Но даже с учетом приписок, количество уникальных имен вирусов настолько велико, что
проведение анализа, ориентированного на конкретные вирусы, крайне затруднительно и
не наглядно. Однако эта задача облегчается тем, что способов и методов инфицирования
компьютерных систем немного, и все вирусы используют различные сочетания одних и тех же
алгоритмов. Воспользовавшись этим обстоятельством, все вирусы можно разделить на небольшое
количество категорий. Выбор тех или иных категорий зависит от преследуемых целей, в рамках
обсуждаемой здесь темы вирусы разделены на три категории:
- Загрузочные
- Макрокомандные
- Прочие (остальные)
Так как количество зафиксированных атак компьютерных вирусов от месяца к месяцу не совпадает,
то сравнение групп вирусов производится не в абсолютных величинах, а по их процентным
соотношениям. На расположенных ниже диаграммах можно наблюдать динамику изменений соотношений
этих групп вирусов на протяжении последних четырех лет. Опираясь на накопленные данные, можно
проследить за динамикой изменения активности избранных категорий за весь период наблюдений, что
позволит более эффективно распределить усилия и средства для защиты компьютерных систем от
вирусов.
Данные о вирусных атаках на WWW-сервере журнала Virus bulletin
На сайте всемирно известного журнала, посвященного компьютерным вирусам
Virus bulletin, эта информация
представлена в виде таблиц, содержащих данные о названиях конкретных вирусов, его типе и
количества зафиксированных атак, вызванных этим вирусов в конкретном месяце. Сайт содержит
помесячные таблицы вирусной активности, начиная с января 1995 года. Ниже приведен фрагмент
(начало и конец) самых последних, на момент подготовки данного материала, опубликованных данных
о вирусной активности за сентябрь 2000 года:
| Virus Name | Тип | Number of incidents | Percentage |
|---|
| Stages | Script | 387 | 30.0% |
| Kak | Script | 177 | 13.7% |
| LoveLetter | Script | 125 | 9.7% |
| Marker | Macro | 93 | 7.2% |
| ......... | .... | ... | ..... |
| Pica | Script | 7 | 0.5% |
| Others | | 82 | 6.4% |
| TOTAL | | 1288 | 100% |
Таблица 1
Полностью эту и таблицы вирусной активности за другие месяцы можно посмотреть по адресу:
http://www.virusbtn.com/Prevalence/.
В качестве начала исследуемого периода взят февраль 1996 года. Информация о вирусных атаках,
содержащаяся в таблицах помесячной активности, была распределена по указанным выше категориям.
По каждой категории подсчитано суммарное количество атак вирусов данной категории в общей
массе зафиксированных атак и вычислен весовой коэффициент в процентах каждой категории за
соответствующий месяц. Полученная таким образом информация, представлена ниже
в таблице 2:
| Период
| Соотношение в %
| Период
| Соотношение в %
| Период
| Соотношение в %
|
| Macro
| Boot
| Other
| Macro
| Boot
| Other
| Macro
| Boot
| Other
|
| 2000.09
| 28.2
| 1.3
| 70.5
| 2000.08
| -
| -
| -
| 2000.07
| -
| -
| -
|
| 2000.06
| -
| -
| -
| 2000.05
| -
| -
| -
| 2000.04
| -
| -
| -
|
| 2000.03
| 43,6
| 1,5
| 54,9
| 2000.02
| 50,3
| >0,7
| 49,0
| 2000.01
| 60.2
| .3
| 38.5
|
| 1999.12
| 67,9
| 1,8
| 30,3
| 1999.11
| 78,4
| 0,4
| 21,2
| 1999.10
| 83.8
| 1.6
| 14.6
|
| 1999.09
| 90.0
| 2.2
| 7.8
| 1999.08
| 86.0
| 1.6
| 12.4
| 1999.07
| 82.5
| 1.0
| 16.5
|
| 1999.06
| 81,2
| 3,0
| 15,7
| 1999.05
| 87,8
| 2,1
| 10,0
| 1999.04
| 80,3
| 2,8
| 16,7
|
| 1999.03
| 66,1
| 2,7
| 31,1
| 1999.02
| 89,7
| 1,4
| 8,8
| 1999.01
| 82,8
| 11,8
| 4,5
|
| 1998.12
| 86,6
| 7,2
| 5,7
| 1998.11
| 65,6
| 22,6
| 9,7
| 1998.10
| 79,4
| 7,8
| 11,0
|
| 1998.09
| 59,2
| 20,6
| 18,8
| 1998.08
| 56,3
| 22,8
| 19,4
| 1998.07
| 43,6
| 28,5
| 24,4
|
| 1998.06
| 51,5
| 33,7
| 10,8
| 1998.05
| 45,1
| 44,1
| 6,3
| 1998.04
| 48,4
| 42,9
| 3,5
|
| 1998.03
| 49,9
| 41,7
| 4,2
| 1998.02
| 47,1
| 43,9
| 4,3
| 1998.01
| 52,1
| 40,2
| 3,2
|
| 1997.12
| 52,1
| 40,2
| 3,2
| 1997.11
| 2,7
| 35,8
| 6,0
| 1997.10
| 54,8
| 35,1
| 4,9
|
| 1997.09
| 55,7
| 39,5
| 0,8
| 1997.08
| 57,8
| 22,3
| 18,9
| 1997.07
| 79,6
| 18,0
| 2,4
|
| 1997.06
| 59,4
| 39,0
| 1,6
| 1997.05
| 61,7
| 30,3
| 4,7
| 1997.04
| 48,2
| 46,2
| 2,8
|
| 1997.03
| 48,1
| 43,2
| 4,6
| 1997.02
| 50,5
| 42,3
| 2,1
| 1997.01
| 41,1
| 49,4
| 3,0
|
| 1996.12
| 38,1
| 49,4
| 5,5
| 1996.11
| 41,6
| 43,9
| 4,1
| 1996.10
| 26,7
| 61,1
| 3,1
|
| 1996.09
| 34,4
| 53,6
| 4,8
| 1996.08
| 23,6
| 58,4
| 4,1
| 1996.07
| 23,6
| 58,4
| 4,1
|
| 1996.06
| 22,1
| 63,7
| 7,0
| 1996.05
| 14,2
| 73,2
| 6,2
| 1996.04
| 20,5
| 70,0
| 4,5
|
| 1996.03
| 20,9
| 64,2
| 5,7
| 1996.02
| 15,1
| 72,2
| 4,6
|
|
|
|
|
Таблица 2
На диаграмме 1 эта же информация представлена в графическом виде, что позволяет сравнивать
активность различных категорий вирусов не только за каждый конкретный месяц, но и наблюдать
динамику изменений этих соотношений во времени. К сожалению, данные за период с апреля по август 2000 года на сайте
отсутствуют, поэтому соответствующие значения вирусной активности пришлось рассчитать исходя из
предположения их линейной зависимости.
Диаграмма 1.
Данные о вирусных атаках на WWW-сервере WildList
На сайте WildList (www.wildlist.org) представлены и динамически
ведутся списки вирусов, которые реально представляют угрозу для пользователей. Эти списки
составляются на основе сообщений, поступающих от источников заслуживающих доверия, при этом
слухи и непроверенные сообщения исключаются. На этом сайте представлен достаточно большой объем
информации о реальных вирусных угрозах, первые отчеты относятся к июлю 1973 году. В настоящее
время на сайте поддерживается три списка вирусов:
- Основной, в него включаются наименования вирусов, информация о
которых поступила как минимум от двух источников.
- Дополнительный, он включает названия вирусов, информация о которых
поступила от одного источника.
- Самые активные, этот список включает вирусы, информация о которых
поступила не менее чем из 15 источников.
Дело в том, что, несмотря на громкие заявления многих производителей антивирусов, соревнующихся
между собой в числе обнаруживаемых ими вирусов, подавляющее число этих якобы вирусов никогда
не покинет стен лабораторий разработчиков. Т.е. вероятность нападения этих вирусов на компьютер
конечного пользователя настолько мала, что ей можно пренебречь. Наибольшую угрозу для
компьютеров представляют всего нескольких десятков вирусов, нашедших широкое распространение в
реальной действительности. Для целей проводимого здесь анализа наиболее подходящей является
третья таблица, так как в ней присутствуют самые активные вирусы и для каждого из них
указано число источников, которое можно принять как коэффициент активности.
Ниже приведена таблица самых активных вирусов за сентябрь 2000 года:
|
К-во
|
Наименование
|
Тип
|
Дополнительное имя
|
К-во
|
Наименование
|
Тип
|
Дополнительное имя
|
| 40
| W32/Ska.A-mm
| File
| HAPPY99
| 35
| VBS/LoveLetter-mm
| File
|
|
| 36
| W95/CIH.1003
| File
| Spacefiller
| 33
| W97M/Ethan.A
| Macro
| Maillissa
|
| 31
| W32/PrettyPark-mm
| File
|
| 31
| W97M/Marker.C
| Macro
|
|
| 30
| W97M/Melissa.A-mm
| Macro
| Maillissa
| 29
| O97M/Tristate.C
| Macro
| O97/Crown.B
|
| 26
| JS/Kak.worm-mm
| File
|
| 26
| VBS/Stages.A-mm
| File
| VBS/ShellScrap
|
| 26
| WM/CAP.A
| Macro
|
| 25
| VBS/Freelink-mm
| File
|
|
| 22
| W97M/Thus.A
| Macro
| W97M/Thursday.A
| 21
| W32/ExploreZip-mm
| File
| Worm.ExploreZip
|
| 21
| W97M/Class.D
| Macro
|
| 16
| W32/Fix2001.worm-mm
| File
|
|
| 15
| W32/ExploreZip.pak-mm
| File
|
|
|
|
|
|
Таблица 3
После обработки помесячных данных с учетом принадлежности того или иного вируса к
соответствующей категории, и вычислив процентный вес каждой категории вирусов, получаем
таблицу 4:
| Период
| Соотношение в %
| Период
| Соотношение в %
| Период
| Соотношение в %
|
| Macro
| Boot
| Other
| Macro
| Boot
| Other
| Macro
| Boot
| Other
|
| 2000.9
| 41,5
| 0,0
| 58,5
| 2000.8
| 46,3
| 0,0
| 53,7
| 2000.7
| 47,7
| 3,3
| 49,3
|
| 2000.6
| 49,0
| 3,3
| 47,7
| 2000.5
| 50,7
| 6,7
| 42,6
| 2000.04
| 53,7
| 10,3
| 36,0
|
| 2000.3
| -
| -
| -
| 2000.2
| 52,1
| 10,8
| 37,1
| 2000.01
| 55,0
| 11,3
| 33,7
|
| 1999.12
| 45,1
| 19,7
| 35,2
| 1999.11
| 52,4
| 13,4
| 34,2
| 1999.10
| 49,8
| 20,2
| 30,0
|
| 1999.09
| 51,6
| 20,5
| 29,9
| 1999.08
| 46,8
| 24,6
| 28,6
| 1999.07
| 59,3
| 14,9
| 25,8
|
|
1999.06
|
43,5
|
30,8
|
25,7
|
1999.05
|
43,7
|
37,7
|
18,6
|
1999.04
|
32,0
|
46,1
|
21,9
|
|
1999.03
|
26,6
|
51,1
|
22,3
|
1999.02
|
27,7
|
49,6
|
22,7
|
1999.01
|
29,1
|
49,5
|
21,4
|
|
1998.12
|
27,1
|
47,4
|
25,5
|
1998.11
|
24,7
|
52,1
|
23,2
|
1998.10
|
22,2
|
56,8
|
21
|
|
1998.09
|
22,9
|
56,8
|
20,3
|
1998.08
|
23,5
|
56,8
|
19,7
|
1998.07
|
23,3
|
56,7
|
20
|
|
1998.06
|
24,3
|
54,4
|
21,3
|
1998.05
|
21,9
|
57,1
|
21
|
1998.04
|
22,6
|
55,5
|
21,9
|
|
1998.03
|
21,5
|
56,5
|
22
|
1998.02
|
21,0
|
56,8
|
22,2
|
1998.01
|
20,2
|
57,3
|
22,5
|
|
1997.12
|
18,1
|
58,7
|
23,2
|
1997.11
|
18,0
|
60,7
|
21,3
|
1997.10
|
14,8
|
57,8
|
27,4
|
|
1997.09
|
14,9
|
57,8
|
27,3
|
1997.08
|
14,3
|
54,7
|
31
|
1997.07
|
11,7
|
55,2
|
33,1
|
|
1997.06
|
10,8
|
56,0
|
32,9
|
1997.05
|
9,8
|
57,4
|
32,8
|
1997.04
|
9,9
|
56,5
|
33,6
|
|
1997.03
|
9,9
|
55,6
|
34,5
|
1997.02
|
9,2
|
57,1
|
33,7
|
|
|
|
|
Таблица 4
ПРИМЕЧАНИЕ. Данные о вирусной активности за март 2000 года, на сайте не приведены.
Графическое представление этой информации приведено на диаграмме 2.
Диаграмма 2.
Статистика проверки файлов на WWW-сервере AO
"ДиалогНаука"
На странице АО "ДиалогНаука"
можно получить статистику о выявлении вирусов при выполнении посетителями проверок своих файлов на
наличие вирусов. Эти данные не могут включать информацию о загрузочных вирусах. Поэтому на
основе нельзя непосредственно выявить соотношение рассматриваемых в данном материале категорий
вирусов. Но это нисколько не умоляет полезности получаемой АО "ДиалогНаука" статистики.
Ниже в таблице 5 приведена обобщенная статистика о проверках посетителями своих файлов на
сайте www.dials.ru по состоянию на 25.10.2000 года.
| Период
| Соотношение в %
| Период
| Соотношение в %
| Период
| Соотношение в %
|
| Макро
| Прочие
| Макро
| Прочие
| Макро
| Прочие
|
|
|
|
|
|
|
| 2000.10
| 12,5
| 87,5
|
| 2000.09
| 39,9
| 60,1
| 2000.08
| 36,0
| 64,0
| 2000.07
| 54,5
| 45,5
|
| 2000.06
| 48,1
| 51,9
| 2000.05
| 37,4
| 62,6
| 2000.04
| 41,2
| 58,8
|
| 2000.03
| 33,1
| 66,9
| 2000.02
| 28,4
| 71,6
| 2000.01
| 39,6
| 60,4
|
| 1999.12
| 36,7
| 63,3
| 1999.11
| 49,3
| 50,7
| 1999.10
| 28,9
| 71,1
|
| 1999.09
| 34,6
| 65,4
| 1999.08
| 46,0
| 54,0
| 1999.07
| 50,7
| 49,3
|
| 1999.06
| 32,9
| 67,1
| 1999.05
| 30,5
| 69,5
| 1999.04
| 19,3
| 80,7
|
| 1999.03
| 14,9
| 85,1
| 1999.02
| 22,2
| 77,8
| 1999.01
| 20,9
| 79,1
|
| 1998.12
| 34,5
| 65,5
| 1998.11
| 12,5
| 87,5
| 1998.10
| 29,5
| 70,5
|
| 1998.09
| 14,9
| 85,1
| 1998.08
| 44,4
| 55,6
| 1998.07
| 27,9
| 72,1
|
| 1998.06
| 47,1
| 52,9
| 1998.05
| 40,7
| 59,3
|
|
|
|
Таблица 5
Графическое представление этой информации приведено на диаграмме 3.
Диаграмма 3.
Данные за июль 2000 года включены в диаграмму условно, так как они не являются окончательными,
и итоговый результат на июль 2000 гола наверняка изменятся.
На диаграмме 3 представлена динамика изменений соотношения, как двух рассматриваемых здесь
групп вирусов, файловых и макрокомандных, так и их самых весомых составляющих.
Из файловых вирусов представлены выделены отдельные подгруппы "Trojan" и "SCRIPT" вирусы,
которые в настоящее время нашли относительно большое распространение.
Макровирусы представлены тремя подгруппами - Word, Excel и O97.
Следует обратить внимание на тенденцию резкого снижения активности макрокомандных
и троянских вирусов.
Анализ соотношений активности различных категорий вирусов
По данным из различных источников абсолютный уровень соотношений различных категорий
вирусов различен. А это опровергает заявление некоторых авторов в том, что в связи с глобальным
проникновением интернет в повседневную жизнь, для вирусов уже нет границ и теперь их появление
в различных уголках мира равновероятно.
Возможно, что для многих пользователей диаграммы, представленные выше, могут показаться
неожиданными. На представленных выше диаграммах можно проследить что раньше наиболее активной
категорией были загрузочные вирусы. На диаграмме 4 отражены статистические данные по активности
этой категории вирусов.
Диаграмма 4.
На диаграмме видно, что абсолютные значения активности загрузочных вирусов, представленные
разными источниками не совпадают по времени. Но на диаграмме четко видна тенденция резкого
сокращения доли загрузочных вирусов в общей массе инфекции, хотя эти процессы и разнесены по
времени. Загрузочные вирусы были вытеснены макровирусами. Динамика этого процесса представлена
на диаграмме 5.
Диаграмма 5.
На этой диаграмме абсолютные значения вирусной активности макровирусов по данным Wild List и
АО "ДиалогНаука" удивительным образом совпадают, и это притом, что данные АО "ДиалогНаука" не
могут учитывать загрузочные вирусы! Опираясь на эти данные можно предположить, что активная
составляющая загрузочных вирусов на территории России очень мала, и слабо влияет на общую
картину вирусной активности.
Диаграмма 5 показывает, что в настоящее время наибольшую активность приобрели макрокомандные
вирусы, поэтому пользователям следует уделять большее внимание защите своих компьютеров от
макрокомандных вирусов. Особенно это важно в настоящее время, когда стало модно обсуждать
новые технологии, используемые вирусами для проникновения в компьютерные системы, в частности
интернет. Но как показывает статистика вирусных атак пока вирусы, использующие чисто сетевые
методы внедрения, пока не нашли широкого распространения.
Конечно, это не означает, что пользователи пока могут вообще не учитывать
возможность проникновения в их компьютерные системы вирусов посредством интернет. Рост
активности макрокомандных вирусов тому прямое подтверждение. Он сопряжен именно с внедрением в
практику организации технологических процессов обработки информации передачу данных через
интернет. Именно благодаря тому, что дискеты утратили роль основного носителя для обмена
данными, произошло перераспределение активности между загрузочными и макрокомандными вирусами.
На диаграмме 6 представлены суммарные данные активности этих двух категорий вирусов.
Диаграмма 6.
Эта диаграмма убедительно доказывает, что основным источником инфекции является среда
передачи исходных данных. В данном случае под средой передачи данных подразумевается
либо технический носитель - дискета, либо носитель программной среды - файлы в формате
Microsoft Office. Этим можно объяснить причину широкой распространенности загрузочных вирусов
в прошлом, которые, незаметно для пользователя, "жили" в загрузочных секторах дискет. В
настоящее время обмен дискетами резко уменьшился, что не могло не сказаться на динамике
распространения загрузочных вирусов. Сейчас основным способом обмена данными является передача
файлов по каналам связи. Теперь средой, в которой могут "жить" вирусы, стали файлы в формате
Microsoft Office. Это и подтверждается резким ростом активности макрокомандных вирусов, и
таким же снижением активности загрузочных вирусов.
Сейчас широко распространено мнение, что основным источником
инфекции являются компьютерные игры. Если бы это утверждение было верным, то на первое место
неизбежно должна была выйти категория "прочих" вирусов. Поэтому к утверждению некоторых
разработчиков и поставщиков антивирусных средств, которые утверждают о якобы выявленных ими
случаях массового заражения различных пиратских CD-дисков, надо подходить с известной степенью
снисходительности и с пониманием ... Тем более что конкретных данных об этих фактах приведено
не было. Естественно такие случаи имели место, но считать их массовым явлением явной натяжкой.
Атаки вирусов и потери данных
Относительно проблемы вирусов существует множество точек зрения, от полного отрицания наличия
этой проблемы, до фатальной боязни компьютерных вирусов. Отстаивая свою точку зрения,
поборники этих позиций приводят свои аргументы:
- Одни говорят, что компьютерные вирусы встречаются крайне редко, а если вирус и попадает в
компьютер, то ничего особенно плохого не происходит. А публикации относительно больших потерь
от атак вирусов на компьютеры объясняют тем, что производители антивирусных программ, стремясь
к расширению сбыта своей продукции, искусственно нагнетают обстановку. По их мнению стоимость
затрат, включая накладные потери, на антивирусные мероприятия гораздо выше, чем усилия по
восстановлению работоспособности компьютерных систем в случае маловероятной потери данных
из-за атак вирусов. "Да и вообще большинство вирусов достаточно безобидные - пусть себе живут!"
"Я лучше потрачу один день в год на восстановление, чем каждый день буду тратить час на
проверку" - говорят сторонники этой позиции.
- Сторонники другого подхода утверждают, что безобидных вирусов просто не бывает. А сравнение
общих затрат на антивирусные мероприятия и восстановление данных, не может являться адекватным
критерием оценки эффективности и целесообразности применения средств защиты. "Если до сих пор
Ваш компьютер не подвергался разрушительным атакам вирусов, которые приводили к полной утрате
нужной информации, это не означает, что в дальнейшем Вы от этого гарантированы. Это все равно,
что сравнивать стоимость огнетушителя и возможные потери от пожара, который может произойти" -
говорят в ответ другие.
Как известно, истина в спорах лежит где-то посередине.
Ниже приведена диаграмма 7, показывающая процентное соотношение причин от общего числа потерь
данных.
Диаграмма 7.
Данная диаграмма, с одной стороны показывает, что процент потерь из-за вирусов относительно
небольшой, пользователь для своего компьютера опасней в 4 раза, но с другой стороны, 8% это не
так уж мало, чтобы этой опасностью можно было пренебречь.
Несколько общих советов
При анализе представленной выше информации невольно возникает несколько вопросов:
- Разве против загрузочных и макрокомандных вирусов нет действенной защиты?
- Чем можно объяснить упорную живучесть, вирусов, обнаружение которых не
представляет никаких проблем?
- В чем истинная первопричина победного шествия компьютерных вирусов,
отсутствие средств борьбы с ними, дороговизна и недоступность этих средств, или причина в
чем-то другом?
- И конечно извечный вопрос - "Кто виноват, и что делать?"
По моему глубокому убеждению, существует две основные причины победного шествия компьютерных
вирусов:
- Отсутствие у Пользователей должных знаний и навыков в области защиты компьютеров;
- Беспечность и небрежное отношение к результатам собственного труда.
Другими причинами сложившуюся ситуацию с компьютерными вирусами объяснить нельзя.
Но отодвинем эмоции в сторону и попробуем извлечь из приведенной выше информации некоторые
выводы и рекомендации для пользователей, которые действительно хотят защитить свою информацию
от загрузочных и макрокомандных вирусов на 100%. Да-да я не оговорился, именно на 100%! И не
думайте, что я буду Вам навязывать какие-то дополнительные средства защиты.
Эти средства на Вашем компьютере уже имеются !
Защита от всех без исключений, включая и
неизвестные
ранее, загрузочных вирусов
Возможно некоторые пользователи очень удивятся, но для защиты от любых загрузочных вирусов
достаточно изменить настройку CMOS компьютера, указав в качестве первого устройства, с которого
будет выполняться загрузка логический диск C:. На первый взгляд это элементарно. Но, как это не
странно, все пользователи, применившие эту установку, могут забыть о существовании способа
инфицирования компьютеров посредством загрузочного сектора дискет. При такой установки
загрузочные вирусы, если они и имеются на дискете, никогда не получают управления. Если
пофантазировать, то загрузочные вирусы живут не благодаря их создателям, а исключительно из-за
отсутствия такой установки на большинстве компьютеров!
Чтобы посмотреть или изменить данные в CMOS-памяти, вы должны воспользоваться программой BIOS
Setup. Эта программа находится непосредственно в ПЗУ BIOS компьютера и может быть запущена при
перезагрузке компьютера, для некоторых компьютеров требуется выключить, а затем включить
электропитание компьютера. Обычно, сразу после окончания первоначальной процедуры
тестирования компьютера, на экран дисплея выдается сообщение о возможности запуска в данный
момент времени программы BIOS Setup:
| Press DEL to Enter SETUP, ESC to skip memory test
| - для BIOS фирмы Award Software |
| Hit Del if you want to run SETUP
| - для BIOS фирмы American Megatrends Inc. |
Для этого надо нажать специальную клавишу, обычно это клавиша <Del>, Какую именно клавишу
или их комбинацию надо нажать для запуска программы Setup, зависит от производителя BIOS. В
следующей таблице приведен список таких клавиш для BIOS некоторых известных фирм.
| Фирма-производитель BIOS
| Комбинация клавиш |
| American Megatrends Inc.
| <Del> |
| Award Software
| <Ctrl+Alt+Esc>, <Del> |
| Phoenix Technologies
| <Ctrl+Alt+S> |
| Mylex
| <F2> |
Более подробно об CMOS-памяти и программе Setup вы можете прочитать в документации на свою
материнскую плату компьютера. Будете осторожны при экспериментах с содержимым CMOS-памяти.
Изменяйте только те параметры, о которых имеете полное представление. Если у Вас есть принтер,
то путем нажатия клавиши "Print Screen", можно распечатать содержимое экрана до изменения тех
или иных параметров настроек.
Рис. A
Рис. B
100% защита от всех без исключений,
включая и неизвестные
ранее, макровирусов
В настоящее время перемещение информации с компьютера на компьютер все чаще осуществляется
без применения технических носителей информации, широко используются локальные сети и сети
Internet. Это обстоятельство немедленно сказалось на вирусную обстановку. Как видно из
диаграммы 1 в настоящее время наибольший вес приобрели макрокомандные вирусы. Очень
интересно выглядит линия активности макрокомандных вирусов. Вначале был резкий скачек, и в
августе 1997 года он достиг 80%, затем пошел спад, до 50% с января 1998 г. по июль 1998 г.,
затем наблюдается еще более резкий бросок до 90%.
Чем объяснить такое поведение активности макрокомандных вирусов? На мой взгляд, падение
активности с августа 1997 г. по июль 1998 г. можно объяснить следующими основными
причинами:
- Повышенным, даже тревожным, вниманием пользователей к этим вирусам;
- Увеличение эффективности традиционных антивирусных средств защиты;
- Наличием встроенных в Microsoft Office Professional 95 и Microsoft Office 97 средств защиты
от макрокомандных вирусов.
Резкий рост активности макрокомандных вирусов нельзя полностью списывать на увеличение их
количества. По моему мнению, в сложившейся ситуации ответственность за такое широкое
распространение макровирусов целиком и полностью лежит на совести Пользователей.
Это явилось следствием привыкания и терпимому отношению многих пользователей к наличию в
их программной среде макрокомандных вирусов. Как некоторые терпят у себя
дома и на работе тараканов, так и в случае макрокомандных вирусов произошло элементарное
привыкание к присутствию на компьютере этих вирусов, что не медленно сказаться на их
распространенности и активности.
Подавляющее число пользователей в своих документах никогда не применяет макросы, и
наличие макрокомандных вирусов в открываемых документах, практически всегда связано с их
инфицированием. Поэтому можно рекомендовать средство второе - защиту от всех без
исключения, включая и неизвестные ранее, макрокомандных вирусов среды Microsoft Word и
Excel:
- Применение встроенных в Microsoft Office Professional 95 и
Microsoft Office 97 средств защиты от макрокомандных вирусов.
Если включить эту защиту, то как только будет предпринята попытка открыть инфицированный
файл, пользователь немедленно получит предупреждающее сообщение о наличии в нем макросов.
Ниже на рисунках 1-3 представлены сообщения, выдаваемые приложениями Microsoft Office в
случае открытия файлов, содержащих макровирусы.
Рис. 1 Сообщение Microsoft Word 95 о наличии вируса
Рис. 2 Сообщение Microsoft Word 97 о наличии вируса
Рис. 3 Сообщение Microsoft Excel 97 о наличии вируса
Ответ на это вопрос всегда должен быть одним: <Отключить макросы>. Даже, если Вы
получили документ, по Вашему мнению, из надежного источника. В настоящее время надежных
источников не существует, кроме этого Вам нет нужды разрешать, то, что Вы не используете!
При этом ни в коем случае нельзя отключать защиту от макровирусов. Т.е. нельзя
сбрасывать флажки переключателей "Всегда выводить окно при открытии документа,
содержащего макросы" (Рис.2), и "Всегда задавать этот вопрос" (Рис.3)
Помните, что, сбрасывая эти флажки, Вы лишаете себя защиты!
Для контроля состояния защиты от макрокомандных вирусов, и ее включения, нужно выбрать в
главном меню команду <Сервис> , а в выпавшем меню раздел
<Параметры>.
После этого надо выбрать вкладку <Общие> . При этом на экране будут отображены
текущие настройки этого раздела. Внешний вид панелей с этими настройками приведены
на рис. 4-6.
Рис. 4 Общие установки Microsoft Word 95
Рис. 5 Общие установки Microsoft Word 97
Рис. 6 Общие установки Microsoft Excel 97
Проследите за тем, чтобы переключатели <Защита от вируса> (Рис. 4) и <Защита от
макровирусов> (Рис. 5 и 6) были включены (стояла галочка).
На диаграмме 8, представлена степень опасности различных категорий вирусов. Для
расчета степени опасности вычислен среднеарифметическое
значения процентного соотношения различных
категорий вирусов по последним данным Virus bulletin и Wild List.
Диаграмма 8.
А теперь посмотрите на диаграмму 8 и убедитесь, насколько вы себя обезопасили!
100% защита от всех без исключений, включая
и неизвестные ранее, VBS-вирусов
В настоящее время широкое распространение нашли вирусы, написанные на языке
Visual Basic Script (VBS). Эти программы записываются на жесткий диск в виде файла с
расширением *.VBS. Windows, при попытке открытия таких файлов, вызывает программу WSCRIPT.EXE
и в качестве параметра запуска передает ей имя открываемого файла.
Для 100% защиты от подобных "подарков" можно использовать тот факт, что рядовому пользователю
такая функция Windows практически не нужна. Поэтому запуск VBS-файлов при их открытии можно
либо просто отключить. Но можно поступить мудрее - заставить Windows, при открытии VBS-файлов
запускать любую другую программу, например NOTEPAD.EXE (блокнот). При этом в случае любой
попытки выполнить VBS-скрипт произойдет его загрузка в блокнот. Таким образом, с одной стороны,
не произойдет выполнение вредоносной программы, а с другой, пользователь будет информирован о
попытке выполнить деструктивные действия.
Для "установки" вышеописанной 100% защиты надо:
- Войти в системный каталог Windows, обычно это C:\WONDOWS\
- Найти и переименовать файл WSCRIPT.EXE, например в WSCRIPT.OLD. Конечно, можно и удалить.
- Найти программу блокнота - NOTEPAD.EXE и записать еще один ее экземпляр, но под именем
WSCRIPT.EXE.
Особенности автозагрузки
CD-дисков
Конечно, к CD-дискам, которые сейчас являются основными носителями дистрибутивов с программным
обеспечением, надо относиться с известной степенью осторожности, тем более к пиратским и
особенно к так называемым "золотым".
Перед тем как с них что-либо запускать на выполнение, крайне желательно проверить их на наличие
компьютерных вирусов. На CD-диске может быть записан специальный файл - autorun.inf. Когда
CD-диск устанавливается в привод и Windows обнаруживает присутствие на нем этого файла, то
может осуществиться автоматический запуск приложений. Если запускаемое приложение инфицировано,
то происходит заражение операционной системы.
Автоматический запуск приложений посредством файла autorun, можно отменить, удерживая клавишу
Shift во время установки и раскручивания CD-диска.
Однако, надо помнить, что нажатие этой клавиши не всегда приводит к желаемому результату.
DOS-приложения и некоторые другие, например, FAR, блокируют распространение события нажатия
клавиши Shift, если их окно активно во время нажатия этой клавиши. Поэтому для уверенной
блокировки автоматического запуска приложений с CD-диска надо свернуть все приложения или
сделать активным рабочий стол (установить курсор мышки на его пустой участок и нажать левую
кнопку). По этой же причине надо быть осторожным при проверке антивирусами подряд нескольких
CD-дисков. Так как при их замене может быть запущена еще не проверенная программа, то
смену CD-дисков надо производить обязательно при нажатой клавише Shift, а в случае применения
DOS-версий антивирусов, еще и при свернутом окне этого антивируса.
|
