1.3. Анализ подозрительных проявлений

По-прежнему в присутствии хозяина (хозяйки) пытаемся вызвать и пронаблюдать глюки.

Идеально, если вирус (если это действительно вирус), самостоятельно извещает нас о своей сущности, например:

I am VIRUS !!!

Проявления вирусов весьма разнообразны: проигрывание мелодий, отображение посторонних картинок и надписей; некоторые вирусы имитируют аппаратные сбои, заставляя дрожать экран и пр. Подробно ознакомиться с этой темой можно в прилагаемых к антивирусным программам каталогах с описаниями вирусов: для AidsTest он хранится в файле aidsvir.txt, для DrWeb - в файле virlist.web. Лучшим, на взгляд автора, является гипертекстовый каталог avpve, прилагаемый к антивирусному пакету Е.Касперского. В нем можно не только прочитать достаточно подробное описание вируса, но и вживую пронаблюдать его проявления.

От настоящих вирусов следует отличать т.н. "студенческие шутки", имеющие широкое распространение на компьютерах в учебных классах ВУЗов и школ. Как правило, это резидентные программы, которые периодически производят видео- и аудиоэффекты, напоминающие работу вирусов. В отличие от настоящих вирусов, эти программы не умеют размножаться. Наличие такого рода программ на бухгалтерских компьютерах маловероятно.

Алгоритмы многих вирусов, однако, не предусматривают никаких проявлений, по которым их можно было бы опознать.

Очень часто глюки вызываются вирусами не преднамеренно, а лишь в силу наличия в их алгоритме ошибок и неточностей, что приводит к несовместимости с программной средой компьютера и, как следствие, к вышеупомянутым глюкам.

Важно: если какая-либо программа подвисает при попытке запуска, существует очень большая вероятность, что именно она в настоящий момент и заражена вирусом. Если компьютер виснет в процессе загрузки (после успешного завершения программы POST), то при помощи пошагового выполнения файлов config.sys и autoexec.bat (клавиша F8 в DOS 6.х) можно легко определить источник подвисания.

1.4. Использование возможностей антивирусов

Не выключая компьютера, запускаем (можно прямо с винчестера) какой-нибудь антивирус. Лучше DrWeb с ключиком /ha.

Вирус (если он есть) может немедленно "сесть" на DrWeb. Тот достаточно надежно детектирует целостность своего кода и в случае чего заорет: я заражен неизвестным вирусом ! Если так и произойдет, то наличие вируса в системе - доказано.

Внимательно смотрим на диагностические сообщения типа: файл такой-то ВОЗМОЖНО заражен вирусом такого-то класса (COM, EXE, TSR, BOOT, MACRO и т.п.).

Подозрения на BOOT-вирус в 99% бывают оправданы. (Контрпример: недавно DrWeb 3.20 ругался на BOOT дискеты, "вылеченной" AidsTest'ом от вируса LzExe.

Большое количество файлов, подозрительных на наличие в них вируса одного класса, также с большой достоверностью указывает на неизвестный вирус. (DrWeb'ы до версии 3.15 активно ругались на *все* стандартные DOC-компоненты из WinWord 2.0.

Кроме того, DrWeb умеет определять наличие в памяти компьютера неизвестных резидентных вирусов и Stealth-вирусов. Ошибки при их определении (в последних версиях антивируса) достаточно редки. (Версия 3.15, не умеющая лечить вирус Kaczor, исправно заподозрила наличие агрессивного резидента в памяти; версия же 3.18, умеющая его лечить, в "заразной" системе вообще ничего не заметила, а детектировала и вылечила вирус лишь при загрузке с чистой дискеты.

При этом имеем в виду, что предупреждения типа "странная дата файла", единичные подозрения на COM- и EXE-вирусы и пр. - врядли могут быть расценены, как бесспорное доказательство наличия вируса.

Наконец, MACRO-вирусы живут исключительно в Windows и никакого негативного влияния на DOS-программы оказать не могут (за исключением того случая, если они что-нибудь потерли в Windows-сеансе.

Далее см."Удаление вирусов вручную"