З практики боротьби з комп’ютерними вірусами, як ми виявляємо комп’ютерний вірус, як ми лікуємо
Як ми виявляємо комп'ютерний вірус
По-перше, ми добре засвоїли ті ознаки, за якими неважко дізнатися про появу зараження вірусом. До них належать такі ознаки:
- припинення роботи або неправильна робота раніше функціонуючих програм;
- повільна робота комп'ютера;
- неможливість завантаження операційної системи;
- зникнення файлів і каталогів або перекручування їхнього вмісту;
- зміна дати і часу модифікації файлів;
- зміна розмірів файлу;
- несподіване значне збільшення кількості файлів на диску;
- істотне зменшення розміру вільної оперативної пам'яті;
- висновок на екран непередбачених повідомлень або зображень;
- подача непередбачених звукових сигналів;
- часте зависання і збої в роботі комп'ютера.
До даних проявів комп'ютера ми ставимося з певною часткою ймовірності, так як перераховані явища не обов'язково викликаються в присутності вірусу, а можуть бути наслідком інших причин. Ми намагаємося встановити діагноз якомога точніше, щоб не помилитися у прийнятті рішень, намагаючись виключити інші причини порушень персонального комп'ютера.
Деякий час запущений вірус, можливо, погуляє досхочу, але рано чи пізно «лафа» закінчиться, так як ми - звичайні користувачі, все одно зуміємо помітити ті чи інші аномалії в поведінці комп'ютера і уникнути перешкод в його роботі. Але все-таки впоратися з вірусною інфекцією цілком самостійно ми не здатні.
І ми прагнемо до того, щоб якомога швидше вірус потрапив в руки більш грамотного фахівців. Професіонали його вивчатимуть, з'ясовуватимуть «що він робить», «як він робить», «коли він робить» та інше. У процесі такої роботи ми знаємо, необхідно збирати всю необхідну інформацію про даний вірус, зокрема, виділити сигнатуру вірусу - послідовність байтів, яка цілком виразно його характеризує. Для побудови сигнатури беремо найбільш важливі і характерні ділянки коду вірусу. У такому випадку нам стають зрозумілими механізми роботи вірусу. У разі завантажувального вірусу ми прагнемо дізнатися, де він ховає хвіст, де знаходиться оригінальний завантажувальний сектор, а в разі файлового - спосіб зараження файла. Отримана інформація дозволяє нам з'ясувати:
I. Як виявити вірус? Для цього уточнюються методи пошуку сигнатур в потенційних об'єктах вірусної атаки - файлах і / або завантажувальних секторах?
II. Як знешкодити вірус? Якщо це, можливо, ми розробляємо алгоритми видалення вірусного коду з заражених об'єктів.
Як ми лікуємо комп'ютер від вірусних заражень
Для виявлення, видалення і захисту від комп'ютерних вірусів розроблено декілька видів спеціальних програм, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Розрізняють такі види антивірусних програм, які використовуються в нашій практиці з перемінним успіхом. це:
- програми доктора або фаги;
- програми - вакцини або іммунізатори;
Програми - детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті й у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам даних програм.
Програми - доктора або фаги, також програми - вакцини не тільки знаходять заражені вірусом файли, але і «лікують» їх, тобто видаляють з файлу тіло програми - вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до «лікування» файлів. Серед фагів виділяють полифаги, тобто програми - доктори, призначені для пошуку і знищення великої кількості вірусів. Найбільш відомі з них: Aidstest, Scan, AntiVirus, Doctor Web. У своїй практиці ми віддаємо перевагу саме цим програмам.
Програми - ревізори відносяться до найбільш надійним засобам захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран монітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри. Програми - ревізори мають достатньо розвинені алгоритми, виявляють стелс - віруси і можуть навіть очистити зміни версії програми від змін, внесених вірусом. До числа програм - ревізорів належить широко поширена вУкаіни програма Adinf.
Програми - фільтри або «сторожа» є невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:
- спроби корекції файлів з розширеннями COM, EXE;
- зміна атрибутів файлу;
- запис в завантажувальні сектори диска
- завантаження резидентної програми.
При спробі будь - якої програми здійснити зазначені дії «сторож» посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію. Програми - фільтри вельми корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Тим не менш, вони не «лікують» файли і диски. Для знищення вірусів потрібно застосувати інші програми, а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми - фільтра є програма Vsafe, що входить до складу пакету утиліт MS DOS.
Вакцини або іммунізатори - це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми - доктора, «лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми - вакцини мають обмежене застосування.
Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів на кожному комп'ютері дозволяють уникнути поширення вірусної епідемії на інші комп'ютери.
Для того щоб не піддати комп'ютер зараженню вірусами і забезпечити надійне зберігання інформації на дисках, ми прагнемо дотримуватися таких правил:
- оснастите свій комп'ютер сучасними антивірусними програмами, наприклад: Aidstest, Doctor Web, і постійно відновлюйте їх версії;
- перед зчитуємо з дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми вашого комп'ютера;
- при перенесенні на свій комп'ютер файлів в архивированном вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки тільки знову записаними файлами;
- періодично перевіряйте на наявність вірусів, жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті і системних областей дисків з захищеної від записи дискети, попередньо завантаживши операційну систему з захищеної від записи системної дискетою;
- завжди захищайте свої дискети від запису при роботі на інших комп'ютерах, якщо на них не буде проводитися запис інформації;
- обов'язково робіть архівні копії на дискетах цінної для вас інформації;
- не залишайте в кишені дисковода А дискети при включенні або перезавантаженні операційної системи, щоб виключити зараження комп'ютера завантажувальними вірусами;
- використовуйте антивірусні програми для вхідного контролю всіх виконуваних файлів, одержуваних з комп'ютерних мереж;
- для забезпечення більшої безпеки застосування Aidstest і Doctor Web необхідно поєднувати з повсякденним використанням ревізора диска Adinf.
При зараженні комп'ютера вірусом (або при підозрі на це) ми дотримуємося чотири правила:
1). Перш за все, не треба поспішати і приймати необачних рішень. Непродумані дії можуть призвести не тільки до втрати частини файлів, але і до повторного зараження комп'ютера;
2). Треба негайно вимкнути комп'ютер, щоб вірус не продовжував своїх руйнівних дій;
3). Всі дії по виявленню виду зараження і лікування комп'ютера слід виконувати при завантаженні комп'ютера захищеної, від запису, дискети з ОС (обов'язкові правило);
4). Якщо ви не володієте достатніми знаннями і досвідом для лікування комп'ютера, попросіть допомогти більш досвідчених колег.