ПОЛЬЗОВАТЕЛЯМ О ВИРУСАХ
(абсолютно несерьезная, но очень познавательня лекция)
by Drmad
- 1 -
Наверное, никто уже не сомнивается в том, что компьютерные вирусы
- это серьезная проблема. Причем суть ее заключается не в том, что
компьютерные вирусы приносят конкретный прямой ущерб в результате
блокирования работы компьютера или разрушения данных. Нет, 90% вреда
от вирусов заключается в том... что они есть, и пользователи их до
смерти боятся. Как результат, они начинают нервничать, прекращают
работу, тратят время и деньги на антивирусы. Это не спекуляция, а
строгий вывод, сделанный известным болгарским вирусологом В. Бончевым
несколько лет назад на основе всестороннего изучения проблемы.
И если бы не приснопамятное бедствие, нанесенное в 1999 г.
вирусом Win32.CIH ("Чернобыльским"), этот процент был бы еще выше.
Чем же обусловлена такая ситуация? Прислушаемся к разговору трех
пользователей на задних рядах лекционного зала:
Первый: У меня недавно какой-то вирус завелся, я
его еле вылечил.
Второй: Это хорошо, что ты успел его вылечить. Я
слышал, что есть вирусы, которые дисплеи
сжигают и винчестеры царапают.
Третий: Да за вирусы сажать надо без разговоров!
В лице этих трех персонажей легко различить три
социально-психологических типа.
Первый пользователь - "чайник"; человек, разбирающийся в
вычислительной технике и информационных технологиях лишь настолько,
насколько требуют его служебные обязанности, Вирус для него - всего
лишь досадная помеха в работе.
Второй пользователь - типичный "ламер"; человек, чьи "глубокие
знания" почерпнуты из чужих малограмотных сплетен.
Третий пользователь - несомненный "паникер". Он сам с вирусами не
встречался, что это такое не знает даже на уровне ламера, но панически
их боится и ненавидит заочно.
В большинстве "нормальных" пользователей намешано и того, и
другого, и третьего в разных пропорциях. Но тенденция, увы, такова,
что в компании "паникеров" и "ламеров" даже самый любознательный
"чайник" поневоле скатывается на их уровень.
Ситуацию осложняют, увы, наши "доблестные" СМИ. Например, в мае
2000 г. популярная газета "Спид-ИНФО" осчастливила читателей следующей
информацией:
: Обнаружен новый компьютерный вирус, который
: поражает пользователей - посетителей
: некоторых сайтов в Интернете... Первый
: признак заражения - расстройство эрекции...
Наверное, из вышесказанного можно сделать вывод: стоит читать о
вирусах только то, что выходит из под пера специалиста.
Но вот беда - подавляющее количество специалистов предпочитают
ограничиваться проповедями о пользе "компьютерно-полового воздержания"
и призывами пользоваться антивирусами их производства. Любую попытку
приоткрыть завесу тайны над тем, как устроены и работают их
антивирусы, они принимают в штыки и объявляют "подстрекательством к
созданию вирусов".
Их можно понять. В достаточно узком мире профессиональных
вирусологов царит жестокая конкуренция, и лишнее слово, произнесенное
в неподходящий момент, может обернуться либо раскрытием для
вирусописателей очередного слабого места в антивирусе (а их хватает!),
либо выдачей секрета конкуренту.
За примерами не стоит далеко ходить.
В 1997 г. некто, подделав формат антивирусных баз программы
DrWeb, распространил десятки копий поддельного антивируса, который
нанес немалый ущерб доверчивым пользователям.
В 1998 г. разразилась целая война между компаниями "ДиалогНаука"
и "Лаборатория Касперского" по поводу якобы имевшего место воровства
антивирусных алгоритмов.
Поэтому вывод придходится корректировать так: не стоит ждать
милостей от вирусолога, стань специалистом сам!
Конечно, не имеется в виду, что каждый пользователь должен
изучать системное программирование - это невозможно. Но научиться
отличать правду от газетных "уток", грамотно организовывать
антивирусную защиту, не пенять на "проклятых вирусописателей" (ибо
плохому танцору всегда что-нибудь мешает) - это вполне реально.
- 2 -
Давайте закрепим пройденный материал. Надеюсь, Вас не затруднит
набрать в текстовом редакторе вот такой примерно текст:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-
ANTIVIRUS-TEST-FILE!$H+H*
Этот текст длиной 68 символов должен идти сплошной строкой без
переносов. После набора сохраните его в файле с именем EICAR.COM. Если
Вас смущает, что COM - это расширение для исполняемых программ, а для
текстов обычно используют расширение TXT, то не волнуйтесь: это
действительно программа. Это единственная в своем роде уникальная
программа, которая может быть представлена в двух ипостасях - и как
читабельный текст, и как исполняемый код.
Если вы опасаетесь, что Вам подсунули какую-нибудь вредоносную
программу, то вот ее ассемблерный листинг:
seg_a segment
assume cs:seg_a, ds:seg_a
org 100h
Start:
pop ax
xor ax,214Fh
push ax
and ax,4140h
push ax
pop bx
xor al,5Ch
push ax
pop dx
pop ax
xor ax,2834h
push ax
pop si
sub [bx],si
inc bx
inc bx
sub [bx],si
jge short CallDos
Message db 'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$'
CallDos:
db 'H+H*'
db 0, 0
seg_a ends
End Start
Совершенно очевидно, что данная програма представляет собой всего
лишь несколько пересылок и преобразований значений отдельных ячеек
оперативной памяти. Если эту программу запустить, она просто выдаст
текстовую строчку и тихо завершится.
Да и не входит в задачу автора этой статьи так грубо и зло
шутить!
Но без мелких шуток не обойдемся. Итак, создав файл EICAR.COM,
потихонечку скопируйте его на компьютер своего коллеги, который
регулярно проверяет здоровье своего компьютера антивирусом.
Настала пора открыть "жуткую тайну": EICAR.COM - это совершенно
безвредная тестовая программа, разработанная международной ассоциацией
вирусологов, на которую обязаны реагировать все антивирусы с целью
доказательства своей работоспособности. Антивирус должен сообщить
(хотя и не обязательно на чистом русском языке) что-то вроде:
ОБНАРУЖЕНА ТЕСТОВАЯ ПРОГРАММА EICAR.
НЕ ВОЛНУЙТЕСЬ, ЭТО НЕ ВИРУС!
Подождите, пока Ваш коллега запустит свой DrWEb, AVP или NAV и
пронаблюдайте за его реакцией и реакцией окружающих.
С огромной степенью вероятности можно предположить, что Ваш
коллега даже не будет читать сообщение, выводимое антивирусом, а
поднимет панику: обнаружен вирус! он не лечится!
В обсуждение ситуации включатся соседи справа и слева... вспомнят
все сплетни и "страшилки", какие только слышали о вирусах...
посоветуют отформатировать винчестер...
Вот тут-то вы воочию убедитесь, к какому социально-
психологическому типу относятся Ваши коллеги!
Разумеется, Вам необходимо будет извиниться и разъяснить
ситуацию. А то в течение долгих недель любые компьютерные сбои и даже
собственные промашки Вашими коллегами будут списываться на счет
"коварного вируса".
- 3 -
Конечно, действия, описанные в предыдущем разделе - это чистой
воды провокация. И к нашему желанию овладеть антивирусной
"грамотностью" прямого отношения они не имеют.
"Замаливая грехи", приведем ряд конкретных советов, рассчитанных
на пользователей не слишком высокой квалификации. Следование этим
советам поможет существенно снизить опасность заражения компьютера
вирусом и минимизировать возможные повреждения, нанесенные им.
СОВЕТ 1. Включите опцию "Virus Warning" в BIOS Setup.
BIOS Setup - это стандартная программа, практически всегда
присутствующая на Вашем компьютере. Запустить ее достаточно просто - в
первые секунды после загрузки Вашего компьютера обратите внимание на
примерно вот такую строку:
Press Del то run Setup
(Нажмите клавишу Del для запуска программы Setup)
Совет действителен только пока горит эта строка. Если она
погасла, вы можете стучать по клавише Del хоть кулаком - программа
Setup не запустится. Если же Вы успели во-время, то появится
разноцветное меню, в котором, как правило, имеются примерно следующие
альтернативы:
Standard CMOS Setup Integrated periferals
BIOS features Setup Password setting
Chipset features Setup IDE HDD auto detection
Power managment Setup Save & Exit Setup
PNP/PCI configuration Exit withoout settings
Load Setup defaults Load EEPROM defaults
Load turbo defaults Save EEPROM defaults
В подменю BIOS features Setup включите альтернативу Virus Warning
в положение Enabled, и в момент попытки несанкционированной записи
информации в загрузочный сектор винчестера Вы будете предупреждены
звуковым сигналом и соответствующим текстом.
Также полезно будет включить опцию Boot Virus Detection, которая
позволяет проверить в момент загрузки - не изменилось ли содержимое
загрузочного сектора по сравнению с запомненным ранее "образцом".
ВНИМАНИЕ:
* существуют методы, позволяющие записывать информацию в
системные области винчестера в обход BIOS; таким образом,
стопроцентной защиты от загрузочных вирусов данный прием не
обеспечивает;
* возможны случаи, когда тревожное предупреждение возникает по
вполне "мирным" причинам, например, при разбиении винчестера на
разделы программой FDISK;
* в процессе установки различных версий Windows возможна
ситуация, когда тревржное предупреждение срабатывает только
наполовину: запись информации в загрузочный сектор блокируется, а
соответствующие предупреждающие сигналы подавляются графической
оболочкой инсталляционной программы; таким образом, на время установки
Windows опцию Virus Warning лучше временно отключить.
СОВЕТ 2. Поставьте флажок Readonly на наиболее часто заражаемых
вирусами файлах.
К таким файлам относятся:
* C:\AUTOEXEC.BAT и C:\CONFIG.SYS;
* C:\COMMAND.COM и C:\WINDOWS\COMMAND\COMMAND.COM;
* C:\IO.SYS и C:\MSDOS.SYS;
* C:\WINDOWS\WIN.INI и C:\WINDOWS\SYSTEM.INI;
* C:\WINDOWS\KERNEL32.DLL;
* C:\WINDOWS\SYSTEM.DAT и C:\WINDOWS\USER.DAT;
* C:\WINWORD\TEMPLATES\NORMAL.DOT (или C:\MSOFFICE\Шаблоны\NOR-
MAL.DOT) и C:\MSOFFICE\Шаблоны\BOOK1.XLS.
Многие вирусы способны сбрасывать этот флажок и заражать
указанные файлы, но некоторые "ленятся".
ВНИМАНИЕ:
* изменение некоторых из указанных файлов требуется системе в
процесе установки новых приложений, изменении конфигурации системы и
пр.; указанный совет актуален только тогода, когда текущая
конфигурация системы Вас удовлетворяет и Вы в течение длительного
времени не собираетесь делать в ней изменения.
* полезно также скопировать указанные файлы на архивную дискету и
хранить их там как "образец".
СОВЕТ 3. Откройте шторку защиты от записи на Ваших дискетах.
Очень просто - отправлясь "в гости", чтобы перенести на чужой
компьютер какую-нибудь информацию на дискете, не забудьте защитить ее
от записи. Если шторка 3-дюймовой дискеты открыта (или прорезь
5-дюймовой дискеты заклеена), и дисковод исправен, никакая запись на
Вашу дискету (в том числе и несанкционированное проникновение вируса)
- невозможна.
СОВЕТ 4. Переименуйте наиболее часто используемые вирусами
"подручные" программы.
Современные вирусы очень часто используют для своего размножения
"подручные" программы, стандартно присутствующие на Вашем компьютере.
Переименуйте некоторые такие программы, например, так:
* C:\WINDOWS\COMMAND\DEBUG.EXE в C:\WINDOWS\COMMAND\_DEBUG.EXE;
* C:\WINDOWS\COMMAND\DELTREE.EXE в C:\WINDOWS\COMMAND
\_DELTREE.EXE;
* C:\WINDOWS\REGEDIT.EXE в C:\WINDOWS\_REGEDIT.EXE.
ВНИМАНИЕ:
расположение указанных файлов может отличаться от указанного в
зависимости от того, на каком диске у Вас установлены операционная
система и приложения, используются ли оригинальная или локализованная
версия софта и пр.
СОВЕТ 5. Грамотно пользуйтесь антивирусами.
Увы, регулярный запуск антивирусов на своем компьютере совсем не
гарантирует чистоту Вашего компьютера от "заразы". Помите, что:
* излечение от вирусов гарантировано только в том случае, если
антивирус запущен из заведомо "чистой" операционной системы -
например, после загрузки с дискеты или со специального компакт-диска;
* необходимо внимательно проверять результаты работы антивируса:
нередко пользователи запускают "лечилку" и уходят пить чай, после чего
сразу приступают к работе; а между тем, очистка компьютера от "заразы"
могла окончиться и неудачей, если, например, вирусами заражены файлы,
заархивированые упаковщиками типа PKZIP;
* антивирус всегда должен быть "свежим"; использование
"просроченной" антивирусной программы (например, прошлогодней) так же
опасно, как и употребление "заплесневевших" таблеток.
- 4 -
Вот мы и добрались до конца нашей лекции.
Голос из зала: Я ничего не понял. Мне это
не нужно. У нас в фирме есть специальная
служба, которая занимается тем, чтобы
компьютеры работали нормально и не было
вирусов.
Ну что ж, век живи, век учись - дураком помрешь. Лекция
закончена, благодарю за внимание.
----------------------------------------------------------------------
(с) Constantin E. Climentieff, 2000
mailto: drmad@chat.ru * http://www.chat.ru/~drmad
|
