщення даних на жорсткому діскt, щоб з'ясувати, що ж з жорстким диском сталося.
Іноді відновлення системних областей диска призводить до втрати частини даних (або всіх даних) на диску - наприклад, якщо вірус зашифрував якісь сектори диска.
4. ЩО МОЖУТЬ І ЧОГО НЕ МОЖУТЬ КОМП'ЮТЕРНІ ВІРУСИ
У багатьох користувачів комп'ютерів з-за незнання механізму роботи комп'ютерних вірусів, а також під впливом різних чуток і некомпетентних публікацій у пресі, створюється своєрідний комплекс боязні вірусів («вірусофоба»), Цей комплекс має два прояви.
1. Схильність приписувати будь-яке пошкодження даних або незвичайне явище на комп'ютері дії вірусів. Наприклад, якщо у «вірусофоба» не форматується дискета, то він пояснює це не дефектами дискети або дисковода, а дією вірусів. Якщо програма «зависає», то в цьому теж, зрозуміло, винні віруси. Насправді незвичайні явища на комп'ютері частіше викликані помилками користувача, програм чи дефектами обладнання, ніж дією вірусів.
2. Перебільшені уявлення про можливості вірусів. Деякі користувачі думають, наприклад, що досить вставити в дисковод заражену дискету, щоб комп'ютер заразився вірусом. Поширена також думка, що для комп'ютерів, об'єднаних в мережу, або навіть просто стоять в одній кімнаті, зараження одного комп'ютера обов'язково відразу призведе до зараження інших.
Вірусофоба зовсім не так нешкідлива, як це може здатися на перший погляд. Вона призводить, наприклад, до таких наслідків.
1. Прийняття неадекватних, я б навіть сказав, екстремістських, заходів при появі вірусу або навіть при підозрі на наявність вірусу. Так, я знаю організацію, в якій за наказом начальства були переформатовані жорсткі диски на півсотні комп'ютерів через повідомлення програми Aidstest про те, що в оперативній пам'яті знаходиться щось схоже на вірус. Ніякі аргументи фахівців, що до таких заходів вдаватися немає необхідності, почуті не були. У поспіху були втрачені сотні людино-днів роботи та безліч важливих документів. А потім виявилося, що ніякого вірусу взагалі не було, a Aidstest «лаявся» на русифікатор Microsoft Word фірми «Параграф», речі, у більш новій версії Aidstest ніяких повідомлень з приводу цього русифікатора вже не видавалося.
2. Невиправдана ізоляція від навколишнього світу через острах зараження вірусами. Я знаю кілька організацій, в яких всі вступники документи заново набивалися вручну, навіть якщо вони вже були на дискетах. І знову ж ніякі доводи, що при читанні текстового файлу з дискети комп'ютер ніяк не може заразитися вірусом, не діяли. У результаті з-за панічної боязні вірусів даремно витрачалося величезну кількість праці і часу.
3. Розпливчасті (м'яко виражаючись) уявлення багатьох керівників про здібності вірусів дозволяють багатьом користувачам і програмістам посилатися на віруси як на причину будь-яких затримок і труднощів. На жаль, в більшості випадків фраза «Я все зробив (а), але тут з'явився вірус і все зіпсував» означає, що за роботу взагалі не приймалися.
Найкращими ліками від вірусофобіі є знання того, як працюють віруси, що вони можуть і чого не можуть. Віруси є звичайними програмами і не можуть здійснювати ніяких надприродних дій.
Хоча віруси - це всього лише програми, але найчастіше вони зроблені з дуже великою винахідливістю і підступністю. Так, деякі віруси можуть:
• обманювати резидентні програми-сторожа, наприклад, виконуючи зараження і псування інформації не з допомогою викликів функцій операційної системи, а за допомогою прямого звернення до програм введення-виведення BIOS або навіть портів контролера жорстких дисків або дискет;
• виживати при перезавантаженні - як при натисканні [Ctrl] [Alt] [Del], так і при завантаженні з чистої системної дискети після натискання кнопки «Reset» або виключення і включення комп'ютера;
• заражати файли в архівах (для вилучення файлів з архіву і поміщення їх в архів викликається програма-архіватор, а вивід на екран при цьому блокується);
• заражати файли тільки при приміщенні їх на дискети або в архіви (маскуючись тим самим від виявлення програмами-ревізорами);
• боротися з антивірусними програмами, наприклад, знищуючи їх файли або псуючи таблиці з відомостями про файли програми-ревізора;
• довгий час ніяк не проявляти своєї присутності, активізуючись через кілька тижнів або навіть місяців після зараження комп'ютера;
• шифрувати системні області дисків або дані на диску, так, що доступ до них стає можливий тільки при наявності даного вірусу в пам'яті.
Щоб комп'ютер заразився вірусом, необхідно, щоб на ньому хоча б один раз була виконана програма, що містить вірус, а саме:
• запущений заражений виконуваний файл або встановлений заражений драйвер;
• проведена початкова завантаження (або навіть спроба початковій завантаження) із зараженою завантажувальним вірусом дискети;
• відкритий на редагування заражений документ Word для Windows чи заражена електронна таблиця Excel.
Звідси випливає, що немає підстав боятися зараження комп'ютера вірусом, якщо:
• на комп'ютер переписуються файли, не містять програм і не підлягають перетворенню в програми, наприклад, графічні файли, текстові файли (крім командних файлів і текстів програм), документи редакторів документі! типу ЛЕКСИКОНИ або Multi-Edit, інформаційні файли баз даних і т.д.;
• на незараженою комп'ютері проводиться копіювання файлів з однієї дискети на іншу чи інші дії, не пов'язані із запуском «чужих» (отриманих ззовні) програм, перезавантаженням з «чужих» дискет або редагуванням «чужих» документів Word для Windows або електронних таблиць Excel.
Крім того, вірус заражає лише програми, і не може заразити устаткування (клавіатуру, монітор і т.д.). Вірус не може заразити або змінити дані, що знаходяться на дискетах або знімних дисках із встановленою захистом від запису, а також дані, що знаходяться на апаратно захищених (скажімо, установкою перемички на диску або за допомогою комплексу Sheriff) логічних дисках.
5. МЕТОДИ маскування вірусу
Щоб запобігти своє виявлення, багато віруси застосовують досить хитрі прийоми маскування. Ми розповімо про деякі з них.
Багато резидентні віруси (і файлові, і завантажувальні) запобігають своє виявлення тим, що перехоплюють звертання операційної системи (і тим самим прикладних програм) до заражених файлів і областях диска і видають їх у вихідному (незараженою) вигляді. Такі віруси називаються невидимими, або stealth (стелс) вірусами. Зрозуміло, ефект «невидимості» спостерігається тільки на зараженому комп'ютері - на «чистому» комп'ютері зміни у файлах і завантажувальних областях диска можна легко виявити.
Деякі антивірусні програми можуть виявляти «невидимі» віруси навіть на зараженому комп'ютері. Для цього вони виконують читання диска, не користуючись послугами DOS. Такими програмами є, зокрема, ADinf фірми «Діалог-Наука», Norton AntiVirus і ін
Деякі антивірусні програми використовують для боротьби з вірусами властивість «невидимих» файлових вірусів «виліковувати» заражені файли. Вони зчитують (при працюючому вірус) інформацію з заражених файлів і записують її в файл або файли. Потім, вже після завантаження з «чистою» дискети, виконані файли відновлюються у початковому вигляді.
Віруси часто містять всередині себе різні повідомлення, що дозволяє запідозрити недобре під час перегляду містять вірус файлів або областей дисків. Щоб ускладнити своє виявлення, деякі віруси шифрують свій вміст, так що при перегляді заражених ними об'єктів (навіть на «чистому» комп'ютері, тобто коли вірус не активний) ніяких підозрілих текстових рядків Ви не побачите.
Ще один спосіб, який застосовується вірусами для того, щоб сховатися від виявлення, - модифікація свого тіла. Це ускладнює знаходження таких вірусів программами-детекторами - в тілі таких вірусів нема жодної постійної ланцюжка байтів, за якою можна було б ідентифікувати вірус. Такі віруси називаються поліморфними, або самомодифицирующимися.
Багато поліморфні віруси використовують шифрування свого коду, змінюючи параметри цієї кодування при створенні кожної копії. Крім того, вони тим чи іншим способом змінюють і свою стартову частину, яка служить для розкодування інших команд вірусу.
У найпростіших поліморфних віруси варіації їх коду обмежуються використанням одних регістрів комп'ютера замість інших, додаванням «незначущих» команд і т.д. І програми-детектори пристосувалися виявляти команди в стартовій частини вірусу, не дивлячись на маскуючі зміни до них. Але є і віруси з надзвичайно складними механізмами самомодіфікаціі. У них кожна значуща інструкція передається одним із сотень тисяч можливих варіантів, при цьому використовується більш половини всіх команд процесора.
Тим не менш, є антивірусні програми-детектори, здатні виявляти навіть такі складні поліморфні віруси. Як правило, вони містять емулятор (програмний еквівалент) процесора, тобто можуть інтерпретувати програми без їх реального виконання (на справжньому процесорі). Такі детектори інтерпретують аналізовані програми, тобто «виконують» їх на програмному еквіваленті процесора, і в ході цього «виконання» вирішують, чи є аналізована програма вірусом чи ні. Це завдання дуже складна (точніше, нерозв'язна), оскільки віруси не використовують якихось специфічних дій, які не застосовувалися б іншими програмами. Проте кращі детектори здатні відловлювати невідомі поліморфні віруси в більш ніж 80% випадків при дуже малій кількості помилкових тривог. Прикладом такої програми є Dr. Web з антивірусного комплекту DSAV фірми «Діалог-Наука».
Ранні файлові віруси при зараженні збільшували довжину файлів, що дозволяло їх легко виявляти. Проте потім з'явилися віруси, що не збільшують довжину файлів. Для цього вони можуть записувати свій код в «порожні» ділянки всередині файлів, стискати код заражає файли і т.д. Зрозуміло, «невидимим» вірусам до таких хитрощів вдаватися потреби немає.
6. ОСОБЛИВІ ВИДИ ВІРУСІВ
У 1991 р. з'явилися віруси нового типу - віруси, що змінюють файлову систему на диску. Ці віруси зазвичай називаються DIR. Такі віруси ховають своє тіло в деякий ділянку диска (зазвичай - в останній кластер диска) і позначають його в таблиці розміщення файлів (FAT) як кінець файлу або як дефектний ділянку. Для всіх
. СОМ - в. ЕХЕ - файлів покажчики на перший кластер (ділянка) файлу, що містяться у відповідних елементах каталогу, замінюються посиланням на ділянку диска, що містить вірус, а правильний покажчик в закодованому вигляді ховається в невикористаної частини елемента каталогу. Тому при запуску будь-якої програми в пам'ять завантажується вірус, після чого він залишається в пам'яті резидентної, підключається до програм DOS для обробки файлів на диску і при всіх зверненнях до елементів каталогу видає правильні посилання.
Таким чином, при працюючому вірус файлова система на диску здається цілком нормальною. При поверхневому перегляді зараженого диска на «чистому» комп'ютері також нічого дивного не спостерігається. Хіба лише при спробі прочитати чи скопіювати з зараженої дискети програмні файли з них будуть прочитані або скопійовані лише 512 або 1024 байта, навіть якщо файл набагато довше. А при запуску будь-якої виконані програми з зараженого таким вірусом диска цей диск, як за помахом чарівної палички, починає здаватися справним (не дивно, адже комп'ютер при цьому стає зараженим).
При аналізі на «чистому» комп'ютері за допомогою програм ChkDsk, ScanDisk або NDD файлова система зараженого DIR-вірусом диска здається зовсім зіпсованою. Так, програма ChkDsk видає купу повідомлень про пересічних файлів («... cross linked on cluster ...») і про ланцюжках загублених кластерів («... lost clusters found in ... chains »).
Особлива небезпека вірусів сімейства DIR полягає в тому, що пошкодження файлової структури, зроблені цими вірусами, на слід виправляти програмами типу ScanDisk або NDD - при цьому диск виявиться безнадійно зіпсованим. Для виправлення треба застосовувати лише антивірусні програми.
Зауваження. Віруси сімейства DIR формально відносять до файлових, хоча вони змінюють не самі файли, а спосіб звертання операційної системи до цих файлів.
Ще один незвичайний тип вірусів - це віруси, що заражають системний файл IO.SYS. Сімейство цих вірусів зазвичай називається ЗАРАЗ, оскільки перший такий вірус виводив повідомлення «У BOOT СЕКТОРІ - ЗАРАЗА!».
Дані віруси є файлово-завантажувальними і використовують неузгодженість між механізмом початкового завантаження DOS і звичайним механізмом роботи з файлами. При початковому завантаженні MS DOS перевіряється, що імена двох перших елементів у кореневому каталозі завантажувального диска - IO.SYS і MSDOS.SYS, але атрибути цих елементів не перевіряються. Якщо імена співпадають, то програма початкового завантаження зчитує в пам'ять перший кластер елемента з іменем IO.SYS і передає йому управління.
Користуючись цією недосконалістю програми початкового завантаження, вірус ЗАРАЗА при зараженні жорстких дисків робить наступне:
• копіює вміст файлу IO.SYS в кінець логічного диска;
• зрушує елементи кореневого каталогу, починаючи з третього, на один елемент до кінця каталогу;
• копіює перший елемент кореневого каталогу (відповідний файлу IO.SYS) в) звільнився третій елемент кореневого каталогу і встановлює в ньому номер початкового кластера, що вказує на місце, куди було скопійовано вміст файлу IO.SYS;
• записує своє тіло в місце, де знаходився файл IO.SYS (як правило, на початок області даних логічного диска);
• у першого елемента кореневого каталогу диска встановлює ознака «мітка тому».
Таким чином, початок змісту кореневого каталогу після зараження буде виглядати приблизно так (при перегляді програмою DiskEdit):
Тут у стовпці «Cluster» у першого елемента коштує 2 - номер кластеру диска, куди вірус записав своє тіло (і де раніше розташовувався файл IO.SYS), а у третього елемента в цьому стовпці зазначений номер того кластера, починаючи з якого вірус помістив копію файлу IO.SYS.
Інакше кажучи, в кореневому каталозі з'являються два елементи з ім'ям IO.SYS, один з яких позначено атрибутом «мітка тому». Однак при початковій завантаженні це викликає збоїв - програма початкового завантаження, перевіривши, що перші два елементи каталогу мають імена IO.SYS і MSDOS.SYS, завантажить кластер, зазначений у першому елементі змісту (на звичайному диску - це початок файлу IO.SYS, а на зараженому код вірусу), і передасть йому управління. Вірус завантажить себе в оперативну пам'ять, після чого завантажить початок вихідного файлу IO.SYS і передасть йому управління. Далі початкова завантаження йде, як звичайно.
А що ж при звичайній роботі в DOS? Невже в кореневому каталозі не буде видно два елементи з ім'ям IO.SYS? Виявляється, немає. DOS і всі програми (крім програми. Початковій завантаження) будуть вважати перший елемент каталогу, раз він позначений ознакою «мітка тому», описом мітки диска С:. А мітки ігноруються при обробці файлів і каталогів, тому перший елемент з ім'ям IO.SYS не буде видно при перегляді кореневого каталогу. Хіба лише мітка тому для диска С:, що виводиться при введенні команди VOL С:, стане «IO SYS» (деякі програми будуть показувати її як IOSYS). Проте мало хто з користувачів звертає увагу на мітки дисків!
Небезпека вірусів сімейства ЗАРАЗ полягає в наступному: навіть якщо завантажити комп'ютер з «чистої» системної дискети і ввести команду SYS С:, вірус не буде вилучено з диска! Команда SYS, як і інші програми DOS, проігнорує вказує на вірус перший елемент кореневого каталогу, порахувавши його описом мітки. Перезаписаний буде лише «файл-дублер" IO.SYS, описаний в третьому елементі кореневого каталогу. Причому якщо програма SYS запише файл IO.SYS в нове місце на диску, то система перестане завантажуватися з жорсткого диска, тому що, вірус у своєму тілі зберігає адресу початкового сектора вихідного файлу IO.SYS.
Тому знезаражувати диски, інфіковані вірусами сімейства ЗАРАЗ, командою SYS не слід, це треба робити антивірусними програмами. Нагадаємо, то симптомом вірусу сімейства ЗАРАЗ є мітка тому «IO SYS», тобто у відповідь на команду DOS VOL З: виводиться:
Volume in drive З is I0 SYS
Volume Serial Number is,. .
У крайньому випадку, можна використовувати наступний прийом: за допомогою програми DiskEdit зняти у перших трьох елементів (перший і третій - з іменами IO.SYS, другий - з ім'ям MSDOS.SYS) кореневого каталогу диска С: на жорсткому диску атрибути «прихований», «системний», «тільки для читання» і «мітка тому», перейменувавши при цим один з елементів з ім'ям IO.SYS, наприклад, в I01.SYS:
Після цього файли IO.SYS, IO1.SYS і MSDOS.SYS можна видалити командою Del. Тепер команда SYS З: чи зможе записати на диск С: чисті системні файли.
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
1. Професійна робота в MS-DOS, Р. Данкан, Світ, 1993.
2. Microsoft Systems Journal, Sept 1989. Отримано з Computer Library Periodicals, Jan 1990, Doc # 14753.
3. В. Мельников. «Захист інформації в комп'ютерних системах». Москва. «Фінанси і статистика». «Електроінформ». 1997.
4. «Керівництво адміністратора безпеки системи« Secret Net NT ». Информзащита.
5. С. Штайнке. «Ідентифікація та криптографія». LAN \ Журнал мережевих рішень. 1998. № 2.
6. В. Жельніков. «Криптографія від папірусу до комп'ютера». ABF. Москва. 1997.
7. Г. Дейтел. "Введення в операційні системи". Т.2. Москва. Світ. 1987.
8. П. Дайсон. "Опановує пакетом Norton Utilities 6". Москва. Світ. 1993.
Деякі антивірусні програми використовують для боротьби з вірусами властивість «невидимих» файлових вірусів «виліковувати» заражені файли. Вони зчитують (при працюючому вірус) інформацію з заражених файлів і записують її в файл або файли. Потім, вже після завантаження з «чистою» дискети, виконані файли відновлюються у початковому вигляді.
Віруси часто містять всередині себе різні повідомлення, що дозволяє запідозрити недобре під час перегляду містять вірус файлів або областей дисків. Щоб ускладнити своє виявлення, деякі віруси шифрують свій вміст, так що при перегляді заражених ними об'єктів (навіть на «чистому» комп'ютері, тобто коли вірус не активний) ніяких підозрілих текстових рядків Ви не побачите.
Ще один спосіб, який застосовується вірусами для того, щоб сховатися від виявлення, - модифікація свого тіла. Це ускладнює знаходження таких вірусів программами-детекторами - в тілі таких вірусів нема жодної постійної ланцюжка байтів, за якою можна було б ідентифікувати вірус. Такі віруси називаються поліморфними, або самомодифицирующимися.
Багато поліморфні віруси використовують шифрування свого коду, змінюючи параметри цієї кодування при створенні кожної копії. Крім того, вони тим чи іншим способом змінюють і свою стартову частину, яка служить для розкодування інших команд вірусу.
У найпростіших поліморфних віруси варіації їх коду обмежуються використанням одних регістрів комп'ютера замість інших, додаванням «незначущих» команд і т.д. І програми-детектори пристосувалися виявляти команди в стартовій частини вірусу, не дивлячись на маскуючі зміни до них. Але є і віруси з надзвичайно складними механізмами самомодіфікаціі. У них кожна значуща інструкція передається одним із сотень тисяч можливих варіантів, при цьому використовується більш половини всіх команд процесора.
Тим не менш, є антивірусні програми-детектори, здатні виявляти навіть такі складні поліморфні віруси. Як правило, вони містять емулятор (програмний еквівалент) процесора, тобто можуть інтерпретувати програми без їх реального виконання (на справжньому процесорі). Такі детектори інтерпретують аналізовані програми, тобто «виконують» їх на програмному еквіваленті процесора, і в ході цього «виконання» вирішують, чи є аналізована програма вірусом чи ні. Це завдання дуже складна (точніше, нерозв'язна), оскільки віруси не використовують якихось специфічних дій, які не застосовувалися б іншими програмами. Проте кращі детектори здатні відловлювати невідомі поліморфні віруси в більш ніж 80% випадків при дуже малій кількості помилкових тривог. Прикладом такої програми є Dr. Web з антивірусного комплекту DSAV фірми «Діалог-Наука».
Ранні файлові віруси при зараженні збільшували довжину файлів, що дозволяло їх легко виявляти. Проте потім з'явилися віруси, що не збільшують довжину файлів. Для цього вони можуть записувати свій код в «порожні» ділянки всередині файлів, стискати код заражає файли і т.д. Зрозуміло, «невидимим» вірусам до таких хитрощів вдаватися потреби немає.
6. ОСОБЛИВІ ВИДИ ВІРУСІВ
У 1991 р. з'явилися віруси нового типу - віруси, що змінюють файлову систему на диску. Ці віруси зазвичай називаються DIR. Такі віруси ховають своє тіло в деякий ділянку диска (зазвичай - в останній кластер диска) і позначають його в таблиці розміщення файлів (FAT) як кінець файлу або як дефектний ділянку. Для всіх
. СОМ - в. ЕХЕ - файлів покажчики на перший кластер (ділянка) файлу, що містяться у відповідних елементах каталогу, замінюються посиланням на ділянку диска, що містить вірус, а правильний покажчик в закодованому вигляді ховається в невикористаної частини елемента каталогу. Тому при запуску будь-якої програми в пам'ять завантажується вірус, після чого він залишається в пам'яті резидентної, підключається до програм DOS для обробки файлів на диску і при всіх зверненнях до елементів каталогу видає правильні посилання.
Таким чином, при працюючому вірус файлова система на диску здається цілком нормальною. При поверхневому перегляді зараженого диска на «чистому» комп'ютері також нічого дивного не спостерігається. Хіба лише при спробі прочитати чи скопіювати з зараженої дискети програмні файли з них будуть прочитані або скопійовані лише 512 або 1024 байта, навіть якщо файл набагато довше. А при запуску будь-якої виконані програми з зараженого таким вірусом диска цей диск, як за помахом чарівної палички, починає здаватися справним (не дивно, адже комп'ютер при цьому стає зараженим).
При аналізі на «чистому» комп'ютері за допомогою програм ChkDsk, ScanDisk або NDD файлова система зараженого DIR-вірусом диска здається зовсім зіпсованою. Так, програма ChkDsk видає купу повідомлень про пересічних файлів («... cross linked on cluster ...») і про ланцюжках загублених кластерів («... lost clusters found in ... chains »).
Особлива небезпека вірусів сімейства DIR полягає в тому, що пошкодження файлової структури, зроблені цими вірусами, на слід виправляти програмами типу ScanDisk або NDD - при цьому диск виявиться безнадійно зіпсованим. Для виправлення треба застосовувати лише антивірусні програми.
Зауваження. Віруси сімейства DIR формально відносять до файлових, хоча вони змінюють не самі файли, а спосіб звертання операційної системи до цих файлів.
Ще один незвичайний тип вірусів - це віруси, що заражають системний файл IO.SYS. Сімейство цих вірусів зазвичай називається ЗАРАЗ, оскільки перший такий вірус виводив повідомлення «У BOOT СЕКТОРІ - ЗАРАЗА!».
Дані віруси є файлово-завантажувальними і використовують неузгодженість між механізмом початкового завантаження DOS і звичайним механізмом роботи з файлами. При початковому завантаженні MS DOS перевіряється, що імена двох перших елементів у кореневому каталозі завантажувального диска - IO.SYS і MSDOS.SYS, але атрибути цих елементів не перевіряються. Якщо імена співпадають, то програма початкового завантаження зчитує в пам'ять перший кластер елемента з іменем IO.SYS і передає йому управління.
Користуючись цією недосконалістю програми початкового завантаження, вірус ЗАРАЗА при зараженні жорстких дисків робить наступне:
• копіює вміст файлу IO.SYS в кінець логічного диска;
• зрушує елементи кореневого каталогу, починаючи з третього, на один елемент до кінця каталогу;
• копіює перший елемент кореневого каталогу (відповідний файлу IO.SYS) в) звільнився третій елемент кореневого каталогу і встановлює в ньому номер початкового кластера, що вказує на місце, куди було скопійовано вміст файлу IO.SYS;
• записує своє тіло в місце, де знаходився файл IO.SYS (як правило, на початок області даних логічного диска);
• у першого елемента кореневого каталогу диска встановлює ознака «мітка тому».
Таким чином, початок змісту кореневого каталогу після зараження буде виглядати приблизно так (при перегляді програмою DiskEdit):
| Name | . Ext | Size | Date | Time | Cluster | Arc | R / 0 | Sys | Hid | Dir | Vol | Sector | ... |
| I0 | SYS | 40744 | 31.05.94 | 6:22 | 2 | R / 0 | Sys | Hid | Vol | ||||
| MSDOS | SYS | 38138 | 14.07.95 | 23:44 | 5 | R / 0 | Sys | Hid | |||||
| I01 | SYS | 40744 | 31.05.94 | 6:22 | 63616 | R / 0 | Sys | Hid | ... |
Інакше кажучи, в кореневому каталозі з'являються два елементи з ім'ям IO.SYS, один з яких позначено атрибутом «мітка тому». Однак при початковій завантаженні це викликає збоїв - програма початкового завантаження, перевіривши, що перші два елементи каталогу мають імена IO.SYS і MSDOS.SYS, завантажить кластер, зазначений у першому елементі змісту (на звичайному диску - це початок файлу IO.SYS, а на зараженому код вірусу), і передасть йому управління. Вірус завантажить себе в оперативну пам'ять, після чого завантажить початок вихідного файлу IO.SYS і передасть йому управління. Далі початкова завантаження йде, як звичайно.
А що ж при звичайній роботі в DOS? Невже в кореневому каталозі не буде видно два елементи з ім'ям IO.SYS? Виявляється, немає. DOS і всі програми (крім програми. Початковій завантаження) будуть вважати перший елемент каталогу, раз він позначений ознакою «мітка тому», описом мітки диска С:. А мітки ігноруються при обробці файлів і каталогів, тому перший елемент з ім'ям IO.SYS не буде видно при перегляді кореневого каталогу. Хіба лише мітка тому для диска С:, що виводиться при введенні команди VOL С:, стане «IO SYS» (деякі програми будуть показувати її як IOSYS). Проте мало хто з користувачів звертає увагу на мітки дисків!
Небезпека вірусів сімейства ЗАРАЗ полягає в наступному: навіть якщо завантажити комп'ютер з «чистої» системної дискети і ввести команду SYS С:, вірус не буде вилучено з диска! Команда SYS, як і інші програми DOS, проігнорує вказує на вірус перший елемент кореневого каталогу, порахувавши його описом мітки. Перезаписаний буде лише «файл-дублер" IO.SYS, описаний в третьому елементі кореневого каталогу. Причому якщо програма SYS запише файл IO.SYS в нове місце на диску, то система перестане завантажуватися з жорсткого диска, тому що, вірус у своєму тілі зберігає адресу початкового сектора вихідного файлу IO.SYS.
Тому знезаражувати диски, інфіковані вірусами сімейства ЗАРАЗ, командою SYS не слід, це треба робити антивірусними програмами. Нагадаємо, то симптомом вірусу сімейства ЗАРАЗ є мітка тому «IO SYS», тобто у відповідь на команду DOS VOL З: виводиться:
Volume in drive З is I0 SYS
Volume Serial Number is,. .
У крайньому випадку, можна використовувати наступний прийом: за допомогою програми DiskEdit зняти у перших трьох елементів (перший і третій - з іменами IO.SYS, другий - з ім'ям MSDOS.SYS) кореневого каталогу диска С: на жорсткому диску атрибути «прихований», «системний», «тільки для читання» і «мітка тому», перейменувавши при цим один з елементів з ім'ям IO.SYS, наприклад, в I01.SYS:
| Name | . Ext | Size | Date | Time | Cluster | Arc | R / 0 | Sys | Hid | Dir | Vol | Sector | ... |
| I0 | SYS | 40744 | 31.05.94 | 6:22 | 2 | ||||||||
| MSDOS | SYS | 38138 | 14.07.95 | 23:44 | 5 | ||||||||
| I01 | SYS | 40744 | 31.05.94 | 6:22 | 63616 |
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
1. Професійна робота в MS-DOS, Р. Данкан, Світ, 1993.
2. Microsoft Systems Journal, Sept 1989. Отримано з Computer Library Periodicals, Jan 1990, Doc # 14753.
3. В. Мельников. «Захист інформації в комп'ютерних системах». Москва. «Фінанси і статистика». «Електроінформ». 1997.
4. «Керівництво адміністратора безпеки системи« Secret Net NT ». Информзащита.
5. С. Штайнке. «Ідентифікація та криптографія». LAN \ Журнал мережевих рішень. 1998. № 2.
6. В. Жельніков. «Криптографія від папірусу до комп'ютера». ABF. Москва. 1997.
7. Г. Дейтел. "Введення в операційні системи". Т.2. Москва. Світ. 1987.
8. П. Дайсон. "Опановує пакетом Norton Utilities 6". Москва. Світ. 1993.