Компьютерные вирусы. Антивирусные программы

3. Иногда применяются также программы-вакцины,  или иммунизаторы, они модифицируют  программы и диски таким образом,  что это не отражается на  роботе программ, но тот вирус,  от которого производится вакцинация, считает эти программы или  диски уже заражёнными. Эти программы малоэффективны и далее не рассматриваются.

7.2. Использование антивирусных  программ.

Ни один тип антивирусных программ по отдельности не даёт, к  сожалению, полной защиты от вирусов. Поэтому  никакие простые советы типа «вставьте  команду запуска программы Aidstest в AUTOEXEC.BAT» не будут достаточными. Однако совместное использование антивирусных программ даёт неплохие результаты, так как они хорошо дополняют друг друга:

1. Поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяются программой-детектором. Если эти данные забыли проверить, и заражённая программа была запущена, её может «поймать» программа-сторож. Правда, в обоих случаях надёжно обнаруживаются лишь вирусы, известные этим антивирусным программам. Неизвестные вирусы детекторы и сторожа, не включающие в себя эвристический анализатор, не обнаруживают вовсе (пример – программа Aidstest), а имеющие такой анализатор – обнаруживают не более чем в 80-90% случаев.
2. Сторожа могут обнаруживать даже неизвестные вирусы, если они очень нагло себя ведут, например, пытаются отформатировать жёсткий диск или внести изменения в системные файлы или области диска на жёстком диске. Впрочем, некоторые вирусы умеют обходить такой контроль. Более мелкие пакости вирусов(изменение программных файлов, запись в системные области дискет и т.д.) обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами.
3. Если вирус не был обнаружен детектором или сторожем, то результаты его деятельности –обнаружит программа-ревизор.

Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы – использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры – запускаться раз в день для выявления и анализа изменений на дисках.

7.3. Антивирусные комплексы.

Поскольку функции детектора, ревизора и сторожа дополняют  друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора  и ревизора совмещаются в одной  программе.

Пример: в антивирусном комплексе Norton antiviral функции детектора и ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), а функции сторожа – отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE).

В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции детектора и ревизора выполняются отдельными программами (причём в качестве детекторов предлагается использовать сразу две программы – Aidstest и Dr.Web). Однако некоторые элементы интеграции в этом комплексе всё же есть: программа-ревизор Adinf может формировать список измененных файлов, а программа Aidstest и Dr.Web – проверять файлы только из этого списка. Это заметно сокращает время проверки  жёстких дисков на наличие вирусов.

 

А в качестве фильтра  фирма «Диалог-Наука» предлагает аппаратно-программный комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надёжнее, чем программная, поскольку её ни один вирус обойти не может. Однако, Sheriff имеет и недостаток – он не проверяет запускаемые программы на наличие вирусов.

7.4. Обновление антивирусных программ.

Для программ-детекторов следует периодически обновлять их версии. Новые вирусы сейчас появляются каждую неделю, и при использовании версий программ полугодовой или годовой давности очень вероятно заражение таки вирусом, который этим программам будет неизвестен.

Замечания. 1. Для некоторых  программ (например, Norton AntiVirus ) для обновления не надо покупать новую версию программы, а следует переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно.

2. Фирма «Диалог-Наука»  позволяет приобрести годовой абонемент, позволяющий получать самые последние версии программ Aidstest, Dr.Web, Adinf и AdinfExt по электронной почте или через BBS фирмы «Диалог-Наука». При продлении годового абонемента предоставляется скидка 50%. Последние версии базы данных со сведениями о вирусах для программы NortonAntiVirus можно бесплатно списать по модему с FTP-сервера ftp. symantec. com или с WWW-сервера www. symantec. com. В обоих случаях обновление версий выполняется не одного раза в месяц.

8. ДЕЙСТВИЯ ПРИ ЗАРАЖЕНИИ ВИРУСОМ.

8.1. Симптомы заражения вирусом.

Вы можете быть уверены, что на Вашем компьютере имеется  вирус, если:

• Программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в файлах или системных областях на жёстком диске.
• Программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержание файла изменено, а время его модификации – нет.
• Программа-ревизор сообщает об изменении главной загрузочной записи жёсткого диска (Master Boot, она содержит таблицу разделения жёсткого диска ) или загрузочной записи (Boot record), а Вы не изменяли разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.
• Программа-сторож сообщает о том, что какая-то программа желает форматироать жёсткий диск, изменять системные области жёсткого диска и т.д. , а Вы не поручали никакой программе выполнять подобные действия.
• Программа-ревизор сообщила о наличии в памяти «невидимых» («стелс») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к диску выдаётся разное содержимое.
• Вирус сам Вам представился, выведя соответствующее сообщение.

Вы можете подозревать  наличие вируса, если:

• Антивирусная программа сообщает об обнаружении неизвестного вируса.
• На экран или принтер начинают выводиться посторонние сообщения, символы и т.д.
• Некоторые файлы оказываются испорченными.
• Некоторые программы перестают работать или начинают работать неправильно.
• Работа на компьютере существенно замедляется.

Впрочем, похожие явления  могут вызываться не вирусом, а неправильно  работающими программами, сбоями в  аппаратуре и т.д.

8.2. Пять правил при заражении компьютера вирусом.

При заражении компьютера вирусом ( или при подозрении на это ) важно соблюдать пять правил.

1. Прежде всего, не надо торопиться и принимать опрометчивых явлений. Как говориться, « семь раз отмерь, один раз отрежь» - непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера.
2. Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.
3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной загрузке компьютера с защищённой от записи «эталонной» дискеты с операционной системой. При этом следует использовать только программы ( исполнимые файлы ), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила может привести к очень тяжёлым последствиям, поскольку при загрузке DOS или запуске программы с заражённого диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
4. Лечение от вируса обычно несложно, но иногда ( при существенных разрушениях, причинённых вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных коллег.
5. Лечение компьютера от вируса – процесс творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устареют…

Замечание: некоторые пользователи предпочитают лечить компьютер при заражении вирусом, не загружаясь с «чистой» дискеты, считая, что так удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед операциями. Одни больные выздоравливали, а другие умирали от внесённой инфекции…

9. Раннее обнаружение вируса.

Если Вы используете  резидентную программу-сторожа для  защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус ещё не успел  активизироваться, заразить другие программы или диски и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на диске имеется загрузочный вирус, и предложить его удалить. Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, если Вы не загружались с дискеты и не запускали полученные программные файлы ).

10. Выяснение сведений о вирусе.

Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в её документации или встроенном справочнике сведения о данном типе вируса. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если компьютер оказался заражён неопасным загрузочным вирусом, то кроме удаления вируса с жёсткого диска и дискет, которыми Вы пользовались, делать ничего не надо. А устранение последствий устранения вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьёзнее – обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные – с резервных копий.

11. Удаление вирусов.

Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью  этой программы излечить или удалить  заражённые объекты. Как правило, для  системных областей диска программа-детектор предлагает выбрать их излечение или оставление без изменений, а для файлов – лечение, удаление или оставление без изменений. Удаление заражённых файлов обычно предпочтительнее их лечения, если заражённый файл входит в пакет программ, который можно заново установить с дистрибутивных дисков.

Чтобы не пропустить вирус  в каком-либо файле, желательно задать режим поиска вируса во всех файлах, а вен только в программных  файлах, а также режим поиска в  архивах. Если Вы используете архивы видов, не поддерживаемых программой-детектором, то может потребоваться распаковать архив во временны каталог и проверить его содержимое программой-детектором.

Если Вы лечили ( а не удаляли ) какие-либо файлы, рекомендуется  ещё раз проверить компьютер  всеми имеющимися детекторами на отсутствие вирусов – ведь некоторые файлы могли быть заражены несколькими вирусами, «наслаивающимися» один на другой.

Замечание: Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 - . ZIP и LZH, Dr.Web - . ARJ, . ZIP, . LZH, . RAR, . ZOO и . ICE, а Aidstest – не умеет искать вирусы в архивах вообще.

12. ЧТО МОГУТ И ЧЕГО НЕ МОГУТ  КОМПЬЮТЕРНЫЕ ВИРУСЫ.

12.1. Вирусофобия.

У многих пользователей  компьютеров из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентны публикаций в печати, создаётся своеобразный комплекс боязни вирусов («вирусофобия»). Этот комплекс имеет два проявления.

1. Склонность приписывать любое повреждение данных или необычное явление на компьютере действию вирусов. Например, если у «вирусофоба» не форматируется дискета, то он объясняет это не дефектами дискеты или дисковода, а действием вирусов. Если программа «зависает», то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования, чем действием вирусов.
2. Преувеличенные представления о возможностях вирусов. Некоторые пользователи думают, например, что достаточно вставить в дисковод заражённую дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров, объединённых в сеть, или даже просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приведёт к заражению остальных.

12.2. И её последствия.

Вирусофобия вообще не так безобидна, как это может показаться на первый взгляд. Она приводит, например, к следующим последствиям.

1. Принятие неадекватных, я бы даже сказал, экстремистских, мер при появлении вируса или даже при подозрении на наличии вируса.
2. Неоправданная изоляция от окружающего мира из-за боязни заражения вирусами.
3. Расплывчатые (мягко выражаясь ) представления многих руководителей о способностях вирусов позволяют многим пользователям и программистам ссылаться на вирусы как на причину любых задержек и трудностей. К сожалению, в большинстве случаев фраза «Я всё сделал(а), но тут появился вирус и всё испортил» означает, что за работу вообще не принимались.