Боротьба з комп'ютерними вірусами

Зміст Введение…2 Методи боротьби з вирусами…3 Класифікація антивирусов…4 Який антивірус лучше…6 Методика використання антивірусних программ…8 Виявлення окремих груп вирусов…12 Звідки беруться вирусы…15 Кілька практичних советов…17 Аналіз алгоритму вируса…22 Заключение…25.

Введение

Серед набору програм, використовуваного більшістю користувачів персональних комп’ютерів щодня, антивірусні програми традиційно займають особливу увагу. Ці «ліки «комп'ютерного світу для програм, тож даних у світі можна порівняти, мабуть, або з аспірином, або з контрацептиком. Причому все «щодо одного флаконі «. У реальному житті - неможлива суміш. Але нові антивірусні програми є багатофункціональні продукти, поєднують у собі як превентивні, профілактичні кошти, і засоби лікування вірусів і відновлення даних. Вимоги до антивірусним програмам досить суперечливі. З одним боку, користувачі хочуть мати надійну, потужну антивірусну захист. З з іншого боку, хочуть, щоб цей захист не зажадала від користувача багато часу сил. І це цілком природні вимоги. Не можна і мить відставати від загального розвитку комп’ютерного світу. Щороку приносить нові технологіії, зокрема, у світі комп’ютерних вірусів. Так було в 1995 року з’явився перший макровирус, що заражає документи MS Word. У 1996 з’явилися перші Win32-вирусы для Windows 95. У 1997 р. віруси вперше використовують поширення повідомлення електронної пошти і перші віруси, працюють у захищеному режимі процесорів Intel (уперше цей режим виник i286). У 1998 р. створили перший вірус, порушує роботу апаратної частини комп’ютерів. То справді був Win95. CIH, який «спрацював «26 квітня 1999 р. на мільйонах комп’ютерів у світі. У цей вірус став відомим під ім'ям «Чорнобиль ». У в самісінькому кінці 1998 р. з’явився перший вірус для Windows NT. У 1999;му р. отримали масове поширення e-mail-черви (вірусні программы-черви, що використовують поширення повідомлення електронної пошти). Епідемія вірусу Win95.Spanska.10 000 («Нарру99 ») почалася 1 січня 1999 р. і радіомовлення продовжується досі. Інший e-mail хробак Melissa у березні 1999 р. паралізував роботу тисяч поштових серверів у Європі Америці. По масштабу березневу епідемію Meliss-ы можна порівняти з легендарним «хробаком Морріса », що у листопаді 1988 р. паралізував роботу кілька великих комп’ютерних мереж і в Америці. Також у 1999 р. дуже популярні троянські програми, дають віддалений доступом до інфікованій комп’ютера через Інтернет, і дозволяють красти інформацію, наприклад, паролі. Троянські системи сімейств Back Orifice, NetBus, Trojan Stealth можна вільно знайти у Інтернеті, що навіть користуються зловмисники. Всі ці «новинки «змушують постійно удосконалювати антивірусні програми. До певної міри боротьби з комп’ютерними вірусами дуже схожа на одвічну боротьбу броні і снаряда. І на недалекому майбутньому це навряд чи припиниться. І нічого страшного у цьому. Користувачу важливо лише не забувати про загрозу комп’ютерних вірусів, і вчасно приймати захисту від них заходи, які потребують у принципі великих зусиль чи спеціальних знань. Досить проводити регулярне резервне копіювання важливих даних, і користуватися сучасними антивірусними программами.

Методи боротьби з вірусами Способи протидії комп’ютерним вірусам можна розділити сталася на кілька груп: профілактика вірусного зараження і зменшення можливої шкоди від такої зараження; методика використання антивірусних програм, у цьому числі знешкодження і видалення відомого вірусу; способи виявлення й видалення невідомого вируса.

Наиболее ефективні боротьби з комп’ютерними вірусами антивірусні програми. Проте тут хотілося б вирізнити, що немає антивірусів, які гарантують стовідсоткову захисту від вірусів, і всі заяви про існуванні таких систем можна розцінити як або несумлінну рекламу, або непрофесіоналізм. Таких систем немає, оскільки у будь-який алгоритм антивірусу завжди можна запропонувати контр-алгоритм вірусу, невидимого при цьому антивірусу (зворотне, на щастя, теж вірно: про всяк алгоритм вірусу можна створити антивірус). Понад те, неможливість існування абсолютного антивірусу було доведено математично з урахуванням теорії кінцевих автоматів, автор докази — Фред Коен. Слід звернути увагу до кілька термінів, застосовуваних при обговоренні антивірусних програм: «Хибне спрацьовування» (False positive) — детекторування вірусу в незараженном об'єкті (файлі, секторі чи системної пам’яті). Зворотний термін — «False negative», тобто. недетектирование вірусу в зараженому об'єкті. «Сканування на запит» («on-demand») — пошук вірусів на запит користувача. У цьому вся режимі антивірусна програма неактивна до того часу, поки що не викликана користувачем з командної рядки, командного файла чи программы-расписания (system scheduler). «Сканування на-лету» («real-time», «on-the-fly») — стала перевірка на віруси об'єктів, яких відбувається звернення (запуск, відкриття, створення тощо.). У цьому вся режимі антивірус постійно активний, він у пам’яті «резидентно» і перевіряє об'єкти без запиту пользователя.

Класифікація Антивирусов Сканеры Принцип роботи антивірусних сканерів грунтується на перевірці файлів, секторів і системної пам’яті та пошуку у яких визначних акторів і нових (невідомих сканера) вірусів. Для пошуку відомих вірусів використовуються звані «маски». Маскою вірусу є деяка стала послідовність коду, специфічна при цьому конкретного вірусу. Якщо вірус зовсім позбавлений постійної маски, чи довжина цієї маски недостатньо велика, то використовуються інші методи. Прикладом такого методу являетcя алгоритмічний мову, описує всіх можливих варіанти коду, які можуть опинитися зустрітися при зараження такого типу вірусом. Такий їхній підхід використовується деякими антивирусами для детектування полиморфик-вирусов. Багато сканерах використовуються також алгоритми «евристичного сканування», тобто. аналіз послідовності команд в проверяемом об'єкті, набір деякою статисти та ухвалення рішення («можливо заражений» чи «не заражений») кожному за проверяемого об'єкта. Оскільки евристичне сканування є в що свідчить вірогіднісним методом пошуку вірусів, то, на нього поширюються багато закони теорії ймовірностей. Наприклад, що стоїть відсоток які виявляються вірусів, то більше вписувалося кількість хибних срабатываний. Сканери теж можна розділити на дві категорії — «універсальні» і «спеціалізовані». Універсалістські сканери розраховані на поисх і знешкодження всіх типів вірусів незалежно від ОС, працювати у якій розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженої кількості вірусів або тільки одного їх класу, наприклад макро-вирусов. Спеціалізовані сканери, розраховані лише з макро-вирусы, часто виявляються найзручнішим і надійним рішенням за захистом систем документообігу у середовищі MS Word і MS Excel. Сканери також діляться на «резидентные» (монітори), що виробляють сканування «на-лету», і «нерезидентные», щоб забезпечити перевірку системи лише за запитом. Зазвичай, «резидентные» сканери забезпечують більш надійний захист системи, оскільки вони негайно реагують на поява вірусу, тоді як «нерезидентный» сканер здатний впізнати вірус лише під час своєї чергового запуску. До переваг сканерів всіх типів належить їх універсальність, до недоліків — розміри антивірусних баз, які сканерам доводиться «тягати у себе», і відносно невелику швидкість пошуку вірусів. CRC-сканеры Принцип роботи CRC-сканеров грунтується на підрахунку CRC-сумм (контрольних сум) для присутніх на диску файлов/системных секторів. Ці CRC-суммы потім зберігаються базі даних антивірусу, як, втім, і певна інша інформація: довжини файлів, дати їхньою останньою модифікації тощо. При наступному запуску CRC-сканеры звіряють дані, які у базі даних, з реально подсчитанными значеннями. Якщо інформацію про файлі, записаний у базі даних, не збігаються з реальними значеннями, то CRC-сканеры сигналізують у тому, що файл змінили чи заражений вірусом. CRC-сканеры, використовують анти-стелс алгоритми, є досить сильним зброєю проти вірусів: практично 100% вірусів виявляються виявленими майже відразу після появи за комп’ютером. Проте в цього антивірусів є вроджений недолік, який помітно знижує їх ефективність. Цей недолік у тому, що CRC-сканеры неспроможні впіймати вірус в останній момент його у системі, а роблять це лише за кілька днів, вже по тому, як вірус розійшовся на комп’ютері. CRCсканери що неспроможні визначити вірус у нових файлах (в електронної пошти, на дискетах, в файлах, відновлюваних з backup або за розпакуванню файлів з архіву), що у їх базах даних немає інформації про ці файлах. Понад те, періодично з’являються віруси, що використовують цю «слабкість» CRC-сканеров, заражають лише новостворювані файли і залишаються, в такий спосіб, невидимими їм. Блокировщики Антивірусні блокировщики — це резидентные програми, перехватывающие «вирусо-опасные» ситуації та повідомляють звідси користувачеві. До «вирусонебезпечним» ставляться виклики відкриття для запис у що їх файли, запис в boot-сектора дисків чи MBR вінчестера, спроби програм залишитися резидентно тощо., тобто виклики, які притаманні вірусів у моменти з розмноження. До переваг блокировщиков належить спроможність виявляти і зупиняти вірус самісінькому ранній стадії його розмноження, що, до речі, буває дуже корисно у разі, коли давно відомий вірус постійно «виповзає невідомо звідки». До вад ставляться існування шляхів обходу захисту блокировщиков і багато хибних срабатываний, що, певне, і стало причиною для практично повної відмови користувачів від такого роду антивірусних програм (мені, наприклад, невідомо ні про одному блокировщике для Windows95/NT — немає попиту, немає і товарної пропозиції). Необхідно також відзначити такий традиційний напрямок антивірусних коштів, як антивірусні блокировщики, виконані вигляді апаратних компонентів комп’ютера («заліза»). Найпоширенішою є вбудована в BIOS захист від запис у MBR вінчестера. Проте, як у разі з програмними блокувальниками, такий захист легко обійти прямий записом до портів контролера диска, а запуск DOS-утилиты FDISK негайно викликає «хибне спрацьовування» захисту. Є кілька універсальніших апаратних блокировщиков, але переліченим вище недоліків додаються також проблеми сумісності зі стандартними конфігураціями комп’ютерів, і складності за її установці і настроюванні. Усе це робить апаратні блокировщики вкрай непопулярними на тлі інших типів антивірусної захисту. Иммунизаторы Иммунизаторы діляться на два типу: иммунизаторы, повідомляють про зараження, і иммунизаторы, блокуючі зараження будь-яким типом вірусу. Перші зазвичай записуються насамкінець файлів (за принципом файлового вірусу) і за запуску файла щоразу перевіряють його за зміна. Недолік таким иммунизаторов лише, але летален: абсолютна нездатність повідомити про зараження стелс-вирусом. Тому такі иммунизаторы, як і блокировщики, мало використовують у час. Другий тип імунізації захищає систему від поразки вірусом якогось певного виду. Файли на дисках модифікуються в такий спосіб, що вірус приймає за вже заражені (приклад — сумнозвісна рядок «MsDos», предохраняющая від викопного вірусу «Jerusalem»). Для захисту від резидентного вірусу на згадку про комп’ютера заноситься програма, яка імітує копію вірусу. Після запуску вірус наштовхується її у і вважає, що систему вже заражене. Такий тип імунізації може бути универсальним, оскільки не можна імунізувати файли всіх відомих вірусів: одні віруси вважають вже зараженими файли, якщо час створення файла містить мітку 62 секунди, а інші — 60 секунд. Проте попри це, подібні иммунизаторы в ролі півзаходи можуть цілком надійний захистити комп’ютер від нового невідомого вірусу до моменту, що він визначатиметься антивірусними сканерами. Який антивірус краще? Який антивірус найкращий? Відповідь буде — «будь-який», якби вашому комп’ютері віруси не водяться і це не користуєтеся вирусо-опасными джерелами інформації. Якщо ж ви любитель нових програм, іграшок, ведете активну листування електронною поштою і використовуєте у своїй Word чи обмінюєтеся таблицями Excel, то, вам все ж варто використовувати якийабо антивірус. Який саме — вирішуйте самі, проте кілька позицій, за якими різні антивіруси можна порівняти між собою. Якість антивірусної програми визначається, мій погляд, за такими позиціям, наведеним у порядку спаду їх важности:

1. Надійність і зручність роботи — відсутність «зависань» антивірусу та інші технічні проблеми, які від користувача спеціальної подготовки.

2. Якість виявлення вірусів всіх поширених типів, сканування всередині файлов-документов/таблиц (MS Word, Excel, Office97), упакованих і архивированных файлів. Відсутність «хибних срабатываний».

Можливість лікування заражених об'єктів. Для сканерів (див. нижче), як наслідок, важлива також періодичність появи нових версий.

(апдейтов), тобто. швидкість настройки сканера налаштувалася на нові вирусы.

3. Існування версій антивірусу під все популярні платформи (DOS,.

Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux тощо.), присутність як режиму «сканування на запит», але и.

«сканування на льоту», існування серверних версій із можливістю адміністрування сети.

4. Швидкість праці та інші корисні особливості, функції, «припарки» и.

«смакоти». Надійність роботи антивірусу є найважливішим критерієм, оскільки навіть «абсолютний антивірус» може бути непотрібним, коли його над стані довести процес сканування остаточно — «повисне» і перевірить частина дисків і файлів отже, залишить вірус непоміченим в системі. Якщо ж антивірус жадає від користувача спеціальних знань, то він також виявиться непотрібним — більшість користувачів просто проігнорує повідомлення антивірусу і натиснуть [OK] або [Cancel] випадковим чином, залежно від цього, якої кнопці ближче перебуває курсор миші в момент. Та якщо антивірус буде що часто надто ставити складні питання пересічному користувачеві, то, швидше за все, він (користувач) перестане запускати такий антивірус і навіть віддалить його з диска. Якість детектування вірусів стоїть наступним пунктом за цілком природною причини. Антивірусні програми тому й називаються антивірусними, що й прямий обов’язок — ловити і починає лікувати віруси. Будь-який самий «наворочений» за своїми можливостями антивірус непотрібний, якщо він може ловити віруси чи робить це цілком якісно. Наприклад, якщо антивірус не детектирует 100% будь-якого полиморфного вірусу, то, при зараження системи цим вірусом такий антивірус знайде тільки п’яту частину (скажімо 99%) заражених на диску файлів. Невиявленими залишиться 1%, але вірус знову проникне в комп’ютер, то антивірус знову знайде 99%, але вже від усіх файлів, лише від знову заражених. У результаті жаражено на диску здадуть вже 1.99%. І далі, доки всі файли на диску ні заражені за повного мовчання антивірусу. Тому якість детектування вірусів є другим за важливістю критерієм «кращість» антивірусної програми, важливішим, ніж «многоплатформенность», наявність різноманітного сервісу тощо. Але якщо у своїй антивірус з великим якістю детектування вірусів викликає дуже багато «хибних срабатываний», його «рівень корисності» різко падає, оскільки користувач змушений або знищувати незаражені файли, або сама виробляти аналіз підозрілих файлів, або звикає до частим «хибним срабатываниям», перестає брати до уваги повідомлення антивірусу і цього пропускає повідомлення про реальному вірус. «Многоплатформенность» антивірусу є наступним пунктом у списку, бо тільки програма, розрахована на конкретну операційну систему, може цілком використовувати функції цією системою. «Нерідні» ж антивіруси часто виявляються непрацездатними, інколи ж навіть руйнівними. Наприклад, вірус «OneHalf» вразив комп’ютер з встановленими у ньому Windows95 чи WindowsNT. Якщо расшифрования диска (даний вірус шифрує сектора диска) скористатися DOS-антивирусом, то результат може бути плачевним: інформація на диску виявиться безнадійно зіпсованою, оскільки Windows 95/NT не дозволить антивірусові користуватися прямими викликами чтения/записи секторів при розшифровці секторів. Антивірус ж, є Windows-программой, справляється з цим завданням безборонно. Можливість перевірки файлів «на льоту» також є достатньо важливою рисою антивірусу. Моментальна і примусова перевірка які приходять на комп’ютер файлів і вставляемых дискет є практично 100- відсотковому гарантією від зараження вірусом, якщо, звісно, антивірус може детектувати цей вірус. Дуже корисними є антивіруси, здатні постійно ознайомитися з «здоров'ям» серверів — Novell NetWare, Windows NT, а останнє час, після масово макро-вирусов, і поза поштовими серверами, скануючи входящую/исходящую пошту. Якщо ж у серверном варіанті антивірусу присутні можливість антивірусного адміністрування мережі, його цінність ще більше зростає. Наступним за важливістю критерієм, є швидкість роботи. Коли повну перевірку комп’ютера потрібно нескольно годин, то навряд чи більшість користувачів запускатимуть його досить часто. У цьому повільність антивірусу не свідчить, що він ловить вірусів більше й робить це за, що більш швидкий антивірус. У різних антивирусах використовуються різні алгоритми пошуку вірусів, один алгоритм може виявитися більш швидким і якісним, інший — повільним і менше якісним. Усі залежить спроможності та професіоналізм розробників конкретного антивірусу. Наявність усіляких додаткових функцій і можливостей стоїть у списку якостей антивірусу на останнє місце, бо дуже ці функції неможливо позначаються рівні «корисності» антивірусу. Але ці додаткові функції значно спрощують життя користувача і, може бути, навіть підштовхують його запускати антивірус частіше. Методика використання антивірусних програм Стежте те, щоб антивірусні програми, використовувані для перевірки, були найостанніших версій. Якщо до програм поставляються апдейты, то перевірте їх у «свіжість». Зазвичай вихід нових версій антивірусів анонсується, тому досить відвідати відповідні WWW/ftp/BBS. «Національність» антивірусів в большинстстве випадків має значення, оскільки у сьогодні процес еміграції вірусу до інших країн і імміграції антивірусних програм лише швидкістю Internet, оскільки як віруси, і антивіруси не визнають кордонів. Коли комп’ютері виявлено вірус, той самий головне — не панікувати (тим, кому «зустріч» з вірусом — цілком повсякденне явище, така рекомендація може бути смішною). Паніка будь-коли доводила до добра: невиваженим діям можуть призвести до сумних наслідків. Якщо вірус виявлено у якомусь із нових файлів і ще проникнув у систему, то немає причин занепокоєння: убийте цей файл (чи приберіть вірус улюбленої антивірусної програмою) й працюйте далі. У разі виявлення вірусу відразу у кількох файлах на диску чи завантажувальному секторі, то проблема стає складнішою, але можливо розв’язати — антивірусники недарма їдять свій хліб. Слід вкотре звернути увагу до термін «хибне спрацьовування». Якщо якомусь ОДНОМУ файлі, який тривалий час «живе» за комп’ютером, будь-якої один антивірус виявив вірус, це швидше за все хибне спрацьовування. Якщо такий файл запускався кілька разів, а вірус не переповз до інших файли, це вкрай дивно. Спробуйте перевірити файл іншими антивирусами. Якщо вони самі мовчать, відправте цей файл в лабораторію фірми-виробника антивірусу, який знайшов у ньому вірус. Якщо ж комп’ютері справді знайдено вірус, треба зробити таке: 1. У випадку виявлення файлового вірусу, якщо комп’ютер підключено до мережі, необхідно відключити його від сіті й проінформувати системного адміністратора. Якщо вірус ще проникнув у мережу, це захистить сервер і інші робочі станції від проникнення вірусу. Якщо ж вірус вже вразив сервер, то відключення від мережі не дозволить йому знову проникнути на комп’ютер саме його лікування. Підключення до неї можливо лише після того, як будуть вилікувані все серверу та робочі станції. При обнаружени завантажувального вірусу відключати комп’ютер від мережі годі було: віруси цього через мережу не поширюються (природно, крім файловозавантажувальних вірусів). Якщо відбулося зараження макро-вирусом замість, відключення від мережі досить на лікування переконатися, що відповідний редактор (Word/Excel) неактивен на жодному комп’ютері. 2. Якщо виявлено файловий чи завантажувальний вірус, варто переконатися у цьому, що вірус або нерезидентный, або резидентная частина вірусу знешкоджена: під час запуску деякі (але не) антивіруси автоматично знешкоджують резидентные віруси у пам’яті. Видалення вірусу з пам’яті потрібно, щоб зупинити його поширення. При скануванні файлів антивіруси відкривають їх, частина з резидентных вірусів перехоплюють цю подію і заражають открываемые файли. Через війну більшість файлів виявиться зараженої, оскільки вірус не вивели із пам’яті. І це може й в разі завантажувальних вірусів — все проверяемые дискети може стати зараженими. Якщо використовуваний антивірус не видаляє віруси з пам’яті, слід перезавантажити комп’ютер з явно незараженной і захищеної від записи системної дискети. Перезавантаження мусить бути «холодної» (клавіша Reset чи выключение/включение комп’ютера), бо окремі віруси «виживають» при теплою перезавантаженні. Деякі віруси використовують прийоми, які дозволяють «вижити» і за холодної перезавантаженні (див., наприклад, вірус «Ugly»), тому слід перевірити в настроюваннях BIOS пункт «послідовність завантаження A: З:», щоб гарантувати завантаження DOS з системної дискети, а чи не з зараженого вінчестера. Крім резидентности/нерезидентности корисно ознайомитись і коїться з іншими характеристиками вірусу: типами заражаемых вірусом файлів, проявів інше. Єдиний відомий мені джерело докладну інформацію даного роду практично про відомих віруси — «Енциклопедія вірусів AVP». 3. З допомогою антивірусної програми потрібно відновити заражені файли і потім перевірити їхню продуктивність. Перед лікуванням чи разом з ним — створити резерсные копії заражених файлів і роздрукувати чи зберегти деабо список заражених файлів (log-файл антивірусу). Це необхідне здобуття права відновити файли, коли лікування виявиться неуспішним через помилки у лечащем модулі антивірусу або за причини нездатності антивірусу лікувати даний вірус. І тут доведеться вдатися по допомогу будь-якого іншого антивірусу. Набагато надійніше, звісно, відновити заражені файли з backup-копии (якщо він є), проте, однак знадобляться послуги антивірусу — несподівано все копії вірусу виявляться знищені, або якщо файли в backup-копии також заражені. Слід зазначити, і що якість відновлення файлів багатьма антивірусними програмами залишає бажати кращого. Багато популярні антивіруси частенько необоротно псують файли замість лікування. Тому якщо втрата файлів небажана, то виконувати перелічені вище пункти рухається у обсязі. Що стосується завантажувального вірусу необхідно перевірити все дискети незалежно від того, завантажувальні вони (тобто. містять файли DOS) чи ні. Навіть цілком порожня дискета може бути джерелом поширення вірусу — досить забути їх у дисководу і перезавантажити комп’ютер (якщо, ясна річ, в BIOS Setup завантажувальним диском відзначений флоппи-диск) Окрім перерахованих вище пунктів необхідно звертати особливу увагу на чистоту модулів, стиснутих утилітами типу LZEXE, PKLITE чи DIET, файлів в архівах (ZIP, ARC, ICE, ARJ тощо.) і передачею даних в самораспаковывающихся файлах, створених утилітами типу ZIP2EXE. Якщо випадково упакувати файл, заражений вірусом, то виявлення і видалення такого вірусу без розпакування файла практично неможливо. У разі типовою буде ситуація, при якій усе антивірусні програми, нездатні сканувати всередині упакованих файлів, повідомлять у тому, що з вірусів очищені все диски, але кілька днів вірус з’явиться знову. Штами вірусу можуть проникнути й у backup-копии програмного забезпечення при відновленні цих копій. Причому архіви і backup-копии є головними постачальниками давно відомих вірусів. Вірус може роками «сидіти» в дистрибутивної копії будь-якого програмного продукту та, несподівано проявитися за умови встановлення програм на новому комп’ютері. Ніхто не гарантує знищення всіх копій комп’ютерного вірусу, оскільки файловий вірус може вразити як що їх файли, а й оверлейные модулі з розширеннями імені, відмінними від COM чи EXE. Завантажувальний вірус може залишитися на будь-якої дискеті і несподівано проявитися при випадкової спробі перезавантажитися з неї. Тому доцільно кілька днів після видалення вірусу постійно користуватися резидентным антивірусним сканером (а у тому, що бажано користуватися ним постійно) У розділі розглядаються ситуації, із якими може зіштовхнутися користувач у разі, коли він підозрює, що його комп’ютер вражений вірусом, та жодна з відомих йому антивірусних програм не дала позитивного результату. І де та як шукати вірус? Які у своїй необхідні інструментальні кошти, якими методами слід користуватися та яким правилам слідувати? Найперше правило — не панікувати. Ні до чого хорошому це призведе. Ви — вже не перший і останній, чий комп’ютер виявився заражених, при цьому не кожен збій комп’ютера є виявом вірусу. Тому частіше згадуйте приказку — «Не такий страшний чорт, як його малюють». До того ж поразка вірусом не найгірше, що може статися з комп’ютером. Якщо ні впевненості у власних силах — зверніться до системного програмісту, який допоможе локалізувати усунути вірус (якщо це справді вірус) чи знайти іншу причину «дивного» поведінки комп’ютера. Не слід телефонувати в антивірусні фірми з аналогічним запитанням: «Напевно, в моїй комп’ютері вірус. Що мені робити?». Допомогти вам не зможуть, бо видалення вірусу потрібно трохи більше інформації. Щоб антивірусна фірма могла надати реальної допомоги, їхньому адресу слід вислати зразок вірусу — заражений файл у разі файлового вірусу чи заражену дискету (чи його файл-образ) у разі завантажувального вірусу. Яким чином виявляються заражені файлы/диски, йтиметься нижче. Майте на увазі перед використанням антивірусних програм, тож утиліт завантажити комп’ютер з резервної копії DOS, розташованої на явно чистої від вірусів і захищеної від записи дискеті, й надалі використовувати програми тільки з дискет. Це потрібно, щоб застрахуватися від резидентного вірусу, оскільки може блокувати роботу програм чи використовувати їх роботу для інфікування перевірених файлов/дисков. Більше того, є велика кількість вірусів, знищують дані на диску, якщо вони «підозрюють», що й код то, можливо виявлено. Звісно ж, це вимога неможливо належить до макро-вирусам і до дискам, размеченным одним із нових форматів (NTFS, HPFS), — після завантаження DOS такий вінчестер виявиться недоступним для DOS-программ. Якщо комп’ютері виявлено сліди діяльності вірусу, але видимих змін — у файлах і системних секторах дисків немає, то цілком можливо, що вражений однією з «стелс"-вирусов. І тут необхідно завантажити DOS з явно чистої від вірусів дискети, що містить резервну копію DOS, і продовжує діяти, як і навіть якщо нерезидентным вірусом. Проте інколи це небажано, а деяких випадках неможливо (відомі, наприклад, випадки купівлі нових комп’ютерів, заражених вірусом). Тоді доведеться знайти й нейтралізувати резидентную частина вірусу, виконану за технологією «стелс». Постає питання: де у пам’яті як і шукати вірус або його резидентную частина? Є кілька способів інфікування пам’яті. Виявлення резидентного Windows-вируса є їх украй складним завданням. Вірус, перебувають у середовищі Windows як додаток чи VxD-двайвер, практично невидимий, оскільки одночасно активні кілька десятків додатків і VxD, і вірус зовнішніми ознаками від нього нічим не відрізняється. А, аби виявити программу-вирус до списків активних додатків і VxD, необхідно досконально розумітися на «нутрощах» Windows плюс повне уявлення про драйверах і додатках, встановлених цьому комп’ютері. Тому прийнятний спосіб упіймати резидентный Windows-вирус — завантажити DOS і перевірити запущені файли Windows методами, описаними выше.

Виявлення окремих груп вірусів Виявлення завантажувального вірусу У завантажувальних секторах дисків розташовані, зазвичай, невеликі програми, призначення яких у визначенні ж розмірів та кордонів логічних дисків (для MBR вінчестера) чи завантаженні ОС (для boot-сектора). На початку слід прочитати вміст сектора, підозрілого на наявність вірусу. З цією метою зручно використовувати DISKEDIT з «Нортоновских утиліт» чи AVPUTIL з професійного комплекту AVP. Деякі завантажувальні віруси відразу можна знайти наявністю різних текстових рядків (наприклад, вірус «Stoned» містить рядки: «Your PC is now Stoned!», «LEGALISE MARIJUANA!»). Деякі віруси, вражаючі boot-секторы дисків, навпаки, визначаються відсутністю рядків, які обов’язково повинні бути в boot-секторе. До таких рядкам ставляться імена системних файлів (наприклад, рядок «IO SYSMSDOS SYS») і рядки повідомлень помилки. Відсутність чи зміну строки-заголовка bootсектора (рядок, яка містить номер версії DOS чи назву фірмивиробники програмного забезпечення, наприклад, «MSDOS5.0» чи «MSWIN4.0») він може служити сигналом про зараження вірусом, якби комп’ютері не встановлено Windows95/NT — ці системи з невідомої мені причини записують їх у заголовок завантажувальних секторів дискет випадкові рядки тексту. Стандартний завантажник MS-DOS, що у MBR, займає менше половини сектора, і з віруси, вражаючі MBR вінчестера, досить просто помітити до збільшення довжини коду, що за секторі MBR. Проте і віруси, впроваджуваних в завантажник без зміни його текстових рядків і з мінімальними змінами коду завантажника. А аби виявити такий вірус, здебільшого досить відформатувати дискету на явно незараженном комп’ютері, зберегти в вигляді файла її boot-сектор, потім час використовувати в зараженому комп’ютері (записать/прочитать кілька файлів), а після цього на незараженном комп’ютері порівняти її boot-сектор з оригінальним. Якщо коді завантажувального сектора відбулися зміни — вірус впійманий. Є також віруси, використовують складніші прийоми зараження, наприклад, які змінюють при інфікуванні MBR лише три байта Disk Partition Table, відповідні адресою активного завантажувального сектора. Для ідентифікації такого вірусу доведеться здійснити детальніше дослідження кодів завантажувального сектора до повного аналізу алгоритму роботи його коду. Наведені міркування грунтуються у тому, що стандартні загрузчики (програми, записувані операційній системи у завантажувальні сектора) реалізують стандартні алгоритми завантаження операційної системи й оформляються відповідно до її стандартами. Якщо ж диски відформатовані утилітами, які входять у склад DOS (наприклад, Disk Manager), то тут для виявлення в них вірусу слід проаналізувати алгоритм праці та оформлення загрузчиков, створюваних такий утилітою. Виявлення файлового вірусу Як зазначалося, віруси діляться на резидентные і нерезидентные. Які досі резидентные віруси відрізнялися значно більшим підступництвом і витонченістю, ніж нерезидентные. Тож початку розглянемо найпростіший випадок — поразка комп’ютера невідомим нерезидентным вірусом. Такий вірус активізується під час запуску будь-якої зараженої програми, робить усе, що він повинен, передає управління программе-носителю й надалі (на відміну резидентных вірусів) не заважатиме її діяльності. Для виявлення такого вірусу необхідно порівняти довжини файлів на вінчестері й у дистрибутивных копіях (нагадування про важливості зберігання таких копій вже стала банальністю). Якщо це допоможе, то слід побайтно порівняти дистрибутивні копії з використовуваними програмами. Нині розроблено досить багато утиліт такого порівняння файлів, сама найпростіша їх (утиліта COMP) міститься у DOS. Можна ще переглянути скинути виконуваних файлів. У окремих випадках можна відразу знайти наявність вірусу наявністю у його коді текстових рядків. Багато віруси, наприклад, містять рядки: «.COM», «*.COM», «.EXE», «*.EXE», «*.*», «MZ», «COMMAND» тощо. Ці рядки часто зустрічаються на початку чи кінці заражених файлів. Є ще один спосіб візуального визначення зараженого вірусом DOS-файла. Він грунтується у тому, що що їх файли, вихідний текст яких написано мовою високого рівня, мають цілком певну структуру. У разі Borland чи Microsoft C/C++ сегмент коду програми перебуває у початку файла, а відразу його — сегмент даних, причому у на початку цього сегмента стоїть строка-копирайт фирмы-изготовителя компілятора. Якщо дампе такого файла за сегментом даних треба ще одну ділянку коду, то цілком мабуть, що файл заражений вірусом. І це справедливе й більшість вірусів, заражающих файли Windows і OS/2. У виконуваних файлах цих ОС стандартним є проживання сегментів у порядку: сегмент (ы) коду, далі йдуть сегменти даних. Якщо за сегментом даних йде іще одна сегмент коду, це він може служити сигналом присутність вірусу. Користувачам, знайомим із мовою Асемблер, можна спробувати дати раду кодах підозрілих програм. Для швидкого перегляду найкраще підходить HIEW (Hacker «p.s View) чи AVPUTIL. Для докладного вивчення знадобиться дизассемблер — Sourcer чи IDA. Рекомендується запустити жодну з резидентных антивірусних програмблокировщиков й прискіпливо стежити до її повідомленнями про «підозрілих» діях програм (запис в COMчи EXE-файлы, запис на диск з абсолютного адресою тощо.). Існують блокировщики, що перехоплюють такі дії, а й повідомляють адресу, звідки надійшов «підозрілий» виклик (до таким блокировщикам належить AVPTSR). Виявивши подібне повідомлення, слід з’ясувати, від якої програми він прийшов, і проаналізувати її коди з допомогою резидентного дизассемблера (наприклад, AVPUTIL.COM). При аналізі кодів програм, резидентно що у пам’яті, велику допомогу часто надає трасування переривань 13h і 21h. Слід зазначити, що резидентные DOS-блокировщики часто виявляються безсилі, якщо робота ведеться в DOS-окне під Windows95/NT, оскільки Windows95/NT дозволяють вірусу працювати «оминаючи» собі блокувальника (як, втім, й інших резидентных програм). DOS-длокировщики також нездатні зупинити поширення Windows-вирусов. Розглянуті вище методи виявлення файлових і завантажувальних вірусів підходять більшість як резидентных, і нерезидентных вірусів. Але ці методи спрацьовують, якщо вірус виконано за технологією «стелс», що робить непотрібним використання більшості резидентных блокировщиков, утиліт порівняння файлів читання секторів. Виявлення макро-вируса Характерними проявами макро-вирусов є: Word: неможливість конвертування зараженого документа Word на другий формат. Word: заражені файли мають формат Template (шаблон), оскільки за зараження Word-вирусы конвертують файли з формату Word Document в Template. лише Word 6: неможливість записи документа на другий каталог/на інший диск за командою «Save As». Excel/Word: в STARTUP-каталоге присутні «чужі» файли. Excel версій 5 і аналогічних сім: його присутність серед Книзі (Book) зайвих і прихованих Листов (Sheets). Для перевірки системи щодо наявності вірусу можна використовувати пункт меню Tools/Macro. Якщо виявлено «чужі макроси», вони можуть належати вірусу. Однак це метод спрацьовує у разі стелс-вирусов, які забороняють роботу цього пункту меню, що, своєю чергою, є достатньою підставою вважати систему зараженої. Багато віруси мають помилки чи некоректно працюють у різних версіях Word/Excel, у результаті Word/Excel видають повідомлення про помилку, наприклад: WordBasic Err = номер помилки Якщо така повідомлення з’являється при редагуванні нового документа чи таблиці і навіть явно не використовуються будь-які користувальні макроси, це він може служити ознакою зараження системи. Сигналом про вірус є та в файлах і системної конфігурації Word, Excel і Windows. Багато віруси тим чи іншим чином змінюють пункти меню Tools/Options — дозволяють чи забороняють функції «Prompt to Save Normal Template», «Allow Fast Save», «Virus Protection». Деякі віруси встановлюють на файли пароль за її зараження. Багато вірусів відкриває нові секції і/або опції в файлі конфігурації Windows (WIN.INI). Природно, що проявам вірусу ставляться такі очевидні факти, як поява повідомлень чи діалогів з досить дивним змістом чи мові, не співпадаючому із мовою встановленої версії Word/Excel. Однією з основних методів боротьби з вірусами є, як й у медицині, своєчасна профілактика. Комп’ютерна профілактика передбачає дотримання небагатьох правил, що дозволяє значно знизити ймовірність зараження вірусом і будь-яких даних. Щоб визначити основні правила комп’ютерної гігієни, необхідно з’ясувати основні шляху проникнення вірусу в комп’ютер та комп’ютерні сети.

Звідки беруться віруси? Основним джерелом вірусів нині є глобальна мережу Internet. Найбільше заражень вірусом відбувається за обміні листами в форматах Word/Office97. Користувач зараженого макро-вирусом редактора, сам того і не підозрюючи, розсилає заражені листи адресатам, які у своє чергу відправляють нові заражені листи тощо. Припустимо, що користувач веде з п’ятьма адресатами, кожен із яких листується з п’ятьма адресатами. Після посилки зараженого листи усі п’ять комп’ютерів, отримали його, виявляються зараженими. Потім з кожного знову зараженого комп’ютера вирушає ще п’ять листів. Одне йде тому за вже заражений комп’ютер, а чотири — новим адресатам. Отже, другою рівні розсилки заражене вже 1+5+20=26 комп’ютерів. Якщо адресати мережі обмінюються листами разів у день, чи до кінцю робочого тижня (за 5 днів) зараженими виявляться принаймні 1+5+20+80+320=426 комп’ютерів. Неважко порахувати, що з 10 днів зараженими виявляються понад сто тисяч комп’ютерів! І кожен день їх кількість буде учетверяться. Описаний випадок поширення вірусу є найчастіше регистрируемым антивірусними компаніями. Нерідко трапляється, коли заражений файл-документ чи таблиця Excel через недогляду потрапляє до списків розсилки комерційної інформації будь-якої великої компанії. І тут страждають не п’ять, а сотні і навіть тисячі абонентів таких розсилок, які потім розішлють заражені файли десяткам тисячам своїх абонентів. Електронні конференції, файл-серверы ftp і BBS Файл-серверы «загального користування» і електронні конференції також служать однією з основні джерела поширення вірусів. Практично кожну тиждень приходить повідомлення у тому, що якийсь користувач заразив свій комп’ютер вірусом, який зняли з BBS, ftp-сервера або з будь-якої електронної конференції. У цьому часто заражені файли «закладаються» автором вірусу сталася на кілька BBS/ftp чи надсилаються кільком конференцій одночасно, й інші файли маскуються під нові версії будь-якого програмного забезпечення (іноді — під нові версії антивірусів). Що стосується масової розсилки вірусу по файл-серверам ftp/BBS ураженими водночас може стати тисячі комп’ютерів, однак у вона найчастіше «закладаються» DOSчи Windows-вирусы, швидкість поширення що у сучасних умовах значно нижчі від, ніж макровірусів. Через це подібні інциденти практично будь-коли закінчуються масовими епідеміями, що не можна сказати про макро-вирусы.

Локальные мережі Третій шлях «швидкого зараження» — локальні мережі. Не приймати необхідних заходів захисту, то заражена робоча станція біля входу до мережу заражає чи кілька службових файлів на сервері (у разі Novell NetWare — LOGIN.COM) Наступного дня користувачі біля входу до мережу запускають заражені файли Замість службового файла LOGIN.COM може також виступати різне програмне забезпечення, встановлений на сервері, стандартні документишаблони чи Excel-таблицы, застосовувані у фірмі, тощо. Піратське програмне забезпечення Нелегальні копії програмного забезпечення, як це було завжди, є однією з основних «зон ризику». Часто піратські копії на дискетах і навіть у CD-дисках містять файли, заражені найрізноманітнішими типами вірусів. Персональні комп’ютери «загального користування» Небезпека представляють теж комп’ютери, встановлених у навчальних закладах. Якщо хтось із студентів приніс у своїх дискетах вірус і заразив будь-якої навчальний комп’ютер, то чергову «заразу» виснують і дискети всіх інших студентів, працівників цьому комп’ютері. Те саме стосується і до домашніх комп’ютерів, якби них працює більш як одного людини. Нерідкими є ситуації, коли сын-студент (або доньку), працюючи на многопользовательском комп’ютері в інституті, перетаскують звідти вірус на домашній комп’ютер, у результаті вірус потрапляє у комп’ютерну мережу фірми тата чи мами. Ремонтні служби Досить рідко, але досі цілком реальне зараження комп’ютера вірусом за його ремонті чи профілактичному огляді. Ремонтники — є людьми, і окремим властиво наплювательське ставлення до елементарним правилам комп’ютерної безпеки. Якось забувши закрити захисту від записи одному з своїх флоппи-дисков, такий «маестро» досить швидко рознесе заразу по машинам своєї клієнтури і найшвидше втратить її (клієнтуру). Кілька практичних рад Правило перше Вкрай обережно належите програмам і документам Word/Excel, які одержуєте з глобальних мереж. Перш ніж, як запустити файл виконання чи відкрити документ/таблицу, обов’язково перевірте їх у наявність вірусів. Використовуйте спеціалізовані антивіруси — для перевірки «на-лету» всіх файлів, які приходять електронною поштою (і з Інтернет у цілому). До жалю, нині мені невідомі антивіруси, які досить надійно ловлять віруси в які із Internet файлах, але з виключено, такі антивіруси з’явиться у найближчому будущем.

Правило друге — захист локальних мереж Для зменшення ризику заразити файл на сервері адміністраторам мереж слід активно використовувати стандартні можливості захисту мережі: обмеження прав користувачів; установку атрибутів «лише з читання» і навіть «лише з запуск» всім виконуваних файлів (на жаль, це завжди виявляється можливим) тощо. Використовуйте спеціалізовані антивіруси, перевіряльники «на льоту» файли, до яким ідуть звернення. Якщо це з будь-якої причини неможливо, регулярно перевіряйте сервер звичайними антивірусними програмами. Значно зменшується ризик зараження комп’ютерну мережу під час використання бездисковых робочих станцій. Бажано також до того, як запустити нове програмне забезпечення, спробувати його за тестовому комп’ютері, не підключеному до загальної мережі. Правило третє Краще купувати дистрибутивні копії програмного забезпечення у офіційних продавців, ніж безкоштовно або майже безплатно копіюватиме їхню з деяких інших джерел чи купувати піратські копії. У цьому значно знижується ймовірність зараження, хоча відомі випадки купівлі інфікованих дистрибутивів. Як наслідок від цього правила випливає необхідність зберігання дистрибутивных копій програмного забезпечення (зокрема копій ОС), причому копії бажано зберігати на захищених від записи дискетах. Користуйтеся лише з добре зарекомендували себе джерелами програм, тож інших файлів, це який завжди рятує (наприклад, на WWW-сервере Microsoft досить довго перебував документ, заражений макровірусом «Wazzu»). Очевидно, єдиними надійними з погляду захисту від вірусів є BBS/ftp/WWW антивірусних фирм-разработчиков. Правило четверте Намагайтеся не запускати неперевірені файли, зокрема отримані з комп’ютерну мережу. Бажано використовувати лише програми, отримані з надійних джерел. Перед запуском нових програм обов’язково перевірте їх однією або кількома антивирусами. Навіть якщо жоден антивірус не зреагував на файл, який зняли з BBS чи електронної конференції — не поспішайте його запускати. Почекайте тиждень, коли цей файл раптом виявиться заражений новим невідомим вірусом, то швидше за все хтось «настане на граблі» раніше вас і повідомить звідси. Бажано також, щоб за працювати з новим програмним забезпеченням в пам’яті резидентно перебував будь-якої антивірусний монітор. Якщо запускаемая програма заражене вірусом, такий монітор допоможе знайти вірус і «зупинити його поширення. Усе це наводь до потреби обмеження кола осіб, допущених на роботу на конкретному комп’ютері. Зазвичай, найчастіше піддаються зараженню «многопользовательские» персональні комп’ютери. Правило п’яте Користуйтеся утилітами перевірки цілісності інформації. Такі утиліти зберігають у спеціальних базах даних інформацію про системних областях дисків (чи повністю системні області) і інформацію про файлах (контрольні суми, розміри, атрибути, дати останньої модифікації файлів тощо.). Періодично порівнюйте інформацію, що зберігається у цій базі даних, із реальним вмістом вінчестера, оскільки будь-яке невідповідність може служити сигналом появу вірусу чи «троянської» програми. Правило шосте Періодично зберігайте осіб на зовнішньому носії файли, із якими ведеться робота. Такі резервні копії звуться backup-копий. Витрати на копіювання файлів, містять вихідні тексти програм, бази даних, документацію, значно менше витрат за відновлення цих файлів при прояві вірусом агресивних властивостей або за збої комп’ютера. За наявності стримера чи якогось іншого зовнішнього носія великого обсягу можна буде робити backup всього вмісту вінчестера. Але оскільки часу створення як і копії потрібно значно більше, ніж збереження лише робітників файлів, можна буде робити такі копії рідше. Інші правила Якщо ні потреби щодня вантажити систему з дискети, поставте в BIOS Setup порядок завантаження «спочатку — З, потім — A:». Це надійно захистить комп’ютер від завантажувальних вірусів. Не тіштеся вбудованої в BIOS захистом від вірусів, багато віруси «обходять» її за допомогою різних прийомів. І це вірно для систем антивірусної захисту, вмонтованих у Word і Office97. Вони також може бути відключено вірусом (чи самим користувачем, оскільки ці системи можуть сильно заважати у роботі). Проблема захисту від макро-вирусов Оскільки проблема макро-вирусов останнім часом перекриває все інші проблеми, пов’язані з іншими вірусами, у ньому слід зупинитися докладніше. Є кілька прийомів і вмонтованих у Word/Excel функцій, вкладених у запобігання запуску вірусу. Найбільш дієвою їх є захист від вірусів, вбудована в Word і Excel (починаючи з версій 7.0a). Ця захист під час відкриття файла, що містить будь-який макрос, повідомляє про його присутності й уряд пропонує заборонити цей макрос. Через війну макрос не тільки виконується, але й видно засобами Word/Excel. Така захист є дуже надійної, проте абсолютно некорисна, якщо користувач працює із макросами (будь-якими): вона відрізняє макроси вірусу від не-вируса і виводить попереджувала повідомлення під час відкриття практично будь-якого файла. Через це захист у вона найчастіше виявляється відключеною, що дозволяє вірусу поринути у систему. До того ж включення захисту від вірусів у вже зараженої системі ні в всіх випадках допомагає — деякі віруси, якось отримавши управління, при кожному запуску відключають захисту від вірусів отже повністю блокують її. Існують інші методи протидії вірусам, наприклад функція DisableAutoMacros, проте вона забороняє виконання інших макросів і блокує ті віруси, які для свого поширення використовують одне із авто-макросов. Запуск Word з опцією /M (чи з натиснутій клавіш Shift) відключає лише один макрос AutoExec отже теж може бути надійною захистом від вірусу. Відновлення уражених об'єктів Найчастіше зараження вірусом процедура відновлення заражених файлів і дисків зводиться запуску підходящого антивірусу, здатного знешкодити систему. Якщо ж вірус невідомий жодному антивірусові, то досить відіслати заражений файл фірмам-виробникам антивірусів і кілька днів (зазвичай — кілька днів або тижнів) отримати лекарство-«апдейт» проти вірусу. Якщо водночас не чекає, то знешкодження вірусу доведеться зробити самостійно. Відновлення файлов-документов і таблиць Для знешкодження Word і Excel досить зберегти всю необхідну інформацію в форматі не-документов і не-таблиц — найпридатнішою є текстовий RTF-формат, у якому практично усю інформацію з початкових документів і майже він макросів. Потім вийти з Word/Excel, знищити все заражені Word-документы, Excel-таблицы, NORMAL. DOT у Word і всі документы/таблицы в StartUp-каталогах Word/Excel. Після цього треба запустити Word/Excel й відновити документы/таблицы з RTF-файлов. У результаті процедури вірус буде винесений із системи, а практично всю інформацію залишиться не змінювалась. Однак це метод має низку недоліків. Основний із них — трудомісткість конвертування документів і майже таблиць в RTF-формат, якщо їх кількість велике. До того у випадку Excel необхідно окремо конвертувати все Листи (Sheets) у кожному Excel-файле. Другий недолік — втрата невирусных макросів, використовуваних під час роботи. Тому перед запуском описаної процедури слід зберегти їх вихідний текст, а після знешкодження вірусу — відновити необхідні макроси в початковому вигляді. Відновлення завантажувальних секторів Відновлення секторів здебільшого є досить простий операцією і виконується з допомогою DOS «овской команди SYS (завантажувальні сектора дискет і логічних дисків вінчестера) чи командою FDISK/MBR (Master Boot Record вінчестера). Можна, ясна річ, скористатися утилітою FORMAT, проте вона практично завжди команди SYS цілком досить. Слід пам’ятати, що лікування секторів необхідно здійснювати лише за умови відсутності вірусу оперативному пам’яті. Якщо копія вірусу в пам’яті не знешкоджена, то цілком можливо, що вірус повторно заразить дискету чи вінчестер по тому, як код вірусу буде винесений (навіть якщо скористатися утилітою FORMAT). Будьте також вкрай обережні під час використання FDISK/MBR. У цю команду наново переписує код программы-загрузчика системи та не змінює таблицю розбивки диска (Disk Partition Table). FDISK/MBR є 100% ліками більшість завантажувальних вірусів, проте, якщо вірус шифрує Disk Partition Table чи використовує нестандартні способи зараження, FDISK/MBR можуть призвести до втрати інформації на диску. Тому перед запуском FDISK/MBR переконаєтеся в коректності Disk Partition Table. І тому потрібно завантажитися з незараженной DOS-дискеты і перевірити коректність цієї таблиці (найзручніша програма цієї мети — Norton Disk Editor). Якщо ж відновлення секторів з допомогою SYS/FDISK неможливо, слід дати раду алгоритмі роботи вірусу, знайти на диску початковий boot/MBR-сектор і перенести його за законне місце (при цьому підходять Norton Disk Editor чи AVPUTIL). У цьому треба постійно пам’ятати, що при перезапису системних загрузчиков необхідно дотримуватися особливу обережність, оскільки результатом неправильного виправлення сектора MBR чи boot-сектора то, можливо втрата всієї необхідної інформації на диску (дисках). Відновлення файлів Переважна більшість випадків відновлення заражених файлів є досить складною процедурою, яку можна зробити «руками» без необхідних знань — форматів виконуваних файлів, мови ассемблера тощо. До до того ж зазвичай зараженими на диску виявляються відразу кількох десятків чи сотень файлів та їх знешкодження необхідно розробити власну программу-антивирус (можна також ознайомитися скористатися можливостями редактора антивірусних баз з комплекту AVP версій 2. x). При лікуванні файлів треба враховувати такі правила: необхідно протестувати і вилікувати все що їх файли (COM, EXE, SYS, OVL) переважають у всіх каталогах всіх дисків незалежно від атрибутів файлів (тобто. файли read-only, системні і приховані); бажано зберегти незмінними атрибути і дату останньої модифікації файла; необхідно врахувати можливість багаторазового поразки файла вірусом («бутерброд» з вірусів). Саме лікування файла виробляється у вона найчастіше однією з кількох стандартних способів, залежать від алгоритму розмноження вірусу. У більшості випадків це зводиться до відновлення заголовка файла і зменшенню його довжини. Дезактивація оперативної пам’яті Процедура дезактивації пам’яті, як і лікування заражених файлів, вимагає деяких знань про операційній системи та обов’язкового знання азыка Асемблер. При лікуванні оперативної пам’яті необхідно знайти коди вірусу й змінити їх в такий спосіб, щоб вірус надалі не заважав роботі антивірусної програми — «відключити» підпрограми зараження і стелс. І тому потрібно повний аналіз коду вірусу, оскільки процедури зараження і стелс можуть розташовуватися у різних ділянках вірусу, дублювати одне одного й отримувати управління за умов. Найчастіше для дезактивації пам’яті досить «обрубати» переривання, перехватываемые вірусом: INT 21h у разі файлових вірусів і INT 13h у разі завантажувальних (існують, ясна річ, віруси, перехватывающие інші переривання чи кілька переривань). При дезактивації TSR-копии вірусу пам’ятаймо, що вірус може робити спеціальні заходи на відновлення своїх кодів (наприклад, деякі віруси сімейства «Yankee» відновлюють їхніх з допомогою методів помехо-защищенного кодування), й у цьому випадку доведеться нейтралізувати і механізм самовідновлення вірусу. Деякі віруси, ще, підраховують CRC своєї резидентной копії і перезавантажують комп’ютер чи стирають сектора диска, якщо CRC не збігаються з оригінальним значенням. У такому разі слід «знешкодити» ще й процедуру підрахунку CRC. Аналіз алгоритму вірусу На погляд, найзручнішим для збереження і аналізу вірусу об'єктом є файл, у якому його (вірусу) тіло. Практика показує, для аналізу файлового вірусу зручніше мати кілька заражених файлів різної, але дуже великий, довжини. У цьому бажано мати заражені файли всіх типів (COM, EXE, SYS, BAT, NewEXE), поражаемых вірусом. Якщо необхідно проаналізувати частина оперативної пам’яті, то, при допомоги деяких утиліт (наприклад, AVPUTIL.COM) досить просто виділити ділянку, де міститься вірус, і скопіювати його за диск. Якщо потрібно аналіз сектора MBR чи boot-сектора, то скопіювати в файли можна з допомогою популярних «Нортоновских утиліт» чи AVPUTIL. Для зберігання завантажувального вірусу найзручнішим є файл-образ зараженого диска. На його отримання необхідно відформатувати дискету, заразити її вірусом, скопіювати образ дискети (все сектора, починаючи з нульового і закінчуючи останнім) в файл й за необхідності скомпрессировать його (її можна проробити з допомогою «Нортоновских утиліт», програм TELEDISK чи DISKDUPE). Заражені файли чи файл-образ зараженої дискети краще передати розробникам антивірусних програм електронною поштою чи, в крайньому разі, на дискеті звичайною поштою. Але якщо це піде чимало часу, яке, як відомо, не чекає, то користувачам, досить впевненим в собі спробувати, й самостійно дати раду вірус і змусив написати власний антивірус. При аналізі алгоритму вірусу доведеться з’ясувати: способ (ы) розмноження вірусу; характер можливих ушкоджень, які вірус завдав інформації, що зберігається на дисках; метод лікування оперативної пам’яті і заражених файлів (секторів). За позитивного рішення з завдань замало без дизассемблера чи отладчика (наприклад, отладчиков AFD, AVPUTIL, SoftICE, TorboDebugger, дизассемблеров Sourcer чи IDA). І отладчики, і дизассемблеры мають значення і позитивні й негативні риси — кожен вибирає очевидно: він вважає зручнішим. Нескладні короткі віруси швидко «розкриваються» стандартним отладчиком DEBUG, під час аналізу об'ємних і высокосложных полиморфик-стелс-вирусов замало без дизассемблера. Якщо необхідно швидко знайти метод відновлення уражених файлів, досить пройтися отладчиком по початку вірусу доти місця, де зараз його відновлює завантажену програму до того, як передати їй управління (саме цей алгоритм найчастіше використовується під час лікування вірусу). Якщо ж потрібна отримати детальну картину роботи вірусу чи добре документований лістинг, то крім дизассемблеров Sourcer чи IDA з їх можливостями відновлювати перехресні посилання, тут навряд що допоможе. До того ж варто враховувати, що, по-перше, деякі віруси доволі вдало блокують спроби протрассировать їх коди, а по-друге, під час роботи з отладчиком існує ненульова можливість, що вірус вирветься з-під контролю. При аналізі файлового вірусу необхідно з’ясувати, які файли (COM, EXE, SYS) уражаються вірусом, у який місце (місця) в файлі записується код вірусу — на початок, кінець чи середину файла, що не обсязі можливо відновлення файла (в цілому або частково), де вірус зберігає відновлювану інформацію. При аналізі завантажувального вірусу основним завданням є з’ясування адреси (адрес) сектора, у якому вірус зберігає початковий завантажувальний сектор (якщо, звісно, вірус зберігає його). Для резидентного вірусу потрібно також виділити ділянку коду, створює резидентную копію вірусу і обчислити можливі адреси точок входу в перехватываемые вірусом переривання. Слід також визначити, яким способом мислення й де у оперативної пам’яті вірус виділяє місце для своєї резидентной копії: записується чи вірус за фіксованими адресами до системні області DOS і BIOS, зменшує чи розмір пам’яті, виділеної під DOS (слово за адресою [0000:0413]), створює з себе спеціальний MCB-блок або використовує якоїсь іншої спосіб. Існують особливі випадки, коли аналіз вірусу може дуже складної для користувача завданням, наприклад під час аналізу полиморфик-вируса. У цьому вся разі краще — звернутися до спеціаліста з аналізу кодів програм. Для аналізу макро-вирусов необхідно одержати текст їх макросів. Для нешифрованных не-стелс вірусів це досягається з допомогою меню Tools/Macro. Якщо ж вірус шифрує свої макроси чи використовує стелс-приемы, то необхідно скористатися спеціальними утилітами перегляду макросів. Такі спеціалізовані утиліти є в кожної фірми-виробника антивірусів, але вони є утилітами «внутрішнього користування» і поширюються межі фірм. Сьогодні відома єдина shareware-программа для перегляду макросів — Perforin. Однак це утиліта доки підтримує файли Office97.

Заключение

Вирусы — були й залишаються серйозної проблемою в комп’ютерному світі, але не всі проблеми, хто був ними створені було й антивіруси допомагають уникнути повтору таких «критичних ситуацій». Боротьбою з вірусами займається безліч фахівців у сотнях компаній, і вони успішно вирішують проблему вірусів. І якщо ви використовуєте на своїх комп’ютері антивірус і обновляете його бази, то 95% що проблеми вірусів у вас це не виникне вообще.