ЕУП

1. Зміст:

Цілі і завдання вивчення теми:

• сформувати уявлення про існуючі комп'ютерні віруси;
• ознайомити з сучасними антивірусними програмами і що висуваються до них вимогами.

Зміст:

Комп'ютерний вірус - це спеціально написана невелика за розміром програма, яка може «приписувати» себе до інших програм (т. Е. «Заражати» їх), а також виконувати різні небажані дії на комп'ютері. Програма, всередині якої знаходиться вірус, називається «зараженої». Коли така програма починає роботу, то спочатку управління отримує вірус. Вірус знаходить і «заражає» інші програми, а також виконує які-небудь шкідливі дії (наприклад, псує файли або таблицю розміщення файлів (FAT) на диску, «засмічує» оперативну пам'ять і т.д.). Для маскування вірусу дії по зараженню інших програм і нанесення шкоди можуть виконуватися не завжди, а при виконанні певних умов. Після того як вірус виконає потрібні йому дії, він передає управління тій програмі, в якій він знаходиться, і вона працює як зазвичай. Тим самим зовні робота зараженої програми виглядає так само, як і незараженной.

Багато різновидів вірусів влаштовані так, що при запуску зараженої програми вірус залишається в пам'яті комп'ютера і час від часу заражає програми і виконує небажані дії на комп'ютері.

Всі дії вірусу можуть виконуватися дуже швидко і без видачі будь-яких повідомлень, з цього користувачеві дуже важко, практично неможливо, визначити, що в комп'ютері відбувається щось незвичайне.

До тих пір, поки на комп'ютері заражене щодо мало програм, наявність вірусу може бути практично непомітним. Однак, через деякий час, в комп'ютері діється щось дивне, наприклад:

• деякі програми перестають працювати або починають працювати неправильно;
• на екран виводяться сторонні повідомлення, символи і т. д .;
• робота на комп'ютері істотно сповільнюється;
• деякі файли виявляються зіпсованими і т. д.

До цього моменту, як правило, вже досить багато (або навіть більшість) тих програм, з якими працює користувач, є зараженими вірусом, а деякі файли і диски - зіпсованими. Більш того, заражені програми з даного комп'ютера могли бути вже перенесені за допомогою знімних носіїв або по локальній мережі на інші комп'ютери.

Деякі віруси поводяться дуже підступно. Вони спочатку непомітно заражають велику кількість програм і дисків, а потім наносять дуже серйозні пошкодження, наприклад, форматують весь жорсткий диск на комп'ютері, природно після цього відновити дані буває просто неможливо. Існують віруси, які ведуть себе дуже приховано, і псують потроху дані на жорсткому диску або зрушують таблицю розміщення файлів (FAT). До таких належить вірус OneHalf, що має безліч модифікацій.

Таким чином, якщо не вживати заходів щодо захисту від вірусу, то наслідки зараження можуть бути дуже серйозними. Наприклад, на початку 1989р. вірусом, написаним американським студентом Морісом, були заражені і виведені з ладу тисячі комп'ютерів, в тому числі що належать міністерству оборони США. Автор вірусу був засуджений судом до трьох місяців в'язниці і штрафу в 270 тис. Дол. Покарання могло бути і більш суворим, але суд врахував, що вірус не псував дані, а тільки множився.

Див. Докладніше в хрестоматії

Для того, щоб програма-вірус була непомітною, вона повинна мати невеликі розміри. З цього віруси пишуть зазвичай на низькорівневих мовах (на Асемблері або низькорівневими командами мови СІ).

Віруси пишуться досвідченими програмістами з цікавості, для помсту кому-небудь, в комерційних цілях, або з метою спрямованого шкідництва. Які б цілі не переслідував автор, вірус може виявитися на вашому комп'ютері і постарається зробити ті ж шкідливі дії, що і у того, для кого він був створений.

Слід зауважити, що написання вірусу - не така вже й складне завдання, цілком доступна що вивчає програмування студенту. Тому щотижня в світі з'являються все нові віруси (багато з них створені в нашій країні).

Комп'ютерний вірус може зіпсувати, т. Е. Змінити неналежним чином, будь-який файл на наявних у комп'ютері дисках. Але деякі види файлів вірус може «заразити». Це означає, що вірус може «потрапити» в ці файли, т. Е. Змінити їх так, що вони будуть містити вірус, який при деяких обставинах може почати свою роботу.

Слід зауважити, що тексти програм і документів, інформаційні файли баз даних, таблиці табличних процесорів і інші аналогічні файли не можуть бути заражені звичайним вірусом, він може їх тільки зіпсувати.

Звичайним вірусом можуть бути заражені наступні види файлів:

1. Виконувані файли, т. Е. Файли з розширеннями імен .com і .exe, а також оверлейной файли, що завантажуються при виконанні інших програм. Віруси, що заражають файли, називаються файловими. Вірус в заражених файлах починає свою роботу під час запуску тієї програми, в якій він знаходиться. Найбільш небезпечні ті віруси, які після свого запуску залишаються в пам'яті резидентної - вони можуть заражати файли і шкодити до наступної перезавантаження комп'ютера. А якщо вони заразять будь-яку програму, що запускається з файлу AUTOEXEC.BAT або CONFIG.SYS, то і при перезавантаженні з жорсткого диска вірус знову почне свою роботу.
2. Завантажувач операційної системи і головна запис жорсткого диска. Віруси, що вражають ці області, називаються завантажувальними або BOOT-вірус. Такий вірус починає свою роботу при початковому завантаженні комп'ютера і стає резидентним, т. Е. Постійно знаходиться в пам'яті комп'ютера. Механізм поширення - зараження завантажувальних записів вставляються в комп'ютер дискет. Часто такі віруси складаються з двох частин, оскільки завантажувальний запис має невеликі розміри і в них важко розмістити повністю програму вірусу. Частина вірусу розташовується в іншій ділянці диска, наприклад в кінці кореневого каталогу диска або в кластері в області даних диска (зазвичай такий кластер оголошується дефектним, щоб виключити затирання вірусу під час запису даних на диск).
3. Драйвери пристроїв, т. Е. Файли, які вказуються в пропозиції DEVICE файла CONFIG.SYS. Вірус, що знаходиться в них, починає свою роботу при кожному зверненні до відповідного пристрою. Віруси, що заражають драйвери пристроїв, дуже мало поширені, оскільки драйвери рідко переписують з одного комп'ютера на інший. Те саме можна сказати і до системних файлів DOS (MSDOS.SYS і IO.SYS) - їх зараження також теоретично можливо, але для поширення вірусу малоефективне.

Як правило, кожна конкретна різновид вірусу може заражати тільки один або два типи файлів. Найчастіше зустрічаються віруси, що заражають виконувані файли. На другому місці за поширеністю стоять завантажувальні віруси. Деякі віруси заражають і файли, і завантажувальні області дисків. Віруси, що заражають драйвери пристроїв, зустрічаються вкрай рідко, зазвичай такі віруси вміють заражати і виконувані файли.

Віруси можна ділити на класи за різними ознаками. Наприклад, за ознакою віроломності:

• віруси, моментально вражають комп'ютер, форматують жорсткий диск, псують таблицю розміщення файлів, псують завантажувальні сектора, перуть так зване Flash - ПЗУ (де знаходиться BIOS) комп'ютера (вірус «Чорнобиль»), іншими словами, як можна швидше завдають непоправної шкоди комп'ютеру. Сюди ж можна віднести і результати образ програмістів, які пишуть віруси, на антивірусні програми. Маються на увазі так звані алергії на певні антивірусні програми. Ці віруси досить віроломні. Наприклад, алергія на Dr. Weber при виклику цієї програми, не довго думаючи, блокує антивірус, псує все, що знаходиться в директорії з антивірусом і C: \ WINDOWS. В результаті доводиться встановлювати заново операційну систему і потім боротися з вірусом іншими засобами;
• віруси, розраховані на тривале життя в комп'ютері. Вони поступово і обережно заражають програму за програмою, не афішуючи свою присутність, і виробляють підміну стартових областей програм на посилання до місця, де розташовано тіло вірусу. Крім цього, вони виробляють непомітне для користувача зміна структури диска, що дасть про себе знати тільки тоді, коли деякі дані вже будуть безнадійно втрачені (вірус «OneHalf-3544», «Yankey-2 C»).

За ознакою способів передачі і розмноження теж можна провести поділ.

Раніше віруси в основному вражали тільки виконувані файли (з расшіреніямі.com і.exe). Дійсно, адже вірус - це програма, і вона повинна виконуватися.

Віруси відправляють електронною поштою, як демонстраційні програми або як картинки. Наприклад, якщо по електронній пошті прийшов файл «PicturesForYou.jpg», не поспішайте його дивитися, тим більше, що він прийшов невідомо звідки. Якщо уважно подивитися на назву, то виявиться, що воно має ще 42 пробілу і дійсне расшіреніе.exe. Тобто реально повне ім'я файлу буде таким:

«PicturesForYou.jpg.exe».

Тепер зрозуміло, що насправді несе в собі ця картинка. Це не файл малюнка, який при активізації викликає переглядач малюнків, а завуальований вірус, який чекає коли його активізують клацанням миші або натисканням клавіші. Такий вірус ви самі завантажуєте собі на комп'ютер, під оболонкою якої-небудь картинки, як «Троянського коня». Звідси і поширена назва таких вірусів - «Трояни».

Існує клас так званих «Макро-вірус». Вони містять приховані команди для оболонок інформаційних каналів (наприклад, Internet Explorer, Outlook Express, Microsoft Office), які небажані для рядового користувача. І цей код вже не є кодом для комп'ютера, тобто це вже не програма, а текст програми, що виконується оболонкою. Таким чином, він може бути записаний в будь-якому необхідному форматі: .html, .htm - для Internet Explorer, .doc, .xls, .xlw, .txt, .prt, або будь-який інший - для Microsoft Office і т. Д. Такі віруси завдають шкоди тільки певного характеру, адже оболонка не має команд, наприклад, для форматування жорсткого диска. Але все ж цей вид вірусів заслуговує на увагу, адже за допомогою прихованих гіперпосилань він здатний самостійно завантажити з мережі Інтернет на комп'ютер тіло вірусу, а деякі віруси здатні оновлюватися і завантажуватися по частинах через Інтернет з певних серверів. Зокрема, японським студентом був розроблений саме такий вірус, який підключає невеликий «завантажувач» до будь-якого формату вхідних даних, що надходять з мережі Інтернет. Потім цей завантажувач самостійно завантажує з Інтернет з сервера з IP-адресою Babilon 5 тіла вірусу. Цих тел чотири. Кожне з них здатне самостійно руйнувати комп'ютер, але має певне призначення. Цей вірус по типу є гібридом між макро-вірусами і звичайними вірусами. Але треба зазначити, що саме гібриди є найбільш живучими, хитрими, небезпечними і численними серед вірусів. Є приклади поширення макро-вірус, що заражає текстові файли для Microsoft Word. Його виявили по даті і часу створення вихідного документа, які зберігаються в невидимих ​​частях.doc файлів.

Розглянемо способи маскіровок і захистів, які застосовуються вірусами проти користувачів і антивірусних програм.

Віроломність - це основний і найшвидший спосіб зробити капость до виявлення. Дійсно, якщо вірус моментально виробляє непоправні дії, нам поспішати вже нікуди. :-))) Вірус «Чорнобиль», наприклад, повністю стирає BIOS (стартову програму, розташовану в мікросхемі ПЗУ, що забезпечує роботу комп'ютера). Після такого комп'ютер взагалі нічого не зможе видати на екран. Але його робота легко блокується, якщо всередині комп'ютера встановлений перемикач, що забороняє писати в область ПЗУ. З цього це був перший, але і, як я думаю, останній представник апаратних вірусів. Моментальне форматування жорсткого диска, теж не з приємних, але в більшості випадків користувач, з достатнім досвідом, здатний запобігти катастрофі.

Регенеративні віруси ділять своє тіло на кілька частин і зберігають їх в різних місцях жорсткого диска. Відповідно ці частини здатна самостійно знаходити один одного і збиратися для регенерації тіла вірусу. Програма - антивірус виявляє і вбиває лише тіло вірусу, а частини цього тіла не закладені в антивірусній базі, так як є зміненими. Від таких вірусів допомагає цілеспрямоване низькорівневе форматування жорсткого диска. Попередньо необхідно прийняти обережні заходи щодо збереження інформації.

«Хитрі» віруси ховаються не тільки від нас, але і від антивірусних програм. Ці «хамелеони» змінюють самі себе за допомогою найзаплутаніших операцій, застосовуючи і поточні дані (час створення файлу) і використовуючи мало не половину всього набору команд процесора. У певний момент вони, звичайно ж, по хитрому алгоритму перетворюються в підлий вірус і починають займатися нашим комп'ютером. Це найважчий виявляється тип вірусів, але деякі антивірусні програми, такі як «Dr. Weber », здатні за допомогою евристичного аналізу виявляти і знешкоджувати подібні віруси.

«Невидимі» віруси з метою запобігання свого виявлення застосовують так званий метод «Stelth». Він полягає в тому, що вірус, що знаходиться в пам'яті резидентно, перехоплює звернення DOS (і тим самим прикладних програм) до заражених файлів і областях диска і видає їх у вихідному (незараженою) вигляді. Зрозуміло, цей ефект спостерігається тільки на зараженому комп'ютері. На «чистому» комп'ютері зміни у файлах і завантажувальних областях диска можна легко виявити, але деякі антивірусні програми можуть виявляти віруси- «невидимки» навіть на заражених комп'ютерах. Так, програма Adinf фірми «Діалог-Наука» для цього виконує читання диска, не користуючись послугами DOS, а програма AVSP фірми «Диалог-МГУ» - «відключає» на час перевірки вірус (останній метод працює не завжди).

Деякі антивірусні програми (наприклад, AVSP фірми «Диалог-МГУ») використовують для боротьби з вірусом властивість «невидимих» файлових вірусів «лікувати» заражені файли. Вони зчитують (при працюючому вірус) інформацію із заражених файлів і записують їх на диск у файл або файли, де ця інформація зберігається в неспотвореному вигляді. Потім вже після завантаження з «чистою» дискети, виконувані файли відновлюються в початковому вигляді.

Останнім часом набули поширення віруси, змінює файлову систему на диску. Ці віруси зазвичай називаються DIR. Такі віруси ховають своє тіло в деякий ділянку диска (зазвичай в останній кластер диска) і позначають його в таблиці розміщення файлів (FAT) як кінець файлу. Для всех.com і.exe - файлів, що містяться у відповідних елементах каталогу, покажчики на першу ділянку файлу замінюються посиланням на ділянку диска, що містить вірус, а правильний покажчик в закодованому вигляді ховається в невикористаної частини елемента каталогу. З цього при запуску будь-якої програми в пам'ять завантажується вірус, після чого він залишається в пам'яті резидентно, підключається до програм DOS для обробки файлів на диску і при всіх зверненнях до елементів каталогу видає правильні посилання. Таким чином, при працюючому вірус файлова система здається абсолютно нормальною. При поверхневому огляді на «чистому» комп'ютері зараженого диска також нічого дивного не спостерігається. Хіба що при спробі прочитати або скопіювати з зараженої дискети програмні файли з них будуть прочитані або скопійовані лише 512 або 1024 байта, навіть якщо файл набагато довше. А при запуску будь-якої програми, що виконується з зараженого таким вірусом диска цей диск, як за помахом чарівної палички, починає здаватися справним (не дивно, адже комп'ютер при цьому стає зараженим).

При аналізі на «чистому» комп'ютері за допомогою програми ChkDsk або NDD файлова система зараженого DIR-вірус диска здається безнадійно зіпсованою. Так програма ChkDsk видає купу повідомлень про перетин файлів ( «... cross linked on cluster ...») і про ланцюжках втрачених кластерів ( «... lost clusters found in ... chains ...»). Не слід виправляти ці помилки програмами ChkDsk або NDD - при цьому диск виявиться безнадійно зіпсованим. Саме так поводиться вірус OneHalf-3544. Для виправлення заражених цими вірусами дисків треба користуватися тільки спеціальними антивірусними програмами, про які буде розказано далі.

Можна багато розмірковувати про класифікацію вірусів. Однак варто знати, що ніколи заздалегідь невідомо яким вірусом буде атакований комп'ютер. З цієї причини треба враховувати всі можливі типи вірусів і вживати всіх можливих заходів для профілактики зараження.

Для захисту від вірусів можна використовувати:

• загальні засоби захисту інформації, які корисні також як страховка від фізичного псування дисків, неправильно працюючих програм або помилкових дій користувачів;
• профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
• спеціалізовані програми для захисту від вірусів.

Загальні засоби захисту інформації корисні не тільки для захисту від вірусів. Є дві основні різновиди цих коштів:

копіювання інформації - створення копій файлів і системних областей дисків;

розмежування доступу запобігає несанкціоноване використання інформації, зокрема захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.

Незважаючи на те що загальні засоби захисту інформації дуже важливі для захисту від вірусів, все ж їх одних недостатньо. Необхідно застосовувати спеціалізовані програми для захисту від вірусів.

Ці програми можна розділити на кілька видів:

1. Програми-детектори дозволяють виявляти файли, заражені одним з декількох відомих вірусів.
2. Програми-доктора, або фаги, «лікують» заражені програми або диски, «викусивая» із заражених програм тіло вірусу, т. Е. Відновлюючи програму в тому стані, в якому вона перебувала до зараження вірусом.
3. Програми-ревізори спочатку запам'ятовують відомості про стан програм і системних областей дисків, а потім порівнюють їх стан з початковим. При виявленні невідповідностей про це повідомляється користувачеві.
4. Доктора-ревізори - це гібриди ревізорів і докторів, тобто. Е. Програми, які не тільки виявляють зміни у файлах і системних областях дисків, а й можуть автоматично повернути їх в початковий стан.
5. Програми-фільтри розташовуються резидентно в оперативній пам'яті комп'ютера і перехоплюють ті звернення до операційної системи, що використовуються вірусами для розмноження і нанесення шкоди, і повідомляють про них користувачеві. Користувач може дозволити або заборонити виконання відповідної операції.
6. Програми-вакцини, або іммунізатори, модифікують програми і диски таким чином, що це не відбивається на роботі програм, але вірус, від якого виробляється вакцинація, вважає ці програми і диски вже зараженими. Ці програми є вкрай неефективним і далі не розглядаються.

Стратегія захисту від вірусів. Жоден тип антивірусних програм окремо не дає, на жаль, повного захисту від вірусів. Тому найкращою стратегією захисту від вірусів є багаторівнева, «ешелоновану» оборона. Опишемо структуру цієї оборони.

Засобам розвідки в «обороні» від вірусів відповідають програми-детектори, що дозволяють перевіряти знову отримане програмне забезпечення на наявність вірусів.

На передньому краї оборони знаходяться програми-фільтри (резидентні програми для захисту від вірусу). Ці програми можуть першими повідомити про вірусній атаці і запобігти зараженню програм і диска.

Другий ешелон оборони складають програми-ревізори, програми-доктори та доктори-ревізори. Ревізори виявляють напад навіть тоді, коли вірус зумів «просочитися» через передній край оборони. Програми-доктора застосовуються для відновлення зараженої програми, якщо її копій немає в архіві. Але вони не завжди лікують правильно. Доктора-ревізори виявляють напад вірусу і лікують заражені файли, причому контролюють правильність лікування.

Найглибший ешелон оборони - це кошти розмежування доступу. Вони не дозволяють вірусам і невірно працюючим програмам, навіть якщо вони проникли в комп'ютер, зіпсувати важливі дані.

І нарешті, в «стратегічному резерві» знаходяться архівні копії інформації і «еталонні» дискети з програмними продуктами. Вони дозволяють відновити інформацію при її ушкодженні на жорсткому диску.

У більшості випадків для виявлення вірусу, що заразив ваш комп'ютер, можна знайти вже розроблені програми-детектори. Ці програми перевіряють, чи є в файлах на зазначеному користувачем диску специфічна для даного вірусу комбінація байтів. При її виявленні в якомусь файлі на екран виводиться відповідне повідомлення. Багато детектори мають режим лікування або знищення заражених файлів.

Слід зазначити, програма-детектор може виявляти тільки ті віруси, які їй відомі (т. Е. Занесені в антивірусну базу даних цієї програми).

Нижче наведено діалогове вікно антивірусної програми AVP Касперського, антивірусна база даних якої постійно оновлюється. Вона відрізняється зручним і зрозумілим інтерфейсом. Програма виконана для середовища Windows, що дозволяє їй працювати паралельно з іншими додатками.

Деякі програми, такі як Dr. Weber, можуть за допомогою евристичного аналізу знаходити модифіковані віруси. Нижче наведено діалогове вікно антивірусної програми Dr. Weber.

Проте, неможливо розробити таку програму, яка могла б виявляти будь-який заздалегідь невідомий вірус. Багато антивірусні програми здатні знаходити заражені файли навіть усередині архівів.

Лікування від вірусів. Більшість програм - детекторів мають також і функцію «доктора», т. Е. Вони намагаються повернути заражені файли і області диска в їх початковий стан. Ті файли, які не вдалося відновити, як правило робляться непрацездатними або видаляються.

Більшість програм докторів вміють «лікувати» тільки від деякого фіксованого кількості вірусів, тому вони швидко застарівають. Але деякі програми можуть навчатися не тільки способам виявлення, а й способам лікування від нових вірусів. До таких програм відноситься AVSP фірми «Диалог-МГУ». Інший перспективний підхід - відновлення файлів на основі заздалегідь збереженої інформації про їх стан. Цим займаються програми-ревізори та лікарі-ревізори.

При зараженні комп'ютера вірусом (або підозрі на це) важливо дотримуватися чотири правила.

1. Перш за все, не треба поспішати і приймати необачних рішень. Непродумані дії можуть призвести не тільки до втрати частини файлів, які можна було б відновити, але і до повторного зараження комп'ютера.
2. Проте, одна дія має бути виконане негайно: треба вимкнути комп'ютер, щоб вірус не продовжував свою роботу.
3. Всі дії по виявленню виду зараження і лікування комп'ютера слід виконувати тільки після перезавантаження комп'ютера з захищеної від записи «еталонною» дискети з операційною системою. При цьому слід користуватися виконуваними файлами, що знаходяться тільки на захищених від записи «еталонних» дискетах. Недотримання цього правила може призвести до дуже тяжких наслідків, оскільки при завантаженні ОС або запуску програми з зараженого диска в комп'ютері може бути активований вірус, а при що працює вірус лікування комп'ютера буде безглуздим, так як воно буде супроводжуватися подальшим зараженням дисків і програм.
4. Якщо Ви не володієте достатніми досвідом і знаннями для лікування комп'ютера, попросіть про допомогу більш досвідчених колег або фахівців.

«Лікування» комп'ютера. Розглянемо випадок коли вірус вже встиг «заразити» або зіпсувати якісь файли на дисках комп'ютера. При цьому треба виконати наступні дії.

1. Перезавантажити ОС (операційну систему) з заздалегідь підготовленої еталонної дискети. Ця дискета, як і інші дискети, використовувані при ліквідації наслідків зараження комп'ютерним вірусом, повинна бути захищена від запису. Зауважимо, що перезавантаження не можна виконувати, використовуючи комбінацію клавіш <Ctrl> <Alt> <Del>, т. К. Деякі віруси здатні аналізувати це переривання клавіатури і продовжувати працювати. Вони можуть зімітувати перезавантаження комп'ютера, а можуть відповісти вам якимось жорстоким чином. Для перезавантаження потрібно використовувати кнопку «RESET» на системному блоці або взагалі перезапустити харчування.
2. Необхідно перевірити правильність конфігурації комп'ютера при початковому завантаженні комп'ютера.
3. Спочатку необхідно запустити програму-детектор для визначення типу вірусу і заражених файлів.
4. Далі потрібно по черзі знешкодити всі диски, які могли зазнати зараження. Якщо жорсткий диск розділений на кілька логічних дисків, то при перезавантаженні з дискети буде видно тільки логічний диск, з якого стартує ОС. Необхідно перш за все очистити від зараження його, а потім, перевантажити з жорсткого диска, зайнятися його іншими розділами.
5. Тепер, коли відомо, що вірусів типу DIR на диску немає або вони успішно вилікувані, можна перевірити цілісність файлової системи і поверхні диска програмою NDD або ChkDsk. Якщо пошкодження FAT (файлової системи) значні, то доцільно спробувати зробити копії необхідної інформації, після чого відформатувати диск. При незначних пошкодженнях можна спробувати відновити диск, також застосовуючи програму DiskEdit з комплексу Norton Utilities.
6. Якщо до зараження використовувалася програма-ревізор, можна запустити її для діагностики змін в файлах.
7. Якщо ви не впевнені в своїх архівних копіях, перевірте їх на наявність вірусу.
8. Видалити з диска всі файли, які були змінені і мають копії на інших дисках. Не можна залишати на діске.exe і.com файли, які, на думку ревізора, були змінені. Залишати їх можна тільки у виняткових випадках.
9. Якщо ваш жорсткий диск системний, то його систему варто оновити з «еталонної» дискети командою SYS.
10. Файли, які «доктор» не зміг відновити, слід знищити.
11. За допомогою архівних копій слід відновити файли, що розміщувалися на диску.
12. Якщо є хороша програма-фільтр, доцільно деякий час попрацювати з нею.

Наведемо заходи, які дозволяють зменшити ймовірність зараження комп'ютера вірусом, а також звести до мінімуму шкоду від зараження вірусом, якщо воно все таки станеться. Немає необхідності використовувати всі описувані кошти для профілактики портив зараження вірусом.

Копіювання інформації та розмежування доступу:

1. Доцільно мати і при необхідності оновлювати архівні та еталонні копії використовуваних пакетів програм і даних. Перед архівацією даних доцільно перевірити їх на наявність вірусу.
2. Доцільно також скопіювати на дискети службову інформацію з використовуваного диска (FAT, завантажувальні сектора) і CMOS (незалежна пам'ять комп'ютера). Копіювання і відновлення подібної інформації можна виконати за допомогою програми Rescue програмного комплексу Norton Utilities.
3. Слід встановлювати захист від запису на архівних дискетах.
4. Не слід займатися неліцензійним і нелегальним копіюванням програмного забезпечення з інших комп'ютерів: на них може бути вірус.
5. Всі дані, що надходять ззовні, варто перевіряти на віруси, особливо файли, скопійовані з мережі Інтернет.
6. Треба завчасно підготувати відновлює пакет на дискетах з захистом від запису.
7. На час звичайної роботи, не пов'язаної з ремонтом комп'ютера, варто відключити завантаження з дискети. Це обумовить зараження завантажувальним вірусом.
8. Використовуйте програми-фільтри для раннього виявлення вірусів.
9. Періодично перевіряйте диск програмами-детекторами або докторами-детекторами або ревізорами для виявлення можливих провалів в обороні.
10. Регулярно оновлюйте базу антивірусних програм.
11. Не допускайте до комп'ютера випадкових користувачів.

Однак дуже нерозумним буде розпорядження начальника відформатувати всі жорсткі диски комп'ютерів відділу тільки через те, що на одному з них було виявлено підозру на вірус «такий-то». Це призведе до невиправданої втрати інформації і великої втрати часу і сил, що, по нанесеному збитку, буде більше, ніж зміг би зробити вірус. Не слід перетворювати комп'ютер на неприступну фортецю, «збройну до зубів», оскільки може не вистачити ресурсів для виконання необхідних завдань. Цивілізований спосіб захисту від вірусів - в дотриманні профілактичних заходів обережності при роботі на комп'ютері.