Электронная библиотека книг Александра Фролова и Григория Фролова.
Shop2You.ru Создайте свой интернет-магазин
Библиотека
Братьев
Фроловых
[Назад]

Умеете ли Вы искать вирусы

Журнал "Компьютерра",
© Фролов А.В., Фролов Г.В., 13.08.96

Спросите себя, умеете ли вы искать вирусы?

Многие пользователи компьютеров, не пострадавшие от нашествия вирусов, отвечают на этот вопрос утвердительно. Да, говорят они, умеем. Каждый день при загрузке компьютера через файл autoexec.bat мы запускаем антивирусную программу, такую как Aidstest, Doctor Web или Antiviral Toolkit Pro. Более того, перед тем как использовать новую программу, полученную через Internet, у знакомых, или купленную в магазине, мы обязательно проверяем ее с помощью всех антивирусных средств, которые есть у нас в наличии.

Однако получая ежедневные сообщения антивирусных программ о том, что на дисках компьютера не завелось никакой "живности", вы можете очень долго находиться в заблуждении - до тех пор, пока притаившийся до поры вирус-невидимка не уничтожит результаты всей вашей работы.

В чем же причина? Почему даже мощные антивирусные средства иногда оказываются бессильными?

Причин может быть много. Чаще всего это неудачный выбор или неправильное использование антивирусных программ, а также несвоевременное обновление версии антивирусов. Может быть и другая причина - изощренные вирусы способны обмануть даже весьма совершенные антивирусные программы, не говоря уже о таких простых сканерах, как Aidstest.

Тем не менее, вам, как пользователю компьютера, для успешной борьбы с вирусами достаточно знать лишь основные "привычки" вирусов и способы противодействия. Залог успеха - неукоснительное следование правилам антивирусной профилактики. Что же касается детальных исследований вирусов и разработки методик их обнаружения - все это вы можете оставить создателям антивирусных программ.

Краткая теория вирусов

Для того чтобы организовать эффективную антивирусную защиту компьютера, вы должны знать о том, что представляют из себя вирусы, как они возникают в компьютере, где располагаются и как распространяются.

Начнем с определения вируса.

Вирусом называется специально созданная программа, которая способна самостоятельно распространяться в компьютерной среде. Это означает, что если вирус попал к вам в компьютер вместе с одной из программ или с документом, то через некоторое время ваши программы или документы будут "заражены" вирусом. Если к тому же компьютер подключен к локальной или глобальной сети, вирус может распространиться и на другие компьютеры.

Цель создания вирусной программы может быть самой различной, но никогда не бывает благородной. В результате распространения вирусы изменяют программы и документы, хранящиеся на дисках компьютера, что часто приводит к их утрате. Хуже всего то, что вирусы способны уничтожить вообще всю информацию, которая есть в компьютере. А ведь стоимость этой информации может в десятки и сотни раз превышать стоимость самого компьютера.

Компьютерные вирусы не только распространяются, заражая новые компьютеры. Большинство из них, попав в компьютер, начинают всячески вредить пользователю. Внешние проявления вирусов могут быть разнообразными. Они ограничиваются исключительно фантазией автора вируса и возможностями компьютера.

Многие вирусы относительно безопасны для данных, хранящихся в компьютере, и по большей части действуют только на нервы пользователя. Они могут, например, осыпать символы, отображаемые на экране в текстовом режиме, выводить на экран посторонние надписи, воспроизводить посторонние звуки с помощью встроенного в компьютер динамика.

Вирус может не только уничтожить, но и немного изменить информацию, записанную на диске компьютера или изменить ее. Этот случай наиболее опасен. Если пользователь вовремя не обнаружит вирус, и вирус незаметно изменит документы или файлы баз данных, ошибка может выявится уже слишком позже в виде неправильного счета или искаженного баланса.

На сегодня нам не известны вирусы, способные безвозвратно вывести из строя аппаратуру компьютера, но в некоторых случаях они могут нанести значительный ущерб. Так, существуют вирусы, изменяющие пароль, необходимый для запуска компьютера. Этот пароль хранится в энергонезависимой памяти компьютера, питающейся от маленькой батарейки или аккумулятора. Как правило, можно временно отключить питание энергонезависимой памяти, чтобы сбросить ее содержимое. Но если такая возможность отсутствует (что иногда бывает), остается только приступить к подбору пароля или обратиться в фирму изготовитель.

А впрочем, среди серости общей массы вирусов встречаются очень даже интересные экземпляры. Если у вас найдется свободное время, вы можете почитать описание вирусов, просмотреть и послушать имитацию их работы. Более всего для этого подходит энциклопедия компьютерных вирусов Касперского, но можно почитать и описания вирусов, которые поставляются вместе с антивирусами Aidstest и Doctor Web.

В описании вирусов мы обнаружили вирус, выполняющий компрессию заражаемых файлов. Этот своего рода навязчивый аналог утилиты Diet, не спрашивая разрешения, сжимает файлы всех заражаемых приложений. Таким образом вирус увеличивает объем дисковой памяти компьютера. Не стоит обольщаться по поводу полезных вирусов и строить далеко идущие планы. Даже такие безобидные на первый взгляд вирусы таят в себе многие потенциальные опасности. Среди них возможные ошибки в коде самого вируса и несовместимость с другими программами.

В мире не существует единой классификации вирусов, однако можно выделить три группы вирусов:

  • файловые вирусы;
  • загрузочные вирусы;
  • комбинированные файлово-загрузочные вирусы.

Кроме того, вирусы бывают макрокомандные, резидентные и нерезидентные, полиморфные и маскирующиеся (стелс-вирусы).

Файловые вирусы

Как нетрудно догадаться из названия, областью обитания файловых вирусов являются файлы. Вирусы записывают свой код в тело программного файла таким образом, что при запуске программы вирус первым получает управление. Сделав свое черное дело, вирус передает управление зараженной программе, так что пользователь ничего не замечает. При запуске вирус сканирует локальные диски компьютера и сетевые каталоги в поисках очередной жертвы. После того как подходящий программный файл будет найден, вирус записывает в него свой код.

Механизм распространения файловых вирусов достаточно прост.

Создатель вируса намеренно заражает какой-либо программный файл и записывает его на электронную доску объявлений BBS, FTP-сервер, посылает в телеконференцию или отдает приятелю. Как правило, для заражения выбирается что-нибудь интересное: новая игра, самораскрывающийся архив с привлекательным названием или новая версия популярной программы.

Получив новую игру от хорошего знакомого, даже бывалые системные администраторы и опытные программисты не всегда могут удержаться от того, чтобы сразу же ее запустить. Результат может оказаться плачевным. Следовало бы вначале проверить программу антивирусами, но такая проверка тоже не дает полной гарантии - каждый день появляются все новые и новые вирусы.

Самый простой способ гарантированно удалить вирусы с компьютера заключается в том, чтобы после форматирования диска компьютера на низком уровне установить операционную систему и прикладные программы с лицензионных дистрибутивов, и в дальнейшем избегать использования нелицензионных, бесплатных (Freeware) и условно-бесплатных (Shareware) программ.

Однако в жизни так бывает очень редко. Даже из числа тех, кто пользуется только лицензионными программами, найдется немало людей, у кого есть условно-бесплатные архиваторы, демонстрационные версии игр, бесплатные средства доступа к Internet или аналогичные средства. Свободный обмен этими программами может привести к вирусному заражению.

Но и в том случае, если вы не пользуетесь программами сомнительного происхождения, вы можете получить относительно новую разновидность файлового вируса - макрокомандный вирус, распространяющийся с документами офисных приложений, таких как Microsoft Word for Windows или Microsoft Excel for Windows.

Документы офисных приложений содержат в себе не только текст и графические изображения, но и макрокоманды, которые представляют собой ничто иное как программы. Эти программы составляются на языке, напоминающим Бейсик. Вирус может изменять существующие макрокоманды и добавлять новые, внедряя свое тело в файл документа.

Механизм распространения макрокомандных вирусов основан на том, что существуют макрокоманды, которые запускаются при открывании документа для редактирования или при выполнении других операций. Разработчик макрокомандного вируса берет безобидный файл с именем, например, readme.doc, и записывает в него одну или несколько вирусных макрокоманд, например, вирусную макрокоманду с именем AutoExec. Когда вы открываете такой файл при помощи текстового процессора Microsoft Word for Windows, эта макрокоманда будет автоматически запущена на выполнение. При этом вирус получит управление и может заразить другие документы, хранящиеся на ваших дисках. Если вирусная макрокоманда имеет имя FileSaveAs, то распространение вируса будет происходить при сохранении документа.

Для предотвращения заражения макрокомандными вирусами вы должны перед просмотром или редактированием проверять новые файлы документов с помощью антивирусных программ, способных искать такие вирусы.

Загрузочные вирусы

Вторая большая группа вирусов - это так называемые загрузочные вирусы. Распространение и активизация этих вирусов происходит в момент загрузки операционной системы, еще до того, как пользователь успел запустить какую-либо антивирусную программу.

Для того чтобы вам был понятнее механизм распространения загрузочных вирусов, напомним, как протекает процесс начальной инициализации компьютера и загрузки операционной системы.

Сразу после включения электропитания компьютера начинает работать программа инициализации, записанная в ПЗУ базовой системы ввода/вывода BIOS. Эта программа проверяет оперативную память и другие устройства компьютера, а затем передает управление программе начальной загрузки, которая также находится в BIOS.

Программа начальной загрузки пытается прочитать в оперативную память содержимое самого первого сектора нулевой дорожки жесткого диска, в котором находится главная загрузочная запись Master Boot Record (MBR), либо содержимое самого первого сектора нулевой дорожки дискеты, вставленной в устройство A:. Этот сектор содержит загрузочную запись Boot Record (BR).

Выбор способов начальной загрузки зависит от многих факторов. Если компьютер не оборудован жестким диском, то программа начальной загрузки попытается прочитать загрузочную запись с дискеты. Но такая попытка будет предпринята только в том случае, если в таблице конфигурации компьютера указано, что накопитель на флоппи-диске присутствует. Напомним, что таблица конфигурации компьютера хранится в энергонезависимой памяти и может изменяться при помощи программы BIOS Setup.

Если в компьютере имеется жесткий диск и он правильно описан в таблице конфигурации компьютера, последовательность загрузки зависит от выбора, сделанного при помощи все той же программы BIOS Setup. Пользователь может указать, что компьютер должен загружаться либо только с жесткого диска, либо с дискеты, вставленной в устройство A:, а если такой дискеты нет, то с жесткого диска. Возможны и другие случаи, здесь все зависит от конкретной реализации BIOS.

Итак, существуют две возможности загрузить операционную систему - с жесткого диска или с дискеты. Рассмотрим вначале первую возможность.

При загрузке с жесткого диска в память по фиксированному адресу читается содержимое главной загрузочной записи. Эта запись представляет собой программу, задачей которой является загрузка операционной системы с логического диска. Как эта загрузка выполняется?

Загрузчик, расположенный в главной загрузочной записи MBR просматривает таблицу разделов диска Partition Table, которая находится в том же секторе диска, что и сама запись MBR. После того как в этой таблице будет найден раздел, отмеченный как активный, выполняется чтение самого первого сектора этого раздела в оперативную память, - сектора загрузочной записи BR. В этом секторе находится еще один (!) загрузчик, на этот раз последний.

Задачей загрузчика BR является считывание в оперативную память стартовых модулей операционной системы и передача им управления. Способ загрузки, очевидно, зависит от операционной системы, поэтому каждая операционная система имеет свой собственный загрузчик BR.

Теперь о загрузке с дискеты.

Этот процесс намного проще, так как формат дискеты в точности соответствует формату логического диска. Самый первый сектор нулевой дорожки дискеты содержит загрузочную запись BR, которая читается в память. После чтения ей передается управление.

Заметим, что дискеты могут быть системными и несистемными.

Вы знаете, что системную дискету MS-DOS можно подготовить при помощи команды format, указав ей параметр /s, либо при помощи команды sys. И в том, и в другом случае в первый сектор нулевой дорожки дискеты записывается программа начальной загрузки MS-DOS.

Если же дискета была отформатирована командой format без параметра /s, она будет несистемной. Тем не менее, в первый сектор нулевой дорожки дискеты все равно записывается программа, единственным назначением которой является вывод сообщения о необходимости вставить в НГМД системную дискету.

Данное обстоятельство - присутствие загрузочной записи на несистемной дискете - играет важную роль при распространении загрузочных вирусов, поэтому мы советуем обратить на него внимание.

Из сказанного выше следует, что загрузка операционной системы является многоступенчатым процессом, ход которого зависит от разных обстоятельств. Для нас сейчас важно то, что в этом процессе задействовано три программы, которые служат объектом нападения загрузочных вирусов:

  • главная загрузочная запись;
  • загрузочная запись на логическом диске;
  • загрузочная запись на дискете

Вирусы могут заменять некоторые или все перечисленные выше объекты, встраивая в них свое тело и сохраняя содержимое оригинального загрузочного сектора в каком-либо более или менее подходящем для этого месте на диске компьютера. В результате при включении компьютера программа загрузки, расположенная в BIOS, загружает в память вирусный код и передает ему управление. Дальнейшая загрузка операционной системы происходит под контролем вируса, что затрудняет, а в некоторых случаях и исключает его обнаружение антивирусными программами.

Как распространяются загрузочные вирусы?

Главным образом, с помощью забывчивых пользователей.

Разработчик вируса создает дискету с зараженным загрузочным сектором или заражает главную загрузочную запись на жестком диске компьютера, к которому имеет доступ много пользователей. После загрузки операционной системы вирус контролирует все обращения к дискетам. Как только пользователь вставит дискету, не защищенную от записи, вирус запишет свое тело в загрузочный сектор дискеты. Через некоторое время все дискеты, которые когда-либо вставлялись в компьютер, окажутся зараженными.

Вставив зараженную дискету в устройство A: ранее незараженного компьютера и поработав с ней, многие пользователи забывают извлечь ее оттуда. Пользователь выключает компьютер и уходит домой спать, а вирус ждет своего часа. Включив утром компьютер, пользователь выполняет загрузку с забытой дискеты, в результате чего вирус проникает в главную загрузочную запись. Все, цель достигнута - вирус завоевал еще один компьютер.

Вы можете полностью перекрыть доступ к вашему компьютеру для загрузочных вирусов, отключив при помощи программы BIOS Setup возможность загрузки с устройства A:. Хотя иногда (например, при переустановке операционной системы) вам все же придется загружать компьютер с дискет.

Разумеется, не следует снимать с дискет защиту от записи без крайней на то необходимости. Особенно это относится к дистрибутивным дискетам, с которых выполняется установка программного обеспечения.

И конечно, все дискеты, полученные вами, следует проверять антивирусными программами. Это относится даже к новым форматированным дискетам в запечатанной коробке, так как вирус может находится в области загрузочной записи. Известен случай, когда в продажу поступили зараженные форматированные дискеты.

Комбинированные файлово-загрузочные вирусы

Наиболее совершенные и наиболее опасные вирусы используют методы распространения, характерные и для файловых, и для загрузочных вирусов. Такие вирусы записывают свое тело в файлы и в загрузочные записи дискет и дисков. Вы можете получить такой вирус, загрузив компьютер с зараженной дискеты, либо запустив зараженный файл. Результат будет одинаковый - вирус поселится в вашем компьютере и начнет свою "работу".

Простые и полиморфные вирусы

Обычные компьютерные вирусы обнаружить достаточно легко, так как в процессе заражения они записывают в заражаемый файл или системную область диска свой собственный код. Автору антивирусной программы достаточно выделить из этого кода уникальную последовательность команд или байт, характерную именно для данного вируса. Такая последовательность носит название сигнатуры.

Затем антивирусная программа уже в автоматическом режиме просматривает все файлы и системные области дисков в поиске сигнатур известных вирусов. Естественно, что проблем с обнаружением таких вирусов нет.

Очень скоро авторы вирусов догадались использовать в своих вирусах алгоритмы шифрования, затрудняющие их обнаружение и выделение сигнатуры. Такие вирусы, получившие название шифрующихся, при заражении новых файлов и системных областей диска шифруют собственный код, пользуясь для этого случайными паролями (ключами). Когда вирус получает управление, он первым делом расшифровывает собственный код.

Сложность обнаружения таких вирусов состоит в том, что код вируса случайным образом изменяется при каждом новом заражении и, соответственно, автору антивируса сложнее выделить сигнатуру такого вируса. Однако, так как шифрующийся вирус все же должен содержать неизменную процедуру расшифровки, то сигнатуру получить можно. Даже простые антивирусные программы способны успешно обнаруживать и удалять вирусы, применяющие алгоритм шифровки.

Вслед за шифрующимися вирусами появилась еще более сложная разновидность вирусов, получившая страшное название вирусов-мутантов. Более научное название вирусов-мутантов - полиморфные вирусы. От шифрующихся вирусов они отличаются тем, что даже процедура расшифровки меняется у разных особей одного вируса. Каждый раз когда вирус заражает новый файл или системную область диска, он полностью изменяется, поэтому из полиморфных вирусов невозможно выделить сигнатуру.

Многие антивирусные программы не в состоянии обнаружить полиморфные вирусы. Например, самая известная антивирусная программа Aidstest, которая уже много лет защищает компьютеры, обнаруживает только самые примитивные экземпляры полиморфных вирусов. Мы видели много пользователей, постоянно проверяющих свои компьютеры программой Aidstest даже не смотря на предупреждение о необходимости дополнительно использовать антивирус Doctor Web. Полиморфные вирусы остаются в этом случае незамеченными и спокойно делают свое черное дело.

Извечная борьба щита и меча, брони и снаряда нашла свое отражение и в мире компьютеров. Для охоты за полиморфными вирусами были разработаны антивирусные программы нового поколения, далеко ушедшие от своих предшественников.

В качестве примеров программ, способных обнаруживать и удалять полиморфные вирусы, можно привести антивирус Doctor Web Игоря Данилова и Antiviral Toolkit Pro Евгения Касперского. Эвристический анализатор Doctor Web "выполняет" под своим управлением проверяемые программы и обнаруживает действия, характерные для вирусов. Благодаря этому он находит полиморфные вирусы также легко как и обычные вирусы, не использующие механизма маскировки.

Эвристический анализатор может обнаружить не только вирусы, ранее изученные автором антивирусной программы. Он может отыскать даже те вирусы, которые ранее не были известны. Надо сказать, что это не должно вызывать энтузиазм у авторов вирусов. Многие из них, еще не родившись, уже имеют все шансы быть обнаруженными.

Стелс-вирусы

В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.

Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.

При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске и легко обнаружит вирус.

Большинство антивирусных программ противодействуют попыткам стелс-вирусов остаться незамеченными, но чтобы не оставить им ни единого шанса, следует перед проверкой компьютера программами Antiviral Toolkit Pro, Aidstest и Doctor Web загружать компьютер с дискеты.

Системная дискета для антивирусного контроля должна быть подготовлена заранее. Кроме системных файлов, на нее следует записать антивирусные программы.

Многие антивирусные программы настолько успешно противостоят стелс-вирусам, что обнаруживают их при попытке замаскироваться. Такие программы считывают проверяемые программы с диска, пользуясь для этого различными методами. Например, с помощью операционной системы и базовой системы ввода/вывода. Если в полученных данных обнаруживается несоответствие, вероятнее всего в оперативной памяти находится стелс- вирус.

Антивирусные программы

Вне всякого сомнения, главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время. Так например, в последнее время широкое распространение получил вирус OneHalf - "одна половина". Свое название он получил потому, что этот вирус постепенно зашифровывает информацию, записанную на жестком диске компьютера, а когда он зашифрует половину диска, то отображает соответствующую надпись на экране в момент загрузки компьютера.

Вирус OneHalf весьма коварен. Пока он присутствует в компьютере, он не только постепенно шифрует данные на диске, он также расшифровывает их, когда какая-нибудь программа обращается к зашифрованным данным. Если вирус остается в компьютере, пользователь ничего не замечает. Если же удалить вирус, не расшифровав предварительно данные, записанные на диске, после очередной перезагрузки компьютера вы потеряете возможность их расшифровки.

В настоящее время существует огромное количество разнообразных антивирусных средств защиты. Их значительно больше, чем сортов зубной пасты, рекламируемой по телевизору. Такое разнообразие остро ставит вопрос выбора. Что лучше: пакет Antiviral Toolkit Pro доктора Касперского или комплект АО "ДиалогНаука"? А может лучше приобрести Norton Antivirus или что либо другое? Вряд ли кто-нибудь сможет дать вам однозначный ответ на этот вопрос.

Очень хороший результат могло бы дать одновременное использование нескольких антивирусных средств, но в этом случае резко возрастут затраты времени на проверку компьютера. Поэтому так или иначе, но выбор должен быть сделан. Чтобы выбор антивирусного средства не стал попыткой вытянуть счастливый билет на экзамене у строгого экзаменатора, лучше заранее узнать о методах, используемых антивирусными программами. Смеем вас заверить, что эти сведения пригодятся вам и позже, когда вы будете пользоваться антивирусами для поиска и удаления вирусов.

В нашей статье мы в первую очередь ссылаемся на отечественные антивирусные программы. И это не только потому, что антивирусное обеспечение является одной из немногих областей развития программного обеспечения, в котором успешно ведутся отечественные разработки.

Отечественное антивирусное программное обеспечение успешно конкурирует с программным обеспечением, предлагаемым зарубежными фирмами. Хорошая поддержка пользователей отечественных антивирусных программ со стороны фирм - разработчиков антивирусов позволяет своевременно получать новые версии антивирусов, а также консультации по их использованию.

Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами:

  • Сканирование
  • Эвристический анализ
  • Обнаружение изменений
  • Резидентные мониторы

Антивирусные программы могут реализовывать все перечисленные выше методики, либо только некоторые из них.

Сканирование

Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.

Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.

Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

Эвристический анализ

Эвристический анализ зачастую используется совместно со сканированием для поиска шифрующихся и полиморфных вирусов. В большинстве случаев эвристический анализ позволяет также обнаруживать и ранее неизвестные вирусы. В этом случае скорее всего их лечение будет невозможно.

Если эвристический анализатор сообщает, что файл или загрузочный сектор возможно заражен вирусом, вы должны отнестись к этому с большим вниманием. Необходимо дополнительно проверить такие файлы с помощью самых последних версий антивирусных программ сканеров или передать их для исследования авторам антивирусных программ.

Обнаружение изменений

Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т. д. На обнаружении таких изменений основываются работа антивирусных программ-ревизоров.

Антивирусные программы-ревизоры запоминают характеристики всех областей диска, которые могут подвергнутся нападению вируса, а затем периодически проверяют их. В случае обнаружения изменений, выдается сообщение о том, что возможно на компьютер напал вирус.

Следует учитывать, что не все изменения вызваны вторжением вирусов. Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные.

Резидентные мониторы

Антивирусные программы, постоянно находящиеся в оперативной памяти компьютера и отслеживающие все подозрительные действия, выполняемые другими программами, носят название резидентных мониторов или сторожей. К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования. Они раздражают пользователей большим количеством сообщений, по большей части не имеющим отношения к вирусному заражению, в результате чего их отключают.

Лучшая защита - это нападение

Чем раньше вы начнете готовиться к нападению вирусов, тем лучше. Мы встречали немало пользователей, до поры до времени беспечно относящихся к этой проблеме. Многие из них даже не воспринимали компьютерные вирусы в качестве серьезной угрозы.

Только когда вирус уже уничтожит изрядное количество информации, они готовы отдать любые деньги, лишь бы удалить заразу и вернуть бесценную информацию.

Вы сохраните себе нервы и, возможно, деньги, если заранее проведете ряд мероприятий антивирусной защиты. Они зависят от антивирусных средств, которые вы применяете для защиты компьютера. Но, тем не менее, некоторые действия практически не зависят от вашего выбора и будут полезны в любом случае.

Одним из первых шагов, которые вы должны предпринять, является подготовка системной дискеты. Особенно подчеркнем, что системную дискету надо готовить заранее, до того как вирус появится в вашем компьютере.

На системную дискету надо записать последние версии антивирусных программ-полифагов, таких как Aidstest, Doctor Web или Antiviral Toolkit Pro. Кроме антивирусных программ, на дискету полезно записать драйверы внешних устройств компьютера, например драйвер устройства чтения компакт-дисков, программы для форматирования дисков - format и переноса операционной системы - sys, программу для ремонта файловой системы Norton Disk Doctor или ScanDisk.

Системная дискета будет полезна не только в случае нападения вирусов. Вы можете ей воспользоваться для загрузки компьютера в случае повреждения файлов операционной системы.

Периодически проверяйте компьютер на заражение вирусами. Лучше всего встроить вызов антивирусной программы в файл конфигурации autoexec.bat, чтобы проверка осуществлялась при каждом включении компьютера. Выполняйте проверку не только выполнимых файлов, имеющих расширение COM, EXE, но также пакетных файлов BAT и системных областей дисков.

Если в компьютере записано много файлов, их проверка антивирусами-полифагами скорее всего будет отнимать достаточно много времени. Поэтому во многих случаях предпочтительней для повседневной проверки использовать программы-ревизоры, а новые и изменившиеся файлы подвергать проверке полифагами.

Практически все ревизоры в случае изменения системных областей диска (главной загрузочной записи и загрузочной записи) позволяют восстановить их, даже в том случае если не известно, какой именно вирус их заразил. Лечащий модуль ADinf Cure Module даже позволяет удалять неизвестные файловые вирусы.

Не спешите воспользоваться этой возможностью. Во-первых, изменение файла и системных областей может быть вызвано не внедрением в них вируса, а гораздо более прозаическими причинами. А во-вторых, некоторые вирусы, например тот же OneHalf, так внедряются в компьютер, что простое их удаление может вызвать безвозвратную потерю информации. В любом случае перед удалением вируса с помощью ревизора следует попробовать удалить вирус программами-полифагами. Более подробные рекомендации вы можете получить только из документации на используемые вами антивирусные средства защиты. Еще лучше посоветуйтесь со специалистом по компьютерной технике или обратитесь в фирму, которая занимается антивирусным обслуживанием.

Практически все современные антивирусы могут правильно работать даже на зараженном компьютере, когда в его оперативной памяти находится активный вирус. Однако перед удалением вируса все же рекомендуется предварительно загрузить компьютер с системной дискеты, чтобы вирус не смог препятствовать лечению.

Когда вы загружаете компьютер с системной дискеты, следует обратить внимание на два важных момента.

Во-первых, для перезагрузки компьютера надо использовать кнопку Reset, расположенную на корпусе системного блока, или даже временно выключить его питание. Не используйте для перезагрузки комбинацию из трех известных клавиш. Некоторые вирусы могут остаться в памяти даже после этой процедуры.

Во-вторых, перед перезагрузкой компьютера с дискеты проверьте конфигурацию дисковой подсистемы компьютера и особенно параметры дисководов и порядок загрузки операционной системы (должна быть установлена приоритетная загрузка с дискеты), записанную в энергонезависимой памяти. Существуют вирусы, ловко меняющие параметры, записанные в энергонезависимой памяти компьютера, в результате чего компьютер загружается с зараженного вирусом жесткого диска в то время как вы думаете, что загрузка происходит с чистой системной дискеты.

Обязательно проверяйте с помощью антивирусных программ все дискеты и все программы, поступающие к вам от ваших знакомых или через модем. Если компьютер подключен к локальной сети, проверяйте файлы, полученные через сеть от других пользователей.

С появлением вирусов, распространяющихся через макрокоманды текстового процессора Microsoft Word и электронной таблицы Microsoft Excel, вы должны быть особенно внимательны и проверять не только выполнимые файлы программ и системные области дисков, но также и файлы документов. Убедитесь, что ваше антивирусное обеспечение способно обнаруживать такие вирусы.

Следите за выходом новых версий применяемых вами антивирусных средств и своевременно выполняйте их обновления на системной дискете и своем компьютере. Используйте для восстановления зараженных файлов и системных областей диска только самые последние версии антивирусов.

[Назад]