43570 (Компьюторныые вирусы), страница 3

типа "вставьте команду запуска Aidstest в AUTOEXEC.BAT" не будут

достаточными. Наилучшей стратегией защиты от вирусов является ком-

плексная многоуровневая защита:

Перед первым этапом следует разместить программы-детекторы,

позволяющие проверять вновь полученное програмное обеспечение на

наличие вирусов;

На первом этапе размещаются программы-фильтры, т.к. они первы-

ми сообщат о работе вируса и предотвратят заражение программ и

дисков;

На втором этапе размещаются ревизоры и доктора: они позволяют

обнаружить вирусы, "пробившиеся" через первый этап, а затем выле-

чить зараженные программы, но следует учитывать, что они не всег-

да лечат правильно и идеальным вариантом было бы иметь копию нуж-

ных программ в архивах на дискетах, защищенных от записи.

Самый главный этап защиты - разграничение доступа, которое не

позволяет проникшим вирусам и неверно работающим программам испор-

тить важные данные.

Действия при заражении вирусом.

При заражении компьютера вирусом (или при подозрении на это)

важно соблюдать четыре правила:

1. Прежде всего не надо торопиться и принимать опрометчивых реше-

ний: опрометчивые действия могут привести не только к потере час-

ти файлов, которые можно было бы восстановить, но и к повторному

заражению компьютера.

2. Тем не менее одно действие должно быть выполнено немедленно -

надо выключить компьютер, чтобы вирус не продолжал своих разруши-

тельных действий.

3. Все действия по обнаружению последтвий заражения и лечению

компьютера следует выполнять только при перезагрузке компьютера с

защищенной от записи "эталонной" дискеты с операционной системой.

При этом следует использовать только программы (исполнимые файлы),

хранящиеся на защищенных от записи дискетах. Несоблюдение этого

правила может привести к очень тяжелым последствиям, поскольку при

перезагрузке DOS или запуске программы с зараженного диска в ком-

пьютере может быть активирован вирус, а при работающем вирусе ле-

чение компьютера будет бессмысленным, так как оно будет сопровож-

даться дальнейшим заражением дисков и программ.

4. Если Вы не обладаете достаточными знаниями и опытом для лече-

ния компьютера, попросите помочь Вам более опытных коллег.

Если Вы используете резидентную программу-фильтр для защиты от

вируса, то наличие вируса в какой-либо программе можно обнаружить

на самом раннем этапе, когда вирус не успел еще заразить другие

программы и испортить какие-либо файлы. В этом случае следует пе-

резагрузить DOS с дискеты и удалить зараженную программу, а затем

переписать эту программу с эталонной дискеты или восстановить ее

из архива. Для того, чтобы выяснить, не испортил ли вирус ка-

ких-то других файлов, следует запустить программу-ревизор для про-

верки изменений в файлах, желательно с широким списком проверяе-

мых файлов. Чтобы в процессе проверки не продолжать заражение ком-

пьютера, следует запускать исполнимый файл программы-ревизора, на-

ходящийся на дискете.

Лечение компьютера.

Рассмотрим более сложный случай, когда вирус уже успел заразить

или испортить какие-то файлы на дисках компьютера. При этом эк-

сперты рекомендуют следующие действия:

1. Перезагрузить операционную систему DOS с заранее подготовлен-

ной эталонной дискеты. Эта дискета, как и другие дискеты, ис-

пользуемые при ликвидации последствий заражения компьютерным виру-

сом, должна быть снабжена наклейкой для защиты от записи (пятидюй-

мовые дискеты) или открыта защелка защиты от записи (трёхдюймовые

дискеты), чтобы вирус не мог заразить или испортить файлы на этих

дискетах. Замечу, что перезагрузку не следует выполнять с помощью

"Alt+Ctrl+Del", так как некоторые вирусы ухитряются "переживать"

такую перезагрузку.

2. Если для Вашего компьютера имеется программа для установки

конфигурации (для моделей IBM PC AT и PS/2 она имеется всегда;

часто она вызывается при нажатии определенной комбинации клавиш во

время начальной загрузки компьютера), следует выполнить эту прог-

рамму и проверить, правильно ли установлены параметры конфигура-

ции компьютера (они могут быть испорчены вирусом). Если они уста-

новлены неправильно, их надо переустановить.

3. Далее следует сам процесс лечения:

Если на диске для всех нужных файлов имеются копии в архиве,

проще всего заново отформатировать диск, а затем восстановить все

файлы на этом диске с помощью архивных копий. Допустим, что на

диске имеются нужные файлы, копий которых нет в архиве, например,

на диске D:, тогда нужно следовать следующим указаниям:

Запустить для диска программу-детектор, обнаруживающую тот ви-

рус, заражению которым подвергся компьютер (если Вы не знаете, ка-

кой детектор обнаруживает данный вирус, запускайте все имеющиеся

программы-детекторы по очереди, пока одна из них не обнаружит ви-

рус). Режим лечения при этом лучше не устанавливать. Если програм-

ма-детектор обнаружила загрузочный вирус, Вы можете смело ис-

пользовать ее режим лечения для устранения вируса. При обнаруже-

нии вируса DIR его также надо удалить с помощью антивирусной прог-

раммы, ни в коем случае не используя для этого программы типа NDD

или ChkDsk.

Теперь ( когда известно, что вирусов типа DIR на диске нет )

можно проверить целостность файловой системы и поверхности диска с

помощью программы NDD: "NDD D: /C". Если повреждения файловой сис-

темы значительны, то целесообразно скопировать с диска все нужные

файлы, копий которых нет в архиве, на дискеты и заново отформати-

ровать диск. Если диск имеет сложную файловую структуру, то можно

попробовать откорректировать ее с помощью программы DiskEdit (из

комплекса Norton Utilities).

Если Вы сохраняли сведения о файлах на диске для программы-ре-

визора, то полезно запустить программу-ревизор для диагностики из-

менений в файлах. Это позволит установить, какие файлы были зара-

жены или испорчены вирусом. Если программа-ревизор выполняет так-

же функции доктора, можно доверить ей и восстановление зараженных

файлов.

Удалить с диска все ненужные файлы, а также файлы, копии кото-

рых имеются в архиве. Те файлы, которые не были изменены вирусом

(это можно установить с помощью программы-ревизора), удалять не

обязательно.

Ни в коем случае нельзя оставлять на диске COM- и EXE-файлы, для

которых программа-ревизор сообщает, что они были изменены. Те COM-

и EXE-файлы, о которых неизвестно, изменены они вирусом или нет,

следует оставлять на диске только при самой крайней необходимости.

5. Если диск, который Вы обрабатываете, является системным (т. е.

с него можно загрузить операционную систему DOS), то на него сле-

дует заново записать загрузочный сектор и файлы операционной сис-

темы (это можно сделать командой SYS из комплекса DOS).

6. Если ваш компьютер заразился файловым вирусом и Вы не произво-

дили лечение с помощью ревизора-доктора, следует выполнить прог-

рамму-доктор для лечения данного диска. Зараженные файлы, которые

программа-доктор не смогла восстановить, следует уничтожить. Разу-

меется, если на диске остались только те файлы, которые не могут

заражаться вирусом (например, исходные тексты программ и докумен-

ты), то программу для уничтожения вируса для данного диска выпол-

нять не надо.

7. С помощью архивных копий следует восстановить файлы, размещав-

шиеся на диске.

8. Если Вы не уверены в том, что в архиве не было зараженных фай-

лов, и у Вас имеется программа для обнаружения или уничтожения то-

го вируса, которым был заражен компьютер, то следует еще раз вы-

полнить эту программу для диска. Если на диске будут обнаружены

зараженные файлы, то те из них, которые можно восстановить с по-

мощью программы для уничтожения вируса, надо скопировать в архив,

а остальные - удалить с диска и из архива.

Такой обработке следует подвергнуть все диски, которые могли

быть заражены или испорчены вирусом. Если у Вас имеется хорошая

антивирусная программа-фильтр (например VSafe из комплекса DOS),

целесообразно хотя бы некоторое время работать только запустив эту

программу. Также следует учитывать, что часто компьютер заражает-

ся сразу несколькими вирусами, поэтому, обезвредив один вирус,

следует проверить все диски на наличие другого.

Профилактика против заражения вирусом.

В настоящем разделе описываются меры, которые позволяют уменьшить

вероятность заражения компьютера вирусом, а также свести к миниму-

му ущерб от заражения вирусом, если оно все-таки произойдет. Вы

можете, конечно, использовать не все описываемые средства для про-

филактики против заражения вирусом, а только те, которые считаете

необходимыми.

Меры по защите от вирусов можно разделить на несколько групп.

Копирование информации и разграничение доступа:

1. Необходимо иметь архивные или эталонные копии используемых Ва-

ми пакетов программ и данных и периодически архивировать те файлы,

которые Вы создавали или изменяли. Перед архивацией файлов целе-

сообразно проверить их на отсутствие вирусов с помощью програм-

мы-детектора (например, AidsTest). Важно, чтобы информация копиро-

валась не слишком редко - тогда потери информации при ее случай-

ном уничтожении будут не так велики.

2. Целесообразно также скопировать на дискеты сектор с таблицей

разделения жесткого диска, загрузочные сектора всех логических

дисков и содержимое CMOS (энергонезависимой памяти компьютера).

Это можно сделать с помощью пункта "Create rescue diskette" прог-

раммы DiskTool из комплекса Norton Utilites. Для восстановления

этих областей используется пункт "Restore rescue diskette" того же

комплекса.

3. Следует устанавливать защиту от записи на дискетах с файлами,

которые не надо изменять. На жестком диске целесообразно создать

логический диск, защищенный от записи, и разместить на нем прог-

раммы и данные, которые не надо изменять.

4. Не следует переписывать программное обеспечение с других ком-

пьютеров (особенно с тех, к которым могут иметь доступ различные

безответственные лица), так как оно может быть заражено вирусом.

Проверка поступающих извне данных:

1. Все принесенные извне дискеты перед использованием следует

проверить на наличие вируса с помощью программ-детекторов. Это по-

лезно делать даже в тех случаях, когда Вы хотите использовать на

этих дискетах только файлы с данными - чем раньше Вы обнаружите

вирус, тем лучше. Для проверки можно использовать программу

AidsTest. Например, для проверки дискеты A: следует ввести коман-

ду: AIDSTEST A: /S /G. Здесь режим /S задает медленную работу для

поиска испорченных вирусов, а режим /G - проверку всех файлов на

диске.

2. Если принесенные программы записаны на дискеты в сархивирован-

ном виде, следует извлечь файлы из архива и проверить их сразу же

после этого. Например, если файлы извлечены в каталог C:/TIME , то

следует ввести команду: AIDSTEST C:\TIME\*.* /S /G.

3. Если программы из архивов можно извлечь только программой ус-

тановки пакета программ, то надо выполнить установку этого пакета

и сразу после этого перезагрузить компьютер (опять же не

"Alt+Ctrl+Del", а "Reset") и проверить записанные на диск файлы,

как описано выше. Желательно выполнять установку только при вклю-

ченной программе-фильтре для защиты от вирусов (например, Vsafe из

комлекта MS-DOS).

Подготовка "ремонтного набора":

1. Надо заранее подготовить системную дискету с используемой Ва-

ми версией DOS. Это можно сделать командой "FORMAT A: /S" или "SYS

A:". На эту дискету (если там не хватит места - то на другие дис-

кеты) следует скопировать следующие программы:

программы DOS для обслуживания дисков: Format, FDisk, Label,

Sys и т.д.;