файлы, где эта информация хранится в неискаженном виде. Затем, уже
после загрузки с "чистой" дискеты, исполнимые файлы восстанавли-
ваются в исходном виде.
Самомодифицирующиеся вирусы.
Другой способ, применяемый вирусами для того, чтобы укрыться от
обнаружения, - модификация своего тела. Многие вирусы хранят
большую часть своего тела в закодированном виде, чтобы с помощью
дизассемблеров нельзя было разобраться в механизме их работы. Са-
момодифицирующиеся вирусы используют этот прием и часто меняют па-
раметры этой кодировки, а кроме того, изменяют и свою стартовую
часть, которая служит для раскодировки остальных команд вируса.
Таким образом, в теле подобного вируса не имеется ни одной пос-
тоянной цепочки байтов, по которой можно было бы идентифицировать
вирус. Это, естественно, затрудняет нахождение таких вирусов прог-
раммами-детекторами.
Однако программы-детекторы все же научились ловить "простые" са-
момодифицирующиеся вирусы. В этих вирусах вариации механизма рас-
шифровки закодированной части вируса касаются только использова-
ния тех или иных регистров компьютера, констант шифрования, добав-
ления "незначащих" команд и т.д. И программы-детекторы приспособи-
лись обнаруживать команды в стартовой части вируса, несмотря на
маскирующие изменения в них. Но в последнее время появились виру-
сы с чрезвычайно сложными механизмами самомодификации. В них стар-
товая часть вируса генерируется автоматически по весьма сложным
алгоритмам: каждая значащая инструкция расшифровщика передается
одним из сотен тысяч возможных вариантов, при этом используется
более половины всех команд Intel-8088. Проблема распознования та-
ких вирусов надежного решения пока не получила.
Что могут и чего не могут компьютерные вирусы.
У многих пользователей ЭВМ из-за незнания механизма работы ком-
пьютерных вирусов, а также под влиянием различных слухов и неком-
петентных публикаций в печати создается своеобразный комплекс
боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления:
1. Склонность приписывать любое повреждение данных или необычное
явление действию вирусов. Например, если у "вирусофоба" не форма-
тируется дискета, то он объясняет это не дефектами дискеты или
дисковода, а действием вирусов. Если на жестком диске появляется
сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На са-
мом деле необычные явления на компьютере чаще вызваны ошибками
пользователя, программ или дефектами оборудования, чем действием
вирусов.
2. Преувеличенные представления о возможностях вирусов. Некото-
рые пользователи думают, например, что достаточно вставить в дис-
ковод зараженную дискету, чтобы компьютер заразился вирусом. Рас-
пространено также мнение, что для компьютеров просто стоящих в од-
ной комнате, заражение одного компьютера обязательно тут же приво-
дит к заражению остальных.
Лучшим "лекарством" от вирусофобии является знание того, как ра-
ботают вирусы, что они могут и чего не могут. Вирусы являются
обычными программами, и они не могут совершать никаких сверхъес-
тественных действий.
Для того чтобы компьютер заразился вирусом, необходимо, чтобы на
нем хотя бы один раз была выполнена программа, содержащая вирус.
Поэтому первичное заражение компьютера вирусом может произойти в
одном из следующих случаев:
_ на компьютере была выполнена зараженная программа типа COM или
EXE или зараженный модуль оверлейной программы (типа OVR или OVL);
_ компьютер загружался с дискеты, содержащей зараженный загрузоч-
ный сектор;
_ на компьютере была установлена зараженная операционная система
или зараженный драйвер устройства.
Отсюда следует, что нет никаких оснований бояться заражения ком-
пьютера вирусом, если:
_ на незараженном компьютере производится копирование файлов с
одной дискеты на другую. Если компьютер "здоров", то ни он сам, ни
копируемые дискеты не будут заражены вирусом. Единственный ва-
риант передачи вируса в этой ситуации - это копирование зараженно-
го файла: при этом его копия, разумеется, тоже будет "заражена",
но ни компьютер, ни какие-то другие файлы заражены не будут;
Основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
_ общие средства защиты информации, которые полезны также и как
страховка от физической порчи дисков, неправильно работающих прог-
рамм или ошибочных действий пользователей; профилактические меры,
позволяющие уменьшить вероятность заражения вирусом;
_ специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от
вируса. Имеются две основные разновидности этих средств:
_ копирование информации - создание копий файлов и системных об-
ластей дисков;
_ разграничение доступа предотвращает несанкционированное ис-
пользование информации, в частности, защиту от изменений прог-
рамм и данных вирусами, неправильно работающими программами и
ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важ-
ны для защиты от вирусов, все же их одних недостаточно. Необходи-
мо и применение специализированных программ для защиты от вирусов.
Эти программы можно разделить на несколько видов:
_ Программы-детекторы позволяют обнаруживать файлы, зараженные
одним из нескольких известных вирусов.
_ Программы-доктора, или "фаги", "лечат" зараженные программы или
диски, "выкусывая" из зараженных программ тело вируса, т.е. вос-
станавливая программу в том состоянии, в котором она находилась до
заражения вирусом.
_ Программы-ревизоры сначала запоминают сведения о состоянии
программ и системных областей дисков, а затем сравнивают их сос-
тояния с исходным. При выявлении несоответствий об этом сообщает-
ся пользователю.
_ Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. прог-
раммы, которые не только обнаруживают изменения в файлах и систем-
ных областях дисков, но и могут в случае изменений автоматически
вернуть их в исходное состояние.
_ Программы-фильтры располагаются резидентно в оперативной памя-
ти компьютера и перехватывают те обращения к операционной системе,
которые используются вирусами для размножения и нанесения вреда, и
сообщают о них пользователю. Пользователь может разрешить или зап-
ретить выполнение соответствующей операции.
Следует учесть, что ни один тип антивирусных программ в от-
дельности не может полностью защитить от вирусов и поэтому советы
типа "вставьте команду запуска Aidstest в AUTOEXEC.BAT" не будут
достаточными. Наилучшей стратегией защиты от вирусов является ком-
плексная многоуровневая защита:
_ Перед первым этапом следует разместить программы-детекторы,
позволяющие проверять вновь полученное програмное обеспечение на
наличие вирусов;
_ На первом этапе размещаются программы-фильтры, т.к. они первы-
ми сообщат о работе вируса и предотвратят заражение программ и
дисков;
_ На втором этапе размещаются ревизоры и доктора: они позволяют
обнаружить вирусы, "пробившиеся" через первый этап, а затем выле-
чить зараженные программы, но следует учитывать, что они не всег-
да лечат правильно и идеальным вариантом было бы иметь копию нуж-
ных программ в архивах на дискетах, защищенных от записи.
_ Самый главный этап защиты - разграничение доступа, которое не
позволяет проникшим вирусам и неверно работающим программам испор-
тить важные данные.
Действия при заражении вирусом.
При заражении компьютера вирусом (или при подозрении на это)
важно соблюдать четыре правила:
1. Прежде всего не надо торопиться и принимать опрометчивых реше-
ний: опрометчивые действия могут привести не только к потере час-
ти файлов, которые можно было бы восстановить, но и к повторному
заражению компьютера.
2. Тем не менее одно действие должно быть выполнено немедленно -
надо выключить компьютер, чтобы вирус не продолжал своих разруши-
тельных действий.
3. Все действия по обнаружению последтвий заражения и лечению
компьютера следует выполнять только при перезагрузке компьютера с
защищенной от записи "эталонной" дискеты с операционной системой.
При этом следует использовать только программы (исполнимые файлы),
хранящиеся на защищенных от записи дискетах. Несоблюдение этого
правила может привести к очень тяжелым последствиям, поскольку при
перезагрузке DOS или запуске программы с зараженного диска в ком-
пьютере может быть активирован вирус, а при работающем вирусе ле-
чение компьютера будет бессмысленным, так как оно будет сопровож-
даться дальнейшим заражением дисков и программ.
4. Если Вы не обладаете достаточными знаниями и опытом для лече-
ния компьютера, попросите помочь Вам более опытных коллег.
Если Вы используете резидентную программу-фильтр для защиты от
вируса, то наличие вируса в какой-либо программе можно обнаружить
на самом раннем этапе, когда вирус не успел еще заразить другие
программы и испортить какие-либо файлы. В этом случае следует пе-
резагрузить DOS с дискеты и удалить зараженную программу, а затем
переписать эту программу с эталонной дискеты или восстановить ее
из архива. Для того, чтобы выяснить, не испортил ли вирус ка-
ких-то других файлов, следует запустить программу-ревизор для про-
верки изменений в файлах, желательно с широким списком проверяе-
мых файлов. Чтобы в процессе проверки не продолжать заражение ком-