62050 (694769), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Программа Scan фирмы McAfee Associates и Aidstest Д.Н.Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы «Диалог-МГУ», могут настраиваться на новые типы вирусов, им необходимо указать лишь комбинации байтов, присущие этим вирусам. Тем не менее невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознаётся детекторами как зараженная, не следует, что она здорова – в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных

несоответствиях сообщается пользователю.

Многие пользователи включают команду запуска программы- ревизора в командный файл AUTOEXEC.BAT, чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы. Это позволяет обнаружить заражение компьютерным вирусом, когда он ещё не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти повреждённые вирусом файлы.

Программы-фильтры

Одной из причин, из-за которых стало возможным такое явление, как компьютерный вирус, является отсутствие в операционной системе MS DOS эффективных средств для защиты информации от несанкционированного доступа. Из-за отсутствия средств защиты компьютерные вирусы могут незаметно и безнаказанно изменять программы, портить таблицы размещения файлов и т.д.

В связи с этим различными фирмами и программистами разработаны программы-фильтры, или резидентные программы для защиты от вируса, которые в определённой степени восполняют указанный недостаток DOS. Эти программы располагаются резидентно в оперативной памяти компьютера и «перехватывают» те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда. Такими «подозрительными» действиями являются, в частности, изменение .COM и .EXE-файлов, снятие с файла атрибута «только для чтения», прямая запись на диск (запись по абсолютному адресу), форматирование диска установка «резидентной» (постоянно находящейся в оперативной памяти) программы.

При каждом запросе не «подозрительное» действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая программа желает его выполнить. Можно либо разрешить выполнение этого действия, либо запретить его (рис. 1).

A:\GAMES\TETRIS.COM

хочет писать в C:\COMMAND.COM

[Y] – можно или [N] - нет

Рис. 1. Запрос на разрешение выполнить «подозрительное» действие.

Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это, понятно, вызывает замедление работы компьютера.

Степень защиты, обеспечиваемую программами-фильтрами, не следует переоценивать, поскольку многие вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам операционной системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания. Кроме того, программы-фильтры не помогают от заражения винчестера вирусами, которые распространяются через загрузочный сектор, поскольку такое заражение происходит при загрузке DOS, т.е. до запуска любых программ или установки драйверов.

Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус ещё не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Что могут и чего не могут

компьютерные вирусы

Из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати часто создаётся своеобразный комплекс боязни вирусов, т.н. «вирусофобия». Этот комплекс имеет два проявления.

1. Склонность приписывать любое повреждение данных или необычное явление на компьютере действию вирусов. Например, не форматируется дискета, это для «вирусофоба» не возможный дефект дискеты или дисковода, а действие вируса. Если на жёстком диске появляется сбойный блок, то в этом тоже, разумеется, виноват вирус. На самом же деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования.

2. Преувеличенные представления о возможностях вирусов. Некоторые думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров, объединённых

в сеть, или даже просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приведёт к заражению остальных.

Лучшим лекарством от вирусофобии является знание того, как работают вирусы, что они могут и чего не могут. Вирусы являются обычными программами и не могут совершать никаких сверхъестественных действий.

Для того чтобы компьютер заразился вирусом, необходимо, чтобы на нём хотя бы один раз была выполнена программа, содержащая вирус. Поэтому первичное заражение компьютера вирусом может произойти в одном из следующих случаев:

– на компьютере была выполнена зараженная программа типа .COM или .EXE или зараженный модуль оверлейной программы­;

– компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;

• на компьютере была установлена зараженная операционная система или зараженный драйвер устройства;

Отсюда следует, что нет никаких оснований бояться заражения компьютера вирусом, если:

• на компьютер переписываются тексты программ, документов, информационные файлы баз данных или табличных процессоров и т.д. Эти файлы не являются программами, а поэтому они не могут быть заражены вирусом;

• на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер «здоров», то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации – это копирование зараженного файла: при этом его копия, разумеется, тоже будет «заражена», но ни компьютер, ни какие-то другие файлы заражены не будут;

• с помощью имеющихся на жестком диске незараженного компьютера текстовых процессоров, табличных процессоров, систем управления базами данных и других программ обрабатываются информационные файлы, содержащиеся на дискетах.

Действия при заражении вирусом

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать четыре правила.

1. Прежде всего не надо торопиться и принимать опрометчивых решений – непродуманные действия могут привести не только к потере части файлов которые можно было бы и восстановить, но и к повторному заражению компьютера.

2. Одно действие должно быть выполнено немедленно – надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при загрузке компьютера с защищённой от записи «эталонной» дискеты с операционной системой. При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, т.к. оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Если используется резидентная программа-фильтр для защиты от вируса, то наличие вируса в какой-либо программе можно обнаружить на самом раннем этапе, когда вирус не успел ещё заразить другие программы и испортить какие-либо файлы. В этом случае следует перезагрузить DOS с дискеты и удалить зараженную программу, а затем переписать эту программу с эталонной дискеты или восстановить её из архива. Для того чтобы выяснить, не испортил ли вирус каких-то других файлов, следует запустить программу-ревизор для проверки изменений в файлах, желательно с широким списком проверяемых файлов. Чтобы в процессе проверки не продолжать заражение компьютера, следует запускать исполнимый файл программы-ревизора, находящийся на дискете.

Лечение компьютера. В случае, когда вирус уже успел заразить или испортить какие-то файлы на дисках компьютера, необходимо выполнить следующие действия.

1. Перезагрузить операционную систему DOS с заранее подготовленной эталонной дискетой. Эта дискета, как и другие дискеты, используемые при ликвидации последствий заражения компьютерным вирусом, должна быть снабжена наклейкой для защиты от записи, чтобы вирус не смог заразить или испортить файлы на этих дискетах. Заметим, что перезагрузку не следует выполнять с помощью сочетания клавиш Ctrl+Alt+Del, т.к. некоторые вирусы ухитряются «переживать» такую перезагрузку.

2. Если для компьютера имеется программа для установки конфигурации (она вызывается при нажатии определенной комбинации клавиш во время начальной загрузки компьютера), то следует выполнить эту программу и проверить, правильно ли установлены параметры конфигурации компьютера, т.к. они могут быть испорчены вирусом. Если они установлены неправильно, то их надо переустановить.

1. Если имеются программы-детекторы для обнаружения того вируса, которым заражен компьютер, следует запустить эти программы для проверки дисков компьютера. Чтобы найти нужную программу, можно поочередно запускать имеющиеся программы-детекторы для проверки зараженного диска (при этом лучше не использовать те режимы программ-детекторов, в которых они лечат или удаляют без подтверждения зараженные файлы). Сначала имеет смысл запускать программы, обнаруживающие сразу несколько вирусов, например Scan или Aidstest. Если какая-либо из программ-детекторов сообщит о том, что она нашла вирус, то её надо использовать в процессе устранения последствий заражения компьютера вирусом, как это описано далее. Следует заметить, однако, что очень часто компьютеры заражаются сразу несколькими вирусами, поэтому, обнаружив один вирус, не следует успокаиваться, в компьютере может быть и второй, и третий вирус.

2. Далее следует последовательно обезвредить все диски, которые могли подвергнуться заражению вирусом, как это описано ниже. Заметим, что если жесткий диск в компьютере разделён на несколько логических дисков, то при загрузки с дискеты может быть доступен только один логический диск – тот, с которого загружается операционная система DOS. В этом случае следует сначала обезвредить логический диск, с которого загружается DOS, а затем загрузиться с жесткого диска и обезвредить другие логические диски.

Лечение диска. Если на диске для всех нужных файлов имеются копии в архиве, проще всего заново отформатировать диск, а затем восстановить все файлы на этом диске с помощью архивных копий. Предположим теперь, что на диске имеются нужные файлы, копий которых нет в архиве. Для определённости будем считать, что этот диск находится на дисководе (В:). Необходимо выполнить следующие действия.

1. Запустить для диска программу-детектор, обнаруживающую тот вирус, заражению которым подвергается компьютер (если не ясно, какой детектор обнаруживает вирус, следует запускать программы-детекторы по очереди, пока одна из них не обнаружит вирус). Режим лечения при этом лучше не устанавливать.

Если программа-детектор обнаружила загрузочный вирус, можно смело использовать её режим лечения для устранения вируса. При обнаружении вируса типа Dir его также надо удалить с помощью той или иной антивирусной программы, не коем случае не используя для этого программы типа NDD и ChkDsk.

1. Теперь, когда известно, что вирусов типа Dir на диске нет, можно проверить целостность файловой системы и поверхности

диска с помощью программы NDD: NDD B: \C. Если повреждения файловой системы значительны, то целесообразно скопировать с диска все нужные файлы, копий которых нет в архиве, на дискеты и заново отформатировать диск. Если диск имеет сложную файловую структуру, то можно попробовать откорректировать её с помощью программы DiskEdit из комплекта Norton Utilites.

1. Если сведения о файлах на диске для программы-ревизора сохранились, то полезно запустить программу-ревизор для диагностики изменений в файлах. Это позволит установить, какие файлы были заражены или испорчены вирусом. Если программа-ревизор выполняет также и функцию доктора, можно доверить ей и восстановление испорченных файлов.

2. Удалить с диска все ненужные файлы, а также файлы, копии которых имеются в архиве. Те файлы, которые не были изменены вирусом (это можно установить с помощью программы-ревизора), удалять не обязательно.

Ни в коем случае нельзя оставлять на диске .COM- и .EXE-файлы, для которых программа-ревизор сообщает, что они были изменены. Те .COM- и .EXE-файлы, о которых неизвестно, изменены они вирусом или нет, следует оставлять на диске только при самой крайней необходимости.

1. Если диск, который вы обрабатываете, является системным (т.е. с него можно загрузить операционную систему DOS), то на него следует заново записать загрузочный сектор и файлы операционной системы. Это можно сделать командой SYS.

2. Если компьютер заразился файловым вирусом и вы не производили лечения с помощью ревизора-доктора, следует выполнить программу-доктор для лечения данного диска. Зараженные файлы, которые программа-доктор не смогла восстановить, следует уничтожить. Разумеется, если на диске остались только те файлы, которые не могут заражаться вирусом (например, исходные тексты программ и документы), то программу для уничтожения вируса для данного диска выполнять не надо.

3. С помощью архивных копий следует восстановить файлы, размещавшиеся на диске.

4. Если вы не уверены в том, что в архиве не было зараженных файлов, и у имеется программа для обнаружения или уничтожения той версии вируса, которой был заражен компьютер, то следует ещё раз выполнить эту программу для диска. Если на диске будут обнаружены зараженные файлы, то те из них, которые можно восстановить с помощью программы для уничтожения вируса, надо скопировать в архив, а остальные – удалить с диска и из архива.

Такой обработке следует подвергнуть все диски, которые могли

быть заражены или испорчены вирусом.

Характеристики

Список файлов реферата