[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 5, May 1998 file 013
Борьба с компьютерными вирусами
by Igor Tkachyk
=== Cut ===
2. ОБЩИЕ ПРИЦИПЫ ФУHКЦИОHИРОВАИЯ
КОМПЬЮТЕРЫХ ВИРУСОВ.
2.1. Компьютерным вирусом называется программа, которая может
заражать другие программы путем включения в них своей копии,
способной к дальнейшему размножению. Помимо заражения вирус может
выполнять и другие несанкционированные действия, от вполне безо-
бидных до крайне разрушительных. Последние могут привести к унич-
тожению данных на зараженном диске.
2.2. Заражая программы, вирусы могут распространяться от од-
ной программы к другой. Зараженные программы(или их копии) могут
передаваться через дискеты или по сети на другие ЭВМ. Распростра-
нению вирусов способствует распространенная практика обмена и пе-
редачи программ на дискетах среди пользователей персональных
ЭВМ(ПЭВМ), а также использование одной ПЭВМ несколькими пользова-
телями. Особую опасность в этом смысле представляют любители
компьтерных игр, являющиеся основным источником заражения вирусами.
2.3. Вирусы могут распространяться только через прямо или
косвенно выполняемые программы. Вирус не может быть перенесен че-
рез файл данных. Для заражения компьютера зараженная программа
должна быть выполнена на нем, то есть запущена на выполнение на
этом компьютере явно с помощью команды операционной системы или же
неявно при попытке перезагрузки компьютера с вставленной в диско-
вод A зараженной бутовым(помещенным в загрузочный сектор) вирусом.
Применительно к MS DOS для получения управления вирус должен быть
встроен в исполняемые файлы, такие как COM, EXE, OVL; помещен в
- 2 -
загрузочный сектор гибкого или жесткого диска; драйвер(SYS-файл);
обьектный модуль; библиотеку компилятора; BAT-файл; исходный текст
программы на алгоритмическом языке(в расчете на его дальнейшую
компиляцию и запуск исполняемого модуля); промежуточный код неко-
торого распространенного языка, связанного с работой с базами дан-
ых. При этом основным источником заражения являются EXE и
СОМ-файлы, а также дискеты с бутовым вирусом.
2.4. Существуют определенные признаки, указывающие на пораже-
ние программы или диска вирусами. Помимо очевидных, связанных с
демонстрационным эффектом, характерным для данного вируса, к ним
относятся следующие: изменение длины командного процессора
COMMAND.COM; выдача сообщений типа "Write protect error" при чте-
нии информации или при загрузке программы с защищенных от записи
дискет; изменение длины и/или даты создания программы(просматрива-
ется с помощью Norton Commander); замедление выполнения программ;
возрастание времени загрузки операционной системы, зацикливание
при загрузке; необьяснимые обращения к дискетам или винчестеру;
потеря работоспособности резидентных программ или драйверов; ава-
рийное завершение ранее нормально работающих программ; необьясни-
мые зависания или перезагрузки системы; уменьшение обьема систем-
ной памяти или свободной памяти после загрузки(контролируется с
помощью директивы MEM MS DOS, резидентной программы RELEASE, ор-
тоновской утилиты SI); резкое уменьшение доступной дисковой памя-
ти, хотя файлы не добавлялись(просматривается с оболочки Norton
Commander); появление новых сбойных кластеров, дополнительных
скрытых файлов или других изменений файловой системы(выявляются
запуском CHKDSK или утилиты ортона NDD).
2.5. Вызываемые вирусами эффекты могут быть следующими: отказ
в выполнении той или иной функции операционной системы; выполнение
действий, не предусмотренных программой; разрушение отдельных фай-
лов, управляющих блоков или всей файловой системы в целом; выдача
ложных сообщений; создание звуковых или визуальных эффектов; ини-
циирование ошибок или сбоев в программе или операционной системе,
перезагрузка или зависание MS DOS; блокирование доступа к систем-
ным ресурсам; имитация сбоев аппаратуры. аиболее разрушительные
последствия имеет повреждение вирусом FAT-таблицы(таблица размеще-
ния файлов). Если FAT разрушен, то MS DOS не в состоянии опреде-
лить местонахождения того или иного файла на диске, тем самым на-
рушается целостность файловой системы. аиболее опасными являются
мелкие, незаметные изменения файлов данных(например, файлов базы
данных).
3. ОРГАИЗАЦИОЫЕ МЕРОПРИЯТИЯ, ПРЕПЯТСТВУЮЩИЕ
ЗАРАЖЕИЮ КОМПЬЮТЕРЫМИ ВИРУСАМИ И МИИМИЗИРУЮЩИЕ
ПОСЛЕДСТВИЯ ИХ ВОЗДЕЙСТВИЯ.
3.1. Запрещается использование не проверенного, полученного
незаконным путем программного обеспечения. В первую очередь это
касается компьютерных игр - основного источника заражения вируса-
ми.
3.2. Для инсталяции операционной системы необходимо использо-
вать ее дистрибутив. То же касается и другого программного обеспе-
- 3 -
чения. При этом заражение вирусом менее вероятно, чем при простом
переписывании программ с одной машины на другую.
3.3. еобходимо периодически копировать важную для Вас инфор-
мацию на дискеты. Рекомендуется копировать только файлы данных и
тексты программ. Тем самым исключается возможность попадания ви-
руса в копируемые файлы(при этом не исключается возможность зара-
жение дискеты бутовым вирусом, если ЭВМ им заражена).
3.4. Для того, чтобы иметь возможность восстанавливать
FAT-таблицу, необходимо дублировать управляющие данные файловой
системы на заранее известный участок диска или дискеты. Для этой
цели можно использовать Norton Utilities, а также Mirror из пакета
PC Shell.
3.5. Использование ПЭВМ несколькими пользователями является
причиной распространения вирусов. Чем меньше пользователей, тем
меньше вероятность заражения компьютера вирусом. Для защиты ПЭВМ
от несанкционированного использования рекомендуется использовать
парольную защиту.
3.6. Каждый случай заражения вирусом должен быть проанализиро-
ван для выявления источника заражения и избежания повторного зара-
жения.
4. ПРОГРАММЫЕ СРЕДСТВА ЗАЩИТЫ ОТ ВИРУСОВ.
4.1. Для выявления заражения программ и диска вирусом
используются программы-детекторы. Они позволяют составлять
список зараженных программ, не производя никаких действий по
их "лечению". аиболее известная программа-детектор SCAN фирмы
McAfee Associates.
4.2. аиболее распространенным средством защиты от ви-
русов являются программы, удаляющие тело вируса из программы
или системной области диска и восстанавливающие их первоначаль-
ное состояние. Самим известным и широко используемым является
AIDSTEST Лозинского, распространяемый АО Диалогаука, а также
программа СLEAN, устраняющая вирусы, обнаруженные с помощью
SCAN.
4.3. Программы ревизоры подсчитывают контрольные суммы и
другие параметры файлов и сравнивают их с эталонными. Этот вид
контроля представляется наиболее надежным, так как при
отсутствии в оперативной памяти резидентного вируса позволяет
выявить все изменения программы независимо от причины, вызвав-
шей эти изменения. Среди известных программ этого рода выделя-
ется ADinf АО Диалогаука. Широко используется и
Microsoft-Anti_Virus, сочетающий в себе все три вида антиви-
русных программ.
- 4 -
5. ПРАВИЛА ИСПОЛЬЗОВАИЯ АТИВИРУСЫХ
ПРОГРАММ.
5.1. При лечении дисков нужно использовать заведомо чистую
операционную систему. Такая операционноя система с набором ан-
тивирусных средств должна хранится на защищенной от записи
дискете и использоваться при проверке компьютера на вирусы. е-
обходимо использовать так называемую "холодную" перезагрузку
системы с дискеты, то есть использовать клавишу Reset или вклю-
чение-выключение питания. Это связано с тем, что многие вирусы
умеют переживать перезагрузку по Ctrl+Alt+Del и продолжают
оставаться в памяти компьютера.
5.2. ужно избегать использования антивирусных программ
неизвестного назначения. С ними можно получить новый вирус и
получить противоположный ожидаемому результат - порчу информа-
ции на диске.
=== Cut ===
