В процессе пользовательской работы достаточно часто возникают ситуации, которые могут вызвать подозрение на наличие в машине компьютерного вируса. Поэтому каждому необходимо умение здраво оценить эти подозрения и сделать соответствующие выводы.

Как правило, специалист, обладающий некоторым опытом и владеющий соответствующим программным инструментарием, способен справиться с этой задачей без особых затруднений. Поэтому наибольший интерес вызывает ситуация, когда действовать приходится в "полевых" условиях, например, на чужой машине, "распиленной" и "обутой" под бухгалтера.

Примем следующую вводную, соответствующую достаточно часто встречающейся ситуации:

Стандартная PC (286,386...Pentium), как минимум 1 Мб ОЗУ, как минимум 40 Мб HDD; наличие принтера, звуковой карты, CDD и прочей периферии возможно, но в большинстве случаев - не актуально. Программное обеспечение: шагая в ногу со временем, имеем W95/98, возможно W3.1x, но работаем все равно под DOS, пусть даже и 7.0. Джентельменский набор: NC 3.0-5.0, NU 6.0-8.0, полный DOS, свежие антивирусы: AidsTest и DrWeb, прочая мелочь в лице русификаторов, архиваторов, резидентных примочек и пр.

(По наблюдениям автора, приблизительно такой "стандартный" набор сваливают на винчестер сборщики компьютеров в многочисленных мелких фирмах. Да и сам автор не сильно отклоняется от этой "партийной" линии, когда изредка "обувает" компьютер своим знакомым.

Примем еще одно допущение: наличие заведомо чистой "заклеенной" загрузочной дискеты, содержащей (хотя бы в урезанном виде) вышеупомянутый комплект программ.

Подозрение на вирус, как правило, возникает, когда компьютер ведет себя "не так", как ему полагалось бы вести по мнению хозяина. Например, программы, которые раньше работали правильно, начинают глючить и вообще перестают запускаться, компьютер периодически виснет, экран и динамик воспроизводят необычные видео- и аудиоэффекты...

Итак, что будем делать?

1.1. Самые первые действия при подозрении на вирус

Не будем пороть горячку, усадим перед собой хозяина (особенно приятно, если это - хозяйка, да еще и симпотная компьютера и дотошно расспросим его о событиях, предшествующих возникновению глюков.

Важная информация:

Кем и как используется машина ? Если на нее постоянно таскают мелкие игрушки, гороскопы, пробуют и стирают различные бухгалтерские программы, то вероятность наличия вируса в машине весьма высока. Крупные игрушки, которые, например, с трудом влезают даже в упакованном виде в коробку дискет, как правило, переносятся с машины на машину редко и тщательно проверяются на наличие вирусов. ( Вирус Nigeb на факультет Информатики СГАУ занесли вместе с UFO-1; вирус Burglar живет на многих CD, изобилующих крупными игрушками.

Когда впервые обнаружено наличие глюков? Некоторые вирусы любят приурочивать начало своих проявлений к круглой дате или цифре: 1 мая, 7 ноября, 13 - е число, пятница, пять часов вечера и т.п. (А также: 6 марта, 15 ноября, 11-я минута каждого часа...

Не связано ли оно с первым запуском какой-нибудь программы? Если да, то эта программа - первая в очереди на медкомиссию (если ее еще не стерли.

Не связано ли оно с распаковкой какого-нибудь старого архива и запуском программ из него? Некоторые современные антивирусы (AVP, DrWeb, etc...) умеют заглядывать в архивы наиболее популярных форматов в поисках вирусов. Но изредка ведь еще встречаются .ice, .arc, .zoo, .bsa, .uc2, .ha, .pak, .chz, .eli и пр.! (Если что-то я внес в этот перечень лишнего, то склоняюсь перед авторами упомянутых антивирусов в глубоком пардоне.

Не имеет ли хозяин (хозяйка) привычку оставлять дискеты в кармане флоповода при перезагрузке ? Вирус (загрузочный) может годами жить на дискете, глубоко запрятанной в темных недрах письменных столов.

1.2. Включаем подозрительный компьютер

В присутствии хозяина (хозяйки) включаем компьютер. Внимательно следим за процессом загрузки. Сначала стартует программа POST, записанная в ПЗУ BIOS. Она тестирует память, тестирует и инициализирует прочие компоненты компьютера, завершается коротким одиночным гудком. Если глюки начинаются уже на этом этапе - вирус не виноват. (Теоретически вирус может существовать и в BIOS: говорят, первые вирусы на территорию СССР приехали внутри ПЗУ болгарских Правецов; современные "ПЗУ" часто не являются "постоянными запоминающими устройствами", а представляют собой питающееся от батарейки ОЗУ с возможностью загрузки различных версий BIOS.)

Следующая