|
Защита от троянских коней
(12) Для проверки жёстких
дисков и лечения заражённых файлов предпочтительнее использовать загрузку
с заведомо чистой от вирусов системной дискеты, защищённой от записи, так
как вирусы, уже находящиеся в оперативной памяти, могут противодействовать
антивирусным программам. Причём необходимо применять "холодную" перезагрузку,
т.е. использовать кнопку RESET на системном блоке или выключение-включение
питания, так как многие вирусы умеют переживать "горячую" перезагрузку
по нажатию клавиш <Ctrl>+<Alt>+<Del> и продолжают оставаться в
оперативной памяти компьютера. Выполняя перезагрузку операционной системы
с дискеты, будьте внимательны - существуют коварные вирусы, способные выполнять
даже "холодную" перезагрузку под своим контролем. Эти вирусы изменяют содержимое
CMOS-памяти, отключая НГМД. В процессе нормальной работы они временно подключают
НГМД для выполнения операций записи или чтения, а затем отключают опять.
Если пользователь вставит системную дискету и перезагрузит компьютер, загрузка
будет выполняться с жёсткого диска, так как в CMOS-памяти отмечено, что
компьютер якобы не оборудован накопителями НГМД. Таким образом, вирус получит
управление и сможет полностью контролировать дальнейший процесс загрузки
операционной системы с дискеты. Для пользователя всё выглядит как обычно
- он видит, что операционная система загружается с дискеты, но вирус уже
"сидит" в оперативной памяти. Поэтому при перезагрузке убедитесь, что содержимое
CMOS-памяти установлено правильно. Для этого запустите программу SETUP,
которая вызывается, как правило, нажатием клавиши <Del> в начальный
период загрузки, и убедитесь, что тип НГМД указан правильно.
(13) Рекомендуется переименовать
антивирусную программу DRWEB.EXE (для маскировки запуска Doctor Web от
резидентных вирусов, контролирующих работу DRWEB.EXE). При этом необходимо
также переименовать файлы DRWEB.INI, DRWEB.HL1 и DRWEB.HL2 (сохраняя расширения
имён).
(16) Проверьте, задействована
ли в настройках ваших MS Word 97 и MS Excel 97 защита от макровирусов.
Для этого надо войти в меню "Сервис", выбрать пункт "Параметры" и в открывшемся
окне во вкладке "Общие" посмотреть, отмечена ли галочкой опция "защита
от вирусов в макросах" (если нет, то установите её). При включённой защите
при открытии документа, содержащего макросы, будет появляться предупреждающее
сообщение и можно будет отказаться от выполнения макрокоманд. Подавляющее
большинство документов макросов не содержит, поэтому соглашайтесь выполнять
макрокоманды только в том случае, если уверены, что они там и должны быть.
Если сомневаетесь, то проверяйте документы с помощью антивирусных программ.
(23) Как известно, вирус
может содержаться только в файлах, которым передаётся управление: программы,
динамические библиотеки, драйверы, командные файлы, скрипты, документы
и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV,
VXD, SYS, BAT, DOC, DOT, XLS и др. Таким образом, например, обычный текстовый
файл (с расширением TXT) можно запускать без опасений получить заразу -
TXT-файл будет просто открыт в Блокноте. Однако, благодаря тому, что в
Windows 9x имя файла может содержать несколько точек (расширением считаются
символы после последней точки) и по умолчанию задано "Не показывать расширения
для зарегистрированных типов файлов", некоторые вирусописатели рассылают
свои творения в письмах со вложенным файлом, имеющим имя, содержащее перед
расширением символы .TXT или что-нибудь другое безобидное. Последний пример
- вирус Love Letter, который представляет собой скрипт VBS (Visual Basic
Script) и содержится в файле с именем LOVE-LETTER-FOR-YOU.TXT.vbs. Чтобы
всегда видеть истинное расширение файла и не активизировать вирус, посчитав
его обычным текстовым файлом, запустите Проводник, в меню "Вид" выберете
пункт "Свойства папки", перейдите на вкладку "Вид" и снимите галку "Не
показывать расширения для зарегистрированных типов файлов".
(23) Основу защиты от вирусов
при работе в ICQ составляет всё тот же неизменный принцип: не запускайте
незнакомые приложения. Однако с недавних пор изобретательные вредители
придумали более изощрённый способ, помогающий заставить пользователя нарушить
это правило. Такая "диверсия" основана на особенности отображения имён
файлов в окне ICQ. Соответствующее текстовое поле вмещает в себя только
определённое количество символов (около 64), и если имя файла длиннее,
то в этом случае отображаться будут только первые 64. Таким образом, исполняемый
файл может называться photo.jpg<необходимое количество знаков табуляции>.exe
и являться совершенно нормальным приложением с несколько длинноватым именем.
При получении подобного файла в строке имени вы увидите только photo.jpg,
и, предположив, что файл является обычной фотографией, в которой вирусов
быть не может по определению, смело нажмёте на кнопку Open. Программа запустится,
и заключённый в ней вирус начнёт работать. Единственный совет, который
можно дать в этом случае: будьте осторожны, и сначала лучше сохраните полученный
файл в отдельной папке, а затем внимательно изучите его в окне Мой компьютер
или Проводник, чтобы убедиться, что он действительно представляет собой
именно то, о чём утверждал вам его отправитель.
(28) Заставку (ScreenSaver),
хоть и не полнофункциональную, но работающую, можно сделать на любом языке
программирования, просто переименовав откомпилированный .exe файл в .scr.
Об этом знают многие "одарённые" личности, поэтому никогда не открывайте
"заставки", пришедшие вам по почте. Особенно, если они занимают меньше
50 килобайт. Так как некоторые вирусы отсылают себя по всем почтовым ящикам,
содержащимся в адресной книге, даже если вы отлично знаете отправителя,
лучше напишите ему письмо, прежде чем запускать файл.
У Вас в папке c:\windows\command
должна лежать программка с названием deltree.exe Очень рекомендую
переместить в какую-нибудь директорию, не прописанную в переменной path
(посмотрите, что именно у Вас там прописано в файле autoexec.bat). Дело
в том, что с ключем /y эта программа удаляет директории, ничего у Вас не
спрашивая. Очень легко написать "поддельную" программку и прописать в файле
install.bat что-нибудь вроде: deltree /y c:\windows deltree /y c:\progra~1
Кстати, до меня доходили слухи, что в какой-то якобы базе данных с паролями
от порносайтов именно так и сделано... Так что будьте внимательнее!
Дмитрий Турецкий
http://www.listsoft.ru
(29) Чтобы быть в курсе,
когда какой-нибудь батник пытается использовать команду deltree, сделайте
лучше вот что. Переименуйте deltree.exe, скажем, в deltr.exe и создайте
файл deltree.bat примерно такого содержания:
@echo off
echo -=-=-=- ВНИМАНИЕ!
-=-=-=-
echo Какая-то из работающих
программ хотела воспользоваться командой deltree
echo Она может без вашего
ведома удалить что-нибудь на вашем компьютере.
choice Разрешить выполнение
команды?
if errorlevel 2 goto end
echo -------
echo Выполняется команда
deltree...
deltr.exe %1 %2 %3 %4
goto finish
:end
echo -------
echo Выполнение команды
deltree прервано.
:finish
(2) Отключение кэша паролей.
Помогает избавиться от
проблемы "утаскивания" и дальнейшего взлома ваших сетевых и интернет паролей.
Как известно, эти пароли хранятся в файле с расширением PWL. Отключение
кэша запрещает запись паролей в этот файл. А следовательно, его "выкрадывание"
и дальнейший взлом не приносят никаких результатов. Единственное неудобство
- это надобность вводить каждый раз при коннекте в окно DialUp - Password
пароль вручную. Но это всё же лучше, чем "подарить" пароль и логин хакеру.
Итак. В реестре ищем строку
(если её нету - пишем ручками):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network
"DisablePwdCaching"=dword:00000001
Запоминаем произведённые
изменения. Находим в каталоге Windows файл (или файлы) с расширением PWL.
Удаляем их. Перезагружаемся. Файл паролей хоть и создаётся опять, но он
пустой. Хе-хе пусть исчуть на здоровье :)
Для возврата в обратное
состояние надо удалить строку параметра
"DisablePwdCaching"=dword:00000001
(14) Существуют вирусы (например,
Win95.CIH), которые уничтожают содержимое Flash BIOS, записывая в него
случайные данные ("мусор"). В результате после первой же перезагрузки компьютер
перестаёт загружаться. И, как правило, даже в промышленных условиях восстановить
содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно
сложно. Я РЕКОМЕНДУЮ всем пользователям современных компьютеров установить
ПЕРЕКЛЮЧАТЕЛЬ на материнской плате компьютера в положение, запрещающее
ЗАПИСЬ во Flash BIOS! Иначе ВЫ можете НАВСЕГДА ПОТЕРЯТЬ свой компьютер!
(14) О том, как самостоятельно
попробовать восстановить содержимое Flash BIOS, см. соответствующие советы
в рубрике "8. BIOS". Кроме того, современные варианты вируса Win95.CIH
портят также информацию на жёстком диске. О восстановлении её см. нижеприведённые
советы.
(13) Вниманию всех постpадавших
от виpуса Win95.CIH!
Если у вас не загpужается
компьютеp - не спешите фоpматиpовать винты! Вся инфоpмация пpекpасно восстанавливается!
Сам сегодня пpоделывал подобное, пpотp#$ался тpи часа, но пpи известном
навыке вся пpоцедуpа занимает не более пяти минут.
Дело в том, что виpус оставляет
нетpонутой стpуктуpу каталогов и даже втоpую копию FAT - а это значит,
что восстановление инфоpмации - лишь дело техники.
В общих чеpтах пpоцедуpа
восстановления выглядит следующим обpазом:
1. Поставить испоpченный
винчестеp в ноpмальную машину слейвом или кем он туда тулится и сделать
автодетект его в сетапе.
2. Загpузить DISKEDIT и
посмотpеть каким ФИЗИЧЕСКИМ диском он стал.
3. Поискать в DISKEDIT'е
втоpую копию FAT на этом диске, если она осталась записать стаpтовый сектоp.
4. Поискать на этом диске
точку входа коpневой диpектоpии (ROOT). Так как она идёт сpазу за 2 копией
FAT, опpеделить pазмеp FAT в сектоpах.
5. Пеpейти на pаботающий
загpузочный диск, скопиpовать оттуда на испоpченный диск таблицу pазделов
(MBR) и загpузочную запись (BOOT). Это будет пpимеpно 100 пеpвых сектоpов
от начала диска. Коpоче - все сектоpа до пеpвой копии FAT.
6. Скопиpовать с испоpченного
диска 2 копию FAT на место пеpвой. Длину мы уже узнали в п.4.
7. После этих пеpвых шагов
винт начинает опpеделяться как логический после пеpезагpузки, но файлы
пока не доступны, в диpектоpиях - каша. Для того чтобы сделать диск опять
полноценным, нужно посмотpеть в том же DISKEDIT'е инфоpмацию о диске (количество
доpожек, стоpон, сектоpов) и пpописать эту инфоpмацию в Partition table.
Желательно в обе копии. Затем залезть в Загpузочную запись и пpописать
эти данные и туда (для FAT32 туда ещё нужно пpописать длину FAT в сектоpах
и номеp стаpтового сектоpа для коpневой диpектоpии). Для этого пpидётся
немножко посчитать. Следует помнить, что BOOT тоже в двух копиях, поэтому
изменения желательно вносить в обе.
8. Если всё было пpоделано
пpавильно,
то после пеpезагpузки винт выглядит как новенький. Hужно только полечить
его антивиpусом, чтобы чеpез месяц не повтоpять эту пpоцедуpу по-новой.
;-)
Mikhail Kondakov
http://rpts.donpac.ru/MBK
(23) Прежде, чем приступать
к действиям, советую прочитать также документ "Восстановление информации
на жестком диске" (Artos), который находится на сайте "Русские документы"
в разделе "Разное".
(26) Информация по восстановлению
в вышеприведённом совете в целом верна, но вызвала у меня некоторые возражения.
Автор совета, вероятно, имел дело с диском FAT32. Мне попадалось немало
дисков FAT16, на которых после Win95.CIH не оставалось даже ROOT'а. Вероятно,
вирус уничтожает фиксированное число секторов, начиная с таблицы разделов
(MBR или Partition Table). Диски с FAT32 спасает значительно бОльшая длина
FAT. Если же вторая копия FAT не осталась - ничего приличного уже не восстановишь,
при настойчивости - пару особо нужных текстовых файлов.
Комментарии к пунктам совета:
4. Средствами поиска diskedit
"найти объект\подкаталог" корневую директорию не отыскать. Вот любую другую
- запросто. Поэтому искать лучше подстроку "autoexec" или ИМЯ любого другого
файла, наверняка имеющегося в корневой директории. Кстати, для FAT32 корневой
каталог НЕ обязательно лежит сразу за FAT. И если так получилось, то искать
конец FAT - задача весьма творческая.
5. Такое копирование корректно
не всегда. Диски желательно брать похожие, а ещё лучше заранее сделать
на загрузочную дискетку с diskedit копии MBR и BOOT. Тогда и второй компьютер
не нужен. Очевидно, что загрузочные записи FAT32 и FAT16 взаимно НЕзаменяемы
(хотя бы потому, что у FAT32 она в 3 раза длиннее). Менее очевидно, что
MBR на разных НЖМД могут быть несовместимы. Например, перенесённый на НЖМД
размером 8 Гб MBR, взятый на маленьком (около 1,5 Гб) диске, обрезал максимальный
размер до 2 Гб, не стесняясь подправить и соответствующую запись в BIOS.
6. Если считать сектор,
с которого начинается BOOT, за точку отчета, т.е. имеющим номер 0, то:
для FAT16 первая и единственная
копия BOOT имеет длину 1 сектор, FAT начинается с сектора 1;
для FAT32 обе копии BOOT
имеют длину 3 сектора каждая. Первая копия BOOT (рабочая) занимает сектора
0,1,2, вторая копия BOOT (резервная) – сектора 6,7,8. FAT начинается с
сектора 32.
На первом разделе из лежащих
на диске в физических секторах имеем следующие значения:
FAT16, BOOT - Cyl 0, Side
1, Sector 1;
FAT16, начало FAT - Cyl
0, Side 1, Sector 2;
FAT32, BOOT - Cyl 0, Side
1, Sectors 1-3;
FAT32, резервная копия
BOOT - Cyl 0, Side 1, Sectors 7-9;
FAT32, начало FAT - Cyl
0, Side 1, Sector 33.
7. По моим наблюдениям,
единственно существенными данными являются:
для MBR (или Partition
Table):
- тип раздела (BIGDOS,
FAT32, FAT32x, EXTEND, EXTNDx);
- активность (Yes, No);
- адрес начала (Relative
Sectors), который считается от того Partition Table, в котором написан!!!
Прочие параметры используются
только служебными программами (такими, как fdisk и diskedit).
для BOOT:
- размер кластера в секторах;
- размер раздела в секторах.
Прочие параметры вычисляются
при загрузке и хранятся в BOOT больше для информации.
В старых версиях diskedit
размер раздела в секторах, указанный в BOOT, для просмотра и редактирования
впрямую недоступен. Приходится находить и править его прямо на диске, где
он лежит в шестнадцатеричном виде, что не очень удобно.
Для FAT32 действительно
надо указать положение ROOT, но не в секторах, а в КЛАСТЕРАХ. Это значение
ПОЧТИ всегда равно 2, в противном случае вычислить его очень непросто.
BOOT в двух копиях есть
только у FAT32, у FAT16 копия BOOT одна. Никогда не видел второй копии
MBR или Partition Table.
8. Если на НЖМД было несколько
логических дисков, то придётся восстановить структуру из нескольких Partition
Table. При создании логических дисков обычными средствами (fdisk) она примерно
такая:
и т.д.
RS (Relative Sectors) -
адрес начала раздела в секторах. Для разделов BIGDOS, FAT32, FAT32x это
адрес BOOT, а для EXTEND, EXTNDx - адрес следующей Partition Table.
NoS (Number of Sectors)
- размер раздела в секторах.
При этом соотношения между
числами следующие:
X+Y+63 = Размер диска в
секторах
A+Z+63 = Y
D+63 = C
Естественно, процедуру
восстановления надо повторить для каждого раздела.
(23) Рядом с проблемой троянских
программ стоит проблема "компьютерных вирусов для человеческого мозга".
Что это такое? Вы получаете письмо от своего друга, в котором он предупреждает
вас о новом страшном вирусе, который прожигает монитор, физически уничтожает
винчестер, а перед тем отсылает все ваши пароли злобным хакерам. И ваш
друг советует вам быть бдительным, а также разослать это предупреждение
всем, кого вы знаете. Этап воспроизводства вируса здесь поддерживается
человеком! Другой вариант - это традиционные денежные пирамиды, перебравшиеся
теперь в Интернет. Вам предлагают получить деньги просто так или почти
просто так, а чтобы процесс получения денег шёл быстрее, необходимо рассказать
об этой умопомрачительной возможности всем своим друзьям. Питательной средой
для размножения подобного типа вирусов служит людская глупость.
НАЧАЛО |
