47004 (Вирусы), страница 4

• командами FDISK/MBR и затем, после перезагрузки, NDD /REBUILD, если повреждены таблицы разбиения жесткого диска.

Однако следует иметь в виду, что иногда подобное восстановление системных областей диска приводит к потере части данных (или всех данных) на диске (например, если вирус зашифровал какие-то сектора жесткого диска).

Если вирус испортил системные области диска или содержимое CMOS-памяти, то жесткий диск или отдельные его логические диски могут быть вообще «не видны», в том числе и антивирусным программам. В этом случае следует восстановить со спасательной дискеты, созданной программой Rescue сначала содержимое CMOS-памяти, если это не помогает — то таблицы разбиения жесткого диска, а если и это не помогает — то загрузочные записи. Чтобы увидеть, помогло или нет то или иное действие, надо перезагрузить компьютер. После этого логические диски должны опознаваться, но содержимое этих дисков может быть все же недоступно (скажем, если вирус разрушил корневой каталог диска, то диск может представляться пустым или содержащим «мусор»), В этих случаях следует сначала попробовать запустить антивирусные программы-детекторы, а если они не помогут, то воспользоваться программами NDD и/или UnFormat.

Если спасательной дискеты Вы не создавали, то содержимое CMOS-памяти придется восстанавливать вручную с помощью программы конфигурирования компьютера, таблицы разбиения жесткого диска — с помощью команд FDISK/MBR и (после перезагрузки) NDD/REBUILD , а загрузочных записей — с помощью команды SYS. Однако лучше сначала посмотреть на содержимое жесткого диска программой DiskEdit (если Вы понимаете правила размещения данных на жестком дискt, чтобы выяснить, что же с жестким диском произошло.

Иногда восстановление системных областей диска приводит к потере части данных (или всех данных) на диске — например, если вирус зашифровал какие-то сектора диска.

4. ЧТО МОГУТ И ЧЕГО НЕ МОГУТ КОМПЬЮТЕРНЫЕ ВИРУСЫ

У многих пользователей компьютеров из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати, создается своеобразный комплекс боязни вирусов («вирусофобия»), Этот комплекс имеет два проявления.

1. Склонность приписывать любое повреждение данных или необычное явление на компьютере действию вирусов. Например, если у «вирусофоба» не форматируется дискета, то он объясняет это не дефектами дискеты или дисковода, а действием вирусов. Если программа «зависает», то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования, чем действием вирусов.

2. Преувеличенные представления о возможностях вирусов. Некоторые пользователи думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров, объединенных в сеть, или даже просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приведет к заражению остальных.

Вирусофобия вовсе не так безобидна, как это может показаться на первый взгляд. Она приводит, например, к следующим последствиям.

1. Принятие неадекватных, я бы даже сказал, экстремистских, мер при появлении вируса или даже при подозрении на наличие вируса. Так, я знаю организацию, в которой по приказу начальства были переформатированы жесткие диски на полусотне компьютеров из-за сообщений программы Aidstest о том, что в оперативной памяти находится что-то похожее на вирус. Никакие доводы специалистов, что к таким мерам прибегать нет необходимости, услышаны не были. В спешке были потеряны сотни человеко-дней работы и множество важных документов. А потом оказалось, что никакого вируса вообще не было, a Aidstest «ругался» на русификатор Microsoft Word фирмы «ПараГраф», Кстати, в более новой версии Aidstest никаких сообщений по поводу этого русификатора уже не выдавалось.

2. Неоправданная изоляция от окружающего мира из-за боязни заражения вирусами. Я знаю несколько организаций, в которых все поступающие документы заново набивались вручную, даже если они уже имелись на дискетах. И опять же никакие доводы, что при чтении текстового файла с дискеты компьютер никак не может заразиться вирусом, не действовали. В результате из-за панической боязни вирусов впустую тратилось огромное количество труда и времени.

3. Расплывчатые (мягко выражаясь) представления многих руководителей о способностях вирусов позволяют многим пользователям и программистам ссылаться на вирусы как на причину любых задержек и трудностей. К сожалению, в большинстве случаев фраза «Я все сделал(а), но тут появился вирус и все испортил» означает, что за работу вообще не принимались.

Лучшим лекарством от вирусофобии является знание того, как работают вирусы, что они могут и чего не могут. Вирусы являются обычными программами и не могут совершать никаких сверхъестественных действий.

Хотя вирусы — это всего лишь программы, но зачастую они сделаны с весьма большой изобретательностью и коварством. Так, некоторые вирусы могут:

• обманывать резидентные программы-сторожа, например, выполняя заражение и порчу информации не с помощью вызовов функций операционной системы, а посредством прямого обращения к программам ввода-вывода BIOS или даже портам контроллера жестких дисков или дискет;

• выживать при перезагрузке — как при нажатии [Ctrl] [Alt] [Del], так и при загрузке с чистой системной дискеты после нажатия кнопки «Reset» или выключения и включения компьютера;

• заражать файлы в архивах (для извлечения файлов из архива и помещения их в архив вызывается программа-архиватор, а вывод на экран при этом блокируется);

• заражать файлы только при помещении их на дискеты или в архивы (маскируясь тем самым от обнаружения программами-ревизорами);

• бороться с антивирусными программами, например, уничтожая их файлы или портя таблицы со сведениями о файлах программы-ревизора;

• долгое время никак не проявлять своего присутствия, активизируясь через несколько недель или даже месяцев после заражения компьютера;

• шифровать системные области дисков или данные на диске, так, что доступ к ним становится возможен только при наличии данного вируса в памяти.

Чтобы компьютер заразился вирусом, необходимо, чтобы на нем хотя бы один раз была выполнена программа, содержащая вирус, а именно:

• запущен зараженный исполнимый файл или установлен зараженный драйвер;

• произведена начальная загрузка (либо даже попытка начальной загрузки) с зараженной загрузочным вирусом дискеты;

• открыт на редактирование зараженный документ Word для Windows или зараженная электронная таблица Excel.

Отсюда следует, что нет оснований бояться заражения компьютера вирусом, если:

• на компьютер переписываются файлы, не содержащие программ и не подлежащие преобразованию в программы, например, графические файлы, текстовые файлы (кроме командных файлов и текстов программ), документы редакторов документе! типа ЛЕКСИКОНа или Multi-Edit, информационные файлы баз данных и т.д.;

• на незараженном компьютере производится копирование файлов с одной дискеты на другую или иные действия, не связанные с запуском «чужих» (полученных извне) программ, перезагрузкой с «чужих» дискет или редактированием «чужих» документов Word для Windows или электронных таблиц Excel.

Кроме того, вирус заражает лишь программы, и не может заразить оборудование (клавиатуру, монитор и т.д.). Вирус не может заразить или изменить данные, находящиеся на дискетах или съемных дисках с установленной защитой от записи, а также данные, находящиеся на аппаратно защищенных (скажем, установкой перемычки на диске или с помощью комплекса Sheriff) логических дисках.

5. МЕТОДЫ МАСКИРОВКИ ВИРУСОВ

Чтобы предотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемы маскировки. Мы расскажем о некоторых из них.

Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth (стелс) вирусами. Разумеется, эффект «невидимости» наблюдается только на зараженном компьютере — на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Такими программами являются, в частности, ADinf фирмы «Диалог-Наука», Norton AntiVirus и др.

Некоторые антивирусные программы используют для борьбы с вирусами свойство «невидимых» файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают ее в файл или файлы. Затем, уже после загрузки с «чистой» дискеты, исполнимые файлы восстанавливаются в исходном виде.

Вирусы часто содержат внутри себя различные сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов (даже на «чистом» компьютере, то есть когда вирус не активен) никаких подозрительных текстовых строк Вы не увидите.

Еще один способ, применяемый вирусами для того, чтобы укрыться от обнаружения, — модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами — в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися.

Многие полиморфные вирусы используют шифрование своего кода, меняя параметры этой кодировки при создании каждой копии. Кроме того, они тем или иным способом изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса.

В простейших полиморфных вирусах вариации их кода ограничиваются использованием одних регистров компьютера вместо других, добавлением «незначащих» команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но имеются и вирусы с чрезвычайно сложными механизмами самомодификации. В них каждая значащая инструкция передается одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд процессора.

Тем не менее, имеются антивирусные программы-детекторы, способные обнаруживать даже такие сложные полиморфные вирусы. Как правило, они содержат эмулятор (программный эквивалент) процессора, то есть могут интерпретировать программы без их реального выполнения (на настоящем процессоре). Такие детекторы интерпретируют анализируемые программы, то есть «выполняют» их на программном эквиваленте процессора, и в ходе этого «выполнения» решают, является ли анализируемая программа вирусом или нет. Эта задача очень сложна (точнее, неразрешима), поскольку вирусы не используют каких-то специфических действий, которые не применялись бы другими программами. Однако лучшие детекторы способны отлавливать неизвестные полиморфные вирусы в более чем 80% случаев при очень малом количестве ложных тревог. Примером такой программы является Dr. Web из антивирусного комплекта DSAV фирмы «Диалог-Наука».

Ранние файловые вирусы при заражении увеличивали длину файлов, что позволяло их легко обнаруживать. Однако затем появились вирусы, не увеличивающие длину файлов. Для этого они могут записывать свой код в «пустые» участки внутри файлов, сжимать код заражаемого файла и т.д. Разумеется, «невидимым» вирусам к таким уловкам прибегать нужды нет.

6. ОСОБЫЕ ВИДЫ ВИРУСОВ

В 1991 г. появились вирусы нового типа — вирусы, меняющие файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно — в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла или как дефектный участок. Для всех

.СОМ - и .ЕХЕ - файлов указатели на первый кластер (участок) файла, содержащиеся в соответствующих элементах каталога, заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки.

Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностном просмотре зараженного диска на «чистом» компьютере также ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

При анализе на «чистом» компьютере с помощью программ ChkDsk, ScanDisk или NDD файловая система зараженного DIR-вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдает кучу сообщений о пересечениях файлов («...cross linked on cluster...») и о цепочках потерянных кластеров («...lost clusters found in ... chains»).

Особая опасность вирусов семейства DIR состоит в том, что повреждения файловой структуры, сделанные этими вирусами, на следует исправлять программами типа ScanDisk или NDD — при этом диск окажется безнадежно испорченным. Для исправления надо применять только антивирусные программы.

Замечание. Вирусы семейства DIR формально относят к файловым, хотя они меняют не сами файлы, а способ обращения операционной системы к этим файлам.

Еще один необычный тип вирусов — это вирусы, заражающие системный файл IO.SYS. Семейство этих вирусов обычно называется ЗАРАЗА, поскольку первый такой вирус выводил сообщение «В BOOT СЕКТОРЕ — ЗАРАЗА!».

Данные вирусы являются файлово-загрузочными и используют рассогласование между механизмом начальной загрузки DOS и обычным механизмом работы с файлами. При начальной загрузке MS DOS проверяется, что имена двух первых элементов в корневом каталоге загрузочного диска — IO.SYS и MSDOS.SYS, но атрибуты этих элементов не проверяются. Если имена совпадают, то программа начальной загрузки считывает в память первый кластер элемента с именем IO.SYS и передает ему управление.