Что необходимо сделать при обнаружении загрузочного вируса
Что делать, если вы подозреваете у себя COVID-19
Шествие незнакомого убийственного вируса по планете не остановилось. Пандемия продолжает оставаться главной новостью. Лекарства от COVID-19 нет, нет и вакцины. Можно только отсидеться или, если повезет, более или менее легко переболеть.
А что же медицина? Медики как раз вышли на передовую в этой драматической для человечества ситуации. Жертвуя собой, пытаются помочь. Все, что можно сделать, – бороться с проявлениями инфекции. А они у разных больных различные. Доктора любят повторять, что надо лечить больного, а не болезнь. Вот как раз тот самый случай. Медики стараются.
А что делать пациентам? Вызывать скорую? Врача из поликлиники? Придет обычный терапевт, не инфекционист. В больницу рваться – стоит ли? Может, кашель и температура – вовсе не COVID-19. А в больнице как раз и заразишься.
Вот некоторые советы Антона Родионова, кандидата медицинских наук, кардиолога, работающего сейчас в короновирусном отделении Первого Московского медицинского университета.
Если появились симптомы недомогания (повышение температуры, кашель, потеря обоняния, боль в горле и т.д.), но при этом вполне достаточно дышать комнатным воздухом, сидите дома. При плохой переносимости высокой температуры принимайте парацетамол. Не нагружайте собой систему здравоохранения, она до предела загружена тяжелыми больными (это для легких форм болезни).
При обращении в поликлинику все равно ничего хорошего не получите: мазок, карантин, постановление, программа слежения на телефон… Противовирусных лекарств как не было, так до сих пор и нет (сейчас уже понятно, что ни гидроксихлорохин, ни ритонавир-лопинавир не действуют). Как ни обидно, нет возможности на ранних стадиях остановить прогрессирование болезни. Поэтому разумная, с точки зрения обывателя, идея вовремя обратиться к врачу, чтобы не запустить болезнь, в ситуации с COVID-19 не работает.
Не надо забывать, что сейчас любой медработник в любом медучреждении может сам быть потенциальным источником инфекции. Так что если вы еще не инфицированы, то обращение «не по делу» может стать причиной заболевания. Таких примеров много.
За медицинской помощью – вызов скорой и решение вопроса о госпитализации – надо обращаться в следующих ситуациях: при тяжелой одышке, ощущении нехватки воздуха, длительно сохраняющейся высокой температуре (выше 38,5 градуса), наличии дополнительных факторов риска: возраст 65+, сопутствующие сердечно-сосудистые заболевания, диабет, ожирение, онкологические заболевания. Главное основание для вызова скорой – устойчивая лихорадка, а не начало одышки. Одышка уже снижает шансы на выздоровление, тогда как при лихорадке можно остановить процесс поражения легких вследствие цитокиновой реакции моноклональными антителами или гормонами.
При опасении, что заразились коронавирусом, не надо бежать делать какие-то анализы. Чувствительность тестов полимеразной цепной реакции (ПЦР) весьма невелика (30–60%). Иными словами, если вы типично болеете, а мазок отрицательный, то с вероятностью 40–70% вы все равно инфицированы коронавирусом.
Компьютерная томография (КТ) – прекрасный метод, но он используется не для диагностики коронавируса как такового, а для диагностики вирусной пневмонии. У многих больных же, к счастью, инфекция протекает без воспаления легких или с минимальным поражением легких. Делать КТ «для интереса» не нужно. Это может повлечь за собой инфицирование во время посещения КТ-центра, а также неоправданную госпитализацию. КТ нужно делать только в том случае, когда состояние достаточно тяжелое и обсуждается вопрос госпитализации.
Главное, если вы подозреваете у себя болезнь, примите меры к изоляции и не заражайте окружающих. Если вам кажется, что вы уже переболели коронавирусом, поскольку в январе–марте был сильный кашель, не надо сдавать анализ крови на антитела. Чувствительность и специфичность этих тестов неизвестны. Нет и ответа на самый важный вопрос: гарантирует ли наличие антител IgG невосприимчивость к (повторному) заражению? Высока вероятность того, что у вас был не COVID-19, сезонные респираторные инфекции никто не отменял.
Похожие советы давал месяц назад доктор Артемий Охотин, кардиолог Тарусской больницы, куда не случайно приезжают лечиться со всей страны. Он тоже считает, что не надо стремиться сдать анализ на коронавирус: это никак не повлияет на шанс выздороветь, а осложнить ситуацию может сильно. Например, можно заразиться во время сдачи анализа. Отрицательный анализ создаст ложное чувство спокойствия, тогда как анализы при коронавирусе часто бывают ложноотрицательными. Положительный анализ сам по себе никак не повлияет на то, что надо делать. Не надо стремиться сделать и КТ.
Во-первых, как и с анализом, само по себе обнаружение признаков COVID-19, даже двусторонней пневмонии, никак не повлияет на то, что надо делать дальше. Даже у самых легких пациентов на КТ часто выявляется двусторонняя пневмония, которая проходит сама. Но, как и с анализом, если на КТ найдут двустороннюю пневмонию, очень велики шансы, что вы окажетесь в больнице только из-за результатов КТ, и пользы от этого не будет. Во-вторых, томографы часто должным образом не обеззараживают, и, даже если у пациента не COVID-19, он может заразиться – в зоне ожидания или при общении с персоналом.
Больницы находятся в очень сложном положении, что во многом обусловлено поступлением большого числа нетяжелых пациентов. Врачей не хватает, они стараются спасти тех, кто находится в тяжелом состоянии. Обращаться в больницу, если нет угрозы жизни, опасно. Не стоит рисковать.
Эти советы не заменяют врачебную консультацию. Это скорее житейские советы, но которые дают хорошие практические врачи. Принимает же решение каждый сам.
Что необходимо сделать при обнаружении загрузочного вируса
Размещение сквозной ссылки
Обнаружение неизвестного вируса
В этом разделе рассматриваются ситуации, с которыми может столкнуться пользователь в том случае, если он подозревает, что его компьютер поражен вирусом, но ни одна из известных ему антивирусных программ не дала положительного результата. Где и как искать вирус? Какие при этом необходимы инструментальные средства, какими методами следует пользоваться и каким правилам следовать?
Самое первое правило — не паниковать. Ни к чему хорошему это не приведет. Вы — не первый и не последний, чей компьютер оказался зараженным, к тому же не каждый сбой компьютера является проявлением вируса. Поэтому почаще вспоминайте поговорку — “Не так страшен черт, как его малюют”. К тому же поражение вирусом не самое плохое, что может случиться с компьютером.
Не следует звонить в антивирусные фирмы с вопросом: “Наверное, у меня в компьютере вирус. Что мне делать?”. Помочь вам не смогут, поскольку для удаления вируса требуется несколько больше информации. Для того чтобы антивирусная фирма могла оказать реальную помощь, на ее адрес следует выслать образец вируса — зараженный файл в случае файлового вируса или зараженную дискету (или ее файл-образ) в случае загрузочного вируса. Каким образом обнаруживаются зараженные файлы/диски, будет рассказано ниже.
Не забывайте перед использованием антивирусных программ и утилит загрузить компьютер с резервной копии DOS, расположенной на заведомо чистой от вирусов и защищенной от записи дискете, и в дальнейшем использовать программы только с дискет. Это необходимо для того, чтобы застраховаться от резидентного вируса, так как он может блокировать работу программ или использовать их работу для инфицирования проверяемых файлов/дисков. Более того, существует большое количество вирусов, уничтожающих данные на диске, если они “подозревают”, что их код может быть обнаружен. Конечно же, это требование никак не относится к макро-вирусам и к дискам, размеченным одним из новых форматов (NTFS, HPFS), — после загрузки DOS такой винчестер окажется недоступным для DOS-программ.
Обнаружение загрузочного вируса
В загрузочных секторах дисков расположены, как правило, небольшие программы, назначение которых состоит в определении размеров и границ логических дисков (для MBR винчестера) или загрузке операционной системы (для boot-сектора).
В начале следует прочитать содержимое сектора, подозрительного на наличие вируса. Для этой цели удобно использовать DISKEDIT из “Нортоновских утилит” или AVPUTIL из профессионального комплекта AVP.
Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк (например, вирус “Stoned” содержит строки: “Your PC is now Stoned!”, “LEGALISE MARIJUANA!”). Некоторые вирусы, поражающие boot-секторы дисков, наоборот, определяются по отсутствию строк, которые обязательно должны присутствовать в boot-секторе. К таким строкам относятся имена системных файлов (например, строка “IO SYSMSDOS SYS”) и строки сообщений об ошибках. Отсутствие или изменение строки-заголовка boot-сектора (строка, содержащая номер версии DOS или название фирмы-производителя программного обеспечения, например, “MSDOS5.0” или “MSWIN4.0”) также может служить сигналом о заражении вирусом, если на компьютере не установлена Windows95/NT — эти системы по неизвестной мне причине записывают в заголовок загрузочных секторов дискет случайные строки текста.
Стандартный загрузчик MS-DOS, расположенный в MBR, занимает меньше половины сектора, и многие вирусы, поражающие MBR винчестера, довольно просто заметить по увеличению длины кода, расположенного в секторе MBR.
Однако существуют вирусы, которые внедряются в загрузчик без изменения его текстовых строк и с минимальными изменениями кода загрузчика. Для того чтобы обнаружить такой вирус, в большинстве случаев достаточно отформатировать дискету на заведомо незараженном компьютере, сохранить в виде файла ее boot-сектор, затем некоторое время использовать ее на зараженном компьютере (записать/прочитать несколько файлов), а после этого на незараженном компьютере сравнить ее boot-сектор с оригинальным. Если в коде загрузочного сектора произошли изменения — вирус пойман.
Существуют также вирусы, использующие более сложные приемы заражения, например, изменяющие при инфицировании MBR всего 3 байта Disk Partition Table, соответствующие адресу активного загрузочного сектора. Для идентификации такого вируса придется провести более детальное исследование кодов загрузочного сектора вплоть до полного анализа алгоритма работы его кода.
Приведенные рассуждения основываются на том, что стандартные загрузчики (программы, записываемые операционной системой в загрузочные сектора) реализуют стандартные алгоритмы загрузки операционной системы и оформляются в соответствии с ее стандартами. Если же диски отформатированы утилитами, не входящими в состав DOS (например, Disk Manager), то для обнаружения в них вируса следует проанализировать алгоритм работы и оформление загрузчиков, создаваемых такой утилитой.
Обнаружение файлового вируса
Как отмечалось, вирусы делятся на резидентные и нерезидентные. Встречавшиеся до сих пор резидентные вирусы отличались гораздо большим коварством и изощренностью, чем нерезидентные. Поэтому для начала рассмотрим простейший случай — поражение компьютера неизвестным нерезидентным вирусом. Такой вирус активизируется при запуске какой-либо зараженной программы, совершает все, что ему положено, передает управление программе-носителю и в дальнейшем (в отличие от резидентных вирусов) не будет мешать ее работе. Для обнаружения такого вируса необходимо сравнить длины файлов на винчестере и в дистрибутивных копиях (упоминание о важности хранения таких копий уже стало банальностью). Если это не поможет, то следует побайтно сравнить дистрибутивные копии с используемыми программами. В настоящее время разработано достаточно много утилит такого сравнения файлов, самая простейшая из них (утилита COMP) содержится в DOS.
Можно также просмотреть дамп выполняемых файлов. В некоторых случаях можно сразу обнаружить присутствие вируса по наличию в его коде текстовых строк. Многие вирусы, например, содержат строки: “.COM”, “*.COM”, “.EXE”, “*.EXE”, “*.*”, “MZ”, “COMMAND” и т.д. Эти строки часто встречаются в начале или в конце зараженных файлов.
Существует и еще один способ визуального определения зараженного вирусом DOS-файла. Он основан на том, что выполняемые файлы, исходный текст которых написан на языке высокого уровня, имеют вполне определенную структуру. В случае Borland или Microsoft C/C++ сегмент кода программы находится в начале файла, а сразу за ним — сегмент данных, причем в начале этого сегмента стоит строка-копирайт фирмы-изготовителя компилятора. Если в дампе такого файла за сегментом данных следует еще один участок кода, то вполне вероятно, что файл заражен вирусом.
То же справедливо и для большинства вирусов, заражающих файлы Windows и OS/2. В выполняемых файлах этих ОС стандартным является размещение сегментов в следующем порядке: сегмент(ы) кода, за которыми следуют сегменты данных. Если за сегментом данных идет еще один сегмент кода, это также может служить сигналом о присутствии вируса.
Пользователям, знакомым с языком Ассемблер, можно попробовать разобраться в кодах подозрительных программ. Для быстрого просмотра лучше всего подходит HIEW (Hacker’s View) или AVPUTIL. Для более подробного изучения потребуется дизассемблер — Sourcer или IDA.
Рекомендуется запустить одну из резидентных антивирусных программ-блокировщиков и следить за ее сообщениями о “подозрительных” действиях программ (запись в COM- или EXE-файлы, запись на диск по абсолютному адресу и т.п.). Существуют блокировщики, которые не только перехватывают такие действия, но и сообщают адрес, откуда поступил “подозрительный” вызов (к таким блокировщикам относится AVPTSR). Обнаружив подобное сообщение, следует выяснить, от какой программы оно пришло, и проанализировать ее коды при помощи резидентного дизассемблера (например, AVPUTIL.COM). При анализе кодов программ, резидентно находящихся в памяти, большую помощь часто оказывает трассирование прерываний 13h и 21h.
Следует отметить, что резидентные DOS-блокировщики часто оказываются бессильны, если работа ведется в DOS-окне под Windows95/NT, поскольку Windows95/NT позволяют вирусу работать “в обход” блокировщика (как, впрочем, и всех остальных резидентных программ). DOS-длокировщики также неспособны остановить распространение Windows-вирусов.
Рассмотренные выше методы обнаружения файловых и загрузочных вирусов подходят для большинства как резидентных, так и нерезидентных вирусов. Однако эти методы не срабатывают, если вирус выполнен по технологии “стелс”, что делает бесполезным использование большинства резидентных блокировщиков, утилит сравнения файлов и чтения секторов.
Характерными проявлениями макро-вирусов являются:
Для проверки системы на предмет наличия вируса можно использовать пункт меню Tools/Macro. Если обнаружены “чужие макросы”, то они могут принадлежать вирусу. Однако этот метод не работает в случае стелс-вирусов, которые запрещают работу этого пункта меню, что, в свою очередь, является достаточным основанием считать систему зараженной.
Многие вирусы имеют ошибки или некорректно работают в различных версиях Word/Excel, в результате чего Word/Excel выдают сообщения об ошибке, например:
Если такое сообщение появляется при редактировании нового документа или таблицы и при этом заведомо не используются какие-либо пользовательские макросы, то это также может служить признаком заражения системы.
Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows. Многие вирусы тем или иным образом меняют пункты меню Tools/Options — разрешают или запрещают функции “Prompt to Save Normal Template”, “Allow Fast Save”, “Virus Protection”. Некоторые вирусы устанавливают на файлы пароль при их заражении. Большое количество вирусов создает новые секции и/или опции в файле конфигурации Windows (WIN.INI).
Естественно, что к проявлениям вируса относятся такие очевидные факты, как появление сообщений или диалогов с достаточно странным содержанием или на языке, не совпадающем с языком установленной версии Word/Excel.
Обнаружение резидентного вируса
Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из “стелс”-вирусов. В этом случае необходимо загрузить DOS с заведомо чистой от вирусов дискеты, содержащей резервную копию DOS, и действовать, как и при поражении нерезидентным вирусом. Однако иногда это нежелательно, а в ряде случаев невозможно (известны, например, случаи покупки новых компьютеров, зараженных вирусом). Тогда придется обнаружить и нейтрализовать резидентную часть вируса, выполненную по технологии “стелс”. Возникает вопрос: где в памяти и как искать вирус или его резидентную часть? Существует несколько способов инфицирования памяти.
1. Вирус может проникнуть в таблицу векторов прерываний
Лучший способ обнаружить такой вирус состоит в том, чтобы просмотреть карту распределения памяти, которая отображает список резидентных программ (пример такой карты приведен в табл. 3.1). Подробная карта памяти сообщает информацию о всех блоках, на которые разбита память: адрес блока управления памятью MCB, имя программы-владельца блока, адрес ее префикса программного сегмента (PSP) и список перехватываемых блоком векторов прерываний.
При наличии вируса в таблице векторов прерываний, утилиты, отображающие карту распределения памяти (например, AVPTSR.COM, AVPUTIL.COM), начинают “шуметь”.
Другой, более надежный, но требующий высокой квалификации пользователя способ, — просмотреть таблицу векторов прерываний с помощью дизассемблера. Если при этом будут обнаружены коды какой-то программы, то код вируса (или участок кода) найден.
2. Вирус может несколькими способами встроиться в DOS: в произвольный системный драйвер, в системный буфер, в другие рабочие области DOS (например, в область системного стека или в свободные места таблиц DOS и BIOS)
Наиболее “популярным” способом инфицирования вирусом произвольного системного драйвера является прикрепление тела вируса к файлу, содержащему драйвер, и модификация заголовка поражаемого драйвера. Если при этом вирус оформляет себя как отдельный драйвер, то его можно обнаружить при просмотре карты распределения памяти, содержащей список системных драйверов. Если при этом в списке присутствует драйвер, который не описан в файле CONFIG.SYS, то он и может быть вирусом. Если же вирус “приклеивается” к расположенному перед ним драйверу, не выделяя свои коды как отдельную программу-драйвер, то обнаружить его можно методами, описанными ниже.
Вирус, встраивающийся в системный буфер, должен уменьшать общее число буферов; в противном случае он будет уничтожен последующими операциями считывания с диска. Достаточно несложно написать программу, которая подсчитывает число буферов, реально присутствующих в системе, и сравнивает полученный результат со значением команды BUFFERS, расположенной в файле CONFIG.SYS (если команда BUFFERS отсутствует, то со значением, устанавливаемым DOS по умолчанию).
Существует достаточно способов внедрения вируса в системные таблицы или область стека DOS. Однако реализация этих способов потребует от автора вируса досконального знания различных версий DOS. К тому же свободного места в DOS не так уж много, и поэтому написание полноценного “стелс”-вируса такого типа маловероятно. Если же все-таки подобный вирус появится, то обнаружить его код можно дизассемблированием “подозрительных” на наличие вируса участков DOS.
3. Вирус может проникнуть в область программ в виде:
Если вирус внедряется в отведенную для прикладных программ область памяти в виде нового блока, создавая для себя собственный MCB, или как отдельная резидентная программа, то его можно обнаружить при просмотре подробной карты распределения памяти, отображающей адреса всех блоков MCB. Обычно такой вирус выглядит как отдельный блок памяти (табл. 3.3), не имеющий имени и перехватывающий один или несколько векторов прерываний (например, INT 8, 13h, 1Ch, 21h). Следует отметить, что вирус может выделить себе блок памяти как в обычной (conventional), так и в верхней памяти (UMB).
4. Вирус может проникнуть за границу памяти, выделенной под DOS
Практически все загрузочные и некоторые файловые вирусы располагаются за пределами памяти, выделенной для DOS, уменьшая значение слова, расположенного по адресу [0040:0013]. В этом случае первый мегабайт памяти компьютера выглядит так:
Обнаружить такие вирусы очень просто — достаточно узнать емкость оперативной памяти и сравнить ее с реальной. Если вместо 640K (на некоторых старых PC — 512K) система сообщит меньшее значение, то следует просмотреть дизассемблером “отрезанный” участок памяти. Если на этом участке будут обнаружены коды какой-то программы, то, скорее всего, вирус найден.
Внимание! Емкость оперативной памяти может уменьшиться на 1 или несколько килобайт и в результате использования расширенной памяти или некоторых типов контроллеров. При этом типичной является следующая картина: в “отрезанном” участке содержимое большинства байтов нулевое.
5. Вирус может встраиваться в конкретные, заведомо резидентные программы или “приклеиться” к уже имеющимся блокам памяти
Возможно инфицирование вирусом файлов DOS, которые являются резидентными (например, IO.SYS, MSDOS.SYS, COMMAND.COM), загружаемых драйверов (ANSY.SYS, COUNTRY.SYS, RAMDRIVE.SYS) и др. Обнаружить такой вирус гораздо сложнее вследствие малой скорости его распространения, но, однако, вероятность атаки подобного вируса значительно меньше. Все чаще стали встречаться “хитрые” вирусы, которые корректируют заголовки блоков памяти или “обманывают” DOS таким образом, что блок с кодами вируса становится одним целым с предыдущим блоком памяти.
Известны вирусы, которые при заражении файлов или дисков не пользуются прерываниями, а напрямую работают с ресурсами DOS. При поиске подобного вируса необходимо тщательно исследовать изменения во внутренней структуре зараженной DOS: список драйверов, таблицы файлов, стеки DOS и т.д. Это является очень кропотливой работой, и, учитывая многочисленность версий DOS, требует очень высокой квалификации пользователя.
Конечно, существуют и другие, достаточно экзотические способы инфицирования памяти вирусом, например внедрение вируса в видеопамять, в High Memory Area (HMA) или в расширенную память (EMS, XMS), но подобные вирусы встречаются достаточно редко и всегда проявлялись хотя бы одним из перечисленных выше признаков. Существуют также монстры, использующие защищенный режим процессоров i386 и выше. К счастью, известные вирусы такого типа либо “не живут” вместе с современными операционными системами и поэтому слишком заметны, либо не используют стелс-приемов. Однако появление полноценного стелс-DOS-вируса, работающего в защищенном режиме, вполне реально. Такой вирус будет невидим для DOS-задач и обнаружить его будет возможно, только либо перенеся зараженные файлы на незараженный компьютер, либо после перезагрузки DOS с чистой дискеты.
Обнаружение резидентного Windows-вируса является крайне сложной задачей. Вирус, находясь в среде Windows как приложение или VxD-двайвер, практически невидим, поскольку одновременно активны несколько десятков приложений и VxD, и вирус по внешним признакам от них ничем не отличается. Для того, чтобы обнаружить программу-вирус в списках активных приложений и VxD, необходимо досконально разбираться во “внутренностях” Windows и иметь полное представление о драйверах и приложениях, установленных на данном компьютере.