47004 (665679), страница 2
Текст из файла (страница 2)
Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы — использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры — запускаться раз в день для выявления и анализа изменений на дисках. Разумеется, все это должно сочетаться с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора и ревизора совмещаются в одной программе.
Пример. В антивирусном комплексе Norton AntiVirus функции детектора ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), функции сторожа — отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE).
В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции детектора и ревизора выполняются отдельными программами (причем в качестве детекторов предлагается использовать сразу две программы — Aidstest и Dr. Web). Однако некоторые элементы интеграции в этом комплексе все же есть: программа-ревизор ADinf может формировать список измененных файлов, а программы Aidstest и Dr. Web — проверять файлы только из этого списка. Это заметно сокращает время проверки жестких дисков на наличие вирусов.
А в качестве фильтра фирма «Диалог-Наука» предлагает аппаратно-программный комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надежнее, чем программная, поскольку ее ни один вирус обойти не может. Однако Sheriff имеет и недостаток — он не проверяет запускаемые программы на наличие вирусов.
2. ПРОФИЛАКТИКА ПРОТИВ ЗАРАЖЕНИЯ ВИРУСОМ
В настоящем разделе описываются меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также обнаружить заражение, если оно произошло, как можно раньше. Если Вы будете неуклонно применять данные меры «компьютерной гигиены», то на Вашем компьютере вряд ли заведутся вирусы (подобно тому, как у чистоплотного и соблюдающего меры гигиены человека вряд ли заведутся вши).
Наряду с профилактическими мерами против заражения вирусом необходимо использовать и общие меры, обеспечивающие сохранность данных: регулярное создание резервных копий, использование методов ограничения доступа к данным и т.д.
Проверка данных, поступающих извне.
Все принесенные дискеты или полученные извне (скажем, по электронной почте) файлы перед использованием следует проверить на наличие вируса с помощью программ-детекторов. Не используйте и не запускайте принесенные извне программы, назначение которых Вам непонятно.
Если полученные файлы содержатся в архивах, следует извлечь их из, архивов и проверить программами-детекторами сразу после этого (впрочем, некоторые программы-детекторы могут просматривать отдельные типы архивов сами). Если файлы из архивов можно извлечь только программой установки пакета программ, то надо выполнить установку этого пакета и сразу после этого проверить записанные на диск файлы, как это описано выше. Желательно выполнять установку при включенной резидентной программе-стороже для защиты от вирусов.
Не следует переписывать программное обеспечение с других компьютеров (особенно тех, к которым могут иметь доступ различные безответственные лица), так как оно может быть заражено вирусом. Автор не считает возможным вдаваться здесь в обсуждение моральных и юридических аспектов нелегального копирования программ, однако он хочет заметить, что распространяемые производителями программного обеспечения «фирменные» дискеты с программами, как правило, не содержат вирусов.
Периодическая проверка на наличие вирусов.
Желательно обеспечить ежедневную проверку дисков на наличие вирусов. Один способ — вставить в командный файл AUTOEXEC.BAT, выполняемый при начальной загрузке DOS, вызов программы или командного файла для проверки на наличие вирусов. В главе 40 описано, как сделать, чтобы эта программа или командный файл вызывались не чаще одного раза в день. Так, при использовании антивирусного комплекта DSAV «Диалог-Наука» можно из файла AUTOEXEC.BAT вызвать командный файл, запускающий программу-ревизора ADinf, который составляет список измененных файлов, используемый затем программами-детекторами Aidstest и Dr.Web (это позволяет существенно сократить время проверки). Пример такого командного файла включен в комплект поставки антивирусного комплекта DSAV.
При работе в среде Windows, Windows 95 и т.д. для ежедневного выполнения проверки на наличие вирусов можно использовать программы-планировщики типа Scheduler из Norton Desktop for Windows, System Agent из Microsoft Plus! (пакета дополнений для Windows 95), Norton Commander Scheduler из Norton Commander для Windows 95 и т.д.
Защита от загрузочных вирусов.
Если программа установки конфигурации компьютера позволяет отключить загрузку с дискеты, желательно сделать это, тогда Вам никакие загрузочные вирусы не будут страшны.
На прочих компьютерах перед перезагрузкой с жесткого диска убедитесь, что в дисководе А: нет какой-либо дискеты. Если там имеется дискета, то откройте дверцу дисковода перед перезагрузкой.
Если Вы хотите перезагрузить компьютер с дискеты, пользуйтесь только защищенной от записи «эталонной» дискетой с операционной системой.
Защита от вирусов документов Word для Windows.
Вирус, заражающие документы Word для Windows, запускаются благодаря тому, что в них имеется макрокоманда AutoOpen, автоматически запускающаяся при открытии документа. Однако запуск этой макрокоманды (как и ее «коллег» — AutoExec, AutoNew, AutoClose и AutoExit, выполняющихся при запуске Word, создании нового документа, закрытии документа и выходе из Word) блокируется при нажатии клавиши [Shift]. Так что Вы можете нажимать [Shift] при открытии полученных со стороны документов, и никакой вирус, заражающий документы Word для Windows, Вам будет не страшен.
Однако лучше не надеяться на то, что Вы всегда будете нажимать в нужный момент клавишу [Shift] — подобное совершенство не присуще человеческой природе. Лучше создать макрокоманду с именем AutoExec, отключающую запуск макрокоманды AutoOpen (а заодно и AutoNew, AutoClose и AutoExit), и поместить ее в глобальный шаблон NORMAL. DOT. Для этого надо выбрать в группе меню Tools (Сервис) пункт Macro (Макрос), в выведенном запросе в поле Macro Name (Имя) ввести имя макрокоманды — AutoExec, в поле Macros available in (Макросы из) — выбрать значение Normal.dot (Global Template) (Обычный (общий шаблон)). Затем щелкните кнопку Create (Создать) и введите текст макрокоманды (первая и последняя строки там уже будут, так что Вам останется только вставить между ними вторую строчку):
Sub MAIN
DisableAutoMacros
End Sub
Затем нажмите [Ctrl] [S], и Word внесет изменения в глобальный шаблон. Теперь макрокоманда AutoExec будет всегда выполняться при запуске Word, отключая автоматический запуск макрокоманд, в том числе запуск макрокоманды AutoOpen.
Для программ-детекторов следует периодически обновлять их версии. Новые вирусы сейчас появляются каждую неделю, и при использовании версий программ полугодовой или годовой давности очень вероятно заражение таким вирусом, который этим программам будет неизвестен.
Для некоторых программ (например, Norton AntiVirus, Antivira Toolkit Pro) для обновления не надо покупать новую версию программы, а следует лишь переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно.
Фирма «Диалог-Наука» позволяет приобрести годовой абонемент, позволяющий получать самые последние версии программ Aidstest, Dr.Web, ADinf и ADinfExt по электронной почте или через BBS фирмы «Диалог-Наука». При продлении годового абонемента предоставляется скидка 50%. Последние версии базы данных со сведениями о вирусах для программы Norton AntiVirus можно бесплатно списать по модему с FTP-сервера ftp.symantec.com или с WWW-сервера www, Symantec.com. В обоих случаях обновление версий выполняется не реже одного раза в месяц.
3. ДЕЙСТВИЯ ПРИ ЗАРАЖЕНИИ ВИРУСОМ
Симптомы заражения вирусом.
Вы можете быть уверены, что на Вашем компьютере имеется вирус, если:
• программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в файлах или системных областях на жестком диске;
• программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержание файла изменено, а время его модификации — нет;
• программа-ревизор сообщает об изменении главной загрузочной записи жесткого диска (Master Boot, она содержит таблицу разделения жесткого диска) или загрузочной записи (Boot record), а Вы не изменяли разбиение жесткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жесткого диска;
• программа-сторож сообщает о том, что какая-то программа желает форматировать жесткий диск, изменять системные области жесткого диска и т.д., а Вы не поручали никакой программе выполнять подобные действия;
• программа-ревизор сообщила о наличии в памяти «невидимых» («стелс») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к диску выдается разное содержимое;
• вирус сам Вам представился, выведя соответствующее сообщение.
Вы можете подозревать наличие вируса, если:
• антивирусная программа сообщает об обнаружении неизвестного вируса;
• на экран или принтер начинают выводиться посторонние сообщения, символы и т.д.;
• некоторые файлы оказываются испорченными;
• некоторые программы перестают работать или начинают работать неправильно;
• работа на компьютере существенно замедляется.
Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д.
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил.
1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Как говорится, «семь раз отмерь, один раз отрежь» — непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера.
2. Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.
3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной (см. ниже) загрузке компьютера с защищенной от записи «эталонной» дискеты с операционной системой. При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищенных от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причиненных вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных коллег.
5. Лечение компьютера от вируса — процесс творческий, поэтому любые рекомендации по этому поводу (в том числе и приведенные ниже) не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устареют...
Некоторые пользователи предпочитают лечить компьютер при заражении вирусом, не загружаясь с «чистой» дискеты, считая, что так удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед операциями. Одни больные выздоравливали, а другие умирали от внесенной инфекции...
Раннее обнаружение вируса.
Если Вы используете резидентную программу-сторожа для защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус не успел еще активизироваться, заразить другие программы или диски и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на дискете имеется загрузочный вирус, и предложить его удалить. Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr. Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, если Вы не загружались с дискеты и не запускали полученные программные файлы).
Правильная перезагрузка.
Рассмотрим более сложный случай, когда вирус уже мог активизироваться, а значит, заразить или испортить какие-то данные на дисках компьютера. При этом надо перезагрузить компьютер, начать выявление вируса и затем лечение. Однако перезагрузку компьютера надо выполнить правильно, поскольку имеются вирусы, способные выживать даже при перезагрузке с чистой системной дискеты.
1. Приготовьте системную дискету, про которую Вы точно знаете, что на ней нет вирусов. Убедитесь, что дискета защищена от записи. Вставьте дискету в дисковод А: компьютера.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
