Методы защиты от компьютерных вирусов

10.3. Методы защиты от компьютерных вирусов

При защите от компьютерных вирусов как никогда важна комплексность проводимых мероп­риятий и организационного, и технического характера. Оборона должна быть эшелонированной. На переднем ее крае целесообразно разместить средства защиты данных от разрушения, а за ними — средства обнаружения вирусов и, наконец, средства нейтрализации вирусов.

Средства защиты данных от возможного разрушения должны использоваться всегда и регу­лярно. Дополнительно к этому следует придерживаться следующих рекомендаций организационного характера, чтобы избавиться от заражения вирусами:

1) гибкие диски используйте всегда, когда это возможно, с заклеенной прорезью защиты от записи;

2) без крайней необходимости не пользуйтесь чужими дискетами;

3) не передавайте свои дискеты другим лицам для использования;

4) перед началом работы на ПЭВМ после другого лица осуществите холодную перезагрузку DOS;

5) не запускайте на выполнение программы, назначение которых не понятно;

6) используйте только такие программные продукты, разработчики которых известны и имеют хорошую репутацию;

7) приобретайте ПО только официальным путем (практически исключено, чтобы фирменная поставка содержала вирусы);

8) сразу после получения нового программного продукта создайте его рабочую копию и используйте только последнюю, а оригинал защитите от записи;

9) ограничьте доступ к ПЭВМ посторонних лиц.

Если все же Вы решились на использование программного продукта, полученного из сомни­тельного источника, то требуется:

1) предварительно провести резервирование своих файлов, не имеющих эталонов, при наличии которых в ПЭВМ будет работать новое ПО;

2) протестировать новое программное изделие специализированными детекторами на предмет наличия известных им вирусов;

3) осуществить его резервирование;

4)организовать опытную эксплуатацию нового программного продукта на фоне вирус-фильтра с обдуманными ответами на его Сообщения.

Крайне нежелательно размещать детекторы на жестком диске. Для этого нужно использовать защищенную от записи дискету.

Если в процессе работы на ПЭВМ Вы обнаружили симптомы вируса или вирус-фильтр просигнализировал о его наличии, то попытайтесь обнаружить и локализовать вирус доступными детекторами. Перед запуском детекторов имеет смысл перезагрузить DOS с «чистой» (эталонной) дискеты, чтобы избежать маскировки стелс-вируса.

После определения мест обитания вируса обязательно перезагрузите DOS с эталонной дискеты (если это не выполнено ранее), чтобы удалить резидентный вирус из памяти. Затем удалите вирус из сред его обитания при помощи подходящего дезинфектора.

Если использование дезинфектора не дало положительных результатов или он неприменим, то справиться с загрузочным вирусом, поразившим BR, можно путем выдачи DOS-команды SYS для инфицированного диска. Это помогает в большинстве случаев, так как данная команда перезаписывает BR. Чтобы затем убедиться в отсутствии вируса, протестируйте диск детектором. Если же вирус все же остался, то зарезервируйте все необходимые файлы, размещенные на диске, а затем отформатируйте его (возможно, в случае жесткого диска придется произвести инициализацию нижнего уровня со всеми вытекающими из этого последствиями). Для резервирования не используйте DOS-команды XCOPY и DISKCOPY, которые могут прихватить с файлами и вирус.

Если вирус инфицировал MBR, зарезервируйте требуемые файлы (не имеющие эталонов). Затем произведите низкоуровневое форматирование жесткого диска и осуществите дальнейшую его подготовку к работе. Вместо форматирования Вы можете сначала попытаться восстановить MBR путем выполнения DOS-команды FDISK, создав при этом разделы произвольного размера. Затем приведите РТ в исходное состояние при помощи утилиты Disk Editor или ей аналогичной. Второй из предложенных способов восстановления MBR базируется на том, что FDISK формирует лишь MBR, записывая в нее NSB и создавая РТ. Если Вы заранее зафиксировали характеристики разделов, которые реально были организованы на жестком диске до вирусной атаки, то несложно будет их восстановить низкоуровневым дисковым редактором.

Напомним, что восстановление MBR и BR существенно упростится, если Вы предусмотри­тельно зарезервировали системную область дисков утилитой Disk Tools (см. п. 8.4.2).

Если вирус является файловым, то при отсутствии подходящего дезинфектора Вам придется удалить (как это ни печально) инфицированные файлы. Хорошо, если они были ранее зарезер­вированы. В противном случае Вас остается только пожалеть.

Следует подчеркнуть, что квалифицированный программист всегда может попытаться «вруч­ную» восстановить среду обитания вируса при помощи какого-либо низкоуровневого дискового редактора, если все другие методы и средства не дали желаемого результата.

После восстановления среды обитания следует обязательно проверить ее функционирование.

Описанные методы применимы не только для удаления вирусов, но и при ликвидации последствий физических или логических дефектов на дисках.