Читайте также:
|
Когда во время работы компьютер начинает вести себя как-то необычно, первая мысль, приходящая на ум любому пользователю - уж не вирус ли это. В такой ситуации важно правильно оценить свои подозрения и сделать выводы.
Как правило, человек, обладающий некоторым опытом и владеющий соответствующим программным инструментарием, справляется с этой задачей без особых затруднений. Наиболее сложная ситуация - когда действовать приходится в «полевых» условиях, например, на чужой машине.
Итак, по мнению хозяина компьютер ведет себя странно. Например, программы, которые раньше работали правильно, начинают сбоить или вообще перестают запускаться, компьютер периодически «виснет», экран и динамик воспроизводят необычные видео- и аудиоэффекты. Что будем делать?
1. Усаживаем перед собой хозяина компьютера и подробно расспрашиваем его о событиях, предшествующих возникновению сбоев. Выяснить нужно следующее.
а. Кем и как используется машина?
б. Когда впервые замечены симптомы вируса? Некоторые вирусы любят
приурочивать свою деятельность к определенной дате или времени:
1 мая. 7 ноября, 13-е число, пятница, пять часов вечера, а также 6 марта, 15 ноября, 11 -я минута каждого часа.
в. Не связаны ли изменения в работе компьютера с первым запуском какой-либо программы? Если да, то эта программа - первая в очереди на
«медкомиссию».
г. Не связано ли появление симптомов заражения с распаковкой какого-
либо старого архива и запуском программ из него? Некоторые современные антивирусы (AVP, DrWeb) умеют проверять архивы наиболее
популярных форматов.
д. Не имеет ли хозяин компьютера привычку оставлять дискеты в диско воде при перезагрузке? Загрузочный вирус может годами жить на дискете, никак себя не проявляя.
2. В присутствии хозяина (хозяйки) включаем компьютер. Внимательно следим за процессом загрузки. Сначала запускается программа POST, за писанная в ПЗУ BIOS. Она тестирует память, тестирует и инициализирует прочие компоненты компьютера и завершается коротким одиночным гудком. Если «вирус» проявляет себя уже на этом этапе - он здесь ни при чем. Теоретически вирус может существовать и в BIOS: предполагается, что первые вирусы на территорию СССР «приехали» внутри болгарских ПЗУ (современные ПЗУ часто не являются «постоянными запоминающими устройствами», они предусматривают возможность перезаписи BIOS).
3. В присутствии хозяина (хозяйки) пытаемся вызвать необычное поведение компьютера.
а. Идеально, если вирус (если это действительно он) самостоятельно извещает всех о своем присутствии, например, выводит на экран сообщение типа «I am VIRUS!».
Вирусы проявляют себя различными способами: проигрывают мелодии, выводят на экран посторонние картинки и надписи, имитируют аппаратные сбои, заставляя дрожать экран. Но, к сожалению, чаще всего вирусы специально себя не обнаруживают. К антивирусным программам прилагаются каталоги с описаниями вирусов (для AidsTest они хранятся в файле aidsvir.txt, для DrWeb - в файле virlist.web). Наиболее полным является гипертекстовый каталог avpve, входящий в состав антивирусного пакета Е. Касперского. В нем можно не только прочитать достаточно подробное описание любого вируса, но и понаблюдать его проявления.
От настоящих вирусов следует отличать так называемые «студенческие шутки», особенно широко распространенные на компьютерах ВУЗов и школ. Как правило, это резидентные программы, которые периодически производят напоминающие работу вирусов видео- и аудиоэффеты. В отличие от настоящих вирусов, эти программы не умеют размножаться. Наличие такого рода программ на «бухгалтерских» компьютерах маловероятно.
б. Очень часто сбои вызываются вирусами не преднамеренно, а лишь в силу их несовместимости с программной средой, возникающей из-за наличия в алгоритме вируса ошибок и неточностей. Если какая-либо программа «зависает» при попытке запуска, существует очень большая вероятность, что именно она и заражена вирусом. Если компьютер «виснет» в процессе загрузки (после успешного завершения программы POST), то при помощи пошагового выполнения файлов config.sys и autoexec. bat (клавиша F8 в DOS 6.x) можно легко определить источник сбоев.
4. Не перегружая компьютер, запускаем (можно прямо с винчестера) антивирус, лучше всего DrWeb с ключом /hal. Вирус (если он есть) попытается немедленно заразить DrWeb. Последний достаточно надежно детектирует целостность своего кода и в случае чего выведет сообщение «Я заражен неизвестным вирусом!» Если так и произойдет, то наличие вируса в системе доказано. Внимательно смотрим на диагностические сообщения типа «Файл такой-то ВОЗМОЖНО заражен вирусом такого-то класса» (COM, EXE, TSR, BOOT, MACRO и т.п.). Подозрения на ВООТ- вирус в 99% бывают оправданы.
5. Нередко сбои бывают вызваны естественными причинами, никакого отношения к вирусам не имеющими.
а. Аппаратные сбои. Исключить эту возможность поможет тестирование памяти, системной платы, портов и всего остального. Иногда достаточен простой внешний осмотр компьютера - может быть, что-то неправильно подключено.
б. Нарушения в логической структуре диска. Тестируем жёсткий диск с помощю ndd. Сначала просто отмечаем наличие ошибок (перекрестных цепочек, потерянных кластеров и так далее). Если ошибок очень много и подавляющее их число относится к СОМ- и ЕХЕ-файлам. то ни в коем случае нельзя выполнять операцию исправления ошибок: это может быть DIR-подобный вирус, и такое «лечение» диска может стать для многих программ фатальным. Если ошибки есть и их относительно не много, рискуем и лечим диск. Сбои пропали?
в. Конфликты между различными компонентами операционной системы
и прикладными программами. Особенно «вредоносными» являются
дисковые драйверы-обманщики, активно видоизменяющие (пусть и с
благородными целями) информацию, считываемую или записываемую
на диск:
- дисковые кэш (SMARTDRV, NC_CASHE);
- упаковщики дисков (DblSpace, DrvSpace, Stacker);
системы безопасности (антивирусные мониторы типа PROTECT, HDPROT, ADM и прочие, системы разграничения доступа DISKMON, DISKREET). Нередко сбоят устаревшие пристыковочные системы защиты от несанкционированного копирования, типа NOTA или CERBERUS.
6. Наконец, самый интересный случай - вирус явно не обнаружен, но подозрения на его наличие по-прежнему остаются. Достаточно подробно
эту тему изложил Е. Касперский в своей книге «Компьютерные вирусы в
MS-DOS», избранные фрагменты которой можно найти в гипертекстовом
каталоге avpve того же автора. Остается только привести краткое изложение этих глав с уточнениями и замечаниями (может быть, весьма
спорными).
а. Обнаружение загрузочного вируса. Загружаемся с чистой дискеты и, запустив DiskEditor, заглядываем в сектор 0/0/1 винчестера. Если винчестер разделен (при помощи fdisk) на логические диски, то код занимает приблизительно половину сектора и начинается с байт FAh 33h COh (вместо 33h иногда может быть 2Bh). Заканчиваться код должен текстовыми строками типа «Missing operating system». В конце сектора размещаются внешне разрозненные байты таблицы разделов. Нужно обратить внимание на размещение активного раздела в таблице разделов. Если операционная система расположена на диске С:, а активен 2, 3 или 4 раздел, то вирус мог изменить точку старта, сам разместившись в начале другого логического диска (заодно нужно посмотреть и там). Но также это может говорить о наличии на машине нескольких операционных систем и какого-либо boot-менеджера, обеспечивающего выборочную загрузку. Проверяем всю нулевую дорожку. Если она чистая, то есть ее сектора содержат только байт-заполнитель, все в порядке. Наличие мусора, копий сектора 0/0/1 и прочего может говорить о присутствии загрузочного вируса. Впрочем, антивирусы при лечении загрузочных вирусов лишь «обезглавливают» противника (восстанавливают исходное значение сектора 0/0/1), оставляя тело «догнивать» на нулевой дорожке. Проверяем boot-сектор MS-DOS, он обычно расположен в секторе в 0/1/1. Его внешний вид для сравнения можно найти как в вышеупомянутой книге Е. Касперского, так и на любой «чистой» машине. Итак, если вирус обнаружен, при помощи DiskEditor переписываем в файл зараженный объект: MBR 0/0/1 (а лучше всю нулевую дорожку), boot 0/1/1 и все остальное. Желательно отправить этот комплект вирусологам. Копию, при желании, оставляем себе - для опытов.
б. Обнаружение файлового вируса. Нерезидентные файловые вирусы специально не скрывают своего наличия в системе. Поэтому основным признаком заражения файла является увеличение его длины, которое легко заметить даже в инфицированной операционной системе. Резидентные вирусы могут скрывать изменение длины файла (да и вообще наличие своего кода внутри файла-жертвы), если они написаны по Stealth-технологии. Но при загрузке с «чистой» дискеты это можно увидеть. Некоторые вирусы не изменяют длину заражаемых программ, используя «пустые» участки внутри файла программы или кластерный «хвост» файла, расположенный после последнего заполненного сектора.
В этом случае основной признак заражения - изменение контрольной суммы байт файла. Это легко обнаруживают антивирусы-инспектора типа Adinf. В качестве крайней меры можно рассматривать прямое изучение кода программ, подозрительных с точки зрения наличия в них вируса. Чтобы визуально распознать наличие вируса по коду, конечно, необходим определенный опыт.
Ловля вируса «на живца». Итак, допустим, что наличие вируса в системе доказано одним из предложенных выше методов, и зараженные вирусом объекты определены. Теперь можно начать изучение вируса и, вслед за этим, попытаться удалить его с машины. Желательно послать образец вируса профессиональным вирусологам. А для этого необходимо выделить вирус в чистом виде.
Остановите вирус
Если у вас установлено антивирусное ПО, это, конечно, хорошо, но заражения можно избежать и другим путем. Нужно всего лишь уметь рас познавать вирусы в приложениях к электронной почте и не давать им проникнуть в компьютер.
Если вы неожиданно по лучили сообщение с приложением, название которого оканчивается на.vbs,. scr или. ехе, там наверняка со держится вирус. Поэтому удаляйте все это, даже не пытаясь открыть.
К сожалению, в большинстве версий Windows не дается полного варианта имени приложенного файла, и, например, «смертельно опасный» picture. jpg. vbs предстаёт перед вами всего лишь как picture. jpg. Хотите, чтобы в почтовой программе давалось полное имя файла? Для этого откройте Windows Explorer, выберите
Tools-Folder Options-View и снимите флажок возле Hide file extentions for known file types. Потом на жмите <ОК>.
Некоторые вирусы в формате HTML запускаются автоматически из области просмотра или окна сообщения. Чтобы предотвратить подобное, просто не выводите область просмотра на экран. Для этого в Outlook Express выберите <Вид-
Раскладки> и снимите флажок в строке Отображать область просмотра. В Outlook зайдите в <View> и уберите отметку возле Preview Pane, а в Eudora укажите Tools-Options-Viewing Mail (Сервис ► Свойства ► Просмотр почтовых сообщений) и снимите отметку возле Show message preview pane (Отображать область просмотра сообщений).
Outlook Express в Windows XP
Вам знакома ситуация, когда после установки Windows XP вы не можете найти в Outlook Express папки с сообщениями и адресную книгу? Не волнуйтесь, никуда они не пропали, лежат себе спокойно на жестком диске.
Хотя Microsoft и не объясняет, почему при модернизации старые папки не копируются в новую ОС. существует подробнейшая инструкция, как это можно сделать самостоятельно.
Отключите Messenger
Когда вы открываете Outlook или Outlook Express в Windows XP, то автоматически запускаются MSN и Windows Messenger, причем последний — по умолчанию.
Если вас не устраивает такой автоматизм, исправьте ситуацию следующим образом: в
Outlook 2002 выберите Tools-Options-Other и снимите отметку возле Enable
Instant Messaging in Microsoft Outlook. Затем нажмите <ОК>.
При работе в Windows 98 и Me в Outlook Express выберите Сер
вис ► Парметры ► Общие и уберите отметку в строке Автоматически показывать папки с непрочитанными сообщениями. В Outlook Express в
Windows XP зайдите в Tools-Options-General (Сер-
вис ► Свойства ► Общие) и снимите отметку возле Automatically log on to Windows Messenger (Автоматически запускать Windows Messenger). В Windows 2000 MSN Messenger отсутствует.
Дата добавления: 2015-01-05; просмотров: 113 | Поможем написать вашу работу | Нарушение авторских прав |
|