Для защиты от вирусов можно использовать:
- общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- специализированные программы для защиты от вирусов;
Общие средства защиты информации полезны не только для защиты от вируса. Имеются две основные разновидности этих средств.
копирование информации - создание копий файлов и системных областей дисков;
разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры (программы контроля изменений в файлах и системных областях дисков), доктора-ревизоры, фильтры (резидентные программы для защиты от вирусов) и вакцины (иммунизаторы). Сейчас мы приведем только краткие определения этих понятий, а затем рассмотрим их более подробно.
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
Программы-доктора, или фаги, “лечат” зараженные программы или диски, “выкусывая” из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.
Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.
Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.
Стратегия защиты от вирусов
Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. Поэтому никакие простые советы типа “вставьте команду запуска Aidstest в AUTOEXEC.BAT” не будут достаточными. Наилучшей стратегией защиты от вирусов является многоуровневая, “эшелонированная” оборона. Опишем структуру этой обороны.
Средствам разведки в “обороне” от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-сторожа (или фильтры) - это резидентные программы для защиты от вируса. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.
Второй эшелон обороны составляют программы-ревизоры, программы доктора и доктора-ревизоры. Ревизоры обнаруживают нападение вируса даже тогда, когда он сумел “просочиться” через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные программы, причем контролируют правильность лечения.
Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
И наконец, в “стратегическом резерве” находятся архивные копии информации и “эталонные” дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении.
Программы-фильтры
Одной из причин, из-за которых стало возможным такое явление, как компьютерный вирус, является отсутствие в операционной системе MS DOS эффективных средств для защиты информации от несанкционированного доступа. Из-за отсутствия средств защиты компьютерные вирусы могут незаметно и безнаказанно изменять программы, портить таблицы размещения файлов и т.д.
В связи с этим различными фирмами и программистами разработаны программы-фильтры, или резидентные программы для защиты от вируса, которые в определенной степени восполняют указанный недостаток DOS. Эти программы располагаются резидентно в оперативной памяти компьютера и “перехватывают” те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда. Такими “подозрительными” действиями являются, в частности, изменение.COM и.EXE-файлов, снятие с файла атрибута “только для чтения”, прямая запись на диск (запись по абсолютному адресу), форматирование диска, установка “резидентной” (постоянно находящейся в оперативной памяти) программы.
При каждом запросе на “подозрительное” действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая программа желает его выполнить. Можно либо разрешить выполнение этого действия, либо запретить его. Если указанное в сообщении действие не нужно для выполнения данной программы (например, никакая программа не должна изменять командный процессор COMMAND.COM), то это действие следует запретить, так как оно скорее всего вызвано вирусом.
Некоторые программы-фильтры не “ловят” подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это, понятно, вызывает замедление работы компьютера.
Степень защиты, обеспечиваемую программами-фильтрами, не следует переоценивать, поскольку многие вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам операционной системы (BIOS), не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания. Кроме того, программы-фильтры не помогают от заражения винчестера вирусами, которые распространяются через загрузочный сектор, поскольку такое заражение происходит при загрузке DOS, т.е. до запуска любых программ или установки драйверов.
Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Программы-детекторы. Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Некоторые программы-детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также “лечить” зараженные файлы или диски, удаляя из них вирусы (лечение поддерживается только для вирусов, известных программе-детектору).
11.7. Программы - ревизоры
Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Многие пользователи включают команду запуска программы-ревизора в командный файл AUTOEXEC.BAT, чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.
Анализ изменений. Многие программы-ревизоры являются довольно “интеллектуальными” - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги, мешая Вам работать. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Невидимые вирусы. Следует заметить, что многие программы-ревизоры не умеют обнаруживать заражение “невидимыми” вирусами, если такой вирус активен в памяти компьютера. Но некоторые программы-ревизоры, например ADinf фирмы “Диалог-Наука”, все же умеют делать это, не используя вызовы DOS для чтения диска (правда, они работают не на всех дисководах). Другие программы часто используют различные полумеры: пытаются обнаружить вирус в оперативной памяти, требуют вызова из файла AUTOEXEC.BAT, надеясь работать на “чистом” компьютере, и т.д. Увы, против некоторых “хитрых” вирусов все это бесполезно. Если Вы имеете такую программу-ревизор, запускайте хотя бы время от времени ее “чистую” копию с защищенной от записи дискеты после перезагрузки DOS с такой дискеты.
Режимы проверки. Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно. Но полностью читать все проверяемые файлы на диске весьма долго.
Чтобы обеспечить и достаточную надежность проверки, и приемлемое время ее проведения, многие программы-ревизоры имеют режим, в котором они проверяют неизменность только критически важных участков программных файлов, которые чаще всего и меняются вирусом: заголовка EXE-файла, первых выполняемых команд файла и т.д. Это позволяет проводить ежедневную проверку наличия изменений в файлах. А для особо строгой проверки такие программы-ревизоры обычно имеют и режим полного чтения файла.
Доктора - ревизоры. В последнее время появились очень полезные гибриды ревизоров и докторов- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей диска. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.
Конечно, доктора-ревизоры - это не панацея. Они могут лечить не от всех вирусов, а только от тех, которые используют “стандартные”, известные на момент написания программы, механизмы заражения файлов. Кроме того, никто не может излечить программы при заражении вирусами” грубиянами” типа AIDS, которые записывают себя в середину программ, не заботясь о том, будет ли после этого работать программа или нет. Но все же защита от 90-95% вирусов - это совсем неплохо. В качестве примера докторов-ревизоров можно привести ADinf+ADinfExt фирмы “Диалог-Наука” и комплексную антивирусную систему AVSP фирмы “Диалог-МГУ”.
Профилактика против заражения вирусом. Известно, что легче предупредить болезнь, чем лечить ее. Если квалифицированно и своевременно будут применяться меры “компьютерной гигиены”, то на компьютере вряд ли заведутся вирусы. Во-первых, необходимо использовать общие меры, обеспечивающие сохранность данных: регулярное создание резервных копий, использование методов ограничения доступа к данным и т.д. Во-вторых, выполнить следующие мероприятия:
1. Все поступающие извне данные должны подвергаться проверке. С этой целью все принесенные дискеты или полученные извне (по электронной почте, по сетям) файлы перед использованием следует проверить на наличие вируса с помощью программ-детекторов. Не используйте и не запускайте принесенные извне программы, если их назначение Вам непонятно. Если полученные файлы содержатся в архивах, следует извлечь их из архива и проверить программами-детекторами сразу после этого. Если файлы из архивов можно извлечь только программой установки пакета программ, то надо выполнить установку этого пакета и сразу после этого проверить записанные на диск файлы. Установка пакета должна проводиться при включенной резидентной программе-стороже для защиты от вирусов. Не следует переписывать программное обеспечение с других компьютеров, так как оно может быть заражено вирусом.
2. Необходимо проводить ежедневную проверку дисков на наличие вирусов. Один способ - вставить в командный файл AUTOEXEC.BAT, выполняемый при начальной загрузке DOS, вызов программы или командного файла для проверки на наличие вирусов. При использовании антивирусного комплекта DSAV “Диалог-Наука” можно из файла AUTOEXEC.BAT, вызвать командный файл, запускающий программу-ревизора ADinf, который составляет список измененных файлов, используемый затем программами-детекторами Aidstest и Dr.Web (это позволяет существенно сократить время проверки). Пример такого командного файла включен в комплект поставки антивирусного комплекта DSAV.
При работе в среде Windows, Windows-95 и т.д. для ежедневного выполнения проверки на наличие вирусов можно использовать программы-планировщики типа Scheduler из Norton Desktop for Windows, System Agent из Microsoft Plus! (пакета дополнений для Windows 95), Norton Commander Scheduler из Norton Commander для Windows 95 и т.д.
3. Особо следует сказать о защите от вирусов документов Word для Windows. Вирусы, заражающие документы Word для Windows, запускаются благодаря тому, что в них имеется макрокоманда AutoOpen, автоматически запускающаяся при открытии документа. Однако запуск этой макрокоманды (как и других AutoExec, AutoNew, AutoClose и AutoExit, выполняющихся при запуске Word, создании нового документа, закрытий документа и выходе из Word) блокируется при нажатии клавиши Shift. Так что Вы можете нажимать Shift при открытии полученных со стороны документов, и никакой вирус, заражающий документы Word для Windows, Вам будет не страшен.
4. Обновление версий антивирусных программ необходимо делать ежемесячно, так как новые вирусы появляются еженедельно. Для некоторых программ (Norton AntiVirus) для обновления не надо приобретать новую версию программы, а следует лишь переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно. Фирма “Диалог-Наука” позволяет приобрести годовой абонемент, позволяющий получать самые последние версии программ AidsTest, Doctor Web, ADinf и ADinfExt либо по почтовой рассылке, либо по электронной почте. Обновление версий происходит не реже одного раза в месяц.
Заключение. Действия при заражении вирусом
Вы можете подозревать наличие вируса, если:
антивирусная программа сообщает об обнаружения неизвестного вируса;
на экран или принтер начинают выводиться посторонние сообщения, символы и т. д.;
некоторые файлы оказываются испорченными;
некоторые программы перестают работать или начинают работать неправильно;
работа на компьютере существенно замедляется.
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил.
1. Прежде всего не надо торопиться и принимать опрометчивые решения. Непродуманные действия могут привести к потере части данных, которые можно было бы восстановить, а также к повторному заражению компьютера.
2. Немедленно выключите компьютер, чтобы вирус не продолжал своих разрушительных действий.
3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной загрузке компьютера с защищенной от записи “эталонной” дискеты с операционной системой. При этом следует использовать только программы (исполняемые файлы), хранящиеся на защищенных от записи дискетах.
4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причиненных вирусом) оно бывает затруднительным. Если у пользователя нет должного опыта, то целесообразно прибегнуть к помощи коллег.
5. Лечение компьютера от вируса - процесс творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более, что вирусы очень часто изменяются и поэтому методы борьбы с ними также должны меняться.
Использование резидентной программы-сторожа позволяет обнаружить вирус на самом раннем этапе, когда он не успел еще активизироваться, заразить другие программы или диски и испортить какие-либо данные.
Когда вирус активизировался, а значит уже заразил или испортил данные на дисках компьютера, то надо перегрузить компьютер, начать выявление вируса и затем лечение.
Правильно компьютер должен перезагружаться так:
1. Приготовьте безвирусную, защищенную от записи системную дискету. Вставьте дискету в дисковод компьютера.
2. Нажмите на кнопку перезагрузки - RESET или выключите и снова включите компьютер.
3. Сразу после начала загрузки в ответ на приглашение нажмите клавиши входа в программу конфигурирования компьютера - SETUP.
4. Проверьте правильность установки, порядка загрузки. Если загрузка происходит сначала с жесткого диска, а затем с дискеты, то эту установку надо выключить.
5. Выйдите из программы конфигурирования и сохраните конфигурацию.
6. Загрузите компьютер с системной дискеты и при этом вирус не будет запущен.
Лечение начинается программами-детекторами, которыми поочередно проверяются все логические диски. При обнаружении вируса следует по справочнику выяснить возможные последствия заражения и меры по их устранению. Если вирус безобидный, то кроме его удаления ничего делать не надо. Если вирус изменил некоторые участки жесткого диска, то вероятнее всего, придется заново инсталлировать на диск поврежденные файлы.
Если программа-детектор не обнаружила вирусы, то следует запустить программу ревизор, которая после обнаружения вируса предлагает его исправить или отказаться от исправления. В большинстве случаев лечение происходит успешно. Иногда теряется часть данных. Реже поврежденный файл следует удалить и затем восстановить его из других источников.
После окончания лечения диска следует проверить целостность файловой системы и поверхности диска программой Norton Disk Doctor. Если повреждения файловой системы значительны, то целесообразно скопировать с диска на дискеты все нужные файлы, резервных копий которых не имеется, заново отформатировать диск, а затем заново установить все пакеты программ с дистрибутивов, а собственные данные - с резервных копий.
Для исключения повторного заражения вирусом с дискет, все дискеты должны быть проверены антивирусными программами.
ЛИТЕРАТУРА
1. Ахметов К.С. Курс молодого бойца - 2-е изд.,перераб. и доп. М., 1996. - 380 с.
2. Бугомирский Б.С. Руководство пользователя ПЭВМ. В 2-х ч. С.-Пб., 1994. –736 с.
3. Власов В.К., Королев Л.Н., Сотников А.Н. Элементы информатики / Под ред. Королева Л.Н. М.,1988. -320 с.
4. Громов Г.Р. Национальные информационные ресурсы: проблемы промышленной эксплуатации. М., 1984, -240 с.
5. Заморин А.П., Марков А.С. Толковый словарь по вычислительной технике и программированию. Основные термины: около 3000 терминов. М., 1987. -221 с.
6. Информатика и вычислительная техника / Под ред. Ларионова В.Н. М., 1998. - 287 с.
7. Першиков В.И., Савинков В.М. Толковый словарь по информатике. М., 1991. -543 с.
8. Фигурнов В.Э. IBM PC для пользователя. Краткий курс. изд.7-е. М., 1997. - 480 с.
9. Фигурнов В.Э. IBM PC для пользователя. От начинающего - до опытного Изд.7-е. Перераб. и доп. М.,1997.- 640 с.