3. ДЕЙСТВИЯ ПРИ ЗАРАЖЕНИИ ВИРУСОМ

Симптомы заражения вирусом.

Вы можете быть уверены, что на Вашем компьютере имеется вирус, если:

• программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в файлах или системных областях на жестком диске;

• программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержание файла изменено, а время его модификации — нет;

• программа-ревизор сообщает об изменении главной загрузочной записи жесткого диска (Master Boot, она содержит таблицу разделения жесткого диска) или загрузочной записи (Boot record), а Вы не изменяли разбиение жесткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жесткого диска;

• программа-сторож сообщает о том, что какая-то программа желает форматировать жесткий диск, изменять системные области жесткого диска и т.д., а Вы не поручали никакой программе выполнять подобные действия;

• программа-ревизор сообщила о наличии в памяти «невидимых» («стелс») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к диску выдается разное содержимое;

• вирус сам Вам представился, выведя соответствующее сообщение.

Вы можете подозревать наличие вируса, если:

• антивирусная программа сообщает об обнаружении неизвестного вируса;

• на экран или принтер начинают выводиться посторонние сообщения, символы и т.д.;

• некоторые файлы оказываются испорченными;

• некоторые программы перестают работать или начинают работать неправильно;

• работа на компьютере существенно замедляется.

Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д.

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил.

1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Как говорится, «семь раз отмерь, один раз отрежь» — непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера.

2. Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной (см. ниже) загрузке компьютера с защищенной от записи «эталонной» дискеты с операционной системой. При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищенных от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причиненных вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных коллег.

5. Лечение компьютера от вируса — процесс творческий, поэтому любые рекомендации по этому поводу (в том числе и приведенные ниже) не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устареют...

Некоторые пользователи предпочитают лечить компьютер при заражении вирусом, не загружаясь с «чистой» дискеты, считая, что так удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед операциями. Одни больные выздоравливали, а другие умирали от внесенной инфекции...

Раннее обнаружение вируса.

Если Вы используете резидентную программу-сторожа для защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус не успел еще активизироваться, заразить другие программы или диски и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на дискете имеется загрузочный вирус, и предложить его удалить. Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr. Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, если Вы не загружались с дискеты и не запускали полученные программные файлы).

Правильная перезагрузка.

Рассмотрим более сложный случай, когда вирус уже мог активизироваться, а значит, заразить или испортить какие-то данные на дисках компьютера. При этом надо перезагрузить компьютер, начать выявление вируса и затем лечение. Однако перезагрузку компьютера надо выполнить правильно, поскольку имеются вирусы, способные выживать даже при перезагрузке с чистой системной дискеты.

1. Приготовьте системную дискету, про которую Вы точно знаете, что на ней нет вирусов. Убедитесь, что дискета защищена от записи. Вставьте дискету в дисковод А: компьютера.

2. Нажмите на кнопку перезагрузки («Reset») компьютера или выключите компьютер и включите его снова.

3. Сразу после начала загрузки в ответ на соответствующее приглашение нажмите клавишу или комбинацию клавиш, предназначенных для входа в программу конфигурирования компьютера (SETUP). Чаще всего для входа в эту программу используется клавиша [Del].

4. В программе конфигурирования компьютера убедитесь, что типы дисководов для дискет установлены правильно. Если типы этих дисководов заданы неверно, надо их исправить. Кроме того, надо проверить установки, отвечающие за порядок начальной загрузки: во многих типах BIOS можно установить, что загрузка сначала осуществляется с жесткого диска, а лишь затем с дискеты. Если такие установки включены, надо их выключить.

5. Выйдите из программы конфигурирования. Если Вы меняли параметры конфигурации компьютера, ответьте утвердительно (обычно для этого надо нажать [Y]) на вопрос о том, надо ли записывать новые значения параметров в CMOS.

6. Компьютер загрузится с системной дискеты, и вирус при этом запущен не будет.

Замечания. 1. Необходимость в шагах 3-5 приведенной выше процедуры вызвана не только тем, что при неправильных параметрах в CMOS компьютер может не загружаться с дискет, но и тем, что существуют вирусы, способные выживать при перезагрузке с дискеты. Эти вирусы исправляют информацию о типах дисководов для дискет в CMOS, например, устанавливая, что этих дисководов якобы не существует. В этом случае программа начальной загрузки загружает компьютер не с дискет, а с жесткого диска. При этом запускается вирус, который восстанавливает информацию о типах дисководов для дискет в CMOS и продолжает загрузку с дискеты. Шаги 3-5 выше позволяет предотвратить инициализацию такого вируса.

2. Перезагрузить компьютер желательно даже при обнаружении вирусов, заражающих документы Word для Windows: некоторые из этих вирусов заражают также исполнимые файлы.

Лечение компьютера от заражения вирусом имеет существенные особенности, отличающие его, скажем, от устранения повреждений файловой системы, то есть системных данных, указывающих расположение данных на дисках.

Лечение дисков программами-детекторами.

1. Мы уже говорили, что все действия по лечению компьютера от вирусов следует выполнять только после правильной загрузки компьютера с дискеты, запуская при этом только программы с защищенных от записи дискет и съемных дисков.

2. Несмотря на то, что вирусы могут испортить файловую систему на дисках (например, отдельные диски могут быть не видны), программы для устранения повреждений на дисках типа NDD, UnFormat и т.д., следует применять в последнюю очередь. Сначала надо использовать антивирусные программы-детекторы, так как они лучше знают, как именно конкретный вирус портит файловую систему. Более того, для некоторых видов вирусов (вирусов типа DIR, вирусов, шифрующих информацию на дисках и т.д.) после лечения программами типа NDD или UnFormat восстановить информацию на дисках будет невозможно.

3. Обнаружение и излечение от какого-либо вируса не означает, что компьютер «здоров» — компьютер мог быть заражен несколькими вирусами. Поэтому по окончании лечения надо обязательно еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов. Кстати, даже это не гарантирует отсутствия вирусов — ведь компьютер может быть заражен вирусом, неизвестным имеющимся у Вас программам-детекторам.

Запуск программ-детекторов.

Для лечения компьютера надо поочередно проверить с помощью имеющихся у Вас программ-детекторов все логические диски, расположенные на жестком диске. Сначала, чтобы оценить ситуацию, желательно запускать программы-детекторы в диагностическом режиме, без лечения или удаления зараженных объектов.

Выяснение сведений о вирусе.

Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в ее документации или встроенном справочнике сведения о данном типе вирусов. Например, в комплект поставки программ-детекторов Aidstest и Dr. Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если компьютер оказался заражен неопасным загрузочным вирусом, то кроме удаления вируса с жесткого диска и дискет, которыми Вы пользовались, делать ничего не надо. А устранение последствий заражения вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьезнее — обычно при этом приходится заново устанавливать все пакеты программ с дистрибутивов, а собственные данные — с резервных копий.

Удаление вирусов.

Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить зараженные объекты. Как правило, для системных областей диска программа-детектор предлагает выбрать их излечение или оставление без изменений, а для файлов — лечение, удаление или оставление без изменений. Удаление зараженных файлов обычно предпочтительнее их лечения, если зараженный файл входит в пакет программ, который можно заново установить с дистрибутивных дисков.

Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска вирусов во всех файлах, а не только в программных файлах, а также режим поиска в архивах. Если Вы используете архивы видов, не поддерживаемых программой-детектором (см. замечание ниже), то может потребоваться распаковать архив во временный каталог и проверить его содержимое программой-детектором.

Если Вы лечили (а не удаляли) какие-либо файлы, рекомендуется еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов — ведь некоторые файлы могли быть заражены несколькими вирусами, «наслаивающимися» один на другой.

Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 — .ZIP и LZH, Dr. Web — -ARJ, .ZIP, .LZH, .RAR, .ZOO и .ICE, a Aidstest — не умеет искать вирусы в архивах вообще.

Если имеющиеся у Вас программы-детекторы не находят вирусов, то либо эти программы-детекторы старые, а заразивший их вирус — новый и неизвестен программам-детекторам, либо вируса на Вашем компьютере нет. Если Вы использовали программу-ревизора, то для выяснения этого вопроса можно запустить данную программу и проанализировать изменения на дисках.

Если Вы использовали программу-ревизора, например, ADinf из антивирусного комплекта DSAV фирмы «Диалог-Наука» или Norton AntiVirus в режиме инокуляции (см. главу 51), то после запуска программ-детекторов следует (независимо от результата работы с программами-детекторами) запустить программу-ревизора и проанализировать изменения на дисках. Часто программа-ревизор сама определяет подозрительные симптомы: изменения в системных областях диска, изменения в файлах при неизменной дате модификации файла и т.д.

При обнаружении изменений программа-ревизор, как правило, предлагает их исправить (восстановив прежнее состояние), пропустить (при следующей проверке снова будет выдано сообщение об изменении) или запомнить сведения о данном изменении (то есть признать его, так сказать, законным).

Лечение и его последствия.

В подавляющем большинстве случаев программы-ревизоры восстанавливают прежнее состояние системных областей дисков и программных файлов правильно. Тем не менее, иногда лечение программами-ревизорами может привести к потере части (или даже всех) данных на диске. Это происходит, например, если вирус зашифровал какие-то сектора жесткого диска. Именно поэтому выше я рекомендовал применять сначала программы-детекторы (которые, зная принципы работы данного вируса, могут расшифровать поврежденные участки диска), а лишь потом — программы-ревизоры.

Неправильное лечение программой-детектором.

Иногда программы-ревизоры выявляют, что излеченный программой-детектором исполнимый файл отличается от оригинала (того файла, который был до заражения). Обычно это означает, что программа-детектор неправильно распознала тип вируса и излечила файл неправильно. В этом случае лучше удалить такой файл и восстановить его из других источников (например, с дистрибутивных дисков).

Что делать после лечения.

После того, как Вы выявили и удалили с компьютера вирус, надо выполнить следующие действия.

Следует проверить целостность файловой системы и поверхности диска с помощью программы NDD. Если повреждения файловой системы значительны, то целесообразно скопировать с диска на дискеты (или иные носители) все нужные файлы, резервных копий которых не имеется, заново отформатировать диск, а затем заново установить все пакеты программ с дистрибутивов, а собственные данные — с резервных копий.

Надо загрузить компьютер с жесткого диска. Если компьютер не загружается, можно восстановить системные файлы и загрузочный сектор логического диска С: загрузившись с дискеты и введя команду SYS С: .

Многие вирусы не только размножаются, но и портят данные. Если Вы не уверены в том, что вирус ничего не испортил, следует сравнить файлы в резервных копиях с соответствующими файлами на диске. Большинство программ резервного копирования имеют режим сравнения резервной копии с соответствующими файлами на диске. Если Вы обнаружите повреждения в файлах, то есть изменения, которых Вы не делали, следует восстановить поврежденные файлы из резервных копий. В этом случае желательно также заново установить используемые пакеты программ с дистрибутивных дисков, так как вирус мог повредить и эти пакеты программ.

Программа ARJ тоже имеет режим сравнения содержимого архива с соответствующими файлами на диске.

Часто повреждение файла вирусом можно опознать но тому, что у файла изменилось содержимое, а дата и время последней модификации — нет.

Если обнаружившая вирус программа-детектор не умеет обрабатывать файлы архивов используемого Вами типа, следует проверить содержащиеся на дисках компьютера архивы, распаковывая их по очереди во временный каталог и проверяя содержимое этого каталога программой-детектором.

Если Вы в тот период, когда компьютер был заражен вирусом, работали с дискетами или съемными дисками, на которых не была установлена защита от записи, следует проверить эти дискеты и диски на наличие вирусов.

Установка антивирусных программ.

Потребность в лечении компьютера от вирусов, а тем более, тяжелые последствия заражения вирусом, как правило, связаны с несоблюдением элементарных правил «компьютерной гигиены», описанных в предыдущем параграфе. Если Вы больше не хотите лечить компьютер от вирусов, установите на компьютер антивирусные программы и выполняйте меры антивирусной профилактики (проверка всех полученных извне данных программами-детекторами, ежедневная проверка жесткого диска программами-ревизорами, использование резидентной программы-сторожа, регулярное обновление версий антивирусных программ и т.д.).

При лечении компьютера от вирусов возможны самые сложные случаи, некоторые из которых описаны ниже.

Если Вы уверены, что на компьютере имеется вирус, а программы-детекторы его не обнаруживают, возможно, компьютер заражен новым вирусом или у Вас устаревшие версии программ-детекторов. Последние некоммерческие версии (то есть версии двухмесячной давности) антивирусных программ Aidstest и Dr.Web фирмы «Диалог-Наука» можно бесплатно списать по модему с FTP-сервера ftp.kiam1.rssi.ru или с некоммерческой линии BBS фирмы «Диалог-Наука» (095)938-28-56. В фирме можно приобрести и годовой абонемент, дающий право на оперативное получение самых последних версий этих программ по электронной почте или через BBS фирмы «Диалог-Наука». Последние версии базы данных со сведениями о вирусах для программы Norton AntiVirus можно бесплатно списать по модему с FTP-сервера ftp.symantec.com или с WWW-сервера www.symantec.com .

Если вирус все-таки не обнаруживается, можно предпринять следующие меры:

• может быть, вируса все-таки нет и зря беспокоиться не надо? Посоветуйтесь с более опытными специалистами;

• как известно, самое надежное средство от головной боли — гильотина. Скопируйте с зараженного диска на дискеты (или иные носители) все созданные Вами файлы, резервных копий которых не имеется (кроме исполнимых файлов, ими придется пожертвовать), заново отформатируйте жесткий диск, а затем заново установите все пакеты программ с дистрибутивов, а собственные данные — с резервных копий;

• можно воспользоваться предоставляемыми фирмой «Диалог-Наука» услугами скорой антивирусной помощи с выездом специалиста на место. Естественно, это делается далеко не бесплатно. Информацию по этому поводу можно получить по тел. (095)938-28-55, 938-29-70;

• та же фирма изготавливает по заказам клиентов новые версии программ Aidstest и Dr.Web, обнаруживающие и удаляющие новые вирусы.

Иногда программы-детекторы не могут правильно восстановить загрузочный сектор диска или главную загрузочную запись жесткого диска. При этом обычно выдается соответствующее сообщение, например;

Возможно некорректное лечение загрузочного сектора! Продолжить лечение?

Это сообщение может быть вызвано тем, что исходная главная загрузочная запись (Master Boot Record, MBR) или загрузочный сектор (Boot Sector) диска не были найдены в секторе, где вирус обычно их «прячет». Причиной тому может быть либо проведенная кем-либо модификация вируса, либо заражение компьютера несколькими загрузочными вирусами. В подобных случаях обычно лучше отказаться от лечения и восстановить системные области диска другими средствами, например:

• другой программой-детектором, если она лучше знает данную модификацию вируса;

• со спасательной дискеты, созданной программой Rescue, если Вы сохраняли системные области диска на спасательную дискету;

• командой SYS, если поврежден оказался загрузочный сектор диска;

• командами FDISK/MBR и затем, после перезагрузки, NDD /REBUILD, если повреждены таблицы разбиения жесткого диска.

Однако следует иметь в виду, что иногда подобное восстановление системных областей диска приводит к потере части данных (или всех данных) на диске (например, если вирус зашифровал какие-то сектора жесткого диска).

Если вирус испортил системные области диска или содержимое CMOS-памяти, то жесткий диск или отдельные его логические диски могут быть вообще «не видны», в том числе и антивирусным программам. В этом случае следует восстановить со спасательной дискеты, созданной программой Rescue сначала содержимое CMOS-памяти, если это не помогает — то таблицы разбиения жесткого диска, а если и это не помогает — то загрузочные записи. Чтобы увидеть, помогло или нет то или иное действие, надо перезагрузить компьютер. После этого логические диски должны опознаваться, но содержимое этих дисков может быть все же недоступно (скажем, если вирус разрушил корневой каталог диска, то диск может представляться пустым или содержащим «мусор»), В этих случаях следует сначала попробовать запустить антивирусные программы-детекторы, а если они не помогут, то воспользоваться программами NDD и/или UnFormat.

Если спасательной дискеты Вы не создавали, то содержимое CMOS-памяти придется восстанавливать вручную с помощью программы конфигурирования компьютера, таблицы разбиения жесткого диска — с помощью команд FDISK/MBR и (после перезагрузки) NDD/REBUILD , а загрузочных записей — с помощью команды SYS. Однако лучше сначала посмотреть на содержимое жесткого диска программой DiskEdit (если Вы понимаете правила размещения данных на жестком дискt, чтобы выяснить, что же с жестким диском произошло.

Иногда восстановление системных областей диска приводит к потере части данных (или всех данных) на диске — например, если вирус зашифровал какие-то сектора диска.


Информация о работе «Вирусы»
Раздел: Информатика, программирование
Количество знаков с пробелами: 61538
Количество таблиц: 2
Количество изображений: 0

Похожие работы

Скачать
73285
3
6

... вирус Christmas tree. К 1980-м годам число активных вирусов измерялось уже сотнями. А появление и распространение персональных компьютеров породило настоящую эпидемию – счёт вирусов пошёл на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 году: впервые его использовал в своём докладе на конференции по информационной безопасности сотрудник Лехайского Университета США Ф. Коэн. ...

Скачать
31861
0
0

... антивирусные программы, позволяющие выявлять вирусы, позволяющие выявлять вирусы, лечить заражённые файлы и диски, обнаруживать и предотвращать подозрительные(характерные для вирусов ) действия. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом. 7.1. Виды ...

Скачать
89191
0
0

... контрпримера к данной отличительной черте можно привести десятки совершенно безобидных вирусов, которые кроме своего распространения ничем больше не отличаются. Основная же особенность компьютерных вирусов - возможность их самопроизвольного внедрения в различные объекты операционной системы - присуща многим программам, которые не являются вирусами. Например, самая распространенная операционная ...

Скачать
51922
1
1

... - вать программы test.com и test.exe. Вот их исходные тексты на языке Assembler. test.com cseg segment assume cs:cseg, ds:cseg, ss:cseg org -lOOh Start: db 1249 dup (OFAh,90h,OFBh,OF8h) 1 60 Методы борьбы с вирусами mov ah,4Ch int 21h cseg ends End Start test.exe cseg segment assume cs:cseg, ds:cseg Start: db 1000 dup (OFAh,90h,OFBh,OF8h) mov ah,4Ch int 21h cseg ends sseg ...

0 комментариев


Наверх