Большинство вирусов скорее глупы, чем опасны, и чтобы их победить нужно следовать нескольким несложным правилам.

Но не все так плохо - большинство вирусов скорее глупы, чем опасны и являются своеобразным проявлением "эго" людей их создавших. Они таким образом как бы говорят: "Я это могу сделать!".

Но могут быть и весьма плачевные последствия действий вирусов. Если, например, вы форматируете жесткий диск не стандартной утилитой Windows, а загруженной из Интернета, то вполне вероятно, что специально "подсаженный" вирус может спрятать себя в укромном месте на винчестере и доставить в дальнейшем много неприятностей. Вам и тем, кто вошел в контакт с вашим РС. 

К счастью, победить компьютерный вирус легче, чем реальный. Все, что нужно вам делать, это следовать нескольким несложным правилам, которые обезопасят ваш компьютер и помогут поскорее восстановить его нормальную работоспособность, если вам таки не повезло.

Традиционное определение вируса гласит: "Программа, созданная для копирования самой себя и самораспространения от компьютера к компьютеру без чьего-либо ведома". Есть три самых популярных способа заполучить вирус:

1. Через дискету или CD-диск.

2. Через загруженный с Интернета файл.

3. Как присоединенный к электронному почовому сообщению файл.

На сегодняшний день электронная почта - самый большой источник вирусной инфекции. И это не удивительно, учитывая высокую активность пользователей Интернета. В последнее время довольно часты случаи "заражений" через CD-диски и, наверное, этот способ расространения будет усиливаться в связи с возрастающим спросом на CD-R-оборудование.

Попав в компьютер, вирус может заразить систему несколькими способами. Он может заменить код запуска на винчестере (при каждом запуске компьютера вирус будет активироваться), присоединить себя к исполнительному файлу или, если вирус создан с помощью языка макросов, присоединить себя к макетам или "заготовкам" программ. Более того, вирус может интегрировать себя в операционную систему машины и создать копии EXE-файлов (т.н. COM-файлы, которые будут выполняться прежде, чем исходный EXE-файл).

Электронная почта - самый большой источник вирусной инфекции.

Могут быть и случаи самотиражирования вируса и последующего несанкционированного распространения за пределы вашей машины ( червячные вирусы , worms). Существуют еще и Троянские кони (Trojan horses), вирусы, которые делают вид, что выполняют одну задачу, но используют видимое действие для маскирования какого-либо процесса, происходящего в тайне.

Когда вирус запущен, он может делать практически все. Ashar (известен еще под именами Pakistani, Brain или Dungeon) был одним из первых РС-вирусов - он изменял содержание 360KВ информации на винчестере и маркировал три нормальных кластера, как испорченные.

Вирус Melissa, довольно новый червяк, присоединялся к документу Word, заражал макеты и отправлял себя 50 респондентам адресной книги Microsoft Outlook. Кроме того, если вы использовали Word во время, совпадающее с датой (в 3-30 30 марта, например), вирус вставлялв активный документ шуточную фразу.

Есть и гораздо менее безобидные вирусы. Например, червяк по имени ExploreZip - он не только самотиражировался как присоединенный почтовый файл, но и стирал файлы на жестком диске.

Если вы активно работаете в Интернете (поскольку вы читает эту статью, то речь идет именно о вас), то вам в обязательном порядке нужно использовать антивирусные программы. Они доступны из многих источников, а через Интернет можно обновить базу данных программы и даже " проверить " машину в режиме online.

Лучше всего установить антивирусную программу таким образом, чтобы она работала резидентно, т.е. запускалась вместе с системой. Это обеспечит вам автоматическую защиту. Если у вас и так много программ, работающих в фоновом режиме, то возьмите за правило проверять при помощи антивирусной программы все загружаемые через Интернет файлы и почтовые аттачменты. И делать это нужно до того, как вы их запустили - в случае опасности заражения вирусом вы получите предупреждение.

Если вы активно работаете в Интернете, то вам в обязательном порядке нужно использовать антивирусные программы.

Поскольку вирусы создаются постоянно, регулярно обновляйте антивирусную программу. В большинстве из них предусмотрена функция оповещения о новых версиях или можно создать планировщик обновления базы данных известных вирусов.

Можно установить присутствие вируса и без специального ПО, но это напоминает русскую рулетку - когда пуля уже вылетела, то трудно что-либо изменить. И даже, если вам относительно повезло, то, чтобы удалить вирус, вам все равно понадобится антивирусная программа. Тем не менее, есть несколько несложных правил, чтобы свести к минимуму возможные неприятности.

• Периодически проверяйте макро-опции ваших приложений - большинство макро-вирусов делают опции меню макросов неработоспособными. Если эти опции серого цвета и не поддаются активации, то считайте, что вы уже влипли.
• Пошлите самому себе письмо - если вы получите сообщение с присоединенным файлом (ZIP или EXE), то ваша система наверняка заражена. Предупредите всех, кому вы отправляли корреспонденцию со времени предыдущей проверки (только не используйте для этого электронную почту).
• Многие вирусы изменяют Реестр Windows и делают в нем записи "под себя". Используйте стандартную утилиту Windows RegEdit, чтобы просмотреть Реестр в поиске имен вирусов. В случае обнаружения иногда (Happy99, например, - довольно безобидный вирус) от них можно избавиться путем перезаписи изменнных файлов.
• И самое главное. Постоянно делайте резервные копии системы. Храните две последовательно сделанные копии на случай необходимости восстановлений поврежденных файлов.

Обезопасить себя от компьютерного вируса намного легче, чем восстанавливать последствия его действий. По данным  ICSA Labs , каждый месяц заражается 1.5% всех РС и это количество возрастает на 20% ежемесячно. Будьте в курсе происходящих в Интернете событий, ведь об этом пишут достаточно счасто и оперативно - если вы узнали о массовых "заражениях", то усильте бдительность.

Подавляющее большинство вирусов распространяются электронной почтой как присоединенный zip или exe файлы. Они заражают вашу систему при активации или разархивировании, а не тогода, когда вы открывает почтовое сообщение. Так что первым привентивным шагом должна быть осторожность при работе с почтой из неизвестных источников - если вы получили, например, сообщение типа "Это тот файл, который я тебе обещал" от незнакомого человека, то без сожаления удалите это письмо.  

Будьте внимательны с программным обеспечением. Когда в апреле вирус "Чернобыль" проявил себя вновь в Европе и Азии, то оказалось, что заражены полмиллиона машин. А в США - всего 10 тысяч. Почему? Потому, что, по мнению специалистов, этот вирус распространился через нелегальное ПО, скопированное на CD-диски. Там, где им пользуются в большей степени, там и больше пострадавших.

Однако, вирусы могут быть и на легальных CD - спросите ребят из хакерской группы Cult of the Dead Cow (cDc). Когда они представили первые копии программы Back Orifice 2000 на компьютерной выставке, все CD оказались зараженными "Чернобылем". Но это довольно редкая ситуация и, если вы не будет пользоваться нелегальным ПО, то шансы "заразиться" уменьшатся процентов на сорок.

И, наконец, прежде, чем поставить в привод дискету или диск CD-R, хорошо подумайте. Подумайте о том, где вы его взяли и через сколько рук он прошел - чем больше пользователей, тем больше шансов заполучить вирус. 

По мнению экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.

По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося бы по миру: "За четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран".

Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем "Love-Letter-For-You" и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You "отправляет себя" всем респондентам из адресной книги жертвы.

Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агенства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: "Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов, и апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли".

Уже есть информация, что почтовые сообщения с I Love You были получены в Пентагоне, Федеральном Резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.

Что происходит

При первом запуске вируса он копирует себя в следующие директории:

WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS

и добавляет следующие регистрационные ключи:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL=WINDOWS\Win32DLL.vbs

I Love You сканирует все диски , доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т.е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2, I Love You заменяет код, добавляет свое расширение и делает файл невидимым.

После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу для кражи паролей WIN-BUGSFIX.EXE , которая должна, по замыслу, найти все скешированнные пароли и отправить их по адресу MAILME@SUPER.NET.PH . Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес вебсайта, автоматически загружающего на машину троянца. Если это происходит, в Реестре появляется ключ

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WIN-BUGSFIX,

который автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в

WINDOWS\SYSTEM\WinFAT32.EXE

и заменяет соответствующий ключ Реестра на

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WinFAT32=WinFAT32.EXE.

К наличию компьютерных вирусов уже все привыкли. Периодически они появляются в компьютере. Иногда их удается вовремя обнаружить. Иногда что-нибудь портится, но, как правило, особых трагедий не происходит. В прошлом году «на волю» был выпущен новый, очень опасный вирус Win95.CIH. Вирус появился, по-видимому, на Тайване. За прошедший год он распространился по всему миру, включая Украину. По данным британского журнала Virus Bulletin этот вирус стабильно входит в десятку самых распространенных в мире . Причем, из этой десятки вирус Win95.CIH единственный, в который встроены серьезные деструктивные функции.

Этот вирус использует довольно интересный механизм заражения, который обеспечивает ему высокую скрытность и очень высокую способность к «размножению». Практически не встречаются компьютеры, у которых этим вирусом заражено 1...2 файла. Если компьютер заражен, то вирус находится почти во всех «.ехе» файлах. В целом вирус Win95.CIH давно известен. Подробное описание его можно найти на сайтах антивирусных фирм ( ДиалогНаука ) и компьютерных журналов ( Chip ). Последние версии большинства антивирусных программ знают и умеют лечить этот вирус. В этом плане вирус Win95.CIH не является чем-то из ряда вон выходящим. Главными отличиями его от других вирусов являются очень опасные разрушения, производимые этим вирусом и длительный «скрытый период» (когда действие вируса никак не проявляется).

Разрушения, вызываемые вирусом:

• первые 2048 секторов каждого жесткого диска уничтожаются, и на их место записывается случайная последовательность;
• разрушается часть содержимого BIOS.

Длительность «скрытого периода»:

• разрушительные действия «классического» вируса (CIH.1003, или CIH v.1.2) проявляются только 26 апреля, в день, когда произошла Чернобыльская катастрофа.

Естественно, последствия действия вируса будут еще долго обобщаться на разных уровнях. Однако, первый пострадавший от воздействия данного вируса принес свой компьютер в сервисный центр «ЕПОС» уже в 9 часов утра. К обеду в сервисном центре ждало своей очереди 28 «винчестеров», а прошивка нового BIOS производилась как на заводском конвейере. Очередь компьютеров, владельцы которых думали, что произошла лишь поломка, заслуживает отдельного описания. Одного специалиста пришлось выделить специально, только для того, чтобы отвечать на телефонные звонки, которые продолжались до девяти часов вечера.

Что же произошло? Да, собственно, то, что и ожидалось. Эпидемия ведь началась уже давно. В последнее время большинство компьютеров, поступающих в сервисный центр вследствие различных поломок, было, ко всему прочему, еще и заражено вирусами (в том числе и Win95.CIH). Так что 26 апреля разрушающая способность вируса только активизировалась. Нельзя сказать, что специалисты, знавшие об угрозе, молчали все это время. Многие фирмы, в том числе, конечно, и «ЕПОС», давно предлагают, в качестве одной из своих услуг, регулярное проведение антивирусного контроля. Вопросы борьбы с вирусами регулярно поднимаются на страницах всех компьютерных журналов. Например, 1-го марта вышел 3 номер журнала CHIP с обширным материалом по компьютерной вирусологии. Начинается подборка с напоминания об опасных свойствах вируса Win95.CIH. Здесь же приводятся подробные рекомендации о том, как избежать катастрофы. Однако, по всей видимости, принцип «авось» непобедим. Самое интересное, что на многих компьютерах, из тех, что побывали в сервисном центре «ЕПОС», и на которых были обнаружены вирусы, неоприходованным грузом лежали и антивирусные программы. Значит, они лежали для коллекции, но ими не пользовались!

Как и при любой массовой угрозе, одним из неприятных последствий ожидания является паника. В некоторых средствах массовой информации, включая телевидение, 26 апреля появились сообщения о том, что информация на пораженных винчестерах погибла безвозвратно, или даже о том, что компьютер вообще восстановить невозможно.

Это не так! Вирус портит только 2048 начальных секторов диска. Это значит, что если на компьютере была установлена операционная система Windows 95 с файловой системой FAT32 и диск не разбивался на множество мелких, то, для восстановления системы, достаточно загрузиться с дискетки и с помощью fdisk.exe восстановить главную загрузочную запись. В других случаях также можно восстановить систему или, по крайней мере, сохранить всю полезную информацию. Это, конечно, требует более серьезных знаний и навыков, поэтому лучше доверить «лечение» компьютера специалистам фирм, предлагающих соответствующие услуги. Серьезные трудности возникают лишь в тех случаях, когда пользователи, не обладающие профессиональнми навыками, сами пытаются исправить положение.

Другим, не менее опасным явлением, является излишняя успокоенность после того, как прошел первый испуг. С чьей-то легкой руки гуляет утверждение, что вместе с повреждением жестких дисков погибает и сам вирус. Возникает ощущение, что больше он не угрожает. Это не так! Вирус Win95.CIH жив! Он живет в больших количествах на многочисленных пиратских CD дисках. После того, как пользователи оправятся от испуга и восстановят операционную систему, они начнут заново устанавливать полюбившиеся им программы с этих самых пиратских дисков и этим быстро восстановят популяцию вируса. Вирус живет также и на многочисленных дискетах. И, наконец, Интернет для Win95.CIH – родная стихия.

Самое страшное заключается в том, что очередного пробуждения вируса не потребуется ждать до следующего года. В настоящее время уже известно четыре разновидности вируса Win95.CIH:

• CIH.1003, CIH.1010.A – активизируются 26 апреля .
• CIH.1010.B – активизируется 26 июня .
• CIH.1019 – активизируется 26 числа каждого месяца .

Специальных рекомендаций на тему: «как уберечься от вируса Win95.CIH», не существует. Более того, неправильно было бы настраивать владельцев компьютеров на борьбу только с одним вирусом. Довольно распространены и другие, не менее опасные, вирусы, после которых восстановить информацию действительно удается очень редко. Например, многочисленные клоны вируса «One Half». Вирус Win95.CIH «нагнал страху» не потому, что он так опасен, а потому, что действие его проявилось у всех в один день. В отличие от Win95.CIH, «One Half» (как и большинство других) периодически портит информацию только на отдельных компьютерах, причем друзья пострадавшего владельца остаются в твердой уверенности, что с ними этого не произойдет.

Таким образом, главная рекомендация заключается в том, что необходимо серьезно относиться к защите от вирусов.

В рамках данной статьи вряд ли целесообразно еще раз приводить рекомендации по борьбе с вирусами. В периодической печати (а значит, и на сайтах ведущих компьютерных журналов) этим вопросам посвящены обширные статьи. Хочется сделать только одно небольшое пожелание:

Господа! Мойте руки перед едой!

Подобно вирусу Melissa, он нуждается в активной "поддержке" жертвы - открытии аттачмента к почтовому сообщению. И подобно той же Melissa вирус Worm тиражирует сам себя через почту, но модифицирует систему компьютера жертвы.

Чтобы спровоцировать человека на открытие аттачмента оба упомянутых вируса используют один и тот же трюк - имитируют получение потенциальной жертвой важного и нужного документа из источника, которому он доверяет.

Но между этими вирусами есть и разница. Если Melissa была опасна главным образом из-за потенциальных перегрузок сетей вследствии тиражирования самой себя, то Worm.ExploreZip уничтожает и файлы, главным образом Microsoft Word, Excel и Powerpoint.

Слабым утешением может служить тот факт, что Worm.ExploreZip распространяется относительно медленно - в отличие от Melissa он не отправляет самого себя с первыми 50-ю адресатами адресной книги Microsoft Outlook, а автоматически создает и отправляет ответное сообщение, присоединяя файл zipped_files.exe, на всю поступающую на зараженную машину почту. Т.е скорость его тиражирования зависит от количества получаемой корреспонденции.

Несмотря на такой "медленный" способ распространения, Worm уже зарегистрирован в США, Франции, Израиле, Норвегии, Чехии и Германии. В США его жертвами стали многие высокотехнологические компании и системные администраторы многих из корпоративных сетей были вынуждены выключить почтовые серверы, чтобы локализовать вирус. Среди жертв Worm значатся General Electric, Boeing, Intel, Compaq и Microsoft.

Как он действует
По мнению специалистов, Worm.ExploreZip является первой удачной попыткой совмещения возможностей вирусов Chernobyl и Melissa.

Когда пользователь РС отправляет корреспонденцию на зараженную машину, он (или она) вскоре получают ответ, содержащий вирус. Заголовок всех сообщений стандартный, отличается же он лишь правильным (!) именем респондента:

"Hi (Имя респондента)!

I received your email and I shall send you a reply ASAP.

Till then, take a look at the attached zipped docs.

Bye"
(Привет_имя! Я получил твое сообщение и отвечу позже. А сейчас посмотри документы в зазипованном файле. Пока)

После открытия аттачмента на экране монитора появляется сообщение об ошибке, а вирус тем временем копирует себя в директорию C:\WINDOWS\SYSTEM под именем "Explore.exe" и модифицирует файл WIN.INI таким образом, что он будет запускаться при каждом старте Windows.

После запуска, Worm просматривает все диски от C: до Z: в поисках файлов с расширениеями .h, .c, .cpp, .asm, .doc, .xls, .ppt и вытирает с них информацию (их размер становится равным нулю).

Как предостеречься
Чтобы ограничить действие вируса, Symantec рекомендует удалить с файла WIN.INI строку run=C:\WINDOWS\SYSTEM\Explore.exe и удалить файл "C:\WINDOWS\SYSTEM\EXPLORE.EXE." Если он задействован, то нужно перезагрузить систему.

Как Symantec , так и Network Associates поместили на своих вебсайтах обновленные базы данных антивирусных программ, которые недопустят разрушительного действия вируса Worm.

Вместо эпилога
Использование электронной почты уже давно стало наиболее действенным методом массового заражения компьютерными вирусами. А текущий год в этом смысле очень продуктивен - начиная от "праздничного" HAPPY.EXE практически каждый месяц новый и более совершенный вирус мирового масштаба - Melissa, Papa, CIH, BlackDoor, а теперь Worm (кстати, некоторые источники сообщают о другом названии аналогичного по действию вируса - TROJ_EXPLORER.ZIP).

Пора делать выводы, а точнее, вспомнить прописные истины - не открывать никаких присоединенных файлов из незнакомых или малознакомых источников. Да и вроде бы "проверенные" респонденты могут подвести (в прессе сообщается о получении письма с Worm, вышедшего из сети Microsoft). А к exe-файлам в почте стоит подходить трижды осторожно - лучше получить от отправившего письмо с таким файлом подтверждение о том, что он сделал это сознательно, естественно, если вы доверяете этому человеку.