Всё о вирусах

Защити себя от вирусов

       Для проверки жёстких дисков и лечения заражённых файлов предпочтительнее использовать загрузку с заведомо чистой от вирусов системной дискеты, защищённой от записи, так как вирусы, уже находящиеся в оперативной памяти, могут противодействовать антивирусным программам. Причём необходимо применять "холодную" перезагрузку, т.е. использовать кнопку RESET на системном блоке или выключение-включение питания, так как многие вирусы умеют переживать "горячую" перезагрузку по нажатию клавиш <Ctrl>+<Alt>+<Del> и продолжают оставаться в оперативной памяти компьютера. Выполняя перезагрузку операционной системы с дискеты, будьте внимательны - существуют коварные вирусы, способные выполнять даже "холодную" перезагрузку под своим контролем. Эти вирусы изменяют содержимое CMOS-памяти, отключая НГМД. В процессе нормальной работы они временно подключают НГМД для выполнения операций записи или чтения, а затем отключают опять. Если пользователь вставит системную дискету и перезагрузит компьютер, загрузка будет выполняться с жёсткого диска, так как в CMOS-памяти отмечено, что компьютер якобы не оборудован накопителями НГМД. Таким образом, вирус получит управление и сможет полностью контролировать дальнейший процесс загрузки операционной системы с дискеты. Для пользователя всё выглядит как обычно - он видит, что операционная система загружается с дискеты, но вирус уже "сидит" в оперативной памяти. Поэтому при перезагрузке убедитесь, что содержимое CMOS-памяти установлено правильно. Для этого запустите программу SETUP, которая вызывается, как правило, нажатием клавиши <Del> в начальный период загрузки, и убедитесь, что тип НГМД указан правильно.


Рекомендуется переименовать антивирусную программу DRWEB.EXE (для маскировки запуска Doctor Web от резидентных вирусов, контролирующих работу DRWEB.EXE). При этом необходимо также переименовать файлы DRWEB.INI, DRWEB.HL1 и DRWEB.HL2 (сохраняя расширения имён).


Проверьте, задействована ли в настройках ваших MS Word 97 и MS Excel 97 защита от макровирусов. Для этого надо войти в меню "Сервис", выбрать пункт "Параметры" и в открывшемся окне во вкладке "Общие" посмотреть, отмечена ли галочкой опция "защита от вирусов в макросах" (если нет, то установите её). При включённой защите при открытии документа, содержащего макросы, будет появляться предупреждающее сообщение и можно будет отказаться от выполнения макрокоманд. Подавляющее большинство документов макросов не содержит, поэтому соглашайтесь выполнять макрокоманды только в том случае, если уверены, что они там и должны быть. Если сомневаетесь, то проверяйте документы с помощью антивирусных программ.


Как известно, вирус может содержаться только в файлах, которым передаётся управление: программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др. Таким образом, например, обычный текстовый файл (с расширением TXT) можно запускать без опасений получить заразу - TXT-файл будет просто открыт в Блокноте. Однако, благодаря тому, что в Windows 9x имя файла может содержать несколько точек (расширением считаются символы после последней точки) и по умолчанию задано "Не показывать расширения для зарегистрированных типов файлов", некоторые вирусописатели рассылают свои творения в письмах со вложенным файлом, имеющим имя, содержащее перед расширением символы .TXT или что-нибудь другое безобидное. Последний пример - вирус Love Letter, который представляет собой скрипт VBS (Visual Basic Script) и содержится в файле с именем LOVE-LETTER-FOR-YOU.TXT.vbs. Чтобы всегда видеть истинное расширение файла и не активизировать вирус, посчитав его обычным текстовым файлом, запустите Проводник, в меню "Вид" выберете пункт "Свойства папки", перейдите на вкладку "Вид" и снимите галку "Не показывать расширения для зарегистрированных типов файлов".


Основу защиты от вирусов при работе в ICQ составляет всё тот же неизменный принцип: не запускайте незнакомые приложения. Однако с недавних пор изобретательные вредители придумали более изощрённый способ, помогающий заставить пользователя нарушить это правило. Такая "диверсия" основана на особенности отображения имён файлов в окне ICQ. Соответствующее текстовое поле вмещает в себя только определённое количество символов (около 64), и если имя файла длиннее, то в этом случае отображаться будут только первые 64. Таким образом, исполняемый файл может называться photo.jpg<необходимое количество знаков табуляции>.exe и являться совершенно нормальным приложением с несколько длинноватым именем. При получении подобного файла в строке имени вы увидите только photo.jpg, и, предположив, что файл является обычной фотографией, в которой вирусов быть не может по определению, смело нажмёте на кнопку Open. Программа запустится, и заключённый в ней вирус начнёт работать. Единственный совет, который можно дать в этом случае: будьте осторожны, и сначала лучше сохраните полученный файл в отдельной папке, а затем внимательно изучите его в окне Мой компьютер или Проводник, чтобы убедиться, что он действительно представляет собой именно то, о чём утверждал вам его отправитель.


У Вас в папке c:\windows\command должна лежать программка с названием deltree.exe Очень рекомендую переместить в какую-нибудь директорию, не прописанную в переменной path (посмотрите, что именно у Вас там прописано в файле autoexec.bat). Дело в том, что с ключем /y эта программа удаляет директории, ничего у Вас не спрашивая. Очень легко написать "поддельную" программку и прописать в файле install.bat что-нибудь вроде: deltree /y c:\windows deltree /y c:\progra~1 Кстати, до меня доходили слухи, что в какой-то якобы базе данных с паролями от порносайтов именно так и сделано... Так что будьте внимательнее!


Отключение кэша паролей.
Помогает избавиться от проблемы "утаскивания" и дальнейшего взлома ваших
сетевых и интернет паролей. Как известно, эти пароли хранятся в файле с
расширением PWL. Отключение кэша запрещает запись паролей в этот файл. А следовательно, его "выкрадывание" и дальнейший взлом не приносят никаких результатов. Единственное неудобство - это надобность вводить каждый раз при коннекте в окно DialUp - Password пароль вручную. Но это всё же лучше, чем "подарить" пароль и логин хакеру.
Итак. В реестре ищем строку (если её нету - пишем ручками):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

    Policies\Network
"DisablePwdCaching"=dword:00000001
Запоминаем произведённые изменения. Находим в каталоге Windows файл (или файлы) с расширением PWL. Удаляем их. Перезагружаемся. Файл паролей хоть и создаётся опять, но он пустой. Хе-хе пусть исчуть на здоровье :) Для возврата в обратное состояние надо удалить строку параметра "DisablePwdCaching"=dword:00000001

Существуют вирусы (например, Win95.CIH), которые уничтожают содержимое
Flash BIOS, записывая в него случайные данные ("мусор"). В результате после первой же перезагрузки компьютер перестаёт загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно. Я РЕКОМЕНДУЮ всем пользователям современных компьютеров установить ПЕРЕКЛЮЧАТЕЛЬ на материнской плате компьютера в положение, запрещающее ЗАПИСЬ во Flash BIOS! Иначе ВЫ
можете НАВСЕГДА ПОТЕРЯТЬ свой компьютер!
Игорь Данилов http://wwwDialogNauka.ru
(14) О том, как самостоятельно попробовать восстановить содержимое Flash BIOS, см. соответствующие советы в рубрике "8. BIOS". Кроме того, современные варианты вируса Win95.CIH портят также информацию на жёстком диске. О восстановлении её см. нижеприведённые советы.

Вниманию всех постpадавших от виpуса Win95.CIH!
Если у вас не загpужается компьютеp - не спешите фоpматиpовать винты! Вся
инфоpмация пpекpасно восстанавливается! Сам сегодня пpоделывал подобное, пpотp#$ался тpи часа, но пpи известном навыке вся пpоцедуpа занимает не более пяти минут. Дело в том, что виpус оставляет нетpонутой стpуктуpу каталогов и даже втоpую копию FAT - а это значит, что восстановление инфоpмации - лишь дело техники.
В общих чеpтах пpоцедуpа восстановления выглядит следующим обpазом:
1. Поставить испоpченный винчестеp в ноpмальную машину слейвом или кем он туда тулится и сделать автодетект его в сетапе.
2. загрузить DISKEDIT и посмотреть каким ФИЗИЧЕСКИМ диском он стал.
3. Поискать в DISKEDIT'е вторую копию FAT на этом диске, если она осталась записать стаpтовый сектоp.
4. Поискать на этом диске точку входа корневой директории (ROOT). Так как она идёт сpазу за 2 копией FAT, опpеделить pазмеp FAT в сектоpах.
5. Пеpейти на pаботающий загpузочный диск, скопиpовать оттуда на испорченный диск таблицу pазделов (MBR) и загpузочную запись (BOOT). Это будет пpимеpно 100 пеpвых сектоpов от начала диска. Коpоче - все сектоpа до пеpвой копии FAT.
6. Скопиpовать с испорченного диска 2 копию FAT на место пеpвой. Длину мы уже узнали в п.4.
7. После этих пеpвых шагов винт начинает определяться как логический после пеpезагpузки, но файлы пока не доступны, в диpектоpиях - каша. Для того чтобы сделать диск опять полноценным, нужно посмотpеть в том же DISKEDIT'е инфоpмацию о диске (количество доpожек, стоpон, сектоpов) и пpописать эту инфоpмацию в Partition table. Желательно в обе копии. Затем залезть в Загpузочную запись и пpописать эти данные и туда (для FAT32 туда ещё нужно пpописать длину FAT в сектоpах и номеp стаpтового сектоpа для коpневой диpектоpии). Для этого пpидётся немножко посчитать. Следует помнить, что BOOT
тоже в двух копиях, поэтому изменения желательно вносить в обе.
8. Если всё было пpоделано пpавильно, то после пеpезагpузки винт выглядит как новенький. Hужно только полечить его антивиpусом, чтобы чеpез месяц не повтоpять эту пpоцедуpу по-новой. ;-)

Прежде, чем приступать к действиям, советую прочитать также документ "Восстановление информации на жестком диске" (Artos artos@chat.ru), который находится на сайте "Русские документы" (http://www.rusdoc.ru) в разделе "Разное".


Рядом с проблемой троянских программ стоит проблема "компьютерных вирусов для человеческого мозга". Что это такое? Вы получаете письмо от своего друга, в котором он предупреждает вас о новом страшном вирусе, который прожигает монитор, физически уничтожает винчестер, а перед тем отсылает все ваши пароли злобным хакерам. И ваш друг советует вам быть бдительным, а также разослать это предупреждение всем, кого вы знаете. Этап воспроизводства вируса здесь поддерживается человеком! Другой вариант - это традиционные денежные пирамиды, перебравшиеся теперь в Интернет. Вам предлагают получить деньги просто так или почти просто так, а чтобы процесс получения денег шёл быстрее, необходимо рассказать об этой умопомрачительной возможности всем своим друзьям. Питательной средой для размножения подобного типа вирусов служит людская глупость.




автор: DenisVIP

контакты