וירוסי מחשבים: תיאור, מניעה ושחזור

מאמר זה דן בשיטות שיכולות לסייע לקבוע אם המחשב שלך נדבק בווירוס, בתולעת או בסוס טרויאני, כיצד לשקם את המערכת לאחר הידבקות בווירוס, וכיצד למנוע הידבקות בעתיד.

וירוס הוא קוד שנכתב מתוך כוונה מפורשת שישכפל את עצמו. וירוס ינסה תמיד להפיץ את עצמו ממחשב למחשב על ידי היצמדות לתוכנית מארחת. וירוס עלול לגרום נזק לחומרה, לתוכנה או לנתונים. תולעת היא וירוס מסוג מסוים. תולעת בדרך כלל מתפשטת ללא פעולה מצד המשתמש, ומפיצה את עצמה בעותקים שלמים (לפעמים עם שינויים) על פני רשתות. תולעת עלולה 'לסתום' כליל את הזיכרון או את רוחב הפס ברשת, ולגרום למחשב להפסיק להגיב. וירוס שנראה, לכאורה, כמו תוכנית שימושית אך למעשה גורם נזק, הוא 'סוס טרויאני'.

נקוט פעולות למניעת וירוסים גם אם אינך נוהג לבקר באתרי אינטרנט לא מוכרים או לא מהימנים, ולפתוח קבצים שצורפו להודעות דואר אלקטרוני. תוכל לנקוט שלוש פעולות כדי להתחיל לשפר את האבטחה במחשבים עם מערכות הפעלה Windows: השתמש בחומת אש, קבל עדכונים שוטפים, והשתמש בתוכנת אנטי-וירוס. לקבלת הוראות שלב-אחר-שלב, עם הסברים כיצד לבצע את הפעולות הדרושות במערכת ההפעלה שלך, בקר באתר מיקרוסופט להגנה על מחשבים אישיים, בכתובת: במחשבים עם מערכת הפעלה Windows XP, האתר 'הגנה על המחשב האישי שלך' יוכל לגלות ולהגדיר באופן אוטומטי את התצורה של Internet Connection Firewall, לקבוע הגדרות בתכונה 'עדכונים אוטומטיים', ולספק מידע על תוכנות אנטי-וירוס. במחשב עם מערכת הפעלה Windows XP Service Pack 2,? Internet Connection Firewall נקראת 'חומת האש של Windows'? (WF).

לקבלת פרטים נוספים על החלק האוטומטי של אתר האינטרנט של מיקרוסופט 'הגנה על המחשב האישי שלך', לחץ על מספר המאמר הבא כדי להציג את המאמר מתוך Microsoft Knowledge Base: כדי לקבל תמיכה חינם בנושאים הקשורים בווירוסים בארה"ב או בקנדה, התקשר למס' ?(866) 727-2338. מחוץ לגבולות ארה"ב או קנדה, פנה אל סניף מיקרוסופט המקומי.

סימנים לנוכחות וירוסים, תולעים וסוסים טרויאניים

אם יש חשד או אישור לחשד שהמחשב שלך נגוע בווירוס, השג תוכנת אנטי-וירוס מעודכנת. כאשר וירוס מדביק את הודעות הדואר האלקטרוני שלך או קבצים אחרים, הוא עשוי להשפיע על המחשב שלך באופן הבא:

• הקובץ הנגוע עלול לשכפל את עצמו. במצב כזה, הוא עלול לגזול את כל השטח הפנוי בדיסק הקשיח.
• עותק של הקובץ הנגוע עלול להישלח לכל הכתובות בפנקס הכתובות שלך.
• הווירוס עלול לפרמט את כונני הדיסקים שלך ולמחוק קבצים ותוכניות.
• הווירוס עלול להתקין תוכניות נסתרות, כמו למשל תוכנות גנובות. לאחר מכן יהיה אפשר להפיץ ולמכור את התוכנות הגנובות דרך המחשב שלך.
• הווירוס עלול לפגוע באבטחה. דבר זה יאפשר לפולשים לקבל גישה מרחוק אל המחשב או אל הרשת שלך.

התופעות הבאות נגרמות במקרים רבים על ידי וירוסים, או קשורות בנוכחותם:

• קיבלת הודעת דואר אלקטרוני עם קובץ מצורף מוזר. כאשר פתחת את הקובץ המצורף, הופיעה תיבת דו-שיח או חלה ירידה פתאומית בביצועי המערכת.
• קיבלת ופתחת לאחרונה קובץ מצורף עם סיומת כפולה, כמו ?.jpg.vbs או ?.gif.exe
• תוכנת אנטי-וירוס שברשותך מפסיקה לפעול ללא סיבה ואין אפשרות להפעיל אותה מחדש.
• אינך מצליח להתקין במחשב תוכנית אנטי-וירוס, או שתוכנית מותקנת מסרבת לפעול.
• תיבות דו-שיח או תיבות הודעה מוזרות מופיעות על המסך.
• מישהו אומר לך שקיבל ממך לאחרונה הודעות דואר אלקטרוני עם קבצים מצורפים (בעיקר קבצים עם סיומות ?.exe,? ?.bat,? ?.scr ו- ?.vbs) שכלל לא שלחת.
• סמלים חדשים מופיעים בשולחן העבודה מבלי שהצבת אותם שם ומבלי שיהיו קשורים בשום תוכנית שהתקנת לאחרונה.
• הרמקולים משמיעים צלילים מוזרים או מוזיקה באופן לא צפוי.
• תוכנית נעלמה מהמחשב מבלי שהסרת אותה.

וירוס עלול לגרום גם לתופעות הבאות, אך אלה עשויות להיות גם תוצאה של פונקציות רגילות של Windows, או של בעיות במערכת ההפעלה שאינן קשורות בנוכחות של וירוס.

• לא ניתן להפעיל את מערכת Windows, על אף שלא ביצעת שום שינוי במערכת ולא התקנת או הסרת שום תוכנית.
• יש פעילות ערה במודם. אם ברשותך מודם חיצוני, ייתכן ששמת לב שהנוריות מהבהבות יתר על המידה גם כאשר המודם כלל אינו בשימוש. ייתכן שהמערכת שלך מספקת תוכנות גנובות ללא ידיעתך.
• הפעלת מערכת Windows אינה מתאפשרת משום שחסרים קובצי מערכת קריטיים, ועל המסך מופיעה הודעת שגיאה ובה רשימת כל הקבצים החסרים.
• לפעמים המחשב מופעל כרגיל, אך בהזדמנויות אחרות הוא מפסיק להגיב עוד לפני הופעת סמלי שולחן העבודה ושורת המשימות.
• המחשב פועל לאט מאוד וההפעלה נמשכת זמן רב.
• מתקבלות הודעות 'אין די זיכרון' על אף שבמחשב מותקנת כמות גדולה של זיכרון RAM.
• ההתקנה של תוכניות חדשות אינה מתבצעת כיאות.
• מתבצעת הפעלה מחדש לא צפויה של מערכת Windows.
• תוכניות שפעלו בעבר אינן מגיבות לעתים קרובות. כאשר אתה מנסה להסיר את התוכנה ולהתקינה מחדש, הבעיה נמשכת.
• תוכנית שירות כמו Scandisk מדווחת על כמות גדולה של שגיאות דיסק חמורות.
• מחיצה כלשהי נעלמת.
• המחשב תמיד מפסיק להגיב כאשר אתה מנסה להפעיל מוצרים מסדרת Microsoft Office.
• אינך מצליח להפעיל את 'מנהל המשימות' של Windows.
• תוכנית האנטי-וירוס מדווחת על נוכחות וירוס.

שיקום מהידבקות ומניעת וירוסים

כדי למנוע הידבקות בווירוס, או כדי לשקם את המערכת בעקבות תקיפת וירוס, פעל באופן הבא:

1. השתמש בחומת אש לאינטרנט.
   חומת אש היא תוכנה או חומרה, היוצרת מחסום הגנה החוצץ בין המחשב שלך לבין תכנים העלולים לגרום לו נזק דרך האינטרנט. חומת האש מסייעת לשמור על המחשב מפני משתמשים זדוניים, וירוסים ותולעים.
   
   השתמש בחומת אש רק בחיבורי רשת המשמשים אותך להתחברות ישירה אל האינטרנט. לדוגמה, השתמש בחומת אש במחשב בודד שמחובר לאינטרנט במישרין באמצעות מודם כבלים, מודם DSL או מודם חיבור-בחיוג. אם אתה משתמש באותו חיבור רשת כדי להתחבר הן לאינטרנט והן לרשת הביתית או המשרדית, השתמש בנתב או בחומת אש שימנעו ממחשבי אינטרנט את היכולת להתחבר למשאבים המשותפים במחשבים הביתיים או המשרדיים. אל תשתמש בחומת אש בחיבורים המשמשים אותך כדי להתחבר אל הרשת הביתית או המשרדית, אלא אם כן אפשר להגדיר את חומת האש כך שתפתח את היציאות רק לרשת הביתית או המשרדית. אם אתה מתחבר לאינטרנט באמצעות רשת ביתית או משרדית, אפשר להסתפק בהפעלת חומת אש רק במחשב או בהתקן (למשל, נתב) היוצר בפועל את החיבור לאינטרנט. לדוגמה, אם אתה מתחבר לאינטרנט באמצעות רשת שאתה מנהל, והרשת משתמשת בשיתוף חיבורים כדי לאפשר גישה לאינטרנט למחשבים מרובים, תוכל להסתפק בהתקנה או בהפעלה של חומת אש בחיבור האינטרנט המשותף בלבד. אם אתה מתחבר לאינטרנט באמצעות רשת שאינה בניהולך, הקפד לוודא שמנהל הרשת מפעיל חומת אש.
   
   הערה אם אתה משתמש בחומת אש בכל המחשבים ברשת הביתית או המשרדית, ייתכן שלא תצליח כלל לגלוש (לחפש) ולאתר מחשבים אחרים ברשת הביתית או המשרדית, וייתכן שלא תצליח לשתף קבצים עם מחשבים אחרים ברשת. לקבלת פרטים נוספים על בעיה זו, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
   298804  (http://support.microsoft.com/kb/298804/ ) חומות אש לאינטרנט עלולות למנוע גלישה ושיתוף קבצים (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

   Windows XP;? Windows Server 2003, Standard Edition;? Windows Server 2003, Enterprise Edition

   אם ברשותך אחת ממערכות ההפעלה הבאות: Windows Server 2003, Standard Edition;? Windows Server 2003, Enterprise Edition; או כל גירסה של Windows XP, תוכל להשתמש בתכונה ICF.
   283673  (http://support.microsoft.com/kb/283673/ ) כיצד להפעיל או להשבית Internet Connection Firewall ב- Windows XP (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
   לקבלת פרטים נוספים על ICF, בקר באתרי האינטרנט הבאים של מיקרוסופט:
   http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx)
   http://technet2.microsoft.com/windowsserver/en/technologies/icf.mspx (http://technet2.microsoft.com/windowsserver/en/technologies/icf.mspx)

   גירסאות אחרות של Windows

   בגירסאות אחרות של Windows, השתמש ב- Basic Firewall (שרתי Windows Server 2003 עם Routing and Remote Access), ב- Microsoft Internet Security and Acceleration (ISA) Server 2000 (מערכות Windows 2000 או Windows Server 2003), או בתוכנה או חומרת חומת אש של יצרן אחר. לפרטים נוספים על מוצרי חומת אש של חברות אחרות, בקרו באתר האינטרנט הבא של מיקרוסופט:
   http://www.microsoft.com/security/articles/firewall.asp (http://www.microsoft.com/security/articles/firewall.asp)
2. עדכן את המחשב שלך.
   עדכוני האבטחה יסייעו בידך להגן על המחשב שלך מפגיעויות, וירוסים, תולעים ואיומים אחרים המתגלים חדשות לבקרים. הפעולות שתוכל לנקוט הן, בין היתר:
   1. התקנה של עדכוני האבטחה עבור Windows ורכיבי Windows (כמו Internet Explorer,? Outlook Express ו- Windows Media Player). לשם כך, בקר באתר האינטרנט הבא של מיקרוסופט:
      Windows Update
      http://windowsupdate.microsoft.com (http://windowsupdate.microsoft.com)
      לקבלת פרטים נוספים, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
      311047  (http://support.microsoft.com/kb/311047/ ) כיצד להקפיד על עדכון שוטף במחשב מבוסס-Windows (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      הערה מערכות ההפעלה Microsoft Windows NT Workstation,? Windows 98,? Windows 98 Second Edition ו- Windows 95 הגיעו לסוף מחזור חיי התמיכה במוצר. עדכונים שסופקו בעבר למערכות הפעלה אלה עומדים לרשותך בארכיוני אתר Windows Update. עם זאת, מיקרוסופט אינה מציעה עוד תמיכה טכנית במהדורות אלה. בשל כך, אנו ממליצים שתשקול שדרוג למהדורות Windows XP Professional או Windows XP Home Edition כדי שתוכל ליהנות מהעדכונים האוטומטיים ומתכונות אבטחה נוספות שהתווספו מאז צאתן לשוק של המהדורות הישנות יותר של מערכת ההפעלה.
   2. כדי להתקין עדכוני אבטחה עבור מוצרי Microsoft Office, בקר באתר Office Update של מיקרוסופט, בכתובת הבאה:
      http://office.microsoft.com/officeupdate (http://office.microsoft.com/officeupdate/default.aspx)
   3. כדי להתקין עדכוני אבטחה עבור תוכניות אחרות, פנה אל היצרן כדי לקבל מידע נוסף. כדי לאתר עדכוני אבטחה עבור מוצרים אחרים של מיקרוסופט, בקר באתר האינטרנט של מיקרוסופט, שכתובתו:
      http://www.microsoft.com/technet/security/current.asp (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp)
      לדוגמה, באתר זה תוכל למצוא עדכוני אבטחה ל- Microsoft Internet Information Services (IIS)?,? SQL Server או Exchange Server.
      
      הערה מנהלי רשתות יוכלו להשתמש בכלי MBSA? ??(Microsoft Baseline Security Analyzer) כדי לבצע סריקה מרכזית של מחשבי Windows לאיתור שגיאות נפוצות בתצורת האבטחה ולהפיק דוחות אבטחה נפרדים לכל מחשב שנסרק. הכלי MBSA פועל במחשבים עם מערכות הפעלה Windows Server 2003, ?Windows 2000 ו- Windows XP.? MBSA מבצע סריקה כדי לאתר פגיעויות אבטחה במחשבים עם מערכות הפעלה Windows NT 4.0,? Windows 2000,? Windows XP? ו- Windows Server 2003. הסריקה היא אחר שגיאות נפוצות בתצורת האבטחה של Windows?, (Internet Information Services (IIS??????, ?SQL Server?, ? Internet Explorer ו- Microsoft Office.? MBSA מאתר גם עדכוני אבטחה חסרים ב- Windows,? IIS,? SQL Server,? Internet Explorer,? Windows Media Player,? Exchange Server ו- Exchange 2000 Server.
      
      לפרטים נוספים על MBSA, בקר באתר האינטרנט של מיקרוסופט, שכתובתו:
      http://www.microsoft.com/technet/security/tools/mbsahome.mspx (http://www.microsoft.com/technet/security/tools/mbsahome.mspx)
   4. אם ברשותך מערכת Microsoft Outlook בגירסה הקודמת ל- 2002, נא ודא שהתקנת את עדכון האבטחה Microsoft Outlook E-mail Security Update:?
      • כברירת מחדל, המערכות Outlook 2000 (לאחר התקנת SP2) ו- Outlook 2002 SP1 כוללות את עדכון האבטחה הזה.
      • המערכות Outlook 2000 לפני התקנת SR1 ו- Outlook 98 אינן כוללות את הרכיב הפונקציונלי הזה, אך תוכל להשיגו על ידי התקנת עדכון האבטחה Outlook E-mail Security Update. לקבלת פרטים נוספים על עדכון האבטחה Outlook E-mail Security Update, בקר באתר האינטרנט של מיקרוסופט, בכתובת:
        http://www.microsoft.com/downloads/details.aspx?displaylang=he&FamilyID=5c011c70-47d0-4306-9fa4-8e92d36332fe (http://www.microsoft.com/downloads/details.aspx?displaylang=he&FamilyID=5c011c70-47d0-4306-9fa4-8e92d36332fe)
   5. אם ברשותך Outlook Express, נקוט זהירות בפתיחת קבצים שצורפו להודעות דואר אלקטרוני.
      • כברירת מחדל, מערכת Outlook Express 6 SP1 תחסום את הגישה לקבצים מצורפים.
      • גירסאות מוקדמות יותר של Outlook Express (לפני Outlook Express 6) אינן מכילות רכיבים פונקציונליים לחסימת קבצים מצורפים. היזהר במיוחד בפתיחת הודעות דואר לא רצויות המלוות בקבצים מצורפים.
   6. השבת את Scripting פעיל ב- Outlook וב- Outlook Express.
      
      הערה כברירת מחדל, הרכיב 'Scripting פעיל' מושבת ב- Outlook Express 6 וב- Outlook 2002 והלאה. לקבלת פרטים נוספים על השבתת התכונה 'Scripting פעיל' ב- Outlook Express, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
      192846  (http://support.microsoft.com/kb/192846/ ) כיצד להשבית את המאפיין 'Scripting פעיל' ב- Outlook Express (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      לקבלת פרטים נוספים על השבתת המאפיין 'Scripting פעיל' ב- Outlook 2000, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
      215774  (http://support.microsoft.com/kb/215774/ ) סקריפטים שהוטבעו בהודעות HTML מופעלים ללא התראה (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      לקבלת פרטים נוספים על תכונות ההגנה מווירוסים ב- Outlook Express, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
      291387  (http://support.microsoft.com/kb/291387/ ) שימוש בתכונות ההגנה מווירוסים ב- Outlook Express 6 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
3. השתמש בתוכנת אנטי-וירוס מעודכנת.
   מיקרוסופט אינה מספקת תוכנה שמסוגלת לגלות או להסיר וירוסי מחשבים. אם יש חשד או אישור לכך שהמחשב שלך נגוע בווירוס, השג תוכנת אנטי-וירוס מעודכנת. לקבלת פרטים נוספים על יצרנים וספקים של תוכנות אנטי-וירוס, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
   49500  (http://support.microsoft.com/kb/49500/ ) רשימה של יצרני/ספקי תוכנות אנטי-וירוס (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
   תוכנת אנטי-וירוס תסייע לך להגן על המחשב מפני רוב סוגי הווירוסים, התולעים, הסוסים הטרויאניים ותוכנות זדוניות אחרות. מחשבים רבים נמכרים כשהם כבר מצוידים בתוכנת אנטי-וירוס. באפשרותך גם לרכוש תוכנת אנטי-וירוס ולהתקין אותה בעצמך. כמו כן חובה להקפיד לעדכן בקביעות את תוכנת האנטי-וירוס.
   
   הערות
   • אם אין לך תוכנת אנטי-וירוס מותקנת, חברת Trend Micro, Inc.? מציעה שירות מקוון חינם לסריקת וירוסים, באתר האינטרנט של Trend Micro שכתובתו:
     http://housecall.trendmicro.com/housecall/start_corp.as (http://housecall.trendmicro.com/housecall/start_corp.as)
   • אם תוכנת האנטי-וירוס שלך הפסיקה לפעול, התקן אותה מחדש.
   • השג את קובץ חתימות הווירוסים העדכני ביותר באתר האינטרנט של יצרן תוכנית האנטי-וירוס שברשותך. בכל פעם שמתגלה וירוס חדש, יצרני תוכנת האנטי-וירוס מפרסמים עדכונים, המתפקדים כחיסון נגד הווירוס החדש.
   • לאחר הסרת הווירוס, סרוק מחדש את המחשב כדי לוודא שהווירוס הוסר לגמרי. הגדר את תוכנית האנטי-וירוס כך שתבצע את בדיקת המערכת בשעות שאינן שעות עבודה.
   • אם יתקיימו אחד מהתנאים הבאים או כמה מהם, ייתכן שתיאלץ לפרמט את הדיסק הקשיח במחשב ולהתקין מחדש את Windows ואת כל התוכניות האחרות:
     • תוכנת האנטי-וירוס שלך מציגה הודעה שלפיה אין אפשרות לתקן או לסלק את הווירוס.
     • הווירוס גרם נזק לקבצים חשובים במחשב, או מחק אותם כליל. ייתכן שזה המצב, אם לא מתאפשרת הפעלה של תוכניות Windows מסוימות, או אם הפעלתן מלווה בהודעות על קבצים פגומים או חסרים
     • התופעות המתוארות במאמר זה ממשיכות להופיע גם לאחר ניקוי תחנת העבודה, ואתה בטוח שמקור הבעיה בווירוס.