3.11.3. Восстановление файлов

В подавляющем большинстве случаев восстановление зараженных файлов является достаточно сложной процедурой, которую невозможно произвести "руками" без необходимых знаний — форматов выполняемых файлов, языка Ассемблера и т. д. К тому же обычно зараженными на диске оказываются сразу несколько десятков или сотен файлов и для их обезвреживания необходимо разработать собственную программу-антивирус (можно также воспользоваться возможностями редактора антивирусных баз из комплекта AVP версий 2.х).

При лечении файлов следует учитывать следующие правила:

— необходимо протестировать и вылечить все выполняемые файлы (СОМ, ЕХЕ, SYS, оверлеи) во всех каталогах всех дисков вне зависимости от атрибутов файлов (т. е. файлы read-only, системные и скрытые);

— желательно сохранить неизменными атрибуты и дату последней модификации файла;

— необходимо учесть возможность многократного поражения файла вирусом ("бутерброд" из вирусов).

Само лечение файла производится в большинстве случаев одним из нескольких стандартных способов, зависящих от алгоритма размножения вируса. В большинстве случаев это сводится к восстановлению заголовка файла и уменьшению его длины.

3.11.4. Дезактивация оперативной памяти

Процедура дезактивации памяти, как и лечение зараженных файлов, требует некоторых знаний об операционной системе и обязательного знания языка Ассемблер.

При лечении оперативной памяти следует обнаружить коды вируса и изменить их таким образом, чтобы вирус в дальнейшем не мешал работе антивирусной программы, — "отключить" подпрограммы заражения и "стеле". Для этого требуется полный анализ кода вируса, так как процедуры заражения и "стеле" могут располагаться в различных участках вируса, дублировать друг друга и получать управление при различных условиях.

В большинстве случаев для дезактивации памяти достаточно "обрубить" прерывания, перехватываемые вирусом: INT 21h — в случае файловых вирусов и INT 13h — в случае загрузочных (существуют, конечно, вирусы, перехватывающие другие прерывания или несколько прерываний). Например, если вирус заражает файлы при их открытии, то это может выглядеть примерно так:

При дезактивации TSR-копии вируса необходимо помнить, что вирус может предпринимать специальные меры для восстановления своих кодов (например, некоторые вирусы семейства Yankee восстанавливают их при помощи методов помехозащищенного кодирования), и в этом случае придется нейтрализовать и механизм самовосстановления вируса. Некоторые вирусы, кроме того, подсчитывают CRC своей резидентной копии и перезагружают компьютер или стирают сектора диска, если CRC не совпадает с оригинальным значением. В этом случае необходимо "обезвредить" также и процедуру подсчета CRC.

Мы и обернуться не успеем, а уже навалят больше прежнего...

А. и Б. Стругацкие. Град обреченный

Глава 4. Описание вирусов

Ниже приводятся результаты анализа алгоритма работы наиболее интересных и широко распространенных в России и странах бывшего СССР вирусов. Будут описаны вирусы, которые используют необычные методы заражения системы или проявляют себя в системе каким-либо экстраординарным способом.

Описания вирусов содержат строки, выводимые вирусами на экран компьютера или принтер. Некоторые из них имеют грамматические и/или стилистические ошибки, используют ненормативную лексику, жаргон и т. д. Для того чтобы каждый раз не заострять на этом внимание, следует отметить, что все сообщения приводятся в редакции их авторов.

В предлагаемый материал включены и некоторые из так называемых hoaxes — широко распространенных легенд про вирусы, которые на самом деле никогда не существовали. К ним относятся "сетевой вирус" GoodTime, строка "Choleepa" во втором секторе винчестера, "страшный вирус Time" и т. д.

Следует также отметить, что эта книга содержит примерно десятую часть от общего числа вирусов, описанных в электронной "Энциклопедии вирусов AVP". Остальные опущены по двум причинам: полный набор описаний всех известных вирусов чересчур велик для однотомного печатного издания, да и вряд ли покажется действительно интересным читателю. По тем же причинам не включен и каталог с основными краткими характеристиками всех вирусов, известных на сегодняшний день.

Тем, кто желает ознакомиться с полным каталогом или описаниями вирусов, не приведенных ниже, рекомендую воспользоваться "Энциклопедией вирусов AVP", которая распространяется бесплатно через станции BBS и WWW, или обратиться к ней в режиме on-line на Web-станции AVP: http://www.avp.ru.

Для того чтобы постоянно быть в курсе самых свежих новостей о компьютерных вирусах, рекомендую подписаться на Fido-конференцию AVP.SUPPORT или регулярно заглядывать на Web-сервер AVP.