Реферат: Компьюторныые вирусы
вируса. Имеются две основные разновидности этих средств:
_ копирование информации - создание копий файлов и системных об-
ластей дисков;
_ разграничение доступа предотвращает несанкционированное ис-
пользование информации, в частности, защиту от изменений прог-
рамм и данных вирусами, неправильно работающими программами и
ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важ-
ны для защиты от вирусов, все же их одних недостаточно. Необходи-
мо и применение специализированных программ для защиты от вирусов.
Эти программы можно разделить на несколько видов:
_ Программы-детекторы позволяют обнаруживать файлы, зараженные
одним из нескольких известных вирусов.
_ Программы-доктора, или "фаги", "лечат" зараженные программы или
диски, "выкусывая" из зараженных программ тело вируса, т.е. вос-
станавливая программу в том состоянии, в котором она находилась до
заражения вирусом.
_ Программы-ревизоры сначала запоминают сведения о состоянии
программ и системных областей дисков, а затем сравнивают их сос-
тояния с исходным. При выявлении несоответствий об этом сообщает-
ся пользователю.
_ Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. прог-
раммы, которые не только обнаруживают изменения в файлах и систем-
ных областях дисков, но и могут в случае изменений автоматически
вернуть их в исходное состояние.
_ Программы-фильтры располагаются резидентно в оперативной памя-
ти компьютера и перехватывают те обращения к операционной системе,
которые используются вирусами для размножения и нанесения вреда, и
сообщают о них пользователю. Пользователь может разрешить или зап-
ретить выполнение соответствующей операции.
Следует учесть, что ни один тип антивирусных программ в от-
дельности не может полностью защитить от вирусов и поэтому советы
типа "вставьте команду запуска Aidstest в AUTOEXEC.BAT" не будут
достаточными. Наилучшей стратегией защиты от вирусов является ком-
плексная многоуровневая защита:
_ Перед первым этапом следует разместить программы-детекторы,
позволяющие проверять вновь полученное програмное обеспечение на
наличие вирусов;
_ На первом этапе размещаются программы-фильтры, т.к. они первы-
ми сообщат о работе вируса и предотвратят заражение программ и
дисков;
_ На втором этапе размещаются ревизоры и доктора: они позволяют
обнаружить вирусы, "пробившиеся" через первый этап, а затем выле-
чить зараженные программы, но следует учитывать, что они не всег-
да лечат правильно и идеальным вариантом было бы иметь копию нуж-
ных программ в архивах на дискетах, защищенных от записи.
_ Самый главный этап защиты - разграничение доступа, которое не
позволяет проникшим вирусам и неверно работающим программам испор-
тить важные данные.
Действия при заражении вирусом.
При заражении компьютера вирусом (или при подозрении на это)
важно соблюдать четыре правила:
1. Прежде всего не надо торопиться и принимать опрометчивых реше-
ний: опрометчивые действия могут привести не только к потере час-
ти файлов, которые можно было бы восстановить, но и к повторному
заражению компьютера.
2. Тем не менее одно действие должно быть выполнено немедленно -
надо выключить компьютер, чтобы вирус не продолжал своих разруши-
тельных действий.
3. Все действия по обнаружению последтвий заражения и лечению
компьютера следует выполнять только при перезагрузке компьютера с
защищенной от записи "эталонной" дискеты с операционной системой.
При этом следует использовать только программы (исполнимые файлы),
хранящиеся на защищенных от записи дискетах. Несоблюдение этого
правила может привести к очень тяжелым последствиям, поскольку при
перезагрузке DOS или запуске программы с зараженного диска в ком-
пьютере может быть активирован вирус, а при работающем вирусе ле-
чение компьютера будет бессмысленным, так как оно будет сопровож-
даться дальнейшим заражением дисков и программ.
4. Если Вы не обладаете достаточными знаниями и опытом для лече-
ния компьютера, попросите помочь Вам более опытных коллег.
Если Вы используете резидентную программу-фильтр для защиты от
вируса, то наличие вируса в какой-либо программе можно обнаружить
на самом раннем этапе, когда вирус не успел еще заразить другие
программы и испортить какие-либо файлы. В этом случае следует пе-
резагрузить DOS с дискеты и удалить зараженную программу, а затем
переписать эту программу с эталонной дискеты или восстановить ее
из архива. Для того, чтобы выяснить, не испортил ли вирус ка-
ких-то других файлов, следует запустить программу-ревизор для про-
верки изменений в файлах, желательно с широким списком проверяе-
мых файлов. Чтобы в процессе проверки не продолжать заражение ком-
пьютера, следует запускать исполнимый файл программы-ревизора, на-
ходящийся на дискете.
Лечение компьютера.
Рассмотрим более сложный случай, когда вирус уже успел заразить
или испортить какие-то файлы на дисках компьютера. При этом эк-
сперты рекомендуют следующие действия:
1. Перезагрузить операционную систему DOS с заранее подготовлен-
ной эталонной дискеты. Эта дискета, как и другие дискеты, ис-
пользуемые при ликвидации последствий заражения компьютерным виру-
сом, должна быть снабжена наклейкой для защиты от записи (пятидюй-
мовые дискеты) или открыта защелка защиты от записи (трёхдюймовые
дискеты), чтобы вирус не мог заразить или испортить файлы на этих
дискетах. Замечу, что перезагрузку не следует выполнять с помощью
"Alt+Ctrl+Del", так как некоторые вирусы ухитряются "переживать"
такую перезагрузку.
2. Если для Вашего компьютера имеется программа для установки
конфигурации (для моделей IBM PC AT и PS/2 она имеется всегда;
часто она вызывается при нажатии определенной комбинации клавиш во
время начальной загрузки компьютера), следует выполнить эту прог-
рамму и проверить, правильно ли установлены параметры конфигура-
ции компьютера (они могут быть испорчены вирусом). Если они уста-
новлены неправильно, их надо переустановить.
3. Далее следует сам процесс лечения:
Если на диске для всех нужных файлов имеются копии в архиве,
проще всего заново отформатировать диск, а затем восстановить все
файлы на этом диске с помощью архивных копий. Допустим, что на
диске имеются нужные файлы, копий которых нет в архиве, например,
на диске D:, тогда нужно следовать следующим указаниям:
_ Запустить для диска программу-детектор, обнаруживающую тот ви-
рус, заражению которым подвергся компьютер (если Вы не знаете, ка-
кой детектор обнаруживает данный вирус, запускайте все имеющиеся
программы-детекторы по очереди, пока одна из них не обнаружит ви-
рус). Режим лечения при этом лучше не устанавливать. Если програм-
ма-детектор обнаружила загрузочный вирус, Вы можете смело ис-
пользовать ее режим лечения для устранения вируса. При обнаруже-
нии вируса DIR его также надо удалить с помощью антивирусной прог-
раммы, ни в коем случае не используя для этого программы типа NDD
или ChkDsk.
_ Теперь ( когда известно, что вирусов типа DIR на диске нет )
можно проверить целостность файловой системы и поверхности диска с
помощью программы NDD: "NDD D: /C". Если повреждения файловой сис-
темы значительны, то целесообразно скопировать с диска все нужные
файлы, копий которых нет в архиве, на дискеты и заново отформати-
ровать диск. Если диск имеет сложную файловую структуру, то можно
попробовать откорректировать ее с помощью программы DiskEdit (из
комплекса Norton Utilities).
_ Если Вы сохраняли сведения о файлах на диске для программы-ре-
визора, то полезно запустить программу-ревизор для диагностики из-
менений в файлах. Это позволит установить, какие файлы были зара-
жены или испорчены вирусом. Если программа-ревизор выполняет так-
же функции доктора, можно доверить ей и восстановление зараженных
файлов.
_ Удалить с диска все ненужные файлы, а также файлы, копии кото-
рых имеются в архиве. Те файлы, которые не были изменены вирусом
(это можно установить с помощью программы-ревизора), удалять не
обязательно.
Ни в коем случае нельзя оставлять на диске COM- и EXE-файлы, для
которых программа-ревизор сообщает, что они были изменены. Те COM-
и EXE-файлы, о которых неизвестно, изменены они вирусом или нет,