В процессе пользовательской работы достаточно часто возникают ситуации, которые могут вызвать подозрение на наличие в машине компьютерного вируса. Поэтому каждому необходимо умение здраво оценить эти подозрения и сделать соответствующие выводы.

Как правило, специалист, обладающий некоторым опытом и владеющий соответствующим программным инструментарием, способен справиться с этой задачей без особых затруднений. Поэтому наибольший интерес вызывает ситуация, когда действовать приходится в "полевых" условиях, например, на чужой машине, "распиленной" и "обутой" под бухгалтера.

Примем следующую вводную, соответствующую достаточно часто встречающейся ситуации:

Стандартная PC (286,386...Pentium), как минимум 1 Мб ОЗУ, как минимум 40 Мб HDD; наличие принтера, звуковой карты, CDD и прочей периферии возможно, но в большинстве случаев - не актуально. Программное обеспечение: шагая в ногу со временем, имеем W95/98, возможно W3.1x, но работаем все равно под DOS, пусть даже и 7.0. Джентельменский набор: NC 3.0-5.0, NU 6.0-8.0, полный DOS, свежие антивирусы: AidsTest и DrWeb, прочая мелочь в лице русификаторов, архиваторов, резидентных примочек и пр.

(По наблюдениям автора, приблизительно такой "стандартный" набор сваливают на винчестер сборщики компьютеров в многочисленных мелких фирмах. Да и сам автор не сильно отклоняется от этой "партийной" линии, когда изредка "обувает" компьютер своим знакомым.

Примем еще одно допущение: наличие заведомо чистой "заклеенной" загрузочной дискеты, содержащей (хотя бы в урезанном виде) вышеупомянутый комплект программ.

Подозрение на вирус, как правило, возникает, когда компьютер ведет себя "не так", как ему полагалось бы вести по мнению хозяина. Например, программы, которые раньше работали правильно, начинают глючить и вообще перестают запускаться, компьютер периодически виснет, экран и динамик воспроизводят необычные видео- и аудиоэффекты...

Итак, что будем делать?
1.1. Самые первые действия при подозрении на вирус

Не будем пороть горячку, усадим перед собой хозяина (особенно приятно, если это - хозяйка, да еще и симпотная компьютера и дотошно расспросим его о событиях, предшествующих возникновению глюков.

Важная информация:

Кем и как используется машина ? Если на нее постоянно таскают мелкие игрушки, гороскопы, пробуют и стирают различные бухгалтерские программы, то вероятность наличия вируса в машине весьма высока. Крупные игрушки, которые, например, с трудом влезают даже в упакованном виде в коробку дискет, как правило, переносятся с машины на машину редко и тщательно проверяются на наличие вирусов. ( Вирус Nigeb на факультет Информатики СГАУ занесли вместе с UFO-1; вирус Burglar живет на многих CD, изобилующих крупными игрушками.

Когда впервые обнаружено наличие глюков? Некоторые вирусы любят приурочивать начало своих проявлений к круглой дате или цифре: 1 мая, 7 ноября, 13 - е число, пятница, пять часов вечера и т.п. (А также: 6 марта, 15 ноября, 11-я минута каждого часа...

Не связано ли оно с первым запуском какой-нибудь программы? Если да, то эта программа - первая в очереди на медкомиссию (если ее еще не стерли.

Не связано ли оно с распаковкой какого-нибудь старого архива и запуском программ из него? Некоторые современные антивирусы (AVP, DrWeb, etc...) умеют заглядывать в архивы наиболее популярных форматов в поисках вирусов. Но изредка ведь еще встречаются .ice, .arc, .zoo, .bsa, .uc2, .ha, .pak, .chz, .eli и пр.! (Если что-то я внес в этот перечень лишнего, то склоняюсь перед авторами упомянутых антивирусов в глубоком пардоне.

Не имеет ли хозяин (хозяйка) привычку оставлять дискеты в кармане флоповода при перезагрузке ? Вирус (загрузочный) может годами жить на дискете, глубоко запрятанной в темных недрах письменных столов.
1.2. Включаем подозрительный компьютер

В присутствии хозяина (хозяйки) включаем компьютер. Внимательно следим за процессом загрузки. Сначала стартует программа POST, записанная в ПЗУ BIOS. Она тестирует память, тестирует и инициализирует прочие компоненты компьютера, завершается коротким одиночным гудком. Если глюки начинаются уже на этом этапе - вирус не виноват. (Теоретически вирус может существовать и в BIOS: говорят, первые вирусы на территорию СССР приехали внутри ПЗУ болгарских Правецов; современные "ПЗУ" часто не являются "постоянными запоминающими устройствами", а представляют собой питающееся от батарейки ОЗУ с возможностью загрузки различных версий BIOS.)

1.3. Анализ подозрительных проявлений

По-прежнему в присутствии хозяина (хозяйки) пытаемся вызвать и пронаблюдать глюки.

Идеально, если вирус (если это действительно вирус), самостоятельно извещает нас о своей сущности, например:
I am VIRUS !!!

Проявления вирусов весьма разнообразны: проигрывание мелодий, отображение посторонних картинок и надписей; некоторые вирусы имитируют аппаратные сбои, заставляя дрожать экран и пр. Подробно ознакомиться с этой темой можно в прилагаемых к антивирусным программам каталогах с описаниями вирусов: для AidsTest он хранится в файле aidsvir.txt, для DrWeb - в файле virlist.web. Лучшим, на взгляд автора, является гипертекстовый каталог avpve, прилагаемый к антивирусному пакету Е.Касперского. В нем можно не только прочитать достаточно подробное описание вируса, но и вживую пронаблюдать его проявления.

От настоящих вирусов следует отличать т.н. "студенческие шутки", имеющие широкое распространение на компьютерах в учебных классах ВУЗов и школ. Как правило, это резидентные программы, которые периодически производят видео- и аудиоэффекты, напоминающие работу вирусов. В отличие от настоящих вирусов, эти программы не умеют размножаться. Наличие такого рода программ на бухгалтерских компьютерах маловероятно.

Алгоритмы многих вирусов, однако, не предусматривают никаких проявлений, по которым их можно было бы опознать.

Очень часто глюки вызываются вирусами не преднамеренно, а лишь в силу наличия в их алгоритме ошибок и неточностей, что приводит к несовместимости с программной средой компьютера и, как следствие, к вышеупомянутым глюкам.

Важно: если какая-либо программа подвисает при попытке запуска, существует очень большая вероятность, что именно она в настоящий момент и заражена вирусом. Если компьютер виснет в процессе загрузки (после успешного завершения программы POST), то при помощи пошагового выполнения файлов config.sys и autoexec.bat (клавиша F8 в DOS 6.х) можно легко определить источник подвисания.
1.4. Использование возможностей антивирусов

Не выключая компьютера, запускаем (можно прямо с винчестера) какой-нибудь антивирус. Лучше DrWeb с ключиком /ha.

Вирус (если он есть) может немедленно "сесть" на DrWeb. Тот достаточно надежно детектирует целостность своего кода и в случае чего заорет: я заражен неизвестным вирусом ! Если так и произойдет, то наличие вируса в системе - доказано.

Внимательно смотрим на диагностические сообщения типа: файл такой-то ВОЗМОЖНО заражен вирусом такого-то класса (COM, EXE, TSR, BOOT, MACRO и т.п.).

Подозрения на BOOT-вирус в 99% бывают оправданы. (Контрпример: недавно DrWeb 3.20 ругался на BOOT дискеты, "вылеченной" AidsTest'ом от вируса LzExe.

Большое количество файлов, подозрительных на наличие в них вируса одного класса, также с большой достоверностью указывает на неизвестный вирус. (DrWeb'ы до версии 3.15 активно ругались на *все* стандартные DOC-компоненты из WinWord 2.0.

Кроме того, DrWeb умеет определять наличие в памяти компьютера неизвестных резидентных вирусов и Stealth-вирусов. Ошибки при их определении (в последних версиях антивируса) достаточно редки. (Версия 3.15, не умеющая лечить вирус Kaczor, исправно заподозрила наличие агрессивного резидента в памяти; версия же 3.18, умеющая его лечить, в "заразной" системе вообще ничего не заметила, а детектировала и вылечила вирус лишь при загрузке с чистой дискеты.

При этом имеем в виду, что предупреждения типа "странная дата файла", единичные подозрения на COM- и EXE-вирусы и пр. - врядли могут быть расценены, как бесспорное доказательство наличия вируса.

Наконец, MACRO-вирусы живут исключительно в Windows и никакого негативного влияния на DOS-программы оказать не могут (за исключением того случая, если они что-нибудь потерли в Windows-сеансе.