Терентьев А.М., Григорьев П.В. Лечение компьютерных вирусов

= 6 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
————————————————————————————————————————————————————————————————————————————————
Лечение компьютерных вирусов на ПК с помощью
подключения внешних операционных систем
А.М.Терентьев
П.В.Григорьев
Большинство используемых до 2010 г. технологий лечения заражённых
компьютерными вирусами ПК заключалось в запуске на поражённом компью­
тере антивирусных сканеров оперативного лечения. При этом, факторами,
влияющими на успешность лечения, являлись:
– сама возможность запустить излечивающее антивирусное средство на
поражённом компьютере;
– присутствие идентификационных признаков вируса в антивирусных ба­
зах, используемых сканером в момент лечения;
– реальная возможность излечения ПК, поражённого вирусом, без утраты
существенных функций операционной системы.
В основном, успешность излечения определялась вторым из указанных
факторов. Характерные особенности большинства существовавших в тот пери­
од вирусов были направлены на съём конфиденциальной информации с зара­
жённого ПК (с передачей её на известные злоумышленнику адреса через сам
поражённый ПК и Интернет-соединение), либо на задействование части ресур­
сов поражённого ПК в целях использования его вычислительной мощи в инте­
ресах авторов вир усов (опять же через Интернет-соединение). Во всех этих
случаях разработчики вирусов были заинтересованы в сохранении работоспо­
собности поражённого вирусом компьютера. Поэтому успешность борьбы пропротив вирусов определялась, главным образом, балансом между всё услож­
нявшейся техникой сокрытия вирусов от антивирусных средств и, в ответ, раз­
рабатываемыми антивирусными rootkit-технологиями.
Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 7 =
————————————————————————————————————————————————————————————————————————————————
Провозвестником нового поколения компьютерных вирусов стал Trojan.Encoder, шифрующий тайком от пользователя информацию его HDD и по
завершении процесса требующий от пользователя оплатить доступ к зашифро­
ванной информации, обычно SMS-сообщением на короткий мобильный номер.
При этом, в ходе шифрации, отнимающей заметное время, в файловую систему
поражённой ОС на время вставлялись специальные блоки-расшифровщики, со­
храняя видимость нормальной работы компьютера до предъявления финально­
го требования об оплате.
Бурное развитие SMS-услуг мобильной связи с автоматическим снятием
денег со счёта абонента по нестандартным ценам при отправке сообщения на
короткий номер спровоцировало совершенно новый класс компьютерных виру­
сов, названных WinLock, когда задачей вируса стало предъявление требования
на отправку SMS и блокировка работы ПК до ввода специального кода. Ожида­
лось, что пользователь, отправив SMS, в ответ получит на свой мобильный те­
лефон код разблокировки и введёт его в «зависший» компьютер через специ­
альное поле в окне, открытом вирусом. В этих условиях, сохранение работо­
способности всех функций операционной системы стало для авторов вирусов
уже необязательным. Наоборот, с развитием технологий в подобных вирусах
предпринимались всё более настойчивые попытки заблокировать большинство
функций операционной системы.
Так, если в марте 2011 г. авторам этой статьи оказалось возможным вы­
полнить ряд успешных излечений вручную, вообще без помощи каких-либо ан­
тивирусных средств1, то уже к осени 2011 г. это стало невозможным. Сначала
окно выдачи сообщений вируса «потеряло» рамку с косым крестом и стало не1
через анализ реестра и блокирование запуска с последующей перезагрузкой
= 8 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
————————————————————————————————————————————————————————————————————————————————
удаляемым с помощью «мыши», затем оно перестало удаляться с помощью
стандартной клавиатурной комбинации закрытия окна Alt-F4, а современные
варианты вируса не позволяют открыть даже Диспетчер задач через Ctrl-AltDel. Сначала при работе вируса запуски прочих программ не блокировались,
затем стали блокироваться запуски ведущих антивирусных программ, а потом и
всех программ вообще. Впоследствии запуск вируса при включении компьюте­
ра был добавлен также в защищённом (Safe Mode) режиме, а затем очень скоро
все успешные «достижения» вирусных технологий были перенесены и в этот
режим. Кульминацией этой борьбы явилось пришедшая кому-то идея о том, что
даже высылать код разблокировки и реально восстанавливать работоспособ­
ность ПК вовсе не обязательно: ведь деньги уже получены…
В описанных условиях наступил, по сути, кризис антивирусных скане­
ров, который к середине 2011 г. проявился уже в полной мере: если запуск
сканера невозможен вообще, то и говорить не о чем.
Использование внешних Windows-систем
В связи с изложенным выше, Антивирусной службой ЦЭМИ РАН была
использована возможность операционной системы Microsoft Windows’XP под­
соединения в «горячем» режиме к работающей системе HDD, изъятого из сто­
роннего компьютера, с корректным сохранением буквенных идентификаторов
основного HDD даже после перезагрузки системы. Соответствующее устройст­
во (Rack-Mount для HDD с возможностью hot swap) много лет было установле­
но на рабочем ПК Антивирусной службы, хотя использовалось до этого, глав­
ным образом, для переброски файлов большого объёма ещё до появления USBHDD. Таким образом, Антивирусной службой ЦЭМИ РАН был внедрён в прак­
тику метод лечения компьютеров, заключающийся в физическом изъятии HDD
Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 9 =
————————————————————————————————————————————————————————————————————————————————
поражённого ПК, подключения его как дополнительного HDD на рабочей стан­
ции Антивирусной службы и запуска стандартного сканера с указанием прове­
рить и лечить нужные тома второго, заражённого HDD.
Описанный метод подключения второго HDD был опробован ещё на Mi­
crosoft Windows’2000, хотя для этой ОС метод имел весьма ограниченное при­
менение ввиду невозможности подключения вторичного HDD с более чем
единственным разделом (томом), иначе «сбивались» буквенные обозначения
томов. Реально «горячее» подключение работало на этой ОС весьма неустойчи­
во и зачастую приводило к блокировке работы системы.
Практические рекомендации: для материнских плат, при конфигурирова­
нии ПК с Rack-Mount на основе IDE-интерфейса, подсоединяемый HDD следу­
ет подключа ть ко второму (IDE -1) кан алу с установкой DIP-переключателей
Master (при этом допускается наличие ATAPI-устройства, подсоединённых к
тому же IDE-1 в режиме Slave, обычно, DVD-RAM). Если после «горячего»
подключения вторичный HDD автоматически не опознаётся, можно иницииро­
вать его подключение через Диспетчер устройств. Перед отключением вторич­
ного HDD, настоятельно рекомендуется исключить устройство из списка опять
же через Диспетчер устройств.
При использовании шины sATA (большинство устройств Rack-mount
поддерживает Hot swap) следует присоединять носитель для внешнего HDD на
больший номер, чем sATA основного HDD. Отличие же от IDE-интерфейса в
том, что для отключения зачастую можно использовать значок отключения
присоединяемых USB- и sATA-устройств на системном трее Панели задач.
Заканчивая рассмотрение использования внешних Windows-систем для
лечения, ради полноты обзора стоит остановиться на нескольких вариантах, ко-
= 1 0 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
————————————————————————————————————————————————————————————————————————————————
торые непредубеждённому читателю могут показаться экзотическими, но все
они в разное время были апробированы и имеют право на рассмотрение.
Первым из таковых вариантов является наличие второй операционной
системы на том же компьютере. Как известно, HDD может содержать несколь­
ко разделов; современные ёмкости HDD это вполне позволяют. Начиная с Mi­
crosoft Windows’2000, загрузочные файлы операционных систем вполне допус­
кают наличие нескольких ОС на разных томах одного и того же HDD. Меню
запуска операционной системы (файл boot.ini на загрузочном томе) также до­
пускает выбор нужной ОС. Долгое время на основной рабочей станции Анти­
вирусной службы были 2 ОС: Windows’2000 в нижнем разделе диска и Windows’XP в верхнем, свыше 120Gb. Находясь в Windows’2000, которая не читает
разделы на HDD, начинающиеся свыше 120Gb, можно было быть уверенным,
что никакие вирусы никогда не затронут Windows’XP. В то же время, загрузка в
заведомо чистой Windows’XP вполне позволяет проверять на вирусы все разде­
лы HDD, в том числе и «нижнюю» ОС. В ситуации, когда необходимо реально
обеспечить круглосуточную работу этой рабочей станции независимо от теку­
щей ситуации при установке той или иной программы, наличие двух ОС при
жёстком соблюдении правил их использования представляется лучшим вариан­
том. Почтовые файлы при этом наход ятся в выделенном , а не стандартном,
месте и используются идентичными копиями почтовых программ в разных ОС.
Вторым из нестандартных вариантов использования внешних операцион­
ных систем является наличие виртуальной машины (VM). Все работы, могущие
повлечь за собой вирусное заражение, при этом следует исполнять на вирту­
альной машине, которая после отключения VM или всего компьютера автома­
тически исчезает, а несущая ОС всегда остаётся чистой. Эта возможность прак-
Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 1 =
————————————————————————————————————————————————————————————————————————————————
тически не используется на рабочей станции Антивирусной службы, поскольку
этот ПК эксплуатируется в круглосуточном режиме.
Третья возможность нестандартного использования операционной систе­
мы – постоянная загрузка со специального загрузочного диска Windows, со­
держащего все необходимые файлы для инициирования ОС и потому заведомо
не содержащего вирусов. Эта возможность требует серьёзных усилий по созда­
нию адекватной среды и критична к регулярной установке нового программно­
го обеспечения, поэтому Антивирусной службой не используется.
Ради полноты описания следует сказать, что существует и четвёртый ва­
риант временной операционной системы, определяющейся в момент загрузки –
сетевой, когда основные файл ы операционной системы принимаются и под­
гружаются по локальной сети со специального сервера. Однако, планировав­
шийся несколько лет назад в ЦЭМИ РАН подобный сервис по разным причи­
нам не был доведён до практической реализации.
Использование внешних *nix-систем на CD
Откликаясь на вирусы группы Winlock, а заодно и на ряд других групп
вирусов, ведущие вендоры антивирусных средств предложили принципиально
новое решение: загрузка иной, не-Windows, внешней операционной системы со
специально созданного загрузочного компакт-диска (Bootable CD), предназна­
ченного именно для оперативного лечения Windows-систем.
Следует сказать, что уже давно существовали загрузочные диски с «ми­
ни-Windows», позволявшие, к примеру, переустановить любой из паролей ос­
новной установленной на ПК ОС без указания действующего пароля (ERDCommander). Можно было также исправить реестр поражённого ПК, внести из­
менения в область загрузки, а также запустить антивирусный сканер при усло-
= 1 2 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
————————————————————————————————————————————————————————————————————————————————
вии, что он расположен на том же самом загрузочном CD с «мини-Windows».
Однако, большого распространения такая технология не получила. Во-первых,
при каждом обновлении сканера (а антивирусные базы ведуших вендоров об­
новляются каждый час) требовалось бы формировать новый CD, что неудобно.
Во-вторых, означенная «мини-Windows» должна быть того же класса, что и по­
ражённая; при фактическом использовании полудюжины версий ОС в ЦЭМИ
РАН, например, постоянное переформирование 6 новых версий CD было бы за­
труднительным.
Решением явилось создание сканера, исполняемого в одной из Unixобразных сред и допускающего оперативное обновление через Интернет-соеди­
нение. Разумеется, в такой комплект включены средства, автоматически монти­
рующие текущие тома HDD пользователя и выполняющие иные настройки (на
используемую видеосистему, «мышь» и др.). Существенной особенностью дан­
ной технологии является то, что обеззараживаемый ПК обеспечен Интернетподключением, через которое можно оперативно скачать обновления антиви­
русных баз, выпущенные с момента с оздания CD. Именно эта возможность
обеспечила реальную эффективность применения данной технологии.
Среди отечественных вендоров, два наиболее популярных имеют в на­
стоящее время собственные загрузочные системы на CD-ROM, позволяющие
излечение от вирусов. «Лаборатория Касперского» выпустила “Kaspersky Res­
cue Disk 10”, ООО «Доктор Веб» выпустило “Dr.Web Live CD 6”. Ниже рас­
сматриваются оба этих продукта.
Kaspersky Rescue Disk 10
Этот продукт сделан на основе модификации Gentoo 8. 5 релиза 3.0.13
(информация получена командами “uname --version” и “uname --release”). При
Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 3 =
————————————————————————————————————————————————————————————————————————————————
загрузке с CD (полезный объём 248Мб), в графическом режиме высокого раз­
решения в течение 10с предлагается нажать клавишу, иначе далее последует за­
грузка с HDD. После нажатия клавиши, система предлагает выбрать язык диа­
лога из обширного списка, затем подтверждение лицензии, затем основную
функцию – работу в графическом режиме, работу в текстовом режиме (через
Midnight Commander), показ списка оборудования и др. После загрузки основ­
ного, графического режима уже открыто приложение “Kaspersky Rescue Disk”,
собственно, и выполняющее подгрузку антивирусных баз и оперативную про­
верку. Из других приложений, вызовом с рабочего стола доступны Kaspersky
Registry Editor, файловые папки по числу томов, веб-браузер. Через стартовую
кнопку в меню запуска приложений доступны функции настройки сети, выпол­
нение снимка с экрана в формате JPG, исполнение консольных команд через
пункт «Терминал» (в т.ч. терминальной командой “mc” можно вызвать Mid­
night Commander 4.72 с имеющимся на русском языке меню пользователя).
Настройки сети по умолчанию установлены на получение всей информа­
ции через DHCP; однако, можно прописать и реальные IP-адреса (собственный,
гейта и DNS-серверов). Обновление баз в антивирусном сканере не начнётся до
явного приказа пользователя. Практически по каждому пункту приложения
“Kaspersky Rescue Disk” имеется вызов контекстной справки на русском языке.
Антивирусная проверка может включать сигнатурный и трёхуровневый
эвристический анализаторы; присутствует настройка, разрешающая не распа­
ковывать файлы большого (по ум., свыше 100Мб) размера. Имеется карантин с
функцией восстановления перемещённых файлов по желанию пользователя.
Для оперативных целей используется первый том на первом логическом
диске. По завершении работы, там остаются в зашифрованном виде подгру-
= 1 4 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
————————————————————————————————————————————————————————————————————————————————
женные базы, отчёт и служебная информация. Во время работы допускается
оперативное подключение USB-носителей.
DrWeb Live CD 6.0
Этот продукт сделан на основе модификации Linux 2.6.30 (информация
получена командой “uname –a”). При загрузке с CD (полезный объём 175Мб), в
графическом режиме высокого разрешения в течение 10с предлагается выбрать
нужный пункт по меню, иначе далее последует старт Linux. Другие возможно­
сти: Старт с локального HDD, Тестирование памяти.
После нажатия клавиши, система осуществляет загрузку и настройкку
графического ядра (прогресс-индикатор, по давней излюбленной привычке
компании «Доктор Веб», продвигается непропорционально по времени, «за­
стревая» на цифрах 59%, 68%, 81%) и открывает первый из 4-х возможных Ра­
бочих столов, на котором уже открыт “DrWeb Control Center”, состоящий из
блоков: Сканер, Карантин, Результаты, Updater (причём обновление антивирус­
ных баз стартовало автоматически). На панели задач имеются приложения:
Terminal, Internet, Mail; на рабочих столах присутствуют ярлыки FireFox 3.6.3,
Mail, Terminal, Create LiveUSB, Midnight Commander 4.7.0.3. Через стартовую
кнопку доступны также: Sulphead, Settings (Настройки меню, Настройки сети,
Настройки Openbox, Настройки Xorg) и Utility (Create LiveUSB, LeafPad, MC,
Terminal).
Все вышеуказанные заглавия и вся работа с приложениями сделаны на
английском языке. Однако, при выборе выхода на стартовой кнопке (Quit) не­
ожиданно показывается меню Start Menu, включающее 13 пунктов, в том числе
выбор языка. Именно в этот момент (!) можно сменить язык на русский и зано-
Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 5 =
————————————————————————————————————————————————————————————————————————————————
во загрузить графическую оболочку (с исполнением новых настроек, новой
подгрузкой антивирусных баз и т.д.).
Настройки сети имеют далёкие от Windows-терминологии заглавия
«Хост», «Домен», «Шлюз», «Сервер имён», «IP-адрес» (при использовании
прямых адресов или отсутствии DHCP следует заполнить 3 последних пункта).
Автоматическое монтирование томов исполняется с иными буквами, чем
в Windows; присутствуют буквы подключённых до старта с CD USB-устройств.
Динамическое монтирование подключаемых в момент уже загруженной систе­
мы USB-устройств, к сожалению, не исполняется.
Рабочая область выделяется при инициализации системы на последнем
томе с именем REMOVE_THIS_FILE.livecd.swap объёмом в 500Мб. После пе­
резагрузки в Windows содержимое этой области недоступно, т.ч. при желании
сохранить какую-либо информацию после лечения (например, протокол работы
сканера), соответствующие файлы следует переписать с помощью Midnight
Commander’а до перезагрузки системы в нужное место (например, на заранее
подключённую USB-«флэшку»).
Настройки сканера стандартны для сканеров DrWeb: нельзя задать глуби­
ну эвристического анализатора (но можно его отключить вообще), нельзя про­
пускать файлы слишком большого объёма, по умолчанию завирусованные фай­
лы перемещаются в карантин (не сохраняемый после выхода из системы).
Встроенная контекстная справка отсутствует. Редактор реестра, в тради­
циях DrWeb, также отсутствует.
Заслуживают внимания такие функции, как тестирование оперативной
памяти, присутствие 4-х Рабочих столов, возможность создания оперативных
заметок с помощью LeafPad.
= 1 6 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
————————————————————————————————————————————————————————————————————————————————
Результаты сравнения возможностей двух систем
Целью данной статьи не является сравнение полноты удаления вирусов и
качества излечения; в нашу задачу входило проанализировать возможности
предложенных средств и определить удобство их использования.
Исходным положением сравнения была легкодоступность и понятность
работы с излечивающим средством обычного системного администратора, не
знакомого в целом с *nix-образными системами. Задачами излечения нам пред­
ставляются следующие:
– лёгкость загрузки системы и подготовки её к излечению ПК;
– исполнение полного антивирусного излечения;
– возможное сохранение в отдельном месте заражённых файлов для по­
следующей отправки их в Антивирусные лаборатории или собственного иссле­
дования;
– сохранение Отчёта об излечении компьютера.
Анализировались также функциональная полнота предложенных средств
и удобство использования. Сводные данные представлены ниже в таблице 1.
Одним из самых важных различий представляется различное наименова­
ние дисковых томов в рассмотренных средствах оперативного лечения. Факти­
ческое распределение дискового пространства тестовой рабочей станции Анти­
вирусной службы и буквенные имена разделов в MS-DOS, Windows’XP и обеих
лечащих дисковых системах представлены в таблице 2.
Объяснение того, почему и зачем на одном ПК необходимо наличие 3-х
операционных систем, выходит за рамки данной статьи. Однако факт, что
“Kaspersky Rescue Disk 10” даёт более адекватное представление по буквенным
именам устройств, неопровержим.
Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 7 =
Таблица 1 .
Описание возможности
Kaspersky
DrWeb
Проверка оперативной памяти
–
+
Определение состава устройств
+
–
Русский язык
+
+
Обновление антивирусных баз
По приказу
Автом.
Настройка на прямые IP-адреса
+
+
Монтирование заранее подключенных USB
+
+
Оперативное подключение USB-устройств
+
–
Соответствие букв устройств Windows
+
–
Возможность нескольких рабочих столов
–
+
Редактор реестра
+
–
Возможность сохранения отчёта в текст.виде
–
+
Доступ к карантину после выхода из *nix
–
–
Midnight Commander
+
+
Браузер
+
+
Возможность делать оперативные заметки
+
–
Отключение эвристического анализатора
+
+
Удобство перезагрузки с HDD после лечения
+
–
Удобство удаления рабочих файлов
–
+
Основные параметры сравнения двух загрузочных лечащих CD-дисков
Вторым по важности существенным различием двух рассмотренных сис­
тем мы считаем возможность сохранения текстового отчёта об излечении. Здесь
явное преимущество имеет “DrWeb Live CD 6” – в нём возможен простой пере-
= 1 8 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
————————————————————————————————————————————————————————————————————————————————
нос текстового отчёта из области формирования на любой раздел HDD или за­
ранее вставленное USB-устройство, что сохраняет отчёт в читабельном виде.
Таблица 2.
Буквенное наименование в разных ОС 2
Объём
Формат
раздела
раздела
HDD, Primary, MBR
2047Mb
FAT16
C:
C:
HDD, 2-й Primary
2047Mb
FAT16
D:
28Gb FAT32
Тип тома
HDD, Extension
DOS
Win’2k Win’XP
Kasp
DrWeb
C:
C:
C:
F:
F:
F:
D:
—
D:
D:
D:
F:
—
E:
E:
E:
G:
NTFS
—
—
G:
G:
E:
104Gb NTFS
HDD, 3-й Primary
112Gb
Первый CD-ROM
—
—
E:
G:
H:
—
—
Второй DVD-ROM
—
—
F:
H:
I:
H:
—
Наименования томов одного и того же ПК в различных системах.
Третьим по важности мы считаем наличие встроенного редактора реестра
в лечащем диске Лаборатории Каспер ского. Давняя традиция ООО «Доктор
Веб» не удалять ветви реестра, имеющие отношение к вирусным файлам, нам
хорошо знакома. Хотя формально, действительно, удаление вирусного кода до­
статочно для блокирования заражения, однако приведение в порядок реестра
при этом возлагается на плечи системного администратора, что представляется
нам неудобным. Отсутствие же средств сразу после излечения, на месте, под­
править реестр вызывает необходимость сохранять отчёт и после перезагрузки
делать правки реестра в уже излечённой системе, ориентируясь на сохранённый
отчёт. Эти процедуры представляются неоправданно затруднёнными.
Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 1 9 =
————————————————————————————————————————————————————————————————————————————————
Прочие различия, на наш взгляд, не имеют принципиального значения.
Приятно иметь возможность проверить оперативную память или выявить кон­
фигурацию оборудования, но эти сервисы, так же, как посылка E-Mail и другие
дополнения к основным свойствам, представляются редко используемыми.
Стоит отметить также то, что возможность использования указанных ле­
чащих средств сильно зависит от аппаратной конфигурации компьютера. К
примеру, на Антивирусном сервере ЦЭМИ РАН, оснащённом аппаратным Raid
1 (зеркало) на основе контроллера 3ware SATA RAID Controller 9650-2LP, доступ
к дисковым томам оказался успешным с обоих лечащих средств. В то же время,
на другом сервере, оснащённым аппаратным Raid 5, оба указанных средства не
смогли успешно распознать и монтировать локальные тома.
Суммируя, можно сказать, что однозначно опред елить лидера из двух
представленных систем затруднительно ввиду различий функциональных воз­
можностей. Однако, по удобству работы преимущество, на наш взгляд, имеет
лечащий диск Лаборатории Касперского.
Использование внешних *nix-систем на USB-устройствах
Современные тенденции развития персональных компьютерных средств в
последнее время существенно акцентированы на продажи нетбуков – умень­
шенных и значительно облегчённых ноутбуков, уже не содержащих в себе
DVD-привода. Таким образом, приведённые варианты лечения возможны толь­
ко при условии подключения к нетбукам внешних DVD через USB-соединение.
Однако, намного проще оказалось столь громоздкое устройство заменить обыч­
ным flash-USB, с большинства которых теперь также возможна загрузка.
2
) Операционная система MS-DOS находится в разделе MBR. Windows’2000 установлена в
первой области HDD-Extensio n (FAT-32). Windows’XP устано влена в 3м разделе Pr imary,
= 2 0 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
————————————————————————————————————————————————————————————————————————————————
Оба исследованных вендора в составе рассмотренных лечащих дисков и
помимо них предлагают утилиты создания загрузочной «флэшки». Особенно­
стями этого варианта являются необходимость форматирования флэш-носителя
именно в формате FAT32, а также невозможность повторного формирования
загрузочной flash-USB без предварительного форматирования.
В обоих случаях средства, загружаемые со сформированной flash-USB,
полностью адекватны своим CD-аналогам.
Рассмотренный вариант нельзя пока что принять универсальным. Вопервых, многие из до сих пор используемых материнских плат не позволяют
исполнять загрузку с флэш-накопителей. Во-вторых, использование флэшек для
загрузки предполагает, как уже было сказано, их разметку в устаревшем фор­
мате FAT32, а современная тенденция пользователей при использовании флэшнакопителей явно ориентирована на хранение на них видеоконтента объёмами
свыше 1Gb (стандартный фильм занимает 2-4Gb одним куском), что требует
разметки в формате NTFS. Впрочем, при современной стоимости flash-USBносителей, наличие выделенной «флэшки» для лечения вполне оправданно.
Заключение
Как можно видеть из рассмотренного, задействование внешних операци­
онных систем оказалось удобным выходом из кризисного тупика, в котором из­
лечение «изнутри» поражённой операционной системы невозможно. Естест­
венным выходом оказалось использование внешних операционных систем
класса Unix как наиболее легко динам ически адаптируемых к излечиваемой
версии Microsoft Windows, набору локальных дисковых томов и формату их
разметки (FAT-16, FAT-32 и NTFS).
свыше 120Gb, который не виден в Windows’2000.
Лечение компьютерных вирусов на ПК с помощью подключения внешних операционных систем = 2 1 =
————————————————————————————————————————————————————————————————————————————————
Рассмотрены два базовых варианта отечественных антивирусных средств
– “Kaspersky Rescue Disk 10” и “DrWeb Live CD 6”. Построенные на разных
платформах, оба варианта позволяют выполнять успешное излечение поражён­
ных операционных систем персональных компьютеров как в варианте рабочей
станции, так и в варианте сервера. Ограничением на их использование является
задействование на поражённой системе нестандартных аппаратных средств
подключения локальных томов, типа Raid-массивов, отличных от «зеркал».
Осуществлённая в обоих рассмотренных вариантах возможность подгрузки антивирусных баз через существующее соединение с Интернетом обес­
печивает актуальность задействуемых антивирусных средств.
Учитывая сравнительно короткое время загрузки и актуализации предло­
женных средств (3-5 минут) по сравнению с временем просмотра всех файлов
поражённого компьютера (несколько часов), использование загрузочных Unixобразных систем может быть рекомендовано и для лечения тех ПК, где воз­
можно лечение штатными средствами – особенно в тех случаях, когда из-за
важности ПК (сервер) или по иным причинам заранее известна необходимость
сплошной проверки всех файлов компьютера.
Возможность задействования описанных лечащих антивирусных средств
с flash-USB расширяет диапазон их применения на современные портативные
нетбуки и ноутбуки без CD.
Использование рассмотренных средств опробовано и внедрено в практи­
ку в ЦЭМИ РАН, где уже выполнен ряд успешных излечений поражённых ПК с
помощью описанных средств как в варианте CD, так и в варианте flash-USB.
= 2 2 = Развитие технологий и инструментальных средств информационной безопасности. Вып. 2.
—————————————————————————————————————————————————————————————————————————————
Литература
1. Интернет-ресурс, содержащий “Kaspersky Rescue Disk”
http://www.kaspersky.ru/virusscanner
2. Интернет-ресурс, содержащий “DrWeb Live CD”
http://download.geo.drweb.com/pub/drweb/livecd/