Если вирус все-таки не обнаруживается, можно предпринять следующие меры:

* может быть, вируса все-таки нет и зря беспокоиться не надо? Посоветуйтесь с более опытными специалистами;

* как известно, самое надежное средство от головной боли -- гильотина. Скопируйте с зараженного диска на дискеты (или иные носители) все созданные Вами файлы, резервных копий которых не имеется (кроме исполнимых файлов, ими придется пожертвовать), заново отформатируйте жесткий диск, а затем заново установите все пакеты программ с дистрибутивов, а собственные данные -- с резервных копий;

* можно воспользоваться предоставляемыми фирмой «Диалог-Наука» услугами скорой антивирусной помощи с выездом специалиста на место. Естественно, это делается далеко не бесплатно. Информацию по этому поводу можно получить по тел. (095)938-28-55, 938-29-70;

* та же фирма изготавливает по заказам клиентов новые версии программ Aidstest и Dr.Web, обнаруживающие и удаляющие новые вирусы.

Иногда программы-детекторы не могут правильно восстановить загрузочный сектор диска или главную загрузочную запись жесткого диска. При этом обычно выдается соответствующее сообщение, например;

Возможно некорректное лечение загрузочного сектора! Продолжить лечение?

Это сообщение может быть вызвано тем, что исходная главная загрузочная запись (Master Boot Record, MBR) или загрузочный сектор (Boot Sector) диска не были найдены в секторе, где вирус обычно их «прячет». Причиной тому может быть либо проведенная кем-либо модификация вируса, либо заражение компьютера несколькими загрузочными вирусами. В подобных случаях обычно лучше отказаться от лечения и восстановить системные области диска другими средствами, например:

* другой программой-детектором, если она лучше знает данную модификацию вируса;

* со спасательной дискеты, созданной программой Rescue, если Вы сохраняли системные области диска на спасательную дискету;

* командой SYS, если поврежден оказался загрузочный сектор диска;

* командами FDISK/MBR и затем, после перезагрузки, NDD /REBUILD, если повреждены таблицы разбиения жесткого диска.

Однако следует иметь в виду, что иногда подобное восстановление системных областей диска приводит к потере части данных (или всех данных) на диске (например, если вирус зашифровал какие-то сектора жесткого диска).

Если вирус испортил системные области диска или содержимое CMOS-памяти, то жесткий диск или отдельные его логические диски могут быть вообще «не видны», в том числе и антивирусным программам. В этом случае следует восстановить со спасательной дискеты, созданной программой Rescue сначала содержимое CMOS-памяти, если это не помогает -- то таблицы разбиения жесткого диска, а если и это не помогает -- то загрузочные записи. Чтобы увидеть, помогло или нет то или иное действие, надо перезагрузить компьютер. После этого логические диски должны опознаваться, но содержимое этих дисков может быть все же недоступно (скажем, если вирус разрушил корневой каталог диска, то диск может представляться пустым или содержащим «мусор»), В этих случаях следует сначала попробовать запустить антивирусные программы-детекторы, а если они не помогут, то воспользоваться программами NDD и/или UnFormat.

Если спасательной дискеты Вы не создавали, то содержимое CMOS-памяти придется восстанавливать вручную с помощью программы конфигурирования компьютера, таблицы разбиения жесткого диска -- с помощью команд FDISK/MBR и (после перезагрузки) NDD/REBUILD , а загрузочных записей -- с помощью команды SYS. Однако лучше сначала посмотреть на содержимое жесткого диска программой DiskEdit (если Вы понимаете правила размещения данных на жестком дискt, чтобы выяснить, что же с жестким диском произошло.

Иногда восстановление системных областей диска приводит к потере части данных (или всех данных) на диске -- например, если вирус зашифровал какие-то сектора диска.

4. ЧТО МОГУТ И ЧЕГО НЕ МОГУТ КОМПЬЮТЕРНЫЕ ВИРУСЫ

У многих пользователей компьютеров из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати, создается своеобразный комплекс боязни вирусов («вирусофобия»), Этот комплекс имеет два проявления.

1. Склонность приписывать любое повреждение данных или необычное явление на компьютере действию вирусов. Например, если у «вирусофоба» не форматируется дискета, то он объясняет это не дефектами дискеты или дисковода, а действием вирусов. Если программа «зависает», то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования, чем действием вирусов.

2. Преувеличенные представления о возможностях вирусов. Некоторые пользователи думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров, объединенных в сеть, или даже просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приведет к заражению остальных.

Вирусофобия вовсе не так безобидна, как это может показаться на первый взгляд. Она приводит, например, к следующим последствиям.

1. Принятие неадекватных, я бы даже сказал, экстремистских, мер при появлении вируса или даже при подозрении на наличие вируса. Так, я знаю организацию, в которой по приказу начальства были переформатированы жесткие диски на полусотне компьютеров из-за сообщений программы Aidstest о том, что в оперативной памяти находится что-то похожее на вирус. Никакие доводы специалистов, что к таким мерам прибегать нет необходимости, услышаны не были. В спешке были потеряны сотни человеко-дней работы и множество важных документов. А потом оказалось, что никакого вируса вообще не было, a Aidstest «ругался» на русификатор Microsoft Word фирмы «ПараГраф», Кстати, в более новой версии Aidstest никаких сообщений по поводу этого русификатора уже не выдавалось.

2. Неоправданная изоляция от окружающего мира из-за боязни заражения вирусами. Я знаю несколько организаций, в которых все поступающие документы заново набивались вручную, даже если они уже имелись на дискетах. И опять же никакие доводы, что при чтении текстового файла с дискеты компьютер никак не может заразиться вирусом, не действовали. В результате из-за панической боязни вирусов впустую тратилось огромное количество труда и времени.

3. Расплывчатые (мягко выражаясь) представления многих руководителей о способностях вирусов позволяют многим пользователям и программистам ссылаться на вирусы как на причину любых задержек и трудностей. К сожалению, в большинстве случаев фраза «Я все сделал(а), но тут появился вирус и все испортил» означает, что за работу вообще не принимались.

Лучшим лекарством от вирусофобии является знание того, как работают вирусы, что они могут и чего не могут. Вирусы являются обычными программами и не могут совершать никаких сверхъестественных действий.

Хотя вирусы -- это всего лишь программы, но зачастую они сделаны с весьма большой изобретательностью и коварством. Так, некоторые вирусы могут:

* обманывать резидентные программы-сторожа, например, выполняя заражение и порчу информации не с помощью вызовов функций операционной системы, а посредством прямого обращения к программам ввода-вывода BIOS или даже портам контроллера жестких дисков или дискет;

* выживать при перезагрузке -- как при нажатии [Ctrl] [Alt] [Del], так и при загрузке с чистой системной дискеты после нажатия кнопки «Reset» или выключения и включения компьютера;

* заражать файлы в архивах (для извлечения файлов из архива и помещения их в архив вызывается программа-архиватор, а вывод на экран при этом блокируется);

* заражать файлы только при помещении их на дискеты или в архивы (маскируясь тем самым от обнаружения программами-ревизорами);

* бороться с антивирусными программами, например, уничтожая их файлы или портя таблицы со сведениями о файлах программы-ревизора;

* долгое время никак не проявлять своего присутствия, активизируясь через несколько недель или даже месяцев после заражения компьютера;

* шифровать системные области дисков или данные на диске, так, что доступ к ним становится возможен только при наличии данного вируса в памяти.

Чтобы компьютер заразился вирусом, необходимо, чтобы на нем хотя бы один раз была выполнена программа, содержащая вирус, а именно:

* запущен зараженный исполнимый файл или установлен зараженный драйвер;

* произведена начальная загрузка (либо даже попытка начальной загрузки) с зараженной загрузочным вирусом дискеты;

* открыт на редактирование зараженный документ Word для Windows или зараженная электронная таблица Excel.

Отсюда следует, что нет оснований бояться заражения компьютера вирусом, если:

* на компьютер переписываются файлы, не содержащие программ и не подлежащие преобразованию в программы, например, графические файлы, текстовые файлы (кроме командных файлов и текстов программ), документы редакторов документе! типа ЛЕКСИКОНа или Multi-Edit, информационные файлы баз данных и т.д.;

* на незараженном компьютере производится копирование файлов с одной дискеты на другую или иные действия, не связанные с запуском «чужих» (полученных извне) программ, перезагрузкой с «чужих» дискет или редактированием «чужих» документов Word для Windows или электронных таблиц Excel.

Кроме того, вирус заражает лишь программы, и не может заразить оборудование (клавиатуру, монитор и т.д.). Вирус не может заразить или изменить данные, находящиеся на дискетах или съемных дисках с установленной защитой от записи, а также данные, находящиеся на аппаратно защищенных (скажем, установкой перемычки на диске или с помощью комплекса Sheriff) логических дисках.

5. МЕТОДЫ МАСКИРОВКИ ВИРУСОВ

Чтобы предотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемы маскировки. Мы расскажем о некоторых из них.

Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth (стелс) вирусами. Разумеется, эффект «невидимости» наблюдается только на зараженном компьютере -- на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Такими программами являются, в частности, ADinf фирмы «Диалог-Наука», Norton AntiVirus и др.

Некоторые антивирусные программы используют для борьбы с вирусами свойство «невидимых» файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают ее в файл или файлы. Затем, уже после загрузки с «чистой» дискеты, исполнимые файлы восстанавливаются в исходном виде.

Вирусы часто содержат внутри себя различные сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов (даже на «чистом» компьютере, то есть когда вирус не активен) никаких подозрительных текстовых строк Вы не увидите.

Еще один способ, применяемый вирусами для того, чтобы укрыться от обнаружения, -- модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами -- в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися.

Многие полиморфные вирусы используют шифрование своего кода, меняя параметры этой кодировки при создании каждой копии. Кроме того, они тем или иным способом изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса.

В простейших полиморфных вирусах вариации их кода ограничиваются использованием одних регистров компьютера вместо других, добавлением «незначащих» команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но имеются и вирусы с чрезвычайно сложными механизмами самомодификации. В них каждая значащая инструкция передается одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд процессора.

Страницы: 1, 2, 3, 4, 5