15 февраля 1996 года компания Microsoft объявила, что пользователи Windows 95 должны проявлять осторожность при загрузке на свой компьютер программ из Internet и он-лайновых служб, так как появился первый вирус, заражающий программы для Windows'95. Дискеты также могут служить переносчиком вируса. По данным компании Symantec, вирус имеет австралийское происхождение и поражает 32-разрядные исполняемые файлы. Вирус получил сразу два наименования: Boza и Bizateh. 7 февраля стало известно о втором вирусе для Windows'95, получившем название Chavez.
Функции IBMAntiVirus не ограничиваются выявлением уже известных вирусов. С помощью эвристического анализа эта программа выявляет также и ранее неизвестные вирусы. Она ведет поиск комбинаций изменений в файлах, а также характеристик программ, типичных для больших групп известных вирусов DOS. При выявлении факторов, соответствующих данным критериям, IBMAntiVirus при отображении отчета о заражении вирусами сообщает об этих файлах и загрузочных записях как о «подозрительных». Вам будет предоставлена возможность удаления/перезаписи подобных подозрительных файлов. Если IBMAntiVirus обнаруживает объект, напоминающий какой-либо известный вирус, то проверяется каждый релевантный байт этого вируса. Таким образом определяется, что это действительно именно этот вирус. Эта проверка имеет очень большое значение. Если можно с уверенностью утверждать, что это тот самый вирус, то чаще всего этот файл или загрузочную запись можно достаточно надежно дезинфицировать. Если же оказалось, что это другой вирус, то не исключено, что он изменил файл или загрузочную запись самым неожиданным образом. Попытка его обезвреживания может вызвать повреждение файла или загрузочной записи. IBMAntiVirus не предпринимает попыток дезинфекции, если это может вызвать повреждение файлов или загрузочных записей. Вместо этого программа предоставляет вам возможность удаления/перезаписи инфицированных файлов и загрузочных записей. В тех случаях, когда дезинфекция могла вызвать повреждение файлов, но этого не произошло, IBMAntiVirus отмечает этот факт в файле регистрации, создаваемом в ходе вашего сеанса IBMAntiVirus. Затем вы можете более тщательно обследовать эти программы и определить, надо ли их восстанавливать с резервных копий. Если программа IBMAntiVirus обнаруживает вирус во время начальной выборочной проверки, она может обследовать всю систему. При этом проверяются все (даже неизмененные) файлы на всех локальных жестких дисках и предоставляется возможность уничтожения найденных вирусов.
VIRUSCAN/CLEAN-UP— этопакетантивирусныхпрограммкомпании McAfee Associates. Программа VIRUSCAN обнаруживает вирусы и передает подробную информацию программе CLEAN-UP, которая осуществляет лечение.
VIRUSCAN обнаруживает около 3000 известных вирусов и их модификаций. VIRUSCAN проверяет partitiontable жесткого диска (MasterBootRecord), DOSBootSector, выполняемые файлы, включая системные, и файлы с любыми другими расширениями.
Кроме того, VIRUSCAN обнаруживает неизвестные вирусы. В первую очередь VIRUSCAN проверяет подозрительные изменения, которые произошли с файлами с момента последней проверки. VIRUSCAN хранит информацию о контрольных суммах файлов, размерах и др. Далее VIRUSCAN производит поиск новых классов вирусов, анализируя код файлов на предмет характерных для вирусов операций. VIRUSCAN способен найти и вирус-мутант (шифрующий свой код), используя алгоритмы статистического анализа, эвристического анализа и дизассемблируя код.
Инфицированный файл может быть уничтожен, если VIRUSCAN запущен с ключом /D, либо очищен от вируса программой CLEAN-UP.
Правила выживания для пользователя
- Перед запуском переписанной где-то программы на своем компьютере проверьте ее всеми имеющимися у вас антивирусными программами.
- Если не возникает необходимость что-то записывать на дискету — заблокируйте возможность записи на нее. Если при работе с защищенной дискетой, с которой информация только считывается, на экране появилось сообщение «Writeprotecterrorwritingdrive А:» (Ошибка защиты при записи на диск А:) — ваша машина скорее всего заражена.
- Одалживайте свои программы только на рабочей дискете, а после ее возвращения - безжалостно форматируйте.
- Если вы хотите проверить ваш компьютер на вирусы, загрузитесь с защищенной дискеты, содержащей все необходимые антивирусные программы.
- Регулярно делайте резервные копии ваших файлов.
- Пресекайте все попытки воспользоваться дисководом вашего компьютера.
- Следите за сообщениями о необычных ошибках — они могут свидетельствовать о появлении вируса.
- Используйте только официальные версии антивирусных программ.
- Используйте только лицензионное программное обеспечение.
- Обращайте особое внимание на игровые программы. Они основной разносчик заразы.
Если вы переписали программу с пиратского компакт-диска, гарантии, что она не содержит вируса, нет. Обязательно проверьте ее антивирусной программой.
Краткое описание некоторых часто встречающихся вирусов
Это просто интересная информация. Этот параграф хорошо читать вечером дома за чашкой чая. Почитайте, и возможно, что описанные здесь симптомы напомнят вам что-то из странного поведения вашего компьютера. Или вы организуете партию борьбы с загрязнением компьютерной среды GreenPC. Или поймете, что принципиально нового вируса написать никогда не сможете, а повторять кого-то — бессмысленно.
ВИРУС AIRCOP
Название: Aircop
Классификация: Вирус, поражающий загрузочную запись дискеты
Длина вируса: Загрузочная запись и один дополнительный сектор жесткого диска или дискеты
Поведение: При начальной загрузке с зараженной дискеты вирус помещает себя в память и заражает дискеты, используемые в дальнейшем в дисководах А: и В:. При заражении примерно каждой восьмой дискеты вирус выдает сообщение «REDSTATEGermoffensing — Aircop» (по-видимому, это попытка сказать «Боевая готовность, вирусная атака»).
ВИРУС APRIL 1ST СОМ
Название: April 1st СОМ
Синонимы: April 1st, sURIV 1.01
Семейство вирусов: 1813
Классификация: Резидентный вирус, заражающий СОМ-файлы
Длина вируса: Приблизительно 381 байт
Поведение: Когда выполняется зараженная программа, этот вирус загружается в память, и любой запускаемый после этого СОМ-файл становится зараженным. Если текущая дата — 1-е апреля любого года, то при наличии вируса в памяти запуск любой программы вызовет появление сообщения «APRIL 1ST НА НА НА YOUHAVEAVIRUS» и зависание машины. Если текущая дата— после 1 апреля 1988 г., то при запуске любой программы выводится сообщение «YOUHAVEAVIRUS». Так как заражение этим вирусом слишком очевидно, то, вероятно, он является вымершим.
Название: Azusa
Классификация: Бутовый вирус, поражающий дискеты и жесткие диски
Длина вируса: Только загрузочная запись
Поведение: Этот вирус поражает главную загрузочную запись дискеты и жесткого диска. Иногда этот вирус обнуляет таблицы BIOS для СОМ-портов и портов принтера, делая таким образом недоступными принтеры и последовательные порты.
ВИРУС BOUNCING BALL
Название: Bouncing Ball
Синонимы: Bouncing Dot, Italian, Ping-Pong, Vera Cruz
Семейство вирусов: BouncingBall
Классификация: Бутовый вирус, поражающий дискеты и жесткие диски
Длина вируса: Приблизительно 975 байтов
Поведение: Этот вирус поражает неглавную загрузочную запись на дискетах и разделах жестких дисков. Иногда после начальной загрузки рисует на экране прыгающую точку.
Название: Brunswick
Классификация: Резидентный бутовый вирус, поражающий главную загрузочную запись дискет и жестких дисков
Длина вируса: Загрузочная запись и один дополнительный сектор жесткого диска или дискеты
Поведение: При загрузке с зараженной дискеты этот вирус поражает первый физический жесткий диск системы. При загрузке с зараженного жесткого диска или дискеты, вирус помещается в память и заражает дискеты, используемые в дальнейшем в дисководах А: и В:. При загрузке с зараженного жесткого диска он иногда помещает в главную загрузочную запись случайные данные, делая таким образом диск незагружаемым. Кроме того, к данным на диске после этого невозможно получить доступ без технического вмешательства. В некоторых системах вирус записывает поверх данных пользователя и, возможно, части таблицы размещения файлов, когда он производит сохранение исходной загрузочной записи в области данных на жестком диске.
ВирусDataCrime II
Название: DataCrime II
Синонимы: 1514, Columbus Day
Семействовирусов: DataCrime
Классификация: Нерезидентный вирус, заражающий СОМ- и ЕХЕ-файлы IBMDOS
Длина вируса: 1514 байтов в зараженных СОМ-файлах; несколько дополнительных заполняющих байтов в зараженных ЕХЕ-файлах.
Поведение: Этот вирус распространяется среди СОМ- и ЕХЕ-файлов. Если зараженная программа выполняется между 13-м октября и 31-м декабря (включительно) любого года, вирус отображает сообщение «* DATACRIME II VIRUS» и стирает данные с части жесткого диска, делая их таким образом недоступными.
Название: Keypress