Вирусы и логические бомбы

Моментальное форматирование жесткого диска, тоже не из приятных, но в

большинстве случаев пользователь, с достаточным опытом, способен предотвратить катастрофу.

Регенеративные вирусы делят свое тело на несколько частей и сохраняют их в разных местах жесткого диска. Соответственно эти части способна

самостоятельно находить друг друга и собираться для регенерации  тела вируса. Программа - антивирус  обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так  как являются  измененными. От таких  вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска.

Предварительно необходимо принять осторожные меры по сохранению информации. Хитрые вирусы прячутся не только от нас, но и от антивирусных программ. Эти "хамелеоны" изменяют сами себя с помощью самых хитрых и запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно же, по хитрому алгоритму превращаются в подлый вирус и начинают заниматься

нашим компьютером. Это самый  трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как "Dr.Weber", способны с помощью так называемого эвристического анализа обнаруживать и обезвреживать и подобные вирусы.

"Невидимые" вирусы чтобы предотвратить свое обнаружение применяют так

называемый метод "Stelth". Он заключается в том, что вирус, находящийся в

памяти резидентно, перехватывает  обращения DOS (и тем самым прикладных программ) к зараженным файлам и  областям диска и выдает их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере — на "чистом" компьютере изменения  в файлах и загрузочных областях диска можно легко обнаружить. Но некоторые антивирусные программы  могут обнаруживать вирусы - "невидимки" даже на зараженных компьютерах. Так, программа  Adinf фирмы "Диалог-Наука" для этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSP фирмы "Диалог-МГУ" — "отключает" на время проверки вирус (последний метод работает не всегда). Некоторые антивирусные программы (например, AVSP фирмы "Диалог-МГУ") используют для борьбы с вирусом свойство "невидимых" файловых вирусов "вылечивать" зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем уже после загрузки с "чистой" дискеты, исполняемые файлы восстанавливаются в исходном виде.

В последнее время получили распространение вирусы, изменяющую файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех .com- и .exe-файлов, содержащихся в соответствующих элементах каталога, указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. По этому при запуске любой программы в память загружается

вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки  файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки. Таким образом, при работающем вирусе файловая система кажется  совершенно нормальной. При поверхностном  осмотре на "чистом" компьютере зараженного диска также ничего странного не наблюдается. Разве  что при попытке прочесть или  скопировать с зараженной дискеты  программные файлы из них будут

прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполняемой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

При анализе на "чистом" компьютере с помощью программы  ChkDsk или NDD файловая система зараженного DIR-вирусом диска кажется безнадежно испорченной. Так программа ChkDsk выдает кучу сообщений о пересечении файлов (".cross linked on cluster.") и о цепочках потерянных кластеров (".lost clusters found in .chains."). Не следует исправлять эти ошибки программами ChkDsk или NDD — приэтом диск окажется безнадежно испорченным. Именно так ведет себя вирус OneHalf-3544. Для исправления зараженных этими вирусами дисков надо

пользоваться только специальными антивирусными программами, о которых  будет рассказано далее.

Можно много рассуждать о  классификации вирусов. Однако стоит  знать, что

никогда заранее неизвестно каким вирусом будет атакован ваш компьютер.

Соответственно нужно  учитывать все возможные типы и принимать все возможные  меры для профилактики заражения. Так, например, для того, чтобы противостоять  вирусу "Чернобыль" достаточно аппаратно отключить возможность перезаписывать Flash ПЗУ компьютера, а для предотвращения заражения загрузочными вирусами необходимо запретить загрузку компьютера с дискет. Но большинство вирусов не поддается правилам. Обычно вирусы пишутся как можно хитрее, и естественно, что они могут больше, чем представители одного класса.  Т.е. они сочетают в себе достоинства каждого вида, превращаясь в гибриды. Сложность обнаружения и борьбы с гибридными вирусами возрастает.

 

Действия при заражении  вирусом

При заражении компьютера вирусом важно соблюдать четыре правила.

Прежде всего не надо торопиться и принимать опрометчивых решений. Как

говорится, "семь раз отмерь, один раз отрежь" — непродуманные  действия могут привести не только к потере части файлов, которые  можно было бы восстановить, но и  к повторному заражению компьютера.

Тем не менее одно действие должно быть выполнено немедленно, — надо выключить компьютер, чтобы вирус не продолжал свою работу.

Все действия по обнаружению  вида заражения и л лечению компьютера следует выполнять только после перезагрузки компьютера с защищенной от записи "эталонной" дискеты с операционной системой. При этом следует пользоваться исполняемыми файлами находящимися только на защищенных от записи "эталонных" дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке ОС или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ. Если Вы не обладаете достаточными опытом и знаниями для лечения компьютера, попросите о помощи более опытных коллег или специалистов.

Лечение компьютера. Рассмотрим случай когда вирус уже успел заразить или испортить какие-то файлы на дисках компьютера. При этом надо выполнить следующие действия.

Перезагрузить ОС (Операционную Систему) с заранее подготовленной эталонной дискеты. Эта дискета, как и другие дискеты, используемые при ликвидации последствий заражения  компьютерным вирусом, должна быть защищена от записи. Заметим, что перезагрузку нельзя выполнять , используя комбинацию клавиш <Ctrl><Alt><Del>, так как некоторые вирусы способны анализировать это прерывание клавиатуры и продолжать работать. Они могут сымитировать перезагрузку компьютера, а могут ответить вам каким-то жестоким образом. Для перезагрузки нужно использовать кнопку "RESET" на системном блоке или вообще перезапустить питание.

Необходимо проверить  правильность конфигурации компьютера при начальной загрузке компьютера. Сначала необходимо запустить программу - детектор для определения типа вируса и зараженных файлов. Далее  нужно поочередно обезвредить все  диски, которые могли  подвергнуться  заражению. Если жесткий диск разделен на несколько логических дисков, то при перезагрузке с дискеты будет  виден только логический диск, с  которого

стартует ОС. Необходимо прежде всего очистить от заражения его, а затем,

перегрузившись с жесткого диска, заняться его остальными разделами.

Теперь, когда известно, что  вирусов типа DIR на диске нет или  они успешно

вылечены можно проверить  целостность файловой системы и  поверхности диска программой NDD или ChkDsk. Если повреждения FAT (файловой системы) значительные, то целесообразно попробовать сделать копии необходимой информации, после чего отформатировать диск. При незначительных повреждениях можно попробовать восстановить диск также применяя программу DiskEdit из комплекса Norton Utilities.

Если до заражения использовалась программа - ревизор, можно запустить  ее для диагностики изменений  в файлах.

Если вы не уверены в  своих архивных копиях, проверьте  их на наличие вируса. Удалить с  диска все файлы, которые были изменены и имеют копии на других дисках. Нельзя оставлять на диске .exe и .com файлы которые по мнению ревизора были изменены. Оставлять их можно только в исключительных случаях. Если обрабатываемый диск системный, то его систему стоит обновить с "эталонной" дискеты командой SYS.

Файлы, которые доктор не смог восстановить следует уничтожить.

С помощью архивных копий  следует восстановить файлы, размещавшиеся  на диске. Если имеется хорошая программа - фильтр, целесообразно некоторое  время поработать с ней.

Глава 2

Логическая бомба

Логическая бомба — это программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия.

Пояснение

Логическая бомба может  быть «заложена» внутрь вредоносных  программ другого типа, вызывая их срабатывание в заданное время. Кроме  того, логическая бомба может находиться и внутри обычных программ, вызывая  прекращение их работы в заданное время.

Логическая бомба может  быть «доставлена» адресату при помощи электронной почты, вместе с вирусом  или троянской программой, рассмотренной  в следующем разделе. Логическая бомба может быть внедрена в программу  или систему еще на этапе ее разработки.

Название отражает тот  факт, что вредоносные действия выполнятся не сразу после проникновения  логической бомбы на компьютер, а  через некоторое время или  при выполнении некоторых условий.

Пример использования

После внедрения  на компьютер логическая бомба может никак себя не проявлять в течение длительного времени. Как правило, логические бомбы начинают свое вредоносное действие тогда, когда это может привести к максимальному ущербу для компьютерной системы.

 

 

 

 

 

Ввод в программное  обеспечение "Логических бомб" 

Ввод в программное  обеспечение "логических бомб", которые  срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему. "Временная бомба" - разновидность "логической бомбы", которая срабатывает по достижении определенного момента времени. Способ "троянский конь" состоит в тайном введении в чужую программу таких команд, которые позволяют осуществлять новые, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность. С помощью "троянского коня" преступники, например, отчисляют на свой счет определенную сумму с каждой операции.  Компьютерные программные тексты обычно чрезвычайно сложны. Они состоят из сотен, тысяч, а иногда и миллионов команд. Поэтому "троянский конь" из нескольких десятков команд вряд ли может быть обнаружен, если, конечно, нет подозрений относительно этого. Но и в последнем случае экспертам-программистам потребуется много дней и недель, чтобы найти его.  Есть еще одна разновидность "троянского коня". Ее особенность состоит в том, что в безобидно выглядящий кусок программы вставляются не команды, собственно, выполняющие "грязную" работу, а команды, формирующие эти команды и после выполнения уничтожающие их. В этом случае программисту, пытающемуся найти "троянского коня", необходимо искать не его самого, а команды его формирующие. Развивая эту идею, можно представить себе команды, которые создают команды и т. д. (сколь угодно большое число раз), создающие "троянского коня".  
В США получила распространение форма компьютерного вандализма, при которой "троянский конь" разрушает через какой-то промежуток времени все программы, хранящиеся в памяти машины. Во многих поступивших в продажу компьютерах оказалась "временная бомба", которая "взрывается" в самый неожиданный момент, разрушая всю библиотеку данных. Не следует думать, что "логические бомбы" - это экзотика, несвойственная нашему обществу.

 

Заключение

Не стоит переоценивать  возможностей этих подлых программ. Например, очень неразумным будет распоряжение начальника отформатировать все жесткие диски на компьютерах в отделе только из-за того, что на одном из них было обнаружено подозрение на вирус такой-то. Это приведет к неоправданной потере информации и сильной потери времени и сил, что, по нанесенному ущербу, будет больше, чем смог бы сделать вирус. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов также не блестящий шаг в профилактике заражений. Не превращайте компьютер в неприступную крепость, вооруженную до зубов, а то может не хватить ресурсов для выполнения необходимых задач. Если все же вам захочется затруднить задачу для вирусов, установите на вашем компьютере операционную систему WindowsNT, эта оболочка по своей архитектуре не допускает прямых обращений к устройствам даже для драйверов. Единственный цивилизованный способ защиты от вирусов я вижу в соблюдении профилактических мер предосторожности при работе на компьютере. А кроме того, даже если вирус все-таки проник на компьютер, это не повод для паники. Методы борьбы с ним описаны мною заранее. Не стесняйтесь прибегать к помощи специалистов для борьбы с компьютерным вирусом, если вы не чувствуете уверенности в себе.