Компьютерные вирусы
; компьютера.
а) Идеально, если вирус (если это действительно он) самостоятельно
извещает всех о своем присутствии, например, выводит на экран сообщение
типа . Вирусы проявляют себя различными способами:
проигрывают мелодии, выводят на экран посторонние картинки и надписи,
имитируют аппаратные сбои, заставляя дрожать экран. Но, к
сожалению,чаще всего вирусы специально себя не обнаруживают. К антиви-
русным программам прилагаются каталоги с описаниями вирусов (для
AidsTest они хранятся в файле aidsvir.txt, для DrWeb -в файле
virlist.web). Наиболее полным является гипертекстовый каталог avpve,
входящий в состав антивирусного пакета Е. Касперского. В нем можно не
только прочитать достаточно подробное описание любого вируса, но и
понаблюдать его проявления. От настоящих вирусов следует отличать так
называемые «студенческие шутки», особенно широко распространенные на
компьютерах ВУЗов и школ. Как правило, это резидентные программы,
которые периодически производят напоминающие работу вирусов видео- и
аудиоэффекты. В отличие от настоящих вирусов, эти программы не умеют
размножаться. Наличие такого рода программ на «бухгалтерских»
компьютерах маловероятно.
б) Очень часто сбои вызываются вирусами не преднамеренно, а лишь в силу
их несовместимости с программной средой, возникающей из-за наличия в
алгоритме вируса ошибок и неточностей. Если какая-либо программа
«зависает» при попытке запуска, существует очень большая вероятность,
что именно она и заражена вирусом. Если компьютер «виснет» в процессе
загрузки (после успешного завершения программы POST), то при помощи
пошагового выполнения файлов config.sys и autoexec.bat (клавиша F8 в
DOS б.х) можно легко определить источник сбоев.
4. Не перегружая компьютер, запускаем (можно прямо с винчестера)
антивирус, лучше всего DrWeb с ключом /hal. Вирус (если он есть)
попытается немедленно заразить DrWeb. Последний достаточно надежно
детектирует целостность своего кода и в случае чего выведет
сообщение «Я заражен неизвестным вирусом!» Если так и произойдет, то
наличие вируса в системе доказано. Внимательно смотрим на
диагностические сообщения типа «Файл такой-то ВОЗМОЖНО заражен
вирусом такого-то класса» (СОМ, EXE, TSR, BOOT, MACROи т.п.).
Подозрения на ВООТ-вирус в 99% бывают оправданы. Однажды DrWeb 3.20
«ругался» на ВООТ-сектор дискеты, «вылеченной» AidsTest от вируса
LzExe, поэтому антивирусным программам тоже не всегда можно
доверять. Наличие большого количества файлов, предположительно
зараженных вирусом одного и того же класса, с большой достоверностью
указывает на присутствие в компьютере неизвестного вируса. Но могут
быть и исключения - DrWebверсии 3.15 и ниже активно «ругался» на
стандартные DOC-компоненты WinWord 2.0. Кроме того, DrWeb определяет
наличие в памяти компьютера неизвестных резидентных вирусов и
Stealth-вирусов. Ошибки при их определении (в последних версиях
антивируса) достаточно редки. Версия 3.15, не умеющая лечить вирус
Kaczor, исправно заподозрила наличие агрессивного резидента в
памяти. Версия же 3.18, умеющая его лечить, в инфицированной системе
вообще ничего не заметила, а детектировала и вылечила вирус лишь при
загрузке с чистой дискеты. При этом нужно иметь в виду, что
предупреждения типа «Странная дата файла», единичные подозрения на
СОМ-, ЕХЕ-вирусы и прочее вряд ли могут быть расценены как
бесспорное доказательство наличия вируса. MACRO-вирусы живут
исключительно в Windows и никакого негативного влияния на DOS-
программы оказать не могут, за исключением того случая, когда они
что-либо стерли в Windows-сеансе.
5. Нередко сбои бывают вызваны естественными причинами, никако-го
отношения к вирусам не имеющими.
a) Аппаратные сбои. Исключить эту возможность поможет загрузкас чистой
дискеты и запуск (с нее) диагностической программы ndiags. Тестируем
память, основную плату, порты и все остальное. Иногда достаточен
простой внешний осмотр компьютера -может быть, что-то неправильно
подключено.
b) Нарушения в логической структуре диска. Загружаемся с чистой дискеты
и запускаем (с нее) ndd. Сначала просто отмечаем наличие ошибок
(перекрестных цепочек, потерянных кластеров и так далее). Если
ошибок очень много и подавляющее их число относится к СОМ- и ЕХЕ-
файлам, то ни в коем случае нельзя выполнять операцию исправления
ошибок: это может быть DIR-подобный вирус, и такое «лечение» диска
может стать для многих программ фатальным. Если ошибки есть и их
относительно немного, рискуем и лечим диск. Вновь загружаемся с
винчестера. Сбои пропали?
&
| | скачать работу |
Компьютерные вирусы |