Jak se uchránit a co dělat s viry

Pozor! Tento text je dost starý, pro informace o aktuálních virech jděte např. na viry.cz

Příklad z praxe >>

1. Prevence

Před viry bychom se měli preventivně bránit hlavně neopomíjitelným scanováním nových programů a zálohováním. Proscanovat nejnovějším antivirem bychom měli vždy nové programy, které spouštíme, a dokumenty. Dále je třeba čas od času "prohlédnout" celý harddisk, jestli něco nebylo opomenuto a nebylo to případným zdrojem nákazy. Pokud Vám na datech jen trochu více záleží a měli byste několik desítek mega (podle velikosti harddisku) volných, měli byste zálohovat (nejlépe nějakým zabalovačem kvůli menší velikosti) všechny soubory na harddisku. Dále byste se měli připravit na opravdovou nákazu. Co je zapotřebí: mít alespoň 2 bootovací diskety (vytvořené příkazem "sys a:") chráněné proti zápisu a antivirový program. Můžete taky nakopírovat i program SYS.COM (nebo SYS.EXE), FORMAT.COM nebo EXE a nějaký textový prohlížeč (Volkov nebo Norton Commander, M602 či obyčejný prohlížeč) - vše pro DOS(!) na disketách. Pro zpřesnění: bootovací disketa je taková disketa, z které lze "nastartovat" počítač. Tolik k prevenci.


2. Co dělat, když je počítač "zavirován"

Předně - tuhle část byste si měli napsat na papír či vytisknout a uchovávat jako "oko v hlavě". Nikdy nevíte, co se Vám přitrefí...
Nezpanikařte, zachovejte klid a řiďte se podle následujících pokynů. Napřed vypněte počítač. Pokud jste ve Windows, neukončujte ho, ale zastavte všechny diskové operace a vypněte počítač. Nyní se dejte do hledání alespoň jedné bootovací diskety. Nestartujte počítač bez ní! Pokud není chráněna proti zápisu, přepněte ji tak. Vložte disketu do mechaniky. Nyní zapněte počítač. Pokud si nejste jistí, zda-li počítač bude chtít z diskety startovat jako první, vstupte do BIOSu. Jak do něj vstoupit: Při počáteční obrazovce počítače by se měla objevit hláška typu:
Press DEL to enter Setup Utility
Nemusí to být zrovna DEL, nemusi to být Setup Utility, ale když něco takového uvidíte, stiskněte příslušné tlačítko. V případě nestihnutí ihned resetujte počítač tlačítkem Reset! Pokud jste už v BIOSU (je to takový výběr), najdete v jedné z rubrik (obvykle to bývá někde na začátku) pořadí bootování. Pokud tam bude "C,A", je to špatně. Disk A musí být před diskem C (do toho se může míchat i CDROM)! Změňte to na pořadí dle návodu a odejděte z BIOSu. Pokud si nejste jistí, že jste přepsali jenom tohle, radši dejte "EXIT WITHOUT SAVING" a zkuste to znova! V opačném případě odklepněte "EXIT WITH SAVING".
Dejme tomu, ze již bezpečně víte, že počítač bude bootovat jako první z diskety. Bootovací disketa je v mechanice a v klidu můžete restartovat počítač. Pokud vidíte, ze počítač nebootuje z diskety, resetněte ho a zkuste to znova. Nyní jste tedy již nastartovali počítač z diskety. Teď se chopte antiviru a spusťte jej. Nechte ho prohledat celý harddisk a vypisujte si na papír, co je nakaženo. Pokud antivir umí i léčit, nechte ho to i vyléčit. V opačném případě musíte soubory smazat. Pokud je nakažen nějaký dokument a jeho obsah je životně důležitý, použijte nějaký jednoduchý(!) prohlížeč (který jste si nahráli na disketu) a zkuste se s jeho pomocí v dokumentu vyznat. Sem tam uvidíte nějaký utržek textu. Takto můžete zkompletovat celý text.
Pokud je nakažen i boot sektor harddisku, máte v podstatě čtyři možnosti:
1. Boot sektor přepsat. A to pomocí programu SYS. Zadejte "sys c:". Pozor! Pokud jste neměli pouze DOS, tak o další operační systémy přijdete. Fyzicky tam sice budou, ale kvůli přepsanému boot sektoru nepůjdou nastartovat.
2. Zformátovat celý harddisk. Toto můžete udělat v případě, že Vám na datech nezáleží (případně máte náhradní zdroj). Zformátováním disku zmizí nejen data, ale i operační systémy. Zadáte: "format c: /u /b /s". Parametr "/u" znamená úplné zformátování, "/b" je parametr nutný k formátování harddisku a "/s" je parametr zkopírující ihned po zformátování systémové soubory, takže potom lze nastartovat počítač i z harddisku.
3. Někde "splašit" léčící antivirový program Zkuste ho sehnat u znamých, kamaráda... vyplatí se to. Máte naději, že všechny data budou zachráněna.
4. Nechat boot sektor tak, jak je. Toto je možnost, kterou byste určitě měli zkusit. Je to jednoduchý: smažete všechny nakažené soubory a restartujete počítač z diskety znova! Jestli bude antivirus hlásit vir v boot sektoru pořád, musíte zkusit jeden z předcházejících bodů.




Příklad z praxe


Mám dost velký problém s černobylem. 26.4. jsem zapnul PC a aktivoval se. Smazal mi systém (WIN98) a 15GB dat (hlavně dokumenty - práce do školy). Vir mi zničil i "partyšny" (disk jsem měl rozdělený na tři).
Prý to jde přes LINUX nebo v DOSu použít NORTON UTILITIES.

Nejlepší, co můžete udělat, je použít Norton Disk Editor z Norton Utilities. Je možné, že pokud máte FAT32, NTFS apod., Norton Disk Editor ho nebude podporovat. V tom případě čtěte část o hledání souboru na disku přes clustery.

Pokud při spuštění říká, že běží v Read Only módu, jděte do Tools -> Configuration a odškrtněte políčko Read Only. Stiskněte Alt-D a zadejte disk, z kterého chcete získat data.

Nevím, jakou škodu dělá zrovna Černobyl, ale pokud budete mít štěstí, objevíte zde soubory a adresáře, které dříve na disku byly. Nejsou setříděné, ale to by příliš vadit nemělo. Adresáře se od souborů liší tím, že mají atribut Dir. Pokud budou adresáře označeny červeně, podíváte se, na jakém clusteru daný adresář je, zmáčknete Alt-C a do daného adresáře skočíte. Takto dojedete až k souboru, který chcete získat zpět. Do souboru se dostanete buďto Enterem, nebo stejným způsobem jako u adresářů přes clustery.

Zde platí pravidlo, že nejlepší je, když je soubor menší než je velikost clusteru. Pokud ano a pokud jste se do souboru dostali normálně Enterem, máte vyhráno: půjdete do Tools -> Write to... ->to a File a napíšete, kam chcete soubor uložit (nejlépe na disketu).

Pokud jste se do souboru dostal přes clustery, musíte nějak uhodnout, jak je asi soubor veliký a podle toho zadat konečný cluster. Pokud nevíte, jak veliký máte cluster, jděte do Info -> Drive Info a vynásobte hodnoty "Bytes per sector" a "Sectors per cluster". Já například mám sektor veliký 32768 bajtů. Pokud jste tedy při zadávání sektorů dal správný počet clusterů (obecně je lepší více než méně), uložíte je do souboru. Při tom postupujete stejně jako u předchozího případu.

Pokud to štěstí nemáte a při otevření disku se žádné názvy souboru neobjeví, musíte hledat dokumenty ručně. Bohužel 15 GB je hodně dat, ale přesto to lze. Zde máte 2 možnosti: hledat podle obsahu nebo identifikátoru formátu. Hledání se v Norton Disk Editoru provádí Ctrl-S, opakované hledání Ctrl-G. Pokud je dokument prostý neformátovaný text (ne Word), bude uložen tak, jak je - stačí si vzpomenout na část obsahu. Pokud je text ve formátovaný v některém textovém formátu, nejlepší je podívat se k někomu jinému na strukturu tohoto formátu. Např. u Wordu se mezi jednotlivými znaky nacházejí znaky s nulovou ASCII hodnotou, u formátu RTF (Rich Text Format) je text psán normálně, zcela jinak jsou znaky s diakritikou. Obecně nedoporučuji hledat písmena s diakritikou vůbec, může být uložena různě.

Při hledání podle identifikátoru je třeba identifikátor znát. Opět je nejlepší se podívat na několik vzorků daného formátu. Identifikátor je konstantní posloupnost několika bajtů, které mají jednoznačně odlišit formát od jiných formátů a zpravidla bývá na začátku souboru nebo mezi prvními bajty souboru. Např. dokument Wordu a tabulka Excelu obsahují na začátku souboru hodnoty (binárně) D0 CF 11 E0 A B1 1A E1. Asi je jich víc, ale toto by mělo stačit. Formát RTF by měl na začátku obsahovat řetězec "{\rtf1\" (bez uvozovek). Pokud jsou bajty na začátku souboru, budou i na začátku clusteru. Při nalezení identikátoru je třeba se podívat trochu dále do souboru, zda je to ten soubor, který hledáme. Pokud ne, hledáme další identikátor.

Při nalezení souboru postupujte stejně jako u uložení do souboru, do kterého jste se dostal přes clustery (viz výše).

Může zde však nastat jeden problém: soubor bude větší než velikost clusteru a následující cluster nebude odpovídat datům, které mají pokračovat v souboru. Jinými slovy - soubor je fragmentovaný a mám jenom kousek souboru. Jedna z možností je ve FAT tabulce přečíst, na jakém clusteru soubor pokračuje. Toto neplatí, pokud virus smazal i FAT tabulku. Uvedený příklad platí pro FAT16 - v jiných FATkách jsem ho nezkoušel: Zapamatuji si první cluster, na kterém soubor začíná. Potom jdu do Object -> 1st copy of FAT (nebo stisknu Alt-F1). Tam si kurzorem najedu na pozici, kde mi program ukazuje, že je daný cluster. Na této pozici je napsáno, na kterém dalším clusteru soubor pokračuje. Na stejné pozici ve FATce je i další odkaz. Soubor končí ve chvíli, kdy je ve FATce hodnota <EOF>. Druhou možností je si vzpomenout na jinou část obsahu souboru a tu pak znovu nechat vyhledat. Tato možnost se dá využít zejména v případě, kdy virus FATku zničil či Norton Disk Editor nepodporuje daný typ FATky.


Aleš Janda