Home

Apie virusus

Programos

Zaidimai

Filmai

Nuorodos

Irc Script'ai

 
www.Karka.tai.lt
Gerai praleiskite laika

Apie virusus

Įsibrovus kompiuteriui į mūsų gyvenimą, jau ne vienam teko nukentėti dėl nesuprantamo duomenų praradimo. Dingo kokia mėnesio darbo ataskaita ar, besiruošiant išsaugoti dokumentą, „pakibo" kompiuteris, nusinešdamas dienos darbą, ar dėl neaiškių priežasčių dingo svarbus elektroninis laiškas. Siekiant išvengti šių ir daugelio kitų su kompiuteriais susijusių nesklandumų, ir bus skirta ši serija straipsnių apie duomenų saugumą. Pirmajame straipsnyje supažindinsiu su daugelio nelaimių kaltininkais virusais.

VIRUSAI šis žodis nekelia malonių emocijų nesvarbu, ar jis būtų molekulinis darinys, ar nenaudėlio programuotojo nevykęs pokštas.

Jei kompiuteryje ėmė dingti raidės, atsirasti neaiškių pranešimų arba kompiuteris visiškai nepasikrautų, gali būti, kad jis „pasigavo" virusą. Jei kompiuteris lėtai veikia arba diske netikėtai ėmė stigti vietos – tai irgi gali būti viruso darbas. Ypač viso to galima tikėtis, jei jūsų antivirusinės programos išleidimo data yra metų senumo arba žodį „antivirusas" girdite pirmą kartą. Taigi simptomų, kaip ir pačių virusų, įvairovė yra labai didelė. Verta įsiminti, kad visi virusų simptomai padaro žalos. Ir pasielgsite teisingai,jei nenumatytu atveju pirmiausia imsite kaltinti virusus bei ieškoti „priešnuodžio" antiviruso.

Kas tie virusai ir iš kur jie atsiranda? Kompiuterinis virusas tai žmogaus sukurta programa, kuri:
– plinta pati save perkopijuodama (dėl to ir vadinama virusu);
– dažniausiai sukuria į save panašią arba lygiai tokią pačią kopiją;
– savo kopiją prilipdo prie „šeimininko", kad, kreipiantis į „šeimininką", ji galėtų veikti. Šeimininku gali būti failas, atmintis (laikinai), pakrovimo sektorius;
– visaip kenkia vartotojo programoms – nuo darbo trukdymo iki visiško duomenų sunaikinimo.

Dėl virusų atsiradimo priežasčių galiu pasakyti tik kelis savo spėjimus: gabūs jauni programuotojai mėgsta krėsti pokštus, kurie vėliau tampa nevaldomi; tas pats jaunimas arba konkurentai, labai nemėgstantys kokios nors operacinės sistemos ar programos, stengiasi prirašyti jai skirtų virusų, kad sumažėtų jos paklausa; pačios antivirusus kuriančios kompanijos stengiasi padidinti savo produkto paklausą.

Priklausomai nuo „šeimininko" virusai yra skirstomi į failų virusus (file viruses), makrokomandų virusus (macro viruses) ir pakrovimo sektoriaus virusus (boot sector and partition sector viruses).

Failų virusai dažniausiai „gyvena" paleidžiamuosiuose (.exe .com) failuose. Paleidus virusuotą failą, paleidžiamas ir virusas, kuris, atlikęs savo užduotį, perleidžia darbą originaliai programai. Viruso užduotys gali būti labai įvairios – savęs reprodukavimas ir, pvz., kompiuterio „pakabinimas". Virusas savo kopiją dažniausiai įrašo failo pabaigoje, rečiau pradžioje ar viduryje. Vienas iš dažniausiai pastebimų viruso išplitimo principų toks – paleidus infekuotą programą, savo kopiją virusas palieka operatyviojoje atmintyje, kad vėliau, dirbant su kitais failais, būtų galima užkrėsti ir juos. Remiantis šia logika, galima nuspėti, kad MS DOS aplinkoje dažniausiu taikiniu virusų rašytojai pasirenka failą command.com, kuris yra reikalingas komandoms vykdyti ir yra panaudojamas jau pačioje kompiuterio pasikrovimo pradžioje. Kai kuriems virusams užduotis padaryti savo kopiją atmintyje yra sunki arba visai neįvykdoma, naudojant Windows 95 operacinę sistemą, kuri kitaip negu senesnės šios klasės operacinės sistemos naudojasi operatyviąja atmintimi. Labai retai aptinkami failų virusai, veikiantys Unix, OS/2 ar kitose rečiau PK naudojamose operacinėse sistemose. Failų virusų padaroma žala irgi yra labai įvairi – nuo „neskausmingų" pastabų apie kokį nors žymų veikėją iki disko informacijos visiško sunaikinimo. Makrokomandų virusų „šeimininkais" yra failai tų programų, kurios turi makrokomandų arba OLE objektų programavimo galimybes. Dažniausiai makrokomandų virusai užkrečia populiaraus redaktoriaus Word failus, tačiau jau yra pastebėti ir Excel duomenų failų (.xls) virusai. Šio tipo virusai labai lengvai plinta, nes nepriklauso nuo kompiuteryje veikiančios operacinės sistemos ir „šeimininkais" naudoja dažniausiai diskeliais pernešamus failus (.doc .dot). Šių virusų žalos arealas beveik visada nesiekia naudojamos programos ribų. Kietuosiuose diskuose (HDD) arba diskeliuose yra pakrovimo sektorius (boot sector), kuriame įrašytą nedidelę informaciją kompiuteris naudoja pasikrovimo metu. Sisteminio diskelio pakrovimo sektoriuje yra informacija, reikalinga sisteminiams failams pakrauti, o duomenų diskelyje žinutei apie neįmanomą kompiuterio pakrovimą parodyti. Į šį sektorių savo kopiją įdeda pakrovimo sektoriaus virusai. Ir tyčia arba netyčia, pabandžius iš užkrėsto diskelio pakrauti kompiuterį, virusas persikopijuoja į kietojo disko pakrovimo sektorių, pasislepia atmintyje ir infekuoja visus kitus diskelius tik pabandžius juos nuskaityti (nereikia nieko daugiau daryti). Tokie virusai plinta labai greitai, nes pamiršus išvalyti nors vieną duomenų diskelį ir jį palikus „kišenėje" persikraunant kompiuteriui, visas virusų naikinimo darbas nueina perniek. Geriausiai su tokiais virusais kovoja nuolat aktyvios antivirusinės programos (resident).

Pasitaiko įvairių retesnių virusų modifikacijų. Štai keletas virusų naudoja daugiamodulinę struktūrą – įkelia save ir į failus, ir į pakrovimo sektorių.

Virusai, kurie plinta padarydami identišką savo kopiją, yra nesunkiai sugaunami. Tačiau pasitaiko ir sudėtingesnių variantų – tai virusai, kurie parašyti taip, kad tikrinant jie nebūtų matomi. Tai vadinamieji slaptieji (stealth) virusai. Dauguma pakrovimo virusų naudoja slaptą technologiją. Jie stengiasi užmaskuoti savo veiklos pėdsakus, leisdami programoms veikti normaliai. Taigi net ir be problemų veikiantis kompiuteris gali būti apkrėstas. Kai kurie slaptieji virusai yra parašyti specialiai kokiai nors antivirusinei programai ir aktyvuojasi tik su ja pradėjus tikrinti. Tokie virusai apšaukia antivirusų autorius neprotingais žmonėmis, tuo patenkindami virusų kūrėjų „kuklius" poreikius. Daugelis virusų paieškos programų ieško virusų pagal jų specifinę žymę. Šia žyme gali būti būdingas failo ilgis ar tipiškas viruso kodas. Tai žinant buvo sukurta nauja virusų kategorija – polimorfiniai virusai (polymorphic). Minėtieji virusai sugeba keisti savo kodą kiekvieną kartą, kai yra aktyvuojami. Tokį virusą galima aptikti tik pagal būdingus visiems virusams veikimo bruožus, o tai labai sulėtina antivirusų veiklą ir padidina klaidingų perspėjimų galimybę. Yra ir laiko bombas (time bomb) savyje turinčių virusų. Jos suveikia tik kokią nors dieną konkrečiu laiku. Laiko bombos dažniausiai yra skirtos kokiam nors itin kenksmingam veiksmui atlikti – pvz., kietam diskui suformuoti penktadienio vakarą. Taigi iš visos aprašytos informacijos vertėtų atsiminti šiuos faktus:
– virusas negali atsirasti pats savaime – jis yra parašytas;
– dažniausiai virusai plinta per diskelius arba elektroniniu paštu atsiųstus failus;
– visi virusai yra daugiau ar mažiau žalingi;
– fiziškai uždraudus įrašymą į diskelį (write protected), virusas negali į jį patekti.

Kaip apsisaugoti nuo virusų? Vieną patarimą jau minėjau anksčiau uždrausti įrašymą į diskelį. Tačiau, jeigu reikia įrašyti į diskelį, tada, parsinešus namo, jį reikia patikrinti su antivirusine programa. Tokia programa ne tik įspėja, kad yra virusas, bet daugeliu atvejų sugeba ir pašalinti jį. Populiariausios antivirusinės programos yra DrWeb, Fprot Aidstest. Šias programas galima atsisiųsti iš „Interneto". Mažiau populiarios programos, kurias reikia pirkti, yra Fprot Pro, Norton Antivirus, Dr. Solomon’s Antivirus Toolkit, McAffee Scan ir pan. Atsinešus diskelį ar gavus failą elektroniniu paštu, reikia nelaukiant patikrinti su kuria nors iš minėtųjų programų. Kai kurie iš antivirusų (Fprot Pro, Norton Antivirus, Dr. Solomon’s Antivirus Toolkit ar kt.) būna aktyvūs visą laiką (vadinamieji rezidentiniai antivirusai, tačiau reikia neužmiršti, kad rezidentinės programos užima kompiuterio operatyviąją atmintį) ir tikrina visus paleidžiamus failus – šitaip sumažindami vartotojui rūpestį kiekvieną kartą tikrinti diskelius ar failus.

Štai keletas patarimų, kaip efektyviai naudotis antivirusais bei apsisaugoti nuo virusų:
– nepakanka turėti antivirusines programas, įrašytas kietajame diske, – reikia naudotis jomis, t.y. tikrinti visus naujus failus ir diskelius;
– turėkite keletą skirtingų antivirusinių programų, nes viena programa visų galimų virusų tikrai neatpažins;
– stenkitės turėti naujausias antivirusinių programų versijas, nes kas mėnesį yra parašoma maždaug apie 350 naujų virusų;
– nepasitikėkite net ir patikimiausio žmogaus garantija apie jo diskelio „švarą" – jis pats gali nė nežinoti, kad turi virusą;
– visuomet turėkite sisteminį diskelį, iš kurio būtų galima pakrauti kompiuterį. Jį galima pasidaryti komanda „sys a:";
– turėkite svarbiausių dokumentų ar darbų atsargines kopijas įrašymui uždraustame (writeprotected) diskelyje;
– atsiradus „neįprastam" kompiuterio elgesiui, patikrinkite kompiuterio kietąjį diską su visomis turimomis antivirusinėmis programomis.

Su kompiuteriniais virusais yra panašiai kaip ir gamtoje. Atsiradus naujai „ekologinei nišai" – kokiam nors trūkumui operacinėje sistemoje ar programoje, ją tuoj pat užpildo naujos kartos virusai. Ir kuo programa turi daugiau „skylių", tuo daugiau ir jai skirtų virusų.

Kaip apsisaugoti nuo virusu

Visiškai apsisaugoti nuo virusų yra labai sunku, nes kartais tenka keistis informacija su svetimais AK. Saugumui padidinti yra skirtos virusų kontrolės programos.

Vienos jų sužadintos ieškoti failuose žinomų virusų kodų ir juos sunaikina. Jos negali kovoti su naujausiais keičiančiais savo kodus ir užšifruotais virusais, kurie išsišifruoja tik įrašius pragramą į RAM.

Kitos, įjungus AK, įsirašo į jo atmintį ir ieško virusų kodų jau į RAM įkrautose programuose arba “stebi” programos darbą.

Dar kitos programos jas instaliuojant įsimena būdingus diske esančių programų paramentus ir kiekvieną kartą, paleidžiant programą, jos parametrus lygina su įsimintaisiais. Pasrebėjus skirtumą, antivirusų programa praneša apie tai arba bando sunaikinti virusą.

Apsisaugoti nuo virusų galima keliais būdais:

  1. Antivirusinės programos
  2. Teisių apribojimas kompiuteryje
  3. Bilų ar failų kopijavimas/archyvavimas
  4. Diskų ar direktorijų atgalinės kopijos (backup)
  5. Atstatomosios (file restore) programos

1.       Antivirusinės programos. Norint apsaugoti kompiuteri nuo virusų būtina kompiuteryje įdiegti antivirusines programas. Jas būtina nustatyti taip, kad ji pastoviai stebėtu kompiuterio darbą ir pastebėjus bet kokią grėsmę užsikrėsti virusu užkirstu tam kelią. Kad programa dirbtu efektyviai ir apsaugotu nuo vis naujesniu virusu būtina reguliariai atnaujinti virusu duomenų bazę pagal kuria atpažįstami virusai. Tai galima padaryti parsisiuntus atnaujinimus internetu iš antivirusinės gamintojų puslapio arba nustatyti programą taip kad ji kas tam tikrą laiką pati prisijungtu prie serverių ir esant atnaujinimams atsiųstų juos į jūsų kompiuterį ir automatiškai juos įdiegtų. Reikia periodiškai tikrinti diskus ir darbe naudojamas disketes naujausiomis antivirusų programomis, nes naujų virusų atsiranda kasdien.

2.       Teisių apribojimas kompiuteryje. Norint išvengti neteisėtu pakeitimų programose ar virusų paleidimo bei plitimo būtina apriboti teises. Uždrausti daryti pakeitimus kai kuriuose direktorijose. Taip būtų išvengta įsibrovimo į kitas programas bei jų modifikavimo.

3.       Bilų ar failų kopijavimas/archyvavimas. Norint apsaugot svarbią informaciją nuo virusų būtina pastoviai pasidaryti svarbiu failų ar programų kopijas į diskus ar particijas kurie būtų apsaugoti nuo modifikavimo. Periodiškai perrašydami į disketes, magnetooptinius diskelius ar magnetinę juostelę svarbius duomenų failus, galėsite atkurti viruso sugadintus. Originalias disketes laikydami uždaras informacijai į rašyti. Tuomet virusas negalės patekti į jose esančiais programas ir visuomet galėsite užkrėstąją programą pakeisti gera

4.       Diskų ar direktorijų atgalinės kopijos (backup).  Dar vienas duomenų apsaugos būdas nuo virusų yra diskų ar atskirų direktorijų kopijų darymas į atskirus diskus ar particijas. Tai daroma su pagalbinėmis programomis kurios suspaudžia duomenis su jiems budingu plėtiniu arba pilnai nuklonuojama visa informacija ir užrakinama nuo išorinio pakeitimo uždedamas priėjimas vien tik skaitymui, bet ne modifikavimui. Su šiomis pagalbinėmis programomis galima padaryti viso disko ar particijos kopija kurią reikalui esant galima būtų atstatyti ir taip būtų atstatyta visa pradinė informacija. Toks diskų ar particijų atstatymo būdas labai patogus tada kai yra pilnai sukonfiguruota jūsų operacinė sistema. Prieš darant atgalines kopijas būtina pilnai patikrinti kompiuterį nuo virusų.

Pvz.: atlikus kokius nors pakeitimus kurie gali pakenkti arba kaip nors įtakoti jūsų sistemos darbą lengva atstatyti visą sistemos konfigūraciją į pradinę padėtį.

5.       Atstatomosios (file restore) programos. Nesugebėjus apsisaugoti nuo viruso ir jam pažeidus failus arba patį diską galima mėginti atstatyti svarbius failus su pagalbinėmis programomis. Efektas ne visą laiką bus 100%, bet dalis svarbių failų ar programų gali būti atstatyti. Taip būtu sumažinti viruso padaryti nuostoliai.

Kol nebuvo kompiuterių tinklų, virusinės programos pridarydavo nedaug žalos. Kas kita kai kompiuteriai susijungė į tinklą. Virusai juo plinta be galo dideliu greičiu, todėl ir jų daroma žala didėja daug kartų.

Ši problema turi dar vieną aspektą. Išsivysčiusiose šalyse daugelis firmų, kuriančių programinę įrangą, rūpinasi ir priešvirusinėmis programomis. Taip pat yra nemažai literatūros šiuo klausimu. Taigi daugelis kompiuterių savininkų žino, kas yra kompiuterio virusas, kokios jo “vizito” pasekmės, ir yra pasirengę su juo kovoti. Silpnai išsivysčiusiose šalyse (taip pat ir mūsų ) labai paplitęs nekontroliuojamas įvairių programų kopijavimas, paprasčiau, vogimas. Tai ypač gera dirva kompiuterio virusams. Todėl mokyklose, įstaigose užsikrėtimo faktas yra įprastas reiškinis, panašus kaip sloga. Toks “pripratimas” prei virusų gali baigtis liūdnai, jei pasitaikys labai pavojingas “egzempliorius”.

Yra žinoma keletas programų, diskų ar dikelių užkrėtimo požymių.

Greta tokių akivaizdžių, kaip raidžių byrėjimas, kamuoliuko šokinėjimas, įvairių pranešimų ( “pasakyk Bebe...” ) pasirodymas displėjaus ekrane ar neįprasti garsiniai efektai, pasitaiko ir ne tokių ryškių:

    • pasikeičia command. com ir kitų bylų dydis bei data;
    • lėčiau nei įprasta programa įrašoma į atmintį, neaiškus kreipimasis į diską;
    • neveikia kai kurios rezidentinės programos bei tvarkyklės;
    • anksčiau normaliai durbusi programa sustoja;
    • staiga sumažėja tiesioginės kreipties atmintis ( RAM ) dydis bei disko talpa ir t. t.

Tačiau ir naudojant visas apsaugos priemones, virusas gali “prasiskverbti” į sistemą. Jei pastebimi kompiuterio užkrėtimo simptomai, rekomenduojama laikytis tokių taisyklių.

1. Nepanikuoti, t. y. neskubėti priimti gerai neapgalvotus sprendimus. Dėl neapgalvotų veiksmų galima ne tik netekti dalies failų, kuriuos buvo galima išsaugoti, bet ir pakartotinai sistemą užkrėsti.

2. “Nukirsti” visus kompiuterio kontaktus su “išoriniu pasauliu”, t. y. jį izoliuoti. Reiktų atjungti elektroninio pašto sistemą, ryšį su Internetu ir pan. Būtina bematant išjungti kompiuterį, kad virusas netęstų savo griaunamųjų veiksmų.

3. Nustatyti efektyvumo kilmę ir laipsnį. Pasistengti prisiminti visus atliktus veiksmus kompiuteryje ir atsiradusius užkrėtimo simptomus. Gal atsiminsite, kad, sakysim, pažįstamas buvo paskolinęs diskelį. Jei taip, būtina jį patikrinti. Reikia tiksliai žinoti, kas atsitiko sistemai: ar pažeistas kietas diskas, ar didėja daromi nuostoliai, t. y., ar toliau tęsiasi kenkėjiška veikla, ir pan. Visus veiksmus, nustatant užkrėtimo rūšį ir gydant kompiuterį, galima atlikti tik atkėlus sistemą iš neinfekuotų, apsaugotų nuo įrašymo, diskelių (diskų). Reikia naudoti programas (vykdomuosius failus) tik apsaugotuose nuo įrašymo diskuose. Priešingu atveju sistemoje virusas gali būti aktyvuotas, o veikiant virusui kompiuterio gydymas beprasmiškas, nes ir toliau diskai ir programos bus užkrečiami.

4. Jei neturite pakankamos kompiuterio gydymo patirties ar žinių, kreipkitės pagalbos į aukštesnės kvalifikacijos vartotojus. Kompiuterinio viruso blogoji savybė, kad jis plinta.


Nulauzhk HAKERI

Peržiūrinėdami naujienų pranešimus jau pripratome prie istorijų apie įsilaužimus į kompiuterių sistemas, "Trojos arklių" virusus, "DoS" (Denial of Service) atakas ir kitokius tinklo puolimus. Pažvelkime tiesai į akis: kompiuteriniai įsilaužimai jau tapo kasdienybe.
Paskutinis bendras Kompiuterių saugumo instituto (Computer Security Institute) ir Federalinio tyrimų biuro (FTB) tyrimas (www.cert.org/present/internet-security-trends/index.htm) parodė, kad 90 proc. JAV įmonių yra pastebėjusios įsilaužimo į savo sistemas atvejus. Iš jų 70 proc. buvo rimtų (tokių kaip vagystės, finansiniai sukčiavimai ir sabotažas), o 71 proc. atliktas tos pačios įmonės darbuotojų.
Ugniasienės (firewalls) ne visada pajėgios apsaugoti nuo tokių atakų. Kompiuterių saugumo problemos labai greitai keičiasi ir naujos silpnos vietos kompiuterio gynyboje aptinkamos praktiškai kasdien. Kad ugniasienės būtų efektyvios, įmonės informacinių technologijų (IT) personalas turi nuolat sekti kompiuterių saugumo naujienas. Tik šitaip ugniasienės gali būti suderintos optimaliai apsaugai. Laimei, yra ir lengvesnis būdas sumažinti įsilaužimų riziką.
Kai kurios kompanijos pasirenka valdomas apsaugos paslaugas - tokias kaip "FoundScan". Kitos pasitiki antihakeriniais įrankiais, kurie čia ir bus apžvelgiami. Jie papildo turimas ugniasienes ir suteikia visapusiškesnę apsaugą. Antihakeriniai įrankiai atlieka ir kai kuriuos specifinius veiksmus, pavyzdžiui, identifikuoja atakos šaltinį ar užrakina kurį nors kompanijos tinklo infrastruktūros elementą.
Įsilaužimų aptikimo sistemos (intrusion detection systems, ISD) kruopščiai renka informaciją apie potencialius įsilaužėlius: jų IP adresus, vartotojų vardus nutolusiose "Unix" sistemose ir pan. Kai tokia informacija surinkta, galima sukonfigūruoti ugniasienę taip, kad būtų užtaisytos potencialios saugumo skylės, ar net taip, kad ji imtųsi leistinų veiksmų prieš identifikuotus hakerius.
Kai kurios ISD (pavyzd˛iui, kompanijos "Network Security" produktas "Specter 5.01") net įrašo įsilaužimo eigos informaciją, tad galima nustatyti hakerio profesionalumo lygį ir tai, ar įsilaužimas vykdytas pačios kompanijos darbuotojų. "Specter 5.01" naudoja "medaus puodynės" (honeypot) serverį masalui, šitaip atitraukdama hakerių dėmesį nuo darbinių serverių ir įrašydama jo veiksmus į detalią ataskaitą.
Kitas apsaugos programinis produktas, išleistas pernai, yra pažengęs dar toliau: "Entercept 2.0" (sukūrė "Entercept Security Technologies", www.entercept.com) ne tik aptinka įsilaužimus, bet ir realiuoju laiku uždraudžia tinklo paslaugas, kad įsilaužimas negalėtų plisti.
Kompanijos "WatchGuard" sukurtas "ServerLock 1.1" siūlo kitokį apsaugos būdą: jei niekas negali keisti serverio failų, nuostatų ir resursų, įsilaužėliams su serveriu susidoroti nepavyks. "ServerLock 1.1" serverio užrakinimui naudoja gudrią branduolio (kernel) technologiją, tad net jei hakeris prasiverš pro ugniasienę, negalės padaryti jokios žalos.
Dėl nuolat tobulėjančių įsilaužimo technologijų kompanijoms būtina stiprinti vidinio tinklo apsaugos lygį. Mes apžvelgėme porą naujų antihakerinių įrankių, kurie joms galėtų praversti.

Specter 5.01

Kompanijos "Network Security" programa "Specter 5.01" (kaina - 988 JAV dol.) - protinga ir lanksti apsaugos įsilaužimų aptikimo sistema, siūlanti labai realistišką "medaus puodynės" masalą hakeriams apkvailinti. "Microsoft Windows 2000" ar NT sistemoms skirta "Specter" realiuoju laiku atlieka hakerių kontržvalgybą ir surenka duomenis apie atakos šaltinį. "Specter" įdiegti ir suderinti gali kiekvienas, turintis pagrindinių žinių apie Voratinklio paslaugas ir protokolus.
Ši programinė įranga leidžia emuliuoti vieną iš vienuolikos įprasčiausių serverių, tarp jų - ir "Windows 2000" bei IBM AIX. Mes išbandėme "Specter", sukonfigūruotą apsimesti "Linux" serveriu su HTTP, FTP ir SMTP paslaugomis. Tiek "Specter" variklį, veikiantį foniniu režimu, tiek ir grafinę vartotojo sąsają - pagalbinę programą "SpecterControl" paleidome per kelias minutes ir šitaip nesunkiai "užkūrėme" serverį-masalą.
Galėsite susiderinti norimą tokio serverio charakterį, jo slaptažodžių sudėtingumą ir simuliuoti bet ką - nuo tvirtovės iki silpnos sistemos su paprastais slaptažodžiais. Tikslas - sugundyti hakerius šiuo įtikinamu jauku.
Vartotojas nustato, kurių protokolų spąstai yra aktyvūs (DNS, IMAP ar SUN-RPC), o programos kontržvalgyba stebi, kada spąstus įjungti. "Specter" užrašinėja visų spąstų būseną ir kam nors įkliuvus gali iškart išsiųsti pranešimą apie tai elektroniniu paštu. Deja, "Specter", skirtingai nuo "Entercept 2.0", negali automatiškai sureaguoti į ataką ir išjungti paslaugų ar uždaryti prievadų (ports). Tačiau programa "SpecterRemote" leis stebėti sistemą ir keisti Specter" konfigūraciją iš nutolusio AK su "Windows" operacine sistema.
I�oriškai mūsų testuojama sistema atrodė kaip normaliausias "Linux" serveris su įprastu "Apache" Voratinklio serverio tinklapiu ir įprastais "Linux" katalogais. Lygiai taip pat įtikinamai viskas buvo pakeista, kai leidome "Specter" imituoti "Mac", "Solaris" ir "Windows NT" serverius.
Interneto prievadų - daugiausiai nekaltųjų DNS - skenavimas prasidėjo iškart, kai tik prisijungėme prie tinklo. Greitai susilaukėme ir pirmojo mėginimo prisijungti FTP protokolu bei pastangų įskiepyti sistemai virusą "Trojos arklį" "Sub-7.A". "Sub-7" aktyvavo paslėptą serverio programėlę, kuri gali būti per nuotolį kontroliuojama panašiai kaip "BackOrifice 2000".
Tačiau nors hakeriams atrodo, kad jie gali prisijungti ir pereiti į kitus serverio katalogus, iš tiesų jie negali nei įskiepyti "Trojos arklio", nei piktnaudžiauti protokolais, nei sukelti sistemos buferių perpildymo, nes prisijungia prie serverio-masalo, kuriame visos paslaugos tik simuliuojamos. "Specter" aptinka net ir "DoS" atakas ir uždraudžia naujus prisijungimus, kad būtų išvengta resursų trūkumo.
Iš šių mėginimų įsilaužti "Specter" surinko nemažai "gėrybių", tarp jų - IP adresus, prisijungimų maršrutų (traceroute) informaciją, "Unix" sistemų "finger" duomenis bei įvairių protokolų įrašus apie OS identifikavimą, paslaugų versijas ir t.t. Po piktavališko mėginimo mums pakišti "Sub-7" mes turėjome pakankamai informacijos, kad galėtume jo interneto paslaugų teikėjui nusiųsti puikią hakerio darbelių išklotinę.
Nauja išsami "Log Analyzer" įrašų analizavimo programa leido filtruoti duomenis pagal paslaugų ar spąstų tipą ir išgręžti iš jų kiekvieno mėginimo prisijungti detales, net slaptažodžius ir katalogus, "pasiektus" prisijungiant. Ši informacija gali padėti nustatyti, ar hakeris yra kompanijos darbuotojas, nes tik labai nedaug įmonių naudoja vidinio tinklo ugniasienes.
"Specter" programai reikia skirti atskirą kompiuterį, bet tai dar palyginti maža kaina už ankstyvus perspėjimus apie mėginimus įsilaužti, kurie gali būti ypač veiksmingi apsisaugant nuo atakų, kol jos dar nenukreiptos prie� tikruosius serverius.

Specter 5.01
Kaina - 899 dol.
Reikalavimai sistemai: 450 MHz ar galingesnis procesorius, 128 MB DA, XGA monitorius, "Microsoft Windows NT 4.0" su SP6A, arba 2000 SP1.
Sukūrė "Network Cecurity", www.specter.com

WathGuard ServerLock 1.1

"WathGuard ServerLock 1.1" (kaina - 1 295 dol. vienam serveriui) pakeičia "Microsoft Windows 2000" ir NT saugumą iš pagrindų. "ServerLock" įsitvirtina operacinės sistemos branduolio lygmenyje ir apsaugo nuo neautorizuoto naudojimosi serverio resursais. Sistemoje su "ServerLock" netgi vartotojai, turintys administratoriaus teises, negalės keisti Voratinklio tinklapių, failų, katalogų, vartotojų paskyrų ar ko nors sistemos registre.
"ServerLock" siūlo galimybę naudotis dviem serverio darbo režimais: administruojamu ir darbiniu. Bet koks turinys, resursai ar nuostatos gali būti keičiamos tik administruojamame režime. Darbiniu režimu veikiantis serveris interneto vartotojams atrodys visiškai normalus, bet blokuos bet kokius pakeitimus, net ir daromus sistemos administratorių.
Ši programa lengvai įdiegiama ir nereikalauja daug nuolatinės priežiūros. Darbo režimų pakeitimui naudojama labai griežta kodavimo sistema su unikalių, su sistemos branduoliu susietų viešųjų raktų infrastruktūra. Sistemos branduolyje įsitvirtinusi "ServerLock" apdraus nuo virusų aktyvavimo, įrenginių tvarkyklių su paslėptais "pokštais" bei hakerių įrankių dar prieš šiems sugebant perimti sistemą.
Kitaip nei "Specter", "ServerLock" neaptinka ir neseka hakerių, taip pat ir neapsaugo nuo neautorizuoto įsibrovimo kaip kad "Entercept 2.0". Ji nesaugo ir nuo "DoS" atakų. "ServerLock" įsileis hakerius per esamas sistemos saugumo spragas, bet patekę į sistemą hakeriai negalės įskiepyti "Trojos arklio" viruso, pakeisti sistemos nuostatų, nukreipti URL užklausų. T.y. jūs visada saugosite savo tinklo išorines ribas ugniasiene.
Po penkias minutes trukusio įdiegimo mes jau turėjome su "ServerLock" užrakintą serverį. Bet kadangi atsidūrėme darbiniame serverio režime, negalėjome atlikti jokių administratoriui įprastų pakeitimų savo "Windows 2000" serveryje.
Kad galėtume šį tą pakeisti, turėjome pereiti į administruojamąjį režimą. Šiam veiksmui prireikė sudėtingo slaptažodžio su didžiosiomis ir mažosiomis raidėmis, skaitmenimis ir punktuacija. Nesunkiai sukūrėme įprastas taisykles, kad būtų užrakinami failai, failų plėtiniai, katalogai ir net registro raktai.
Kad galėtumėte atlikti veikiančio serverio priežiūrą, leidžiama laikinai atrakinti kurį nors specifinį komponentą, pavyzdžiui, sistemos registrą. Jei aktyvuosite programos įrašymo galimybes, galėsite pastebėti bet kurį draudžiamą mėginimą pasiekti apsaugotus failus. Jei "ServerLock" bus išjungta, "Unprotected Resource Auditing" (neapsaugotų resursų audito) programa vis tiek gali įsiminti mėginimus prieiti prie resursų, kuriuos šiaip saugo "ServerLock". Tai leidžia nuspręsti, ką konkrečiai saugoti, kai naudojamasi specialiomis, vartotojo sukurtomis "ServerLock" nuostatomis. O "WatchGuard LiveSecurity" servisas (pirmais metais pridedamas nemokamai su "ServerLock", o vėliau kainuoja 195 dol. kasmet), leis greitai ir lengvai atnaujinti programą iš interneto.
"ServerLock Manager" (4 995 dol.) leis vartotojams per nuotolį valdyti bet kokį skaičių kompiuterių su "Windows 2000" arba NT ir "ServerLock" programa. Nuotoliniam valdymui naudojama 239 bitų elipsinės kreivės kriptosistema (Elliptical Curve Cryptosystem), tad ryšys su serveriu negali būti perimtas iš šalies. Ateičiai planuojama "ServerLock" versija "Solaris" OS ir vartotojai galės valdyti tiek "Microsoft", tiek "Solaris" serverius iš "ServerLock Manager".
"ServerLock" - tai geras sprendimas tiems sistemos administratoriams, kurie neturi tiek laiko, kad galėtų sekti tinklų saugumo naujienas ir nuolat derinti apsaugos priemones bei ugniasienes.

WathGuard ServerLock 1.1
Kaina - 1 295 JAV dol.
Reikalavimai sistemai: 200 MHz ar galingesnis procesorius, 128 MB DA, XGA monitorius, "Microsoft Windows NT 4.0" su SP4 ar naujesniu, NTFS failų sistema, "Microsoft Internet Explorer 5.0" ar naujesnis.
Kūrėjas" "WatchGuard Technologies Inc."
www.watchguard.com

Aptikta: ataka jūsų tinkle

"FoundScan", kompanijos "Foundstone" kūrinys, yra automatizuota prenumeruojama apsaugos įvertinimo paslauga, kuri iš nutolusio kompiuterio stebi išėjimo į internetą zonas ir identifikuoja jų saugumo spragas. "FoundScan" užtikrina tinkamą, visą parą veikiančią apsaugą vidutiniam ir dideliam verslui.
Nors paslauga nėra pigi (nuo 60 000 iki 95 000 JAV dol. per metus), metinis gero kompiuterių saugumo eksperto atlyginimas yra apie 100 000 dol. O su "FoundScan" jūs gaunate nuolatinę priežiūrą profesionalų, kurie didžiuojasi žiną kiekvieną įmanomą hakerių pokštą.
"FoundScan" įrašo kiekvieną pėdsaką tinkle ir net suranda kontaktinius tinklo taškus, kurie, jūsų manymu, nėra aktyvūs. Visas "FoundScan" skenavimas vyksta i� tik i� nutolusio kompiuterio. "FoundScan" susi˛ymi visus mar�rutizatorius, ugniasienes, IP adresus ir servisus, o tada išstudijuoja papildomą tinklo topologinę informaciją naudodamasis ICMP, UDP ir TCP galimybėmis. Iš šių duomenų "FoundScan" sukuria išsamų HTML formato tinklo žemėlapį, rodantį visų tinklo įrenginių ir servisų tarpusavio ryšius.
Antrasis skenavimo etapas naudoja specialius pažeidžiamumo įvertinimo algoritmus. Patikrinami ne tik visi TCP ir UDP servisai visose prieigose, bet ir kruopščiai išanalizuojamos visos Voratinklio programos bei identifikuojamos jų saugumo spragos. Naudojant aktyvaus įvertinimo technologiją, kuri imituoja tikrą ataką, viena silpna tinklo vieta gali leisti aptikti papildomas spragas kitose prijungtose sistemose.
Visos tinklo silpnybės įrašomos ir suskirstomos pagal jų prie˛astis ir rekomenduotinus panaikinimo sprendimus. Kai aptinkami tinklo pažeidžiamumo pokyčiai, apie tai gali būti pranešta el. paštu.
Taip pat "FoundScan" įsimins visą jūsų tinklo sistemos istoriją, tad saugumo problemos gali būti nagrinėjamos nebūtinai aptikimo akimirką, šitaip nestabdant verslo.
Kompanijos "Foundstone" paslaugos nesibaigia vien skenavimu. Jos ekspertai praleidžia apie 32 valandas per metus analizuodami jūsų duomenis, kad galėtų rekomenduoti būdus rizikai sumažinti ir saugumui pagerinti. Jie taip pat gali suteikti pagalbą kritiniu atveju ar teikti profesionalias paslaugas, kai jų reikia.
Jei saugumo ir rizikos problemos išsprūdo iš jūsų kontrolės - "FoundScan" padės netgi pora žingsnių aplenkti hakerius.

FuondScan Managed Security Services
Kaina: nuo 60 000 JAV dol. per metus
Kūrėjas: Foundstone, Inc.
www.foundstone.com

Hakerio veiksmai

1. Naudodamasis savo priemonėmis, hakeris iš nutolusio kompiuterio skenuoja koledžo studentų miestelio kompiuterių IP adresus, ieškodamas atvertų interneto prieigų ar neapsaugotų servisų.
2. Hakeris randa saugumo spragą, kompiuteryje, kurį jis mano esant el. pašto serverį. SMPT protokolas yra pažeidžiamas.
3. Hakeris mėgina pasinaudoti SMTP silpnumu, tam pasitelkdamas iš interneto atsisiųstus hakerių įrankius. Jis atlieka keletą nesėkmingų bandymų.
4. Hakeris sulaukia telefono skambučio iš savo interneto paslaugų teikėjo ir vadovybės, kurie jau turi išsamią ataskaitą apie jo atakas. Štai taip! O viskas todėl, kad...

Antihakeriniai veiksmai

Koledžas naudoja įsilaužimų aptikimo sistemą (IDS) serveryje-masale, kuris atrodo toks pat, kaip ir kiti studentų miestelio serveriai, bet turi aiškių saugumo spragų.
IDS aptinka SMPT serviso zondavimą serveryje-masale, atseka jo šaltinį ir įrašo rezultatus. El. pašto žinutė perspėja tinklo administratorių apie mėginimą įsilaužti.
Serveris-masalas lieka neįveikiamas (iš tiesų jame neveikia nė vienas tikras tinklo servisas). Sistema įsimena visus hakerio veiksmus, jo IP adresus, interneto kelią (traceroute) iki atakos šaltinio ar jo IPT, taip pat vardą, kuriuo hakeris yra prisijungęs.
...tinklo administratorius paskambino hakerio IPT ir nusiuntė jam el. paštu atakos išklotinę.

Kaip apsisaugoti nuo "Word" MacroVirusu ir kaip ju atsikratyti Uzhsikretus

Susidūrus su makrovirusais jums bus lengviau, jei bent kiek žinosite, kaip jie veikia.

Jei naudojatės "Microsoft Word", jums reikia žinoti apie makrovirusus. Pavojus gresia visiems, besikeičiantiems "Word" failais su kitais ar dirbantiems prie dokumentų, kuriuos atidaryti gali ir kiti, pavyzdžiui, tinklu. Jūs galite būti niekada nematęs viruso ir net negavęs užkrėsto failo. Jei taip, jums pasisekė, tačiau nemanykite, kad seksis visada. Apsisaugoti nuo viruso (ar jį sunaikinti, jei sėkmė atsuko nugarą) bus paprasčiau, jei bent kiek žinosite, kaip virusai veikia.
Labai įprasta būti apžavėtam klaidingo saugumo jausmo, nes gera antivirusinė programa apsaugo nuo daugelio problemų. Tačiau net jei antivirusinė programa nuolatos veikia jūsų kompiuteryje, ji tėra tik įrankis, o ne stebuklingas vaistas. Kartkartėmis pasirodo virusas, kurio sustabdyti negali nė viena antivirusinė programa. Jei jūsų kompiuteris apsikrės, teks pasikliauti tik savimi tol, kol jūsų antivirusinė programa nebus atnaujinta. Taigi privalote žinoti, kaip sustabdyti viruso plitimą ir kaip jį rankiniu būdu pašalinti iš kompiuterio.

Ką reikia žinoti apie makrovirusus

Viena iš galingiausių "Word" galimybių leidžia jums kurti "Visual Basic for Applications" programas - makrokomandas - ir išsaugoti jas "Word" dokumentų bei šablonų failuose. Makrovirusai šią galimybę išnaudoja piktam, įkeldami kodą, automatiškai nukopijuojantį virusą į kitus failus. Makrovirusai gali būti žalingi arba nežalingi ir būti sudaryti iš kelių makrokomandų.
Komandą, padauginančią virusą, dažniausiai paleidžia makrokomanda, automatiškai startuojanti atidarant ar uždarant "Word" failą ar pačią programą. Tačiau standartinės "Word" komandos gali būti modifikuotos - tai padaryti gali ir virusas, tad dauginimo procesą gali pradėti netgi "Open" arba "Save" komandos. Bet kuriuo atveju virusas nukopijuoja savo makrokomandas į kitą failą - dažniausiai "Normal.dot" šabloną, kurį "Word" pakrauna su kiekvienu failu. Dauguma virusų, išsaugotų "Normal.dot" faile, nusikopijuoja į kiekvieną jūsų sukuriamą ar atidaromą failą.
Virusai gali ir kitais būdais užkrėsti kompiuterį. Pavyzdžiui, virusą gali turėti failas, išsaugotas startiniame "Word" kataloge. Kaip ir "Normal.dot", startiniame kataloge esantys failai pakraunami kaskart paleidus "Word".

Prevencija

Turite atlikti vieną svarbiausių veiksmų prieš tai, kol kompiuteris nebuvo apkrėstas virusu: užfiksuoti, kokie failai yra startiniame kataloge ir kokios yra juose makrokomandos. Šiam veiksmui atlikti pirmiausia raskite startinio katalogo vietą iš "Tools" pasirinkdami "Options", vėliau - "File Locations" tabuliaciją ir pažvelgdami į "Startup" įrašą (1 pav.). Dabar, pasinaudodami "Windows Explorer", nueikite į šį katalogą. Jūs galite užsirašyti failų sąrašą arba paspausti "Alt" ir "Print Screen" klavišų kombinacija nukopijuoti "Explorer" lango turinį į laikinąją atmintinę. Vėliau galėsite paveikslėlį įkelti į "Word" ir jį išspausdinti.
Šią procedūrą reikia atlikti ir norint užfiksuoti dokumentuose esančias makrokomandas. "Normal.dot" failui iš "Tools" pasirinkite "Macro", tada "Macros". "Macros in:" lauke pasirinkite "Normal.dot". Taip pat užfiksuokite makrokomandas, esančias visuose kituose failuose.
Vienas geriausių būdų išvengti virusų - patikrinti makrokomandas prieš atidarant gautą failą. Pirmiausia išsaugokite failą diske, tuomet atsidarykite "Word" ir iš "Tools" pasirinkite "Templates and Add-Ins", paspauskite "Organizer" mygtuką.
Pasirodžiusiame dialogo lange išvysite elementus, saugomus kiekviename iš dviejų failų - atidarytame dokumente (tai gali būti tuščias "Document 1", jei "Organizer" atsidarėte iškart paleidę "Word") ir "Normal.dot" faile. Pasirinkite "Macro Project Items" kortelę ir išvysite makromodulių sąrašą kiekviename faile. Tuomet paspauskite bet kurį "Close File" mygtuką (2 pav.). Mygtukas pasikeis į "Open File". Paspauskite jį vėl ir pasirodžiusiame lange pasirinkite norimą failą, tuomet paspauskite "Open".
Jei atidarytame faile nematote jokių makromodulių, viruso čia būti negali. Jei modulių yra, susisiekite su failo siuntėju ir paklauskite, ar makrokomandos čia turėtų būti. Jei jų neturėtų būti ar jei norite būti tikrai apsisaugojęs, pasirinkite makrokomandas ir paspauskite atitinkamą "Delete" mygtuką joms pašalinti. Uždarykite "Organizer". Dabar galite nesibaimindami atidaryti failą.
Nors kiek ir erzinanti, "Organizer" yra vienintelė priemonė įsitikinti, kad jūsų gautas "Word" failas - dokumentai ir šablonai - neturi makrokomandų. Nesvarbu, ar atlikinėsite šią procedūrą, taip pat turėtumėte pasinaudoti "Word" makrokomandų saugumo galimybėmis. "Word 97" iš "Tools" pasirinkite "Options", paspauskite "General" tabuliaciją ir įsitikinkite, kad pažymėtas "Macro virus protection" laukelis. Jei taip, "Word" perspės atidarant failą, turintį vieną ar daugiau makrokomandų, ir suteiks jums galimybę pasirinkti, ar leisti makrokomandoms veikti. (Tačiau žinokite, kad makrokomandos gali pačios išjungti šią galimybę.)
"Word 2000" programoje iš "Tools" pasirinkite "Macro", tuomet "Security" ir nustatykite norimą saugumo lygį. Jei dėl kažkokių ypatingų priežasčių jums nėra būtinas griežtas (high) saugumo lygis, pasirinkite vidutinį (medium) - tuomet būsite perspėtas, jei bandysite atidaryti failą, turintį makrokomandų. Jei bus nustatytas griežtas saugumo lygis, programa neleis veikti nė vienai makrokomandai, nebent jos autorių iš anksto nurodysite kaip patikimą. Tačiau šiuo atveju nebūsite perspėtas, kad faile yra makrokomandų, taigi persiųsdami failą galite perduoti virusą kitiems.
"Word 97" perspėjus apie faile esančias makrokomandas, galite pasirinkti neatidaryti failo (do not open) ir pasinaudoti "Organizer" failo analizei. "Word 2000" nesuteikia tokios galimybės, tačiau jūs galite atsidaryti failą, uždrausdami makrokomandų veikimą, vėliau failą uždaryti ir tuomet panaudoti "Organizer". Žinokite, kad jei failas turėjo makrokomandų, tačiau jos buvo ištrintos, "Word" vis vien gali perspėti apie jų egzistavimą. Jei jums taip atsitiks, failo turinį galite nukopijuoti į naują dokumentą - taip išvengsite šio klaidingo pranešimo.
Jei atidarydami failą paspausite "Shift" klavišą, automatiškai paleidžiamos makrokomandos nebus paleistos, tačiau nesustabdysite makrokomandų, paleidžiamų pakoreguotais meniu, klavišų kombinacijomis ir kitais būdais. Jei naudojatės makrokomandų apsauga, "Shift" klavišo būdas yra gal kiek ir perdėtas, tačiau perdėtas atsargumas - ne visada bevertis dalykas. Apsauga nuo virusų turi būti daugiasluoksnė, kad vienam metodui nepasiteisinus (ar pamiršus jį panaudoti), vis tiek būtumėte apsaugoti.

Valymas

Viruso simptomai gali būti labai gerai paslėpti, tačiau jo egzistavimą gali patvirtinti dingę "Macro" arba "Customize" elementai "Tools" meniu. Tačiau jei nenaudojate šių komandų, pasikeitimo galite ir nepastebėti - dar vienas argumentas ne tik naudotis antivirusine programa, bet ir rankiniu būdu tikrinti dokumentus.
Norėdami rankiniu būdu patikrinti, ar kompiuteris neapkrėstas virusu, iš "Tools" pasirinkite "Macro", tuomet "Macros" ir palyginkite matomą makrokomandų rinkinį su tuo, kurį pasižymėjote anksčiau. Atlikite šią procedūrą su "Normal.dot" ir visais kitais failais, esančiais startiniame kataloge.
Atkreipkite ypatingą dėmesį į makrokomandas, pavadintas "AutoExec", "AutoOpen", "AutoClose", "FileExit", "FileNew", "FileOpen", "FileSave", "FileSaveAs" ir "ToolsMacro". Pirmieji trys vardai priskiriami makrokomandoms, kurios pasileidžia automatiškai. Kiti naudojami pakeisti įprastas "Word" komandas - jas dažnai pasirenka virusai. Jei tokius vardus turi jūsų sukurtos ar iš patikimo šaltinio gautos makrokomandos, patikrinkite jas pasinaudoję "Edit" komanda. Jei virusas nepakeitė nė vienos makrokomandos, jūsų kompiuteris greičiausiai nėra apkrėstas.
Jei įtariate, kad kompiuteris jau apkrėstas virusu - pastebėjote keistus pasikeitimus "Word" elgesyje ar meniu - reikia veikti kitaip. Kaip ir anksčiau, iš "Tools" pasirinkite "Options", tuomet "File Locations" ir įsiminkite startinio katalogo vietą, tačiau tuomet uždarykite visas programas. Jei "Word" jums neleis pasirinkti "Options", iš "Start" meniu pasirinkite "Run" komandą, įveskite "Regedit" ir paspauskite "OK" mygtuką. Atsidariusiame registro redaktoriuje iš "Edit" meniu pasirinkite "Find" ir suraskite "Startup-Folder" įrašą - čia ir bus nurodytas startinis "Word" katalogas. Registro redaktoriaus kairėje įsitikinkite, jog įrašas iš tiesų priklauso "Word" programai (ar teisingai jo versijai, jei savo kompiuteryje naudojate kelias). Įrašas turėtų priklausyti raktui "My Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\X\Word\Options", kur X yra "8.0" "Word 97" versijai, o "9.0" - "Word 2000". Įsiminę startinio katalogo vietą, uždarykite registro redaktorių.
Tuomet pasinaudokite "Find" komanda, esančia "Start" meniu, ir suraskite "Normal.dot" failą - pervadinkite jį į "Normal.old". (Jei "Windows" ras daugiau nei vieną "Normal.dot" failą, vėliau jums teks išsiaiškinti, kurį jų naudojo "Word". Tačiau kol kas pervadinkite juos visus.) Dabar su "Windows Explorer" perkelkite visus startinio katalogo failus į jūsų sukurtą laikiną katalogą.
Paleiskite "Word", kuris šiuo metu turėtų būti be virusų. (Kai nebus nė vieno failo startiniame kataloge ir "Normal.dot" failo, "Word" neturės iš kur pakrauti viruso.) Jei problema neišnyko, vadinasi, ji kilo ne dėl viruso. Jei problema išnyko, jos šaltinis gali būti virusas, tačiau taip pat ir makrokomanda, kuri visai nėra virusas. Tačiau čia mes manysime, kad problema kilo dėl viruso.
Kad atrastumėte failą, užkrėstą virusu, pirmiausia uždarykite "Word", kuri bandys išsaugoti naują, švarią "Normal.dot" versiją. Priklausomai nuo anksčiau pasirinktų parametrų, jūsų gali paklausti, ar tam neprieštaraujate. Paspauskite "Yes". Jei startiniame kataloge buvo failų, vieną jų grąžinkite atgal ir perkraukite "Word". Pakartokite tai su kiekvienu failu, kuris anksčiau buvo startiniame kataloge, kol vėl pasikartos ta pati problema. Jei problema nesusijusi nė su vienu šių failų, uždarykite "Word", ištrinkite naująjį "Normal.dot", o "Normal.old" pervadinkite į "Normal.dot". Vėl paleiskite "Word" ir įsitikinkite, jog problema iškilo būtent dėl "Normal.dot".
Ką daryti, radus žalingą failą, priklauso nuo to, ką radote. Jei, pavyzdžiui, kaltas "Normal.dot" failas, tačiau anksčiau nesate jo keitęs pagal savo poreikius, galite paprasčiausiai jį ištrinti ir leisti "Word" sukurti naują, švarią jo versiją. Jei reikia išsaugoti senąjį "Normal.dot", galite pasinaudoti anksčiau išvardytais metodais atrasti virusines makrokomandas ir jas ištrinti. Pavyzdžiui, galite vėl pervadinti "Normal.dot" į "Normal.old", atidaryti "Normal.dot" su įjungta makrokomandų apsauga ir uždrausti makrokomandų veikimą. Tada iš "Tools" meniu pasirinkti "Macro", tuomet "Macros" ir atsidariusiame "Macros" dialogo lange išnagrinėti kiekvieną makrokomandą, o žalingas ištrinti.
Išvalius "Normal.dot" ir startiniame kataloge esančius failus, įsitikinkite, kad ir kiti šablonai nėra apkrėsti virusu. Nepamirškite išvalyti ir dokumentų, pasinaudodami "Organizer", kaip anksčiau nurodėme. Jei žinote, kada užsikrėtėte virusu - pavyzdžiui, nuo konkretaus prie elektroninio laiško žinutės prikabinto failo - ir greitai juo atsikratėte, pakaks patikrinti failus, kuriuos buvote atidarę ar sukūrėte po to elektroninio laiško gavimo. Jei tiksliai nežinote, kada apsikrėtėte, ir kol neatnaujinote savo antivirusinės programos, verčiau naudokitės "Organizer" patikrinti kiekvieną atidaromą failą.


Sukurta KARKOS

Create a free website at Webs.com