Размещено на http://www.allbest.ru/

«Компьютерные вирусы и антивирусные программы»

План

Введение

1. Испорченные и зараженные файлы

2. Основные методы защиты от компьютерных вирусов

3. Стратегия защиты от вирусов

4. Программы-фильтры

Заключение. Действия при заражении вирусом

Литература

Введение

Компьютерный вирус - это специально написанная, как правило, небольшая по размерам программа, которая может записывать (внедрять) свои копии (возможно, измененные) в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т. д., причем эти копии сохраняют возможность к “размножению”. Процесс внедрения вирусом своей копии в другую программу (системную область диска и т. д.) называется заражением, а программа или иной объект, содержащий вирус - зараженным.

Когда зараженная программа начинает работу, то сначала управление получает вирус. Вирус находит и “заражает” другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, “засоряет” оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает так же, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако при прошествии некоторого времени на компьютере начинает твориться что-то странное, например:

- некоторые программы перестают работать или начинают работать неправильно;

- на экран выводятся посторонние сообщения, символы и т.д.;

- работа на компьютере существенно замедляется;

- некоторые файлы оказываются испорченными и т.д.;

К этому моменту, как правило, уже достаточно много (или даже большинство) тех программ, которыми Вы пользуетесь, являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с вашего компьютера могли быть уже перенесены с помощью дискет или по локальной сети на компьютеры ваших коллег и друзей.

Некоторые разновидности вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными. Например, в начале 1989г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. долл. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.

Для того чтобы программа-вирус была незаметной, она должна быть небольшой. Поэтому, как правило, вирусы пишутся на языке ассемблера. Некоторые авторы таких программ создали их из озорства, некоторые - из стремления “насолить” кому-либо (например, уволившей их фирме) или из ненависти ко всему роду человеческому. В любом случае созданная программа-вирус может (потенциально) распространиться на всех компьютерах, совместимых с тем, для которого она была написана, и причинить очень большие разрушения.

Следует заметить, что написание вируса - не такая уж сложная задача, вполне доступная изучающему программирование студенту. Поэтому еженедельно в мире появляются все новые и новые вирусы.

1. Испорченные и зараженные файлы

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может “заразить”. Это означает, что вирус может “внедриться” в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие файлы не могут быть заражены вирусом, он может их только испортить.

Вирусом могут быть “заражены” следующие виды файлов:

1. Исполняемые файлы, т.е. файлы с расширениями имен .COM и .EXE, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми вирусами. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те файловые вирусы, которые после своего запуска остаются в памяти резидентно - они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при запуске с жесткого диска вирус снова начнет свою работу.

2. Загрузка операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными вирусами или бутовыми (от слова boot-загрузчик). Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения - заражение загрузочных записей, вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись и главная загрузочная запись имеют небольшой размер и в них трудно разместить целиком программу вируса. Часть вируса, не помещающаяся в них, располагается в другом кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затерта при записи данных на диск). Дискеты, через которые распространяются загрузочные вирусы, могут быть не только системными, но и любыми другими. Для заражения компьютера загрузочным вирусом достаточно иметь всего один раз зараженную дискету в дисководе А: в момент перезагрузки компьютера. При этом вирус заразит жесткий диск компьютера. И после этого при загрузке с жесткого диска компьютера будет запускаться вирус.

3. Вирусы, меняющие файловую систему на диске, обычно называемые DIR - вирусами. Такие вирусы прячут свое тело в некоторый участок диска (обычно - в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех .COM и .EXE-файлов, содержащихся в соответствующих элементах каталога, указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки.

Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностном просмотре зараженного диска на “чистом” компьютере также ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

При анализе на “чистом” компьютере с помощью программ ChkDsk или NDD файловая система зараженного DIR-вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдает кучу сообщений о пересечениях файлов и о цепочках потерянных кластеров. Не следует исправлять эти ошибки программами ChkDsk или NDD- при этом диск окажется безнадежно испорченным. Для исправления зараженных этими вирусами дисков надо использовать только специальные антивирусные программы (например, последние версии Aidstest).

4. Драйверы устройств, т.е. файлы, указываемые в приложении Devise файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой.

5. Системные файлы DOS (MSDOS.SYS и IO.SYS) - их заражение возможно так называемыми вирусами семейства ЗАРАЗА. Так как первый из них выводил сообщение: В ВООТ СЕКТОРЕ - ЗАРАЗА!. Вирус этого семейства делает следующее:

копирует содержимое файла IO.SYS в конец логического диска;

сдвигает элементы корневого каталога, начиная с третьего, на один элемент к концу каталога;

копирует первый элемент корневого каталога (соответствующий файлу IO.SYS) в освободившийся третий элемент корневого каталога и устанавливает в нем номер начального кластера, указывающий на место, куда было скопировано содержимое файла IO.SYS;

записывает свое тело в место, где находится файл IO.SYS (как правило, в начале области данных логического диска): у первого элемента корневого каталога диска устанавливает признак “метка тома”.

В результате в корневом каталоге появятся два системных файла IO.SYS. При этом система перестанет загружаться с жесткого диска, так как вирус в своем теле хранит адрес начального сектора исходного файла IO.SYS.

5. Командные файлы - заражаются достаточно редко. Обычно эти вирусы формируют с помощью команд командного файла (команд ECHO и др.) исполняемый файл на диске (как правило, в формате .COM), запускают этот файл, он выполняет размножение вируса и вредящие действия, после чего данный файл стирается. Вирус в зараженных командных файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов зараженного командного файла вставляется в файл AUTOEXEC.BAT.

6. Документы Word для Windows версий 6.0 и 7.0. Так как сейчас редакторы Word для Windows более всего распространены, то в 1995 г. появилась новая разновидность вируса, заражающая файлы документов, созданные этими редакторами - макровирусы. Это стало возможным, поскольку в Word для Windows встроен мощный язык макрокоманд WordBasic. При этом макрокоманды не видны в редактируемом документе - для их просмотра и редактирования надо выбрать в группе меню Tools (Сервис) пункт Macro (Макрос), а много ли пользователей вообще что-то слышали об этом пункте меню... Возможности WordBasic позволяют писать на нем вирусы. Запуск вируса происходит при открытии на редактирование зараженных документов. При этом макрокоманды вируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован. При наличии вируса при сохранении редактируемых документов или записи документов или записи документов на диск под новым именем (командой Save As) вирус копирует свои макрокоманды в записываемый на диск документ, так что тот оказывается зараженным.

В принципе, возможно заражение и других объектов, содержащих программы в какой либо форме - текстов программ, электронных таблиц и т.д. Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автоматически выполняющиеся при открытии таблицы. Поэтому они могут содержать вирусы. Подобные вирусы обнаружены в табличном процессоре Excel.

Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только .COM-файлы, некоторые - только .EXE-файлы, а большинство - и те и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы.

Что вирус не может заразить? Вирус является программой, поэтому объекты, не содержащие программ и не подлежащие преобразованию в программы, не могут быть заражены вирусом. Например, графические файлы форматов .BMP, .PCX, GIF, WMF и др. содержат только описания рисунков, поэтому как бы их вирус не изменял, при просмотре или другом использовании графического файла можно получить искаженный рисунок или сообщение о неправильном формате файла, но вирус при этом не может быть запущен. Таким образом, не содержащие программы объекты вирус может только испортить, но не заразить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и текстов программ), документы простых текстовых редакторов документов типа ЛЕКСИКОНа или Multi-Edit, информационные файлы баз данных и т. д.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Это “невидимые” и самомодифицирующиеся вирусы.

“Невидимые” вирусы - это такие резидентные вирусы (файловые и загрузочные), которые предотвращают свое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на “чистом” компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Некоторые антивирусные программы (например, AVSP фирмы “Диалог-МГУ”) используют для борьбы с вирусами свойство “невидимых” файловых вирусов “вылечивать” зараженные файлы.

Самомодифицирующиеся вирусы - это вирусы, использующие оригинальный способ - модификацию своего тела для того, чтобы укрыться от обнаружения. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса.

2. Основные методы защиты от компьютерных вирусов

Для защиты от вирусов можно использовать:

общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

специализированные программы для защиты от вирусов;

Общие средства защиты информации полезны не только для защиты от вируса. Имеются две основные разновидности этих средств.

копирование информации - создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры (программы контроля изменений в файлах и системных областях дисков), доктора-ревизоры, фильтры (резидентные программы для защиты от вирусов) и вакцины (иммунизаторы). Сейчас мы приведем только краткие определения этих понятий, а затем рассмотрим их более подробно.

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.

Программы-доктора, или фаги, “лечат” зараженные программы или диски, “выкусывая” из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.

Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.

Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

3. Стратегия защиты от вирусов

Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. Поэтому никакие простые советы типа “вставьте команду запуска Aidstest в AUTOEXEC.BAT” не будут достаточными. Наилучшей стратегией защиты от вирусов является многоуровневая, “эшелонированная” оборона. Опишем структуру этой обороны.

Средствам разведки в “обороне” от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-сторожа (или фильтры) - это резидентные программы для защиты от вируса. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы доктора и доктора-ревизоры. Ревизоры обнаруживают нападение вируса даже тогда, когда он сумел “просочиться” через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные программы, причем контролируют правильность лечения.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

И наконец, в “стратегическом резерве” находятся архивные копии информации и “эталонные” дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении.

4. Программы-фильтры

Одной из причин, из-за которых стало возможным такое явление, как компьютерный вирус, является отсутствие в операционной системе MS DOS эффективных средств для защиты информации от несанкционированного доступа. Из-за отсутствия средств защиты компьютерные вирусы могут незаметно и безнаказанно изменять программы, портить таблицы размещения файлов и т.д.

В связи с этим различными фирмами и программистами разработаны программы-фильтры, или резидентные программы для защиты от вируса, которые в определенной степени восполняют указанный недостаток DOS. Эти программы располагаются резидентно в оперативной памяти компьютера и “перехватывают” те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда. Такими “подозрительными” действиями являются, в частности, изменение .COM и .EXE-файлов, снятие с файла атрибута “только для чтения”, прямая запись на диск (запись по абсолютному адресу), форматирование диска, установка “резидентной” (постоянно находящейся в оперативной памяти) программы.

При каждом запросе на “подозрительное” действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая программа желает его выполнить. Можно либо разрешить выполнение этого действия, либо запретить его. Если указанное в сообщении действие не нужно для выполнения данной программы (например, никакая программа не должна изменять командный процессор COMMAND.COM), то это действие следует запретить, так как оно скорее всего вызвано вирусом.

Некоторые программы-фильтры не “ловят” подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это, понятно, вызывает замедление работы компьютера.

Степень защиты, обеспечиваемую программами-фильтрами, не следует переоценивать, поскольку многие вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам операционной системы (BIOS), не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания. Кроме того, программы-фильтры не помогают от заражения винчестера вирусами, которые распространяются через загрузочный сектор, поскольку такое заражение происходит при загрузке DOS, т.е. до запуска любых программ или установки драйверов.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Программы-детекторы. Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Некоторые программы-детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также “лечить” зараженные файлы или диски, удаляя из них вирусы (лечение поддерживается только для вирусов, известных программе-детектору).

Программы-ревизоры

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие пользователи включают команду запуска программы-ревизора в командный файл AUTOEXEC.BAT, чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Анализ изменений. Многие программы-ревизоры являются довольно “интеллектуальными” - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги, мешая Вам работать. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Невидимые вирусы. Следует заметить, что многие программы-ревизоры не умеют обнаруживать заражение “невидимыми” вирусами, если такой вирус активен в памяти компьютера. Но некоторые программы-ревизоры, например ADinf фирмы “Диалог-Наука”, все же умеют делать это, не используя вызовы DOS для чтения диска (правда, они работают не на всех дисководах). Другие программы часто используют различные полумеры: пытаются обнаружить вирус в оперативной памяти, требуют вызова из файла AUTOEXEC.BAT, надеясь работать на “чистом” компьютере, и т.д. Увы, против некоторых “хитрых” вирусов все это бесполезно. Если Вы имеете такую программу-ревизор, запускайте хотя бы время от времени ее “чистую” копию с защищенной от записи дискеты после перезагрузки DOS с такой дискеты.

Режимы проверки. Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно. Но полностью читать все проверяемые файлы на диске весьма долго.

Чтобы обеспечить и достаточную надежность проверки, и приемлемое время ее проведения, многие программы-ревизоры имеют режим, в котором они проверяют неизменность только критически важных участков программных файлов, которые чаще всего и меняются вирусом: заголовка EXE-файла, первых выполняемых команд файла и т.д. Это позволяет проводить ежедневную проверку наличия изменений в файлах. А для особо строгой проверки такие программы-ревизоры обычно имеют и режим полного чтения файла.

Доктора-ревизоры. В последнее время появились очень полезные гибриды ревизоров и докторов- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей диска. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Конечно, доктора-ревизоры - это не панацея. Они могут лечить не от всех вирусов, а только от тех, которые используют “стандартные”, известные на момент написания программы, механизмы заражения файлов. Кроме того, никто не может излечить программы при заражении вирусами” грубиянами” типа AIDS, которые записывают себя в середину программ, не заботясь о том, будет ли после этого работать программа или нет. Но все же защита от 90-95% вирусов - это совсем неплохо. В качестве примера докторов-ревизоров можно привести ADinf+ADinfExt фирмы “Диалог-Наука” и комплексную антивирусную систему AVSP фирмы “Диалог-МГУ”.

Профилактика против заражения вирусом. Известно, что легче предупредить болезнь, чем лечить ее. Если квалифицированно и своевременно будут применяться меры “компьютерной гигиены”, то на компьютере вряд ли заведутся вирусы. Во-первых, необходимо использовать общие меры, обеспечивающие сохранность данных: регулярное создание резервных копий, использование методов ограничения доступа к данным и т.д. Во-вторых, выполнить следующие мероприятия:

1. Все поступающие извне данные должны подвергаться проверке. С этой целью все принесенные дискеты или полученные извне (по электронной почте, по сетям) файлы перед использованием следует проверить на наличие вируса с помощью программ-детекторов. Не используйте и не запускайте принесенные извне программы, если их назначение Вам непонятно. Если полученные файлы содержатся в архивах, следует извлечь их из архива и проверить программами-детекторами сразу после этого. Если файлы из архивов можно извлечь только программой установки пакета программ, то надо выполнить установку этого пакета и сразу после этого проверить записанные на диск файлы. Установка пакета должна проводиться при включенной резидентной программе-стороже для защиты от вирусов. Не следует переписывать программное обеспечение с других компьютеров, так как оно может быть заражено вирусом.

2. Необходимо проводить ежедневную проверку дисков на наличие вирусов. Один способ - вставить в командный файл AUTOEXEC.BAT, выполняемый при начальной загрузке DOS, вызов программы или командного файла для проверки на наличие вирусов. При использовании антивирусного комплекта DSAV “Диалог-Наука” можно из файла AUTOEXEC.BAT, вызвать командный файл, запускающий программу-ревизора ADinf, который составляет список измененных файлов, используемый затем программами-детекторами Aidstest и Dr.Web (это позволяет существенно сократить время проверки). Пример такого командного файла включен в комплект поставки антивирусного комплекта DSAV.

При работе в среде Windows, Windows-95 и т.д. для ежедневного выполнения проверки на наличие вирусов можно использовать программы-планировщики типа Scheduler из Norton Desktop for Windows, System Agent из Microsoft Plus! (пакета дополнений для Windows 95), Norton Commander Scheduler из Norton Commander для Windows 95 и т.д.

3. Особо следует сказать о защите от вирусов документов Word для Windows. Вирусы, заражающие документы Word для Windows, запускаются благодаря тому, что в них имеется макрокоманда AutoOpen, автоматически запускающаяся при открытии документа. Однако запуск этой макрокоманды (как и других AutoExec, AutoNew, AutoClose и AutoExit, выполняющихся при запуске Word, создании нового документа, закрытий документа и выходе из Word) блокируется при нажатии клавиши Shift. Так что Вы можете нажимать Shift при открытии полученных со стороны документов, и никакой вирус, заражающий документы Word для Windows, Вам будет не страшен.

Обновление версий антивирусных программ необходимо делать ежемесячно, так как новые вирусы появляются еженедельно. Для некоторых программ (Norton AntiVirus) для обновления не надо приобретать новую версию программы, а следует лишь переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно. Фирма “Диалог-Наука” позволяет приобрести годовой абонемент, позволяющий получать самые последние версии программ AidsTest, Doctor Web, ADinf и ADinfExt либо по почтовой рассылке, либо по электронной почте. Обновление версий происходит не реже одного раза в месяц.

Заключение. Действия при заражении вирусом

Вы можете подозревать наличие вируса, если:

антивирусная программа сообщает об обнаружения неизвестного вируса;

на экран или принтер начинают выводиться посторонние сообщения, символы и т. д.;

некоторые файлы оказываются испорченными;

некоторые программы перестают работать или начинают работать неправильно;

работа на компьютере существенно замедляется.

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил.

1. Прежде всего не надо торопиться и принимать опрометчивые решения. Непродуманные действия могут привести к потере части данных, которые можно было бы восстановить, а также к повторному заражению компьютера.

2. Немедленно выключите компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной загрузке компьютера с защищенной от записи “эталонной” дискеты с операционной системой. При этом следует использовать только программы (исполняемые файлы), хранящиеся на защищенных от записи дискетах.

4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причиненных вирусом) оно бывает затруднительным. Если у пользователя нет должного опыта, то целесообразно прибегнуть к помощи коллег.

5. Лечение компьютера от вируса - процесс творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более, что вирусы очень часто изменяются и поэтому методы борьбы с ними также должны меняться.

Использование резидентной программы-сторожа позволяет обнаружить вирус на самом раннем этапе, когда он не успел еще активизироваться, заразить другие программы или диски и испортить какие-либо данные. Когда вирус активизировался, а значит уже заразил или испортил данные на дисках компьютера, то надо перегрузить компьютер, начать выявление вируса и затем лечение.

Правильно компьютер должен перезагружаться так:

1. Приготовьте безвирусную, защищенную от записи системную дискету. Вставьте дискету в дисковод компьютера.

2. Нажмите на кнопку перезагрузки - RESET или выключите и снова включите компьютер.

3. Сразу после начала загрузки в ответ на приглашение нажмите клавиши входа в программу конфигурирования компьютера - SETUP.

4. Проверьте правильность установки, порядка загрузки. Если загрузка происходит сначала с жесткого диска, а затем с дискеты, то эту установку надо выключить.

5. Выйдите из программы конфигурирования и сохраните конфигурацию.

6. Загрузите компьютер с системной дискеты и при этом вирус не будет запущен.

Лечение начинается программами-детекторами, которыми поочередно проверяются все логические диски. При обнаружении вируса следует по справочнику выяснить возможные последствия заражения и меры по их устранению. Если вирус безобидный, то кроме его удаления ничего делать не надо. Если вирус изменил некоторые участки жесткого диска, то вероятнее всего, придется заново инсталлировать на диск поврежденные файлы.

Если программа-детектор не обнаружила вирусы, то следует запустить программу ревизор, которая после обнаружения вируса предлагает его исправить или отказаться от исправления. В большинстве случаев лечение происходит успешно. Иногда теряется часть данных. Реже поврежденный файл следует удалить и затем восстановить его из других источников.

После окончания лечения диска следует проверить целостность файловой системы и поверхности диска программой Norton Disk Doctor. Если повреждения файловой системы значительны, то целесообразно скопировать с диска на дискеты все нужные файлы, резервных копий которых не имеется, заново отформатировать диск, а затем заново установить все пакеты программ с дистрибутивов, а собственные данные - с резервных копий.

Для исключения повторного заражения вирусом с дискет, все дискеты должны быть проверены антивирусными программами.

компьютерный вирус программа ревизор

Литература

Ахметов К.С. Курс молодого бойца - 2-е изд.,перераб. и доп. М., 1996. - 380 с.

Бугомирский Б.С. Руководство пользователя ПЭВМ. В 2-х ч. С.-Пб., 1994. -736 с.

Власов В.К., Королев Л.Н., Сотников А.Н. Элементы информатики / Под ред. Королева Л.Н. М.,1988. -320 с.

Громов Г.Р. Национальные информационные ресурсы: проблемы промышленной эксплуатации. М., 1984, -240 с.

Заморин А.П., Марков А.С. Толковый словарь по вычислительной технике и программированию. Основные термины: около 3000 терминов. М., 1987. -221 с.

Информатика и вычислительная техника / Под ред. Ларионова В.Н. М., 1998. - 287 с.

Першиков В.И., Савинков В.М. Толковый словарь по информатике. М., 1991. -543 с.

Фигурнов В.Э. IBM PC для пользователя. Краткий курс. изд.7-е. М., 1997. - 480 с.

Фигурнов В.Э. IBM PC для пользователя. От начинающего - до опытного Изд.7-е. Перераб. и доп. М.,1997.- 640 с.

Размещено на Allbest.ru