Раздел: Документация

0 ... 61 62 63 64 65 66 67 ... 102

не «дотянется»),но.... Современные антивирусы разжирели настолько, что на одну дискетку уже невмещаются, а сеть... увы, для подавляющего большинства домашних пользователей она все еще остается непозволительной роскошью. Впрочем, разработчики антивирусов не сидят сложа руки, а готовят ответный удар. Уже появилось несколько вакцин, уверенно работающих даже в агрессивной заражен ной среде. Одну из таких утилит (занимающую, кстати, всего 80 килобайт!) можно бесплатно скачать с сервера Евгения Касиерского — создателя антивируса AVP(He путать с Крисом Касперски — автором этой книги — это разные люди, не имеющие друг к другу ии малейшего отношения). Воспользуйтесь следующей ссылкой ftp://ftp.kaspersky.ru/utils/clrav.corn или — если к моменту выхода книги в светссылка вдруг будет перемещена (что часто и случается) — зайдите на главнуюстраницу cepBepawww.avp.ru. Вы получите полноценный антивирус, который 1%ет находить и лечить (!) следующие вирусы (не исключено, что к моменту выпуска книги этот список расширится): I-Worm.BleBla.b: I-Worm.Navidad; I-V%m.sircam; i-worm.Goner; I-Worm.Klez.a; I-Worm.Klez.e; I-Worm.Klez.f; I-Worm.Klez.h; Win32.Elkern.c. Только не удивляйтесь, если вместо привычных и красивых менкоек вы увидите скучный черный экран. А что еще вы хотели от бесплатной программ занимающий меньше ста килобайт?!

Запускайте CLRAV.COM с командной строки или из-под FARa, причем, под Windows 2000/ХРвы должны войти в систему с администраторскими привилегиями. Если антивирус, прошуршав жестким диском, выдаст обнадеживающее Nothing to clean («Нечего чистить»), не обольщайтесь, а для более тщательной проверки запустите его с ключом /scanfiles. Например, так: "clrav.com /scan-files", — после чего можете смело отправляться пить кофе (чай, пиво — по вкусу), так как полная проверка диска обычно занимает весьма длительное время. Все найденные штаммы вируса будут автоматически, безо всяких запросов на лечение, удалены.Правда, в завершающей стадии лечения антивирус можетпо-требовать перезагрузки компьютера и повторного запуска CLRAV. СОМ — То finalize removal of infection you should reboot system and start program («Для заключительного удаления инфекции вы должны перезагрузить систему и запустить программу») — подразумевается программу антивируса. Это происходит вследствие того, что Windows6.ioKHpyeT исполняющиеся в настоящий момент файлы и вылечить их можно только до загрузки системы. Причем под Windows 9х желательно перезагрузцться в «защищенном» (Safe Mode) режиме, для чего следует удерживать клавишу F5 во время загрузки компьютера.

Несмотря на то, что надежность распознавания заразы и качество лечения ДР статочно хороши, - Это не повод чувствовать себя в безопасности, так как в лю* бой момент может появиться новая модификация Kileza или даже принципиально новый вирус, не знакомый даже самым свежим антивирусам...

СПОСОБ № 2. ГЛАВНОЕ — ЭТО ЗАЩИТА

В идеале вирус вообще не должен быть допущен на ваш компьютер, — т°га и проблем никаких не будет! Дыра в плавающих фреймах затыкается clielIn. альной заплаткой,выпущенной Microsoft. Просто щелкните по следующей ссь

---

ке: wMW.microsoftxom/windowи, вниматель-

но прочитав инструкцию по установке, выберите язык вашей операционной системы и скачайте обновления для вашей версии Internet Explorer. (Вот так, — чтобы заткнуть дыру в почтовом клиенте, необходимо обновить браузер, — вот такая, она, Microsoft!) Пакет обновления занимает немногим более половины мегабайта, но, к сожалению, он не снабжен никаким деинсталлятором и, чтобы удалить заплатку, — если вдруг она вызовет проблемы, — придется заново переустанавливать всю операционную систему, что не есть хорошо. К сожалению, иного выхода нет...

Если же в вашей системе эта дыра уже устранена (пакет обновления поставляется со многими продуктами Microsoft, например, Office 2000/ХР, и устанавливается автоматически), заплатка откажется запускаться, сообщив, что вам это обновление устанавливать не требуется. Печально, но определить наличие обновления другим путем — чтобы знать, стоит ли скачивать полуметровый файл или нет, — невозможно. Во всяком случае, Microsoft не раскрывает этой тайны.

СПОСОБ № 3. РУЧНАЯ РАБОТА

Как говорится, на антивирусы надейся, а сам не плошай. Даже установив все заплатки, вы не заткнете все дыры, — ведь помимо известных, есть еще и неизвестные... до норы до времени неизвестные. Поэтому будет отнюдь не бесполезно максимально затруднить вирусам и прочим злоумышленникам проникновение на ваш компьютер.

Итак, первым делом заходим в меню Сервис ► Параметры, в появившемся диалоговом окне переходим к вкладке Безопасность и устанавливаем переключатель в разделе Выберите зону безопасности для Internet Explorer из положения Зона Интернета (степень безопасности ниже, но работает быстрее) в положение Зона ограниченных узлов (степень безопасности выше). Подтверждаем свое намерение нажатием ОК и запускаем Internet Explorer. Так, теперь входим в меню Сервис ► Свойства обозревателя и в появившемся диалоговом окне переходим на вкладку опасность, где перемещаем ползунок Уровень безопасности для этой зоны в положение Высокий.

Пара советов напоследок. Во-первых, регулярно посещайте сервер Microsoft цРедмет поиска всяких обновлений и своевременной их установки. Во-вто-РЫх, отключите область предварительного просмотра сообщений в своем но-вом Клиенте (в Outlook Express для этого достаточно зайти в меню Вид ► пп ЗДКа и 15 появившемся диалоге снять флажок с пункта Отображать область мотра). Эта мера позволит вручную исследовать все подозрительные со-в°Ди,1ИЯ имеющис вложения. А как их исследовать? Да очень просто — под-вИц1 М.1сУРсоР к «подследственному» сообщению, щелкаем на нем правой кла-6 п еи мыши, в появившемся контекстном меню выбираем пункт Свойства, кЦо в,,вшимся окне перехолим на вкладку Подробности и наконец нажимаем °6ui К сх°Дное сообщение. Остается только просмотреть исходный текст со-сТи*?"Ия 11а пРеЛмст всяких иодозрительностей. Что это за «подозрительному, в первую очередь теги <iframe>, потом секции Сопгрпг-т«по- =«..w:«

---

(Content-Transter-Encouine: tfuoted-printaMe

<WHL><HtAPH/8E;4rj>:<9ei)v>

<fraSS Btc3t>ct<3:TrigOg076JS faetghtyabc .-idth»3E :-<t Исак«>

[Content-Type: amlio/x-wev;

Content-Iransfer-Encodine: Ъагёб4 [content-JDs <TTlS0Gfl7iWS>.

1ту40аашОД№Д444/%

AAAAAAAA2AAi4*ug4AtAe№

RE9TIGtv2<H»V*WKPAAMMJU*CГТГ =Tf

<»P»9b0uKJ»E7J>c#liK?g/ msTpCt:P©9bC*Vs332 Й7МЗвШоЗРТТз»М*.ААА А АЛА UEUAAEBBBABcmfcJSAAAAAAAAAADgAAfijAAAAAAHiAAAAAEAAAANAAAAA*

qaaaeaaaabaaaaqaaaaaaaaabmaaaaaaahii

abaaaaajtaaaqaaaaaaaaaaaaaalaaaaaaaaaaaaaaaaaaaaaaaa;.

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaajCaaaaaaaaaaaaa

jAMAAOCffiAAAAAAAAAAAAJUAAAJLAGq2AAAAEAAAAHAAAAAQ

Рис. 5.9. Так выглядит I-Worm.Kilez.h в исходном тексте сообщения

а1:

И последнее - периодически контролируйте ветвь реестра HKLM\Software\Mic-rosoft\Windows\CurrentVersion\Run на предмет появления изменений. Все программы, перечисленные в ней, автоматически запускаются при загрузке системы, и вирусы очень часто пользуются этой лазейкой, чтобы всегда быть «в седле». Вообще-то большой беды не будет, если вы удалите все прописанные здесьштат-ные программы (включая служебные).

Также контролируйте список процессоров, вызываемый но Alt+Ctrl+Del или отображаемый в панели FAR, - появление нового процесса, никогда не нидан-ного вами ранее, особенно состоящего из бессмысленного набора символов, -верный признак заражения вирусом! В этом случае «прибейте» процесс (в FAK для этого достаточно нажать DEL) и запустите самый свежий антивирус, а лучше — несколько антивирусов сразу.

Даже если судьба отвела от вас всех предыдущих вирусов стороной, не пытайтесь искушать ее еще раз, — бесконечно везти не может, и в самый неподхоД* щий момент везение вдруг закончится, заставляя взглянуть реалиям в лино. А реалии на настоящий момент таковы - никакие, даже самые-самые защищенные операционные системы, в том числе и широко рекламируемая Win<l<vVS

содержащие исполняемые или командные файлы (рис. 5.9). Обнаружив кие в полученном письме, — немедленно сотрите его, ни в коем случае не от крывая! Когда будете это делать, не забудьте, что при удалении писем они н-самом деле не удаляются, а перемещаются в Корзину, — папку Удаленные, - 0т1 куда по ошибке могут быть просмотрены вами впоследствии. Поэтому зайтц те в Удаленные и сотрите зараженные письма и там. Уведомлять отправителя о заражении — излишне. Как показывает практика, в подавляющем больший, стве случаев вирус подставляет фиктивный обратный адрес, совсем не совпадающий с истинным отправителем письма.

0 ... 61 62 63 64 65 66 67 ... 102