Фигурнов В.Э. IBM PC для пользователя. Книга содержит подробное и доступное для начинающих описание возмож
Скачать 5.4 Mb.
|
Глава 11 О защите от компьютерных вирусов m В настоящей главе даются основные сведения о компьютерных вирусах и методах за- щиты от них. Описание антивирусных средств для DOS и Windows приведено в главах 36 и 51. Если Вы еще не приобрели навыки работы с компьютером, эта глава может оказаться для Вас слишком сложной. В таком случае лучше пропустить эту главу и вернуться к /1.1. Что такое компьютерный вирус Функционирование вирусов Резидентные вирусы Компьютерный вирус - это специально написанная, как правило, небольшая по разме- рам программа, которая может записывать (внедрять) свои копии (возможно, изменен- ные) в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т.д., причем эти копии сохраняют возмож- ность к <размножению>. Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется заражением, а программа или иной объ- ект, содержащий вирус - зараженным. Когда зараженная программа начинает работу, то сначала управление получает вирус. Вирус находит и <заражает> другие программы или иные объекты, а также может вы- полнить какие-нибудь вредные действия. Затем вирус передает управление той про- грамме, в которой он находится, и она работает так же, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, в памяти компьютера. В этом случае вирус может вплоть до перезагрузки компьютера заражать программы и выпол- нять вредные действия на компьютере. При этом такие вирусы часто обычно стараются обеспечить свою активизацию и после перезагрузки компьютера. Имеются даже виру- сы, выживающие после выключения компьютера или нажатия копки дующей загрузкой с чистой системной дискеты (см. п. 11.6)! 1 1.2. Опасные и неопасные вирусы Неопасные вирусы Опасные и очень опасные вирусы Большинство вирусов не выполняет каких-либо действий, кроме своего распростране- ния (заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообще- ний или иных эффектов (<приколов>), придуманных автором вируса: игры музыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или измене- ния функций клавиш клавиатуры, замедления работы компьютера, создания видеоэф- фектов и т.д. Однако сознательной (или по недомыслию) порчи информации эти виру- сы не осуществляют. Такие вирусы условно называются неопасными. Впрочем, и эти вирусы способны причинить большие неприятности (например, перезагрузки каждые несколько минут вообще не дадут Вам работать). Однако около трети всех видов вирусов портят данные на дисках - или сознательно, или из-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректного вы- полнения некоторых действий. Если порча данных происходит лишь эпизодически и не приводит к тяжелым последствиям (например, портится лишь .СОМ-файлы при зара- жении, если длина этих файлов более 64000 байт), то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разру- шения (форматирование жесткого диска, систематическое изменение данных на диске и т.д.), то вирусы называются очень опасными. 11.3. Заражаемые объекты Файловые вирусы Загрузочные вирусы Вирусы, заражающие драйверы Вирусы, заражающие системные файлы DOS Вирусы, заражающие командные файлы Вирусы, заражающие документы Word для Windows Компьютерные вирусы отличаются друг от друга по тому, в какие объекты они вне- дряются, иначе говоря, что они заражают. Впрочем, некоторые вирусы заражают сразу несколько видов объектов. Большинство вирусов распространяется, заражая исполнимые файлы, т.е. файлы с рас- ширениями имени .СОМ и .ЕХЕ, а также оверлейные файлы (то есть вспомогательные программные файлы, загружаемые при выполнении других программ). Такие вирусы называются файловыми. Вирус в зараженных исполнимых файлах начинает свою ра- боту при запуске той программы, в которой он находится. Еще один широко распространенный вид вирусов внедряется в начальный сектор дис- кет или логических дисков, где находится загрузчик операционной системы, или в на- чальный сектор жестких дисков, где находится таблица разбиения жесткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусы называются загрузочными, или бутовыми (от слова boot - загрузчик). Эти вирусы начинает свою работу при загрузке компьютера с заражен- ного диска. Загрузочные вирусы всегда являются резидентными и заражают вставляе- мые в компьютер дискеты. Встречаются загрузочные вирусы, заражающие также и файлы - файлово-загрузочные вирусы. Замечания. 1. Дискеты, через которые распространяются загрузочные вирусы, вовсе не обязаны быть системными. Ведь на любой дискете в начальном секторе имеется загрузчик ОС, но на системной дискете он находит файлы ОС, загружает их и передает им управле- ние, а на несистемной дискете - не находит и выводит сообщение что-то в этом роде. 2. Для заражения компьютера загрузочным вирусом достаточно всего один раз оставить зараженную дискету в дисководе А: в момент перезагрузки компьютера. При этом вирус заразит жесткий диск компьютера. И после этого при загрузке с жесткого диска компьюте- ра будет запускаться вирус. Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые в предложе- нии DEVICE или DEVICEHIGH файла CONFIG.SYS. Вирус, находящийся в драйвере, начинает свою работу при загрузке данного драйвера из файла CONFIG.SYS при на- чальной загрузке компьютера. Обычно заражающие драйверы вирусы заражают также исполнимые файлы или загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться - ведь драйверы очень редко переписывают с одного компьютера на другой. Иногда заражение драйверов используется в качестве этапа в стратегии распространения вируса. Например, вирус JEWS-2339 при загрузке из исполнимого файла заражает все драйверы, обнаруженные в CONFIG.SYS, а при загрузке заражен- ного драйвера становится резидентным и заражает все файлы на дискетах (а на жест- ком диске, наоборот, лечит). Очень редко встречаются вирусы, заражающие системные файлы DOS (10. SYS или MSDOS.SYS). Эти вирусы активизируются при загрузке компьютера. Обычно такие вирусы заражают также загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться. Очень редкой разновидностью вирусов являются вирусы, заражающие командные фай- лы. Обычно эти вирусы формируют с помощью команд командного файла (команд ECHO и др.) исполнимый файл на диске (как правило, в формате .СОМ), запускают этот файл, он выполняет размножение вируса и вредящие действия, после чего данный файл стирается. Вирус в зараженных командных файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов зараженного командного файла вставляется в файл AUTOEXEC.BAT. Летом 1995 г. появилась новая разновидность вирусов - вирусы, заражающие доку- менты Word для Windows версий 6.0 и 7.0. Вследствие распространенности редактора Word для Windows такие документы имеются почти на каждом компьютере. Долгое время заражение файлов документов считалось невозможным, так как документы не содержали исполнимых программ. Однако программисты фирмы Microsoft встроили в документы Word для Windows мощный язык макрокоманд WordBasic. При этом макро- команды не видны в редактируемом документе - для их просмотра и редактирования Вирусы, заражающие другие объекты Что вирус не может заразить надо выбрать в группе меню Tools (Сервис) пункт Macro (Макрос), а много ли поль- зователей вообще что-то слышали об этом пункте меню... И,, как говорится, <вот зло- нравия достойные плоды!> - на этом WordBasic стало возможно (и даже очень легко) писать вирусы. Запуск вируса происходит при открытии на редактирование заражен- ных документов (ведь заботливые программисты из Microsoft предусмотрели макроко- манду AutoOpen, автоматически выполняющуюся при открытии документа). При этом макрокоманды вируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован. При наличии вируса при сохранении редактируемых документов или записи докумен- тов на диск под новым именем (командой Save As) вирус копирует свои макрокоманды в записываемый на диск документ, так что тот оказывается зараженным. В принципе, возможно заражение и других объектов, содержащих программы в какой- либо форме - текстов программ, электронных таблиц и т.д. Например, вирус AsrnVirus.238 заражает файлы программ на языке ассемблера (.ASM-файлы), вставляя туда ассемблерные команды, которые при трансляции порождают код вируса. Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому ши- рокое распространение такого вируса невозможно. Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автома- тически выполняющиеся при открытии таблицы. Поэтому для них могут быть созданы вирусы, аналогичные вирусам для документов Word для Windows. Пока что такие ви- русы были созданы для таблиц табличного процессора Excel. Замечание. Как правило, каждая конкретная разновидность вируса может заражать толь- ко один или два типа объектов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только .СОМ-файлы, некоторые - только .ЕХЕ- файлы, а большинство -и те, и другие. На втором месте по распространенности за- грузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Остальные вирусы встречаются редко. Вирус является программой, поэтому объекты, не содержащие программ и не подле- жащие преобразованию в программы, заражены вирусом быть не могут. Например, графические файлы форматов .BMP, .PCX, .GIF, .WMF и др. содержат только описа- ния рисунков, поэтому как бы их вирус ни изменял, при просмотре или ином исполь- зовании графического файла можно получить искаженный рисунок или сообщения о неправильном формате файла, но вирус при этом запущен быть не может. Иными сло- вами, не содержащие программ объекты вирус может только испортить, но не зара- зить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и текстов программ), документы простых редакторов документов типаЛЕКСИКОНа или Multi-Edit, информационные файлы баз данных и т.д. 11.4. Антивирусные программы Виды антивирусных программ Детекторы Ревизоры Для защиты от вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, лечить зараженные файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов) действия. Разумеется, антивирусные про- граммы надо применять наряду с регулярным резервированием данных и использова- нием профилактических мер, позволяющих уменьшить вероятность заражения виру- сом. Антивирусные программы можно разделить на виды в соответствии с выполняемыми ими функциями. Программы-детекторы позволяют обнаруживать файлы, зараженные одним из несколь- ких известных вирусов. Некоторые программы-детекторы также выполняют эвристиче- ский анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также <лечить> зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках - сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных (характерных для вирусов или недопустимых) изменениях, не беспокоя лишний раз пользователя. Вирусы, заражающие другие объекты Что вирус не может заразить надо выбрать в группе меню Tools (Сервис) пункт Macro (Макрос), а много ли поль- зователей вообще что-то слышали об этом пункте меню... И,, как говорится, <вот зло- нравия достойные плоды!> - на этом WordBasic стало возможно (и даже очень легко) писать вирусы. Запуск вируса происходит при открытии на редактирование заражен- ных документов (ведь заботливые программисты из Microsoft предусмотрели макроко- манду AutoOpen, автоматически выполняющуюся при открытии документа). При этом макрокоманды вируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован. При наличии вируса при сохранении редактируемых документов или записи докумен- тов на диск под новым именем (командой Save As) вирус копирует свои макрокоманды в записываемый на диск документ, так что тот оказывается зараженным. В принципе, возможно заражение и других объектов, содержащих программы в какой- либо форме - текстов программ, электронных таблиц и т.д. Например, вирус AsnnVirus.238 заражает файлы программ на языке ассемблера (.ASM-файлы), вставляя туда ассемблерные команды, которые при трансляции порождают код вируса. Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому ши- рокое распространение такого вируса невозможно. Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автома- тически выполняющиеся при открытии таблицы. Поэтому для них могут быть созданы вирусы, аналогичные вирусам для документов Word для Windows. Пока что такие ви- русы были созданы для таблиц табличного процессора Excel. Замечание. Как правило, каждая конкретная разновидность вируса может заражать толь- ко один или два типа объектов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только .СОМ-файлы, некоторые - только .ЕХЕ- файлы, а большинство -и те, и другие. На втором месте по распространенности за- грузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Остальные вирусы встречаются редко. Вирус является программой, поэтому объекты, не содержащие программ и не подле- жащие преобразованию в программы, заражены вирусом быть не могут. Например, графические файлы форматов .BMP, .PCX, .GIF, .WMF и др. содержат только описа- ния рисунков, поэтому как бы их вирус ни изменял, при просмотре или ином исполь- зовании графического файла можно получить искаженный рисунок или сообщения о неправильном формате файла, но вирус при этом запущен быть не может. Иными сло- вами, не содержащие программ объекты вирус может только испортить, но не зара- зить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и текстов программ), документы простых редакторов документов типа.ЛЕКСИКОНа или Multi-Edit, информационные файлы баз данных и т.д. /1.4. Антивирусные программы Виды антивирусных программ Детекторы Ревизоры Для защиты от вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, лечить зараженные файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов) действия. Разумеется, антивирусные про- граммы надо применять наряду с регулярным резервированием данных и использова- нием профилактических мер, позволяющих уменьшить вероятность заражения виру- сом. Антивирусные программы можно разделить на виды в соответствии с выполняемыми ими функциями. Программы-детекторы позволяют обнаруживать файлы, зараженные одним из несколь- ких известных вирусов. Некоторые программы-детекторы также выполняют эвристиче- ский анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также <лечить> зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках - сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных (характерных для вирусов или недопустимых) изменениях, не беспокоя лишний раз пользователя. Сторожа Использование антивирусных программ Антивирусные комплексы Часто программы-ревизоры позволяют также <лечить> зараженные файлы или диски, удаляя из них вирусы (это удается сделать почти для всех типов вирусов). Программы-сторожа (или фильтры) располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дис- ководы дискеты. При наличии вируса об этом сообщается пользователю. Кроме того, многие программы-сторожа перехватывают те действия, которые используются виру- сами для размножения и нанесения вреда (скажем, попытку записи в загрузочный сек- тор или форматирование жесткого диска), и сообщают о них пользователю. Пользова- тель может разрешить или запретить выполнение соответствующей операции. Про- граммы-сторожа позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму. Замачиния. 1. Степень защиты, обеспечиваемую программами-сторожами, не следует пе- реоценивать, поскольку некоторые вирусы для своего размножения и нанесения вреда об- ращаются непосредственно к программам BIOS системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания. 2. Многие программы-сторожа проверяют перед перезагрузкой, выполняемой по нажатию ГсТгТ") ГАТТ) ГР^Г) или по запросу программы, вставленные в дисководы дискеты на наличие загрузочных вирусов. Однако если загрузка осуществляется по нажатию кнопки или при включении компьютера, то программы-сторожа ничем помочь не смогут - ведь заражение загрузочным вирусом происходит при загрузке операционной системы, т.е. до запуска любых программ или установки драйверов. 3. Иногда применяются также программы-вакцины, или иммунизаторы, они модифици- руют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зара- женными. Эти программы малоэффективны и далее не рассматриваются. Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. Поэтому никакие простые советы типа <вставьте команду запуска программы Aidstest в AUTOEXEC.BAT> не будут достаточными. Однако совместное использование антивирусных программ дает неплохие результаты, так как они хорошо дополняют друг друга: поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяются программой-детектором. Если эти данные забыли проверить и зараженная про- грамма была запущена, ее может <поймать> программа-сторож. Правда, в обоих случаях надежно обнаруживаются лишь вирусы, известные этим антивирусным программам. Неизвестные вирусы детекторы и сторожа, не включающие в себя эв- ристический анализатор, не обнаруживают вовсе (пример - программа Aidstest), а имеющие такой анализатор - обнаруживают не более чем в 80-90% случаев: сторожа могут обнаруживать даже неизвестные вирусы, если они очень нагло себя ведут, например, пытаются отформатировать жесткий диск или внести изменения в системные файлы или области диска на жестком диске. Впрочем, некоторые виру- сы умеют обходить такой контроль. Более мелкие пакости вирусов (изменение про- граммных файлов, запись в системные области дискет и т.д.) обычно не отслежи- ваются, так как эти действия выполняются не только вирусами, но и многими про- граммами; если вирус не был обнаружен детектором или сторожем, то результаты его дея- тельности обнаружит программа-ревизор. Как правило, программы-сторожа должны работать на компьютере постоянно, детекто- ры - использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры - запускаться раз в день для выявления и анализа из- менений на дисках. Разумеется, все это должно сочетаться с регулярным резервирова- нием данных и использованием профилактических мер, позволяющих уменьшить веро- ятность заражения вирусом. Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то в совре- менные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора и ревизора совмещаются в одной программе. Пример. В антивирусном комплексе Norton Antivirus (см. главу 51) функции детектора и ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXb), а функции сторожа - отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE). В антивирусном комплекте DSAV фирмы <Диалог-Наука> (см. главу 36) функции де- тектора и ревизора выполняются отдельными программами (причем в качестве детек- торов предлагается использовать сразу две программы - Aidstest и Dr. Web). Однако некоторые элементы интеграции в этом комплексе все же есть: программа-ревизор ADint может формировать список измененных файлов, а программы Aidstest и Dr. Web - проверять файлы только из этого списка. Это заметно сокращает время проверки жестких дисков на наличие вирусов. А в качестве фильтра фирма <Диалог-Наука> предлагает аппаратно-программный ком- плекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежела- тельную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надежнее, чем программная, поскольку ее ни один вирус обойти не может. Однако Sheriff имеет и недостаток - он не проверяет запускаемые программы на наличие вирусов. 1 1.5. Профилактика против заражения вирусом Проверка поступающих извне данных Периодическая проверка на наличие вирусов Защита от загрузочных вирусов В настоящем разделе описываются меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также обнаружить заражение, если оно произошло, как можно раньше. Если Вы будете неуклонно применять данные меры <компьютерной гигиены>, то на Вашем компьютере вряд ли заведутся вирусы (подобно тому, как у чистоплотного и соблюдающего меры гигиены человека вряд ли заведутся вши). Замечание. Наряду с профилактическими мерами против заражения вирусом необходимо использовать и общие меры, обеспечивающие сохранность данных: регулярное создание резервных копий, использование методов ограничения доступа к данным и т.д. (см. главу Все принесенные дискеты или полученные извне (скажем, по электронной почте) фай- лы перед использованием следует проверить на наличие вируса с помощью программ- детекторов. Не используйте и не запускайте принесенные извне программы, назначе- ние которых Вам непонятно. Если полученные файлы содержатся в архивах, следует извлечь их из архивов и про- верить программами-детекторами сразу после этого (впрочем, некоторые программы- детекторы могут просматривать отдельные типы архивов сами). Если файлы из архивов можно извлечь только программой установки пакета программ, то надо выполнить ус- тановку этого пакета и сразу после этого проверить записанные на диск файлы, как это описано выше. Желательно выполнять установку при включенной резидентной программе-стороже для защиты от вирусов. Не следует переписывать программное обеспечение с других компьютеров (особенно тех, к которым могут иметь доступ различные безответственные лица), так как оно мо- жет быть заражено вирусом. Автор не считает возможным вдаваться здесь в обсужде- ние моральных и юридических аспектов нелегального копирования программ, однако он хочет заметить, что распространяемые производителями программного обеспечения <фирменные> дискеты с программами, как правило, не содержат вирусов. Желательно обеспечить ежедневную проверку дисков на наличие вирусов. Один спо- соб - вставить в командный файл AUTOEXEC.BAT, выполняемый при начальной за- грузке DOS, вызов программы или командного файла для проверки на наличие виру- сов. В главе 40 описано, как сделать, чтобы эта программа или командный файл вызы- вались не чаще одного раза в день. Так, при использовании антивирусного комплекта DSAV <Диалог-Наука> можно из файла AUTOEXEC.BAT вызвать командный файл, запускающий программу-ревизора ADinf, который составляет список измененных фай- лов, используемый затем программами-детекторами Aidstest и Dr.Web (это позволяет существенно сократить время проверки). Пример такого командного файла включен в комплект поставки антивирусного комплекта DSAV. При работе в среде Windows, Windows 95 и т.д. для ежедневного выполнения проверки на наличие вирусов можно использовать программы-планировщики типа Scheduler из Norton Desktop for Windows, System Agent из Microsoft Plus! (пакета дополнений для Windows 95), Norton Commander Scheduler из Norton Commander для Windows 95 и т.д. Если программа установки конфигурации компьютера позволяет отключить загрузку с дискеты, желательно сделать это, тогда Вам никакие загрузочные вирусы не будут страшны. Защита от вирусов документов Word для Windows Обновление антивирусных программ На прочих компьютерах перед перезагрузкой с жесткого диска убедитесь, что в диско- воде А: нет какой-либо дискеты. Если там имеется дискета, то откройте дверцу диско- вода перед перезагрузкой. Если Вы хотите перезагрузить компьютер с дискеты, пользуйтесь только защищенной от записи <эталонной> дискетой с операционной системой. Вирус, заражающие документы Word для Windows, запускаются благодаря тому, что в них имеется макрокоманда AutoOpen, автоматически запускающаяся при открытии документа. Однако запуск этой макрокоманды (как и ее <коллег> - AutoExec, AutoNew, Autoclose и AutoExit, выполняющихся при запуске Word, создании нового документа, закрытии документа и выходе из Word) блокируется при нажатии клавиши (Shift). Так что Вы можете нажимать (ShifF) при открытии полученных со стороны документов, и никакой вирус, заражающий документы Word для Windows, Вам будет не страшен. Однако лучше не надеяться на то, что Вы всегда будете нажимать в нужный момент клавишу ГзЕТТГ) - подобное совершенство не присуще человеческой природе. Лучше создать макрокоманду с именем AutoExec, отключающую запуск макрокоманды AutoOpen (а заодно и AutoNew, Autoclose и AutoExit), и поместить ее в глобальный шаблон NORMAL.DOT. Для этого надо выбрать в группе меню Tools (Сервис) пункт Macro (Макрос), в выведенном запросе в поле Macro Name (Имя) ввести имя мак- рокоманды - AutoExec, в поле Macros available in (Макросы из) - выбрать значе- ние Normal.dot (Global Template) (Обычный (общий шаблон)). Затем щелкните кнопку Create (Создать) и введите текст макрокоманды (первая и последняя строки там уже будут, так что Вам останется только вставить между ними вторую строчку): Sub MAIN DIsableAutoMacros End Sub Затем нажмите [Сгг1]Г^), и Word внесет изменения в глобальный шаблон. Теперь мак- рокоманда AutoExec будет всегда выполняться при запуске Word, отключая автомати- ческий запуск макрокоманд, в том числе запуск макрокоманды AutoOpen. Для программ-детекторов следует периодически обновлять их версии. Новые вирусы сейчас появляются каждую неделю, и при использовании версий программ полугодо- вой или годовой давности очень вероятно заражение таким вирусом, который этим программам будет неизвестен. Замечания. 1. Для некоторых программ (например, Norton Antivirus) для обновления не надо покупать новую версию программы, а следует лишь переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно. 2. Фирма <Диалог-Наука> позволяет приобрести годовой абонемент, позволяющий получать самые последние версии программ Aidstest. Dr.Web, ADinf и ADinfExt по электронной почте или через BBS фирмы <Диалог-Наука>. При продлении годового абонемента предоставляет- ся скидка 50%. Последние версии базы данных со сведениями о вирусах для программы Norton Antivirus можно бесплатно списать по модему с FTP-сервера ftp. Symantec, corn или с WWW-сервера www. Symantec, corn . В обоих случаях обновление версий выполняется не реже одного раза в месяц. 1 Т 1 11.6. Действия при заражении вирусом В этом параграфе описываются действия, которые надо предпринять при заражении компьютера вирусом. При первом чтении данный параграф можно пропустить. Симптомы заоажения ^' можете быть уверены, что на Вашем компьютере имеется вирус, если: вирусом * программа-детектор сообщает о наличии известного ей вируса в оперативной памя- ти, в файлах или системных областях на жестком диске; программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержа- ние файла изменено, а время его модификации - нет: программа-ревизор сообщает об изменении главной загрузочной записи жесткого диска (Master Boot, она содержит таблицу разделения жесткого диска) или загру- зочной записи (Boot record), а Вы не изменяли разбиение жесткого диска, не уста- навливали новую версию операционной системы и не давали иных поводов к изме- нению данных областей жесткого диска; Пять правил Раннее обнаружение вируса Правильная перезагрузка > программа-сторож сообщает о том, что какая-то программа желает формат ировить жесткий диск, изменять системные области жесткого диска и т.д., а Вы не поручи- ли никакой программе выполнять подобные действия; программа-ревизор сообщила о наличии в памяти <невидимых> (<стеле>) вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к лиску выд;н'1сч разное содержимое; вирус сам Вам представился, выведя соответствующее сообщение. Вы можете подозревать наличие вируса, если: антивирусная программа сообщает об обнаружении неизвестного вируса: на экран или принтер начинают выводиться посторонние сообщения, символы и т.д.: некоторые файлы оказываются испорченными; некоторые программы перестают работать или начинают работать неправильно: работа на компьютере существенно замедляется. Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д. При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил. 1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Как гово- рится, <семь раз отмерь, один раз отрежь> - непродуманные действия могут при- вести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера. 2. Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не аб- солютно уверены в том, что обнаружили вирус до того, как он успел активизиро- ваться на Вашем компьютере, то надо выключить компьютер, чтобы вирус не про- должал своих разрушительных действий. 3. Все действия по обнаружению вида заражения и лечению компьютера следует вы- полнять только при правильной (см. ниже) загрузке компьютера с защищенной от записи <эталонной> дискеты с операционной системой. При этом следует использо- вать только программы (исполнимые файлы), хранящиеся на защищенных от запи- си дискетах. Несоблюдение этого правила может привести к очень тяжелым по- следствиям, поскольку при загрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе ле- чение компьютера будет бессмысленным, так как оно будет сопровождаться даль- нейшим заражением дисков и программ. 4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причиненных вирусом) оно очень затруднительно. Если Вы не обладаете достаточ- ными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных коллег. 5. Лечение компьютера от вируса - процесс творческий, поэтому любые рекоменда- ции по этому поводу (в том числе и приведенные ниже) не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, и некото рые рекомендации по борьбе с вирусами из-за этого устареют... Замечание. Некоторые пользователи предпочитают лечить компьютер при заражении ви- русом, не загружаясь с <чистой> дискеты, считая, что так удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед операциями. Одни больные вы.чдораплива- ли, а другие умирали от внесенной инфекции... Если Вы используете резидентную программу-сторожа для защиты от вируса, то нали- чие вируса можно обнаружить на самом раннем этапе, когда вирус не успел еще акти- визироваться, заразить другие программы или диски и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на дискете имеется загрузочный вирус, и предложить его удалить. Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полу- ченной со стороны дискеты или скачанного по электронной почте файла программами- детекторами типа Aidstest, Dr. Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, ес- ли Вы не загружались с дискеты и не запускали полученные программные файлы). Рассмотрим более сложный случай, когда вирус уже мог активизироваться, а значит, заразить или испортить какие-то данные на дисках компьютера. При этом надо переза- грузить компьютер, начать выявление вируса и затем лечение. Однако перезагрузку Лечение дисков программами- де текторами Запуск программ- детекторов Выяснение сведений о вирусе компьютера надо выполнить правильно, поскольку имеются вирусы, способные выжи- вать даже при перезагрузке с чистой системной дискеты. 1. Приготовьте системную дискету, про которую Вы точно знаете, что на ней нет ви- русов. Убедитесь, что дискета защищена от записи. Вставьте дискету в дисковод А: компьютера. 2. Нажмите на кнопку перезагрузки ( и включите его снова. 3. Сразу после начала загрузки в ответ на соответствующее приглашение нажмите клавишу или комбинацию клавиш, предназначенных для входа в программу конфи- гурирования компьютера (SETUP). Чаще всего для входа в эту программу исполь- зуется клавиша ГРеГ). 4. В программе конфигурирования компьютера убедитесь, что типы дисководов для дискет установлены правильно. Если типы этих дисководов заданы неверно, надо их исправить. Кроме того, надо проверить установки, отвечающие за порядок на- чальной загрузки: во многих типах BIOS можно установить, что загрузка сначала осуществляется с жесткого диска, а лишь затем с дискеты. Если такие установки включены, надо их выключить. 5. Выйдите из программы конфигурирования. Если Вы меняли параметры конфигура- ции компьютера, ответьте утвердительно (обычно для этого надо нажать Q) на во- прос о том, надо ли записывать новые значения параметров в CMOS. 6. Компьютер загрузится с системной дискеты, и вирус при этом запущен не будет. Замечания. 1. Необходимость в шагах 3-5 приведенной выше процедуры вызвана не толь- ко тем, что при неправильных параметрах в CMOS компьютер может не загружаться с дис- кет, но и тем, что существуют вирусы, способные выживать при перезагрузке с дискеты. Эти вирусы исправляют информацию о типах дисководов для дискет в CMOS, например, устанавливая, что этих дисководов якобы не существует. В этом случае программа началь- ной загрузки загружает компьютер не с дискет, а с жесткого диска. При этом запускается вирус, который восстанавливает информацию о типах дисководов для дискет в UMOS и продолжает загрузку с дискеты. Шаги 3-5 выше позволяет предотвратить инициализацию такого вируса. 2. Перезагрузить компьютер желательно даже при обнаружении вирусов, заражающих до- кументы Word для Windows: некоторые из этих вирусов заражают также исполнимые фай- лы. Лечение компьютера от заражения вирусом имеет существенные особенности, отли- чающие его, скажем, от устранения повреждений файловой системы, то есть систем- ных данных, указывающих расположение данных на дисках (см. главу 37). 1. Мы уже говорили, что все действия по лечению компьютера от вирусов следует выполнять только после правильной загрузки компьютера с дискеты, запуская при этом только программы с защищенных от записи дискет и съемных дисков. 2. Несмотря на то, что вирусы могут испортить файловую систему на дисках (например, отдельные диски могут быть не видны), программы для устранения по- вреждений на дисках типа NDD, UnFormat и т.д. (см. главу 37), следует применять в последнюю очередь. Сначала надо использовать антивирусные программы- детекторы, так как они лучше знают, как именно конкретный вирус портит файло- вую систему. Более того, для некоторых видов вирусов (вирусов типа DIR, вирусов, шифрующих информацию на дисках и т.д.) после лечения программами типа NDD или UnFormat восстановить информацию на дисках будет невозможно. 3. Обнаружение и излечение от какого-либо вируса не означает, что компьютер <здоров> - компьютер мог быть заражен несколькими вирусами. Поэтому по окон- чании лечения надо обязательно еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов. Кстати, даже это не гарантирует отсутствия вирусов - ведь компьютер может быть заражен вирусом, неизвестным имеющимся у Вас программам-детекторам. Для лечения компьютера надо поочередно проверить с помощью имеющихся у Вас про- грамм-детекторов все логические диски, расположенные на жестком диске. Сначала, чтобы оценить ситуацию, желательно запускать программы-детекторы в диагностиче- ском режиме, без лечения или удаления зараженных объектов. Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в ее документации или встроенном справочнике сведе- ния о данном типе вирусов. Например, в комплект поставки программ-детекторов Aidstest и Dr. Web входят текстовые файлы с описаниями знакомых им вирусов. Све- дения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если -компьютер оказался заражен Удаление вирусов Если детекторы не находят вирусов Запуск программы- ревизора Лечение и его последствия Неправильное лечение программой- детектором Что делать после лечения Проверка файловой системы неопасным загрузочным вирусом, то кроме удаления вируса с жесткого диска и дискет, которыми Вы пользовались, делать ничего не надо. А устранение последствий зараже- ния вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьезнее - обычно при этом приходится заново устанавливать все пакеты программ с дистрибутивов, а собственные данные - с резервных копий. Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить зараженные объекты. Как правило, для систем- ных областей диска программа-детектор предлагает выбрать их излечение или остав- ление без изменений, а для файлов - лечение, удаление или оставление без измене- ний. Удаление зараженных файлов обычно предпочтительнее их лечения, если зара- женный файл входит в пакет программ, который можно заново установить с дистрибу- тивных дисков. Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска ви- русов во всех файлах, а не только в программных файлах, а также режим поиска в архивах (см. главу 33). Если Вы используете архивы видов, не поддерживаемых про- граммой-детектором (см. замечание ниже), то может потребоваться распаковать архив во временный каталог и проверить его содержимое программой-детектором. Если Вы лечили (а не удаляли) какие-либо файлы, рекомендуется еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов - ведь некоторые файлы могли быть заражены несколькими вирусами, <наслаивающимися> один на дру- гой. Замечание Norton Antivirus для Windows поддерживает архивы формата .ZIP, Norton Antivirus для Windows 95 - .ZIP и LZH, Dr. Web - .ARJ, .ZIP, .LZH, .RAR. .ZOO и .ICE. a Aidstest - не умеет искать вирусы в архивах вообще. Если имеющиеся у Вас программы-детекторы не находят вирусов, то либо эти про- граммы-детекторы старые, а заразивший их вирус - новый и неизвестен программам- детекторам, либо вируса на Вашем компьютере нет. Если Вы использовали программу- ревизора, то для выяснения этого вопроса можно запустить данную программу и про- анализировать изменения на дисках. Если Вы использовали программу-ревизора, например, ADinf из антивирусного ком- плекта DSAV фирмы <Диалог-Наука> или Norton Antivirus в режиме инокуляции (см. главу 51), то после запуска программ-детекторов следует (независимо от результата работы с программами-детекторами) запустить программу-ревизора и проанализиро- вать изменения на дисках. Часто программа-ревизор сама определяет подозрительные симптомы: изменения в системных областях диска, изменения в файлах при неизмен- ной дате модификации файла и т.д. При обнаружении изменений программа-ревизор, как правило, предлагает их испра- вить (восстановив прежнее состояние), пропустить (при следующей проверке снова будет выдано сообщение об изменении) или запомнить сведения о данном изменении (то есть признать его, так сказать, законным). В подавляющем большинстве случаев программы-ревизоры восстанавливают прежнее состояние системных областей дисков и программных файлов правильно. Тем не ме- нее, иногда лечение программами-ревизорами может привести к потере части (или даже всех) данных на диске. Это происходит, например, если вирус зашифровал какие- то сектора жесткого диска. Именно поэтому выше я рекомендовал применять сначала программы-детекторы (которые, зная принципы работы данного вируса, могут расшиф- ровать поврежденные участки диска), а лишь потом - программы-ревизоры. Иногда программы-ревизоры выявляют, что излеченный программой-детектором испол- нимый файл отличается от оригинала (того файла, который был до заражения). Обыч- но это означает, что программа-детектор неправильно распознала тип вируса и излечи- ла файл неправильно. В этом случае лучше удалить такой файл и восстановить его из других источников (например, с дистрибутивных дисков). После того, как Вы выявили и удалили с компьютера вирус, надо выполнить следую- щие действия. Следует проверить целостность файловой системы и поверхности диска с помощью программы NDD (см. главу 35). Если повреждения файловой системы значительны, то целесообразно скопировать с диска на дискеты (или иные носители) все нужные фай- лы, резервных копий которых не имеется, заново отформатировать диск, а затем зано- во установить все пакеты программ с дистрибутивов, а собственные данные - с ре- зервных копий. Восстановление загрузки с жесткого диска Сравнение файлов с резервной копией Проверка архивов Проверка дискет Установка антивирусных программ Особые случаи Если вирус не найден Некорректное лечение системных областей дисков Надо загрузить компьютер с жесткого диска. Если компьютер не загружается, можно восстановить системные файлы и загрузочный сектор логического диска С:, загрузив- шись с дискеты и введя команду SYS С: . Многие вирусы не только размножаются, но и портят данные. Если Вы не уверены в том, что вирус ничего не испортил, следует сравнить файлы в резервных копиях с со- ответствующими файлами на диске. Большинство программ резервного копирования имеют режим сравнения резервной копии с соответствующими файлами на диске (см., например, главу 50). Если Вы обнаружите повреждения в файлах, то есть изменения, которых Вы не делали, следует восстановить поврежденные файлы из резервных ко- пий. В этом случае желательно также заново установить используемые пакеты про- грамм с дистрибутивных дисков, так как вирус мог повредить и эти пакеты программ. Замечания. 1. Программа ARJ тоже имеет режим сравнения содержимого архива с соот- ветствующими файлами на диске (см. п. 33.1J). 2. Часто повреждение файла вирусом можно опознать по тому, что у файла изменилось содержимое, а дата и время последней модификации - нет. Если обнаружившая вирус программа-детектор не умеет обрабатывать файлы архивов (см. главу 33) используемого Вами типа, следует проверить содержащиеся на дисках компьютера архивы, распаковывая их по очереди во временный каталог и проверяя содержимое этого каталога программой-детектором. Если Вы в тот период, когда компьютер был заражен вирусом, работали с дискетами или съемными дисками, на которых не была установлена защита от записи, следует проверить эти дискеты и диски на наличие вирусов. Потребность в лечении компьютера от вирусов, а тем более, тяжелые последствия за- ражения вирусом, как правило, связаны с несоблюдением элементарных правил <компьютерной гигиены>, описанных в предыдущем параграфе. Если Вы больше не хотите лечить компьютер от вирусов, установите на компьютер антивирусные про- граммы и выполняйте меры антивирусной профилактики (проверка всех полученных извне данных программами-детекторами, ежедневная проверка жесткого диска про- граммами-ревизорами, использование резидентной программы-сторожа, регулярное обновление версий антивирусных программ и т.д.). При лечении компьютера от вирусов возможны самые сложные случаи, некоторые из которых описаны ниже. Если Вы уверены, что на компьютере имеется вирус, а программы-детекторы его не обнаруживают, возможно, компьютер заражен новым вирусом или у Вас устаревшие версии программ-детекторов. Последние некоммерческие версии (то есть версии двух- месячной давности) антивирусных программ Aidstest и Dr.Web фирмы <Диалог-Наука> можно бесплатно списать по модему с ЕТР-сервера ftp.klami. rssi. ru или с некоммер- ческой линии BBS фирмы <Диалог-Наука> (095)938-28-56. В фирме можно приобрести и годовой абонемент, дающий право на оперативное получение самых последних вер- сий этих программ по электронной почте или через BBS фирмы <Диалог-Наука>. По- следние версии базы данных со сведениями о вирусах для программы Norton Antivirus можно бесплатно списать по модему с FTP-сервера ftp .Symantec .corn или с WWW- сервера www. Symantec .corn. Если вирус все-таки не обнаруживается, можно предпринять следующие меры: может быть, вируса все-таки нет и зря беспокоиться не надо? Посоветуйтесь с бо- лее опытными специалистами; как известно, самое надежное средство от головной боли - гильотина. Скопируйте с зараженного диска на дискеты (или иные носители) все созданные Вами файлы, резервных копий которых не имеется (кроме исполнимых файлов, ими придется пожертвовать), заново отформатируйте жесткий диск, а затем заново установите все пакеты программ с дистрибутивов, а собственные данные - с резервных копий; можно воспользоваться предоставляемыми фирмой <Диалог-Наука> услугами ско- рой антивирусной помощи с выездом специалиста на место. Естественно, это дела- ется далеко не бесплатно. Информацию по этому поводу можно получить по тел. (095)938-28-55,938-29-70: та же фирма изготавливает по заказам клиентов новые версии программ Aidstest и Dr.Web, обнаруживающие и удаляющие новые вирусы. Иногда программы-детекторы не могут правильно восстановить загрузочный сектор диска или главную загрузочную запись жесткого диска. При этом обычно выдается соответствующее сообщение, например: Если диски не видны |