Б) Що може і чого не може комп'ютерний вірус

Комп'ютерний вірус може заразити дуже обмежене число файлів. Перерахуємо ці файли. У першу чергу це виконувані файли з розширенням. Com і. Ехе, потім - драйвери пристроїв з розширеннями. Sys і тим же. Ехе. динамічні бібліотеки (розширення dll) і. нарешті, оверлейні модулі виконуваних файлів (як правило, мають розширення. ovl).

Існують віруси, що заражають пакетні. Bat файли, але ці віруси вкрай примітивні і надходять дуже просто: вони вставляють в пакетні файли команди свого виклику. Спіймати такі віруси не становить труднощів.

Також можуть бути піддані зараженню файли документів і шаблонів редакторів, в яких при відкритті документа передбачено виконання макрокоманд. Зокрема, це. Doc і. Dot файли текстового редактора Word,. Xls і, xlt файли табличного редактора Excel.

Ні за яких умов не можуть бути піддані зараженню текстові (. Txt) і графічні файли (. Tif,. Gif,. Bmp тощо), файли даних та інформаційні файли.

В) Заразитися комп'ютерним вірусом можна тільки в дуже обмеженій кількості випадків

Це:

1. Запуск на комп'ютері виконуваної програми, зараженої вірусом.

2. Завантаження комп'ютера з дискети, яка містить завантажувальний вірус.

3. Підключення до системи зараженого драйвера.

4. Відкриття документа, зараженого макровірусів.

5. Установка на комп'ютері зараженої операційної системи.

Комп'ютер не може бути заражений, якщо:

1. На нього переписувалися текстові та графічні файли (за винятком файлів, які передбачають виконання макрокоманд).

2. На ньому вироблялося копіювання з однієї дискети на іншу за умови, що ні один файл з дискет не запускався.

3. На комп'ютері проводиться обробка принесених ззовні текстових і графічних файлів, файлів даних та інформаційних файлів (за винятком файлів, які передбачають виконання макрокоманд).

Переписування на комп'ютер зараженого вірусом файлу ще не означає зараження його вірусом. Щоб зараження відбулося потрібно або запустити заражену програму, або підключити заражений драйвер, або відкрити заражений документ (або, природно, завантажитися з зараженої дискети).

Інакше кажучи, заразити свій комп'ютер можна тільки в тому випадку, якщо запустити на ньому неперевірені програми і (або) програмні продукти, встановити неперевірені драйвера і (або) операційні системи, завантажитися з неперевіреною системної дискети або відкрити неперевірені документи, піддані зараженню макровирусами.

Не варто приписувати всі збої в роботі обладнання або програм дії комп'ютерного вірусу. Вірус - це звичайна програма причому невеликого розміру, і вона не може здійснювати ніяких надприродних дій.

Г) Типи вірусів

Віруси - супутники. Найбільш примітивний тип вірусів. Для кожного файлу з розширенням. Ехе створюють файл з тим же ім'ям, але з розширенням. Com. містить тіло вірусу. При запуску файлу операційна система спочатку шукає. Com файли, а потім. Ехе файли. Тому спочатку управління отримує вірус, а потім вже він сам викликає необхідний ехе файл.

Файлові віруси. Вражають файли з розширенням. Com,. Ехе, рідше. Sys або оверлейні модулі. Ехе файлів. Ці віруси дописують своє тіло на початок, середину або кінець файлу і змінюють його таким чином, щоб першими отримати управління. Деякі з цих вірусів не дбають про збереження заражає файли, в результаті чого він виявляється непрацездатним, і, що найсумніше, такий файл не можна відновити. Частина цих вірусів залишається в пам'яті резидентної.

Завантажувальні віруси. Вражають завантажувальні сектори дисків. Інфікування нових дисків відбувається в той момент, коли в заражений комп'ютер вставляють нову дискету і починають з нею працювати. Часто вірус не збожеволіє цілком у завантажувального запису, туди пишеться тільки його початок, а продовження тіла вірусу зберігається в іншому місці диска. Після запуску залишаються в пам'яті резидентної.

Віруси, що поєднують в собі властивості файлових і завантажувальних вірусів. Такі віруси можуть вражати як файли, так і завантажувальні сектори.

Віруси DIR *. Цікавий клас вірусів, що з'явився недавно. Ці віруси змінюють файлову систему диска дуже хитрим чином. У таблиці розміщення файлів (FAT) для всіх виконуваних файлів посилання на початок замінюються посиланнями на тіло вірусу. Адреси ж почала файлів в закодованому вигляді містяться в невикористовувані елементи директорії. У результаті, як тільки ви запускаєте будь-яку програму, управління автоматично отримує вірус. Він залишається в пам'яті резидентної і при роботі відновлює правильні посилання на початку файлів. Якщо диск, заражений вірусом DIR, потрапляє на чистий комп'ютер, рахувати з нього дані, природно, виявляється неможливим (читається тільки один кластер). При спробі протестувати файлову структуру - скажімо Norton Disk Doctor - на екран видається повідомлення про величезну кількість помилок, але варто запустити хоч одну програму з зараженого диска, як файлова система відразу ж "відновлюється". Насправді ж відбувається інфікування ще одного комп'ютера.

Макровіруси. Досить оригінальний клас вірусів (хоча вірусами в повному сенсі цього слова їх навіть не можна назвати), що заражає документи, в яких передбачено виконання макрокоманд. При відкритті таких документів спочатку виконуються дії (спеціальні програми високого рівня), що містяться в цьому документі,-макровірус якраз іпредставляет собою таку макрокоманду. Таким чином, як тільки буде відкрито заражений документ, вірус отримає управління і зробить все шкідливий дії (зокрема, знайде і заразить ще не заражені документи).

Механізми захисту вірусів від виявлення

Як правило віруси легко виявляються з особливих ділянках коду тіла вірусу. Правда, останнім часом широкого поширення набули два нових типи вірусів - віруси-невидимки (або стелс-віруси) і самомодіфіцірующіеся віруси (віруси-привиди).

Стелс-віруси (від англійського stealth - Стелс-вірус - вірус, тим чи іншим способом приховує свою присутність в системі.) Реалізують дуже хитрий механізм, що утруднює їх виявлення. При зараженні ці віруси залишаються у пам'яті резидентної і при зверненні до заражених файлів і областях диска підміняють інформацію так, що "замовник" отримує її в незараженою, початковому вигляді. Досягається це перехоплювання звернень DOS і установкою своїх векторів переривань. Побачити такий вірус можна або на незараженою компьетере (наприклад, завантажившись з явно чистої дискети), або в тому випадку, коли програма не користується засобами DOS а прямо звертається до диску.

Віруси-примари маскуються за допомогою іншого механізму. Ці віруси постійно модифікують себе таким. чином ', що не містять однакових фрагментів. Такі віруси зберігають своє тіло в закодованому вигляді і постійно змінюють параметри цієї кодування. Стартова ж частина, що займається декодуванням безпосередньо самого тіла, може генеруватися дуже складним способом. При перенесенні вірусу даного типу з комп'ютера на комп'ютер код вірусу змінюється таким чином, що вже не має нічого спільного зі своїм попереднім варіантом. А частина вірусів може самомодіфіціроваться і в межах одного комп'ютера. Виявлення таких вірусів дуже ускладнене, хоча частина антивірусних програм намагається знаходити їх по дільницях коду, характерним для стартової частини.

* - DIR - Поле у клітинці управління ресурсами, що показує напрямок RM-осередки по відношенню до потоку даних, з яким цей осередок пов'язана. Джерело даних встановлює DIR = 0, одержувач - DIR = 1.

д) Що робити, якщо зараження вже сталося

Стандартні дії при зараженні вірусом

Ви повинні:

Відразу ж вимкнути живлення, щоб вірус перестав поширюватися далі. Єдине, що можна зробити до виключення живлення, - це зберегти результати поточної роботи. Не слід використовувати гарячу перезавантаження (Ctrl + Alt + Del), тому що деякі віруси при цьому зберігають свою активність.

Увійти в SETUP і включити завантаження з диска А:. Заодно рекомендується перевірити правильність всіх установок, включаючи параметри жорстких дисків. Якщо відбулися які-небудь зміни, то необхідно відновити старі значення.

Ні в якому разі не запускати жодної програми, яка знаходиться на жорсткому диску.

Необхідно завантажитися з дискети (вона повинна бути захищена від запису) і запустити по черзі програми-детектори, що знаходяться на дискеті. Якщо одна з програм виявить завантажувальний вірус, то його можна тут же видалити, аналогічно треба вчинити і при наявності вірусу DIR. Врахуйте, що вірусів може бути багато.

Якщо програма-детектор виявить файловий вірус, то можливі два варіанти дій. Якщо у вас

встановлена ​​програма-ревізор з лікуючим модулем, то відновлення файлів краще робити з її допомогою.

Якщо таке програми немає. то необхідно скористатися для лікування одним з детекторів. Зіпсовані файли (якщо, звичайно, вони не текстові і не файли даних) необхідно видалити.

Після того як всі віруси видалені, необхідно заново перенести операційну систему на жорсткий диск (за допомогою команди SYS).

Необхідно перевірити цілісність файлової системи на вінчестері (за допомогою CHKDSK) і виправити всі пошкодження. Якщо таких пошкоджень дуже багато, то перед виправленням файлової структури необхідно спробувати скопіювати найбільш важливі файли на дискети.

Необхідно ще раз перевірити жорсткий диск на наявність вірусів, якщо таких не виявилося, то можна перезавантажитися з вінчестера. Після перезавантаження вінчестера необхідно оцінити втрати від дій вірусу. Якщо пошкоджень дуже багато, то простіше заново переформатувати вінчестер (при необхідності зберігши найважливіші файли).

Необхідно відновити всі необхідні файли і програми з допомогою архіву - і для страковкі, ще раз завантажившись з дискети, протестувати вінчестер. Якщо знову буде виявлений вірус, то-вам не пощастило, ваш архів також заражений вірусом. У цьому випадку ви повинні протестувати весь ваш архів.

Якщо все гаразд, то необхідно перевірити всі дискети, які могли виявитися зараженими вірусом і при необхідності пролікувати їх. Не забудьте тільки відключити завантаження з диска А:.

Після того як вірус дезактивірован, ви можете продовжувати свою роботу. Рекомендується тільки підключити на деякий час одну з програм-фільтрів.

Нестандартні ситуації

Під час вірусної атаки може виникнути ряд нестандартних ситуацій. Розглянемо їх.

Якщо у вас встановлений менеджер диска, то при завантаження з дискети частина дисків може бути недоступна. Тоді необхідно пролікувати спочатку всі доступні на даний момент диски, потім завантажитися з жорсткого системного диска і пролікувати все залишилися логічні диски.

Якщо при завантаженні з дискети з'ясовується, що система просто "не бачити" ваш вінчестер, то швидше за все вірус пошкодив таблицю розбиття жорсткого диска. У цьому випадку необхідно ще раз перевірити установки SETUP і спробувати відновити розбиття за допомогою Norton Disk Doctor (або, якщо ви добре уявляєте собі свої дії, за допомогою Norton Disk Edit). Якщо це не допоможе, то, на жаль, вся інформація з вінчестера втрачена, залишається тільки скористатися програмою FDISK.

Якщо ви зіткнулися з невідомим вірусом, то справа йде трохи складніше. По-перше, ви можете скористатися програмою-ревізором, якщо вона у вас встановлена. Цілком можливо, що вона допоможе знешкодити ваш вірус. Якщо її немає або вона не допомогла, то залишається тільки заново перенести операційну систему, а потім видалити з нього всі виконувані і пакетні файли, драйвери і оверлейні файли, після чого відновити їх з архіву. Можна також скористатися послугами антивірусної швидкої допомоги.

І на закінчення одне зауваження. Не варто приписувати всі ваші неприємності діям вірусу. Говорити ж про дію невідомого вірусу, а тим більше вдаватися до радикальних заходів слід тільки тоді, коли не залишається жодних сумнівів. Варто спочатку спробувати відновити файли, і, тільки якщо це не вдається, видалити їх.

Ситуація, яка склалася зараз в області вірусної безпеки, досить стабільна. Різні організації (крім, звичайно, Інститутські навчальні центри, на яких пробують свої сили юні автори вірусів) піддаються вірусним атакам дуже рідко, - не кажучи вже про індивідуальних користувачів.