Для от вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, позволяющие выявлять вирусы, лечить заражённые файлы и диски, обнаруживать и предотвращать подозрительные(характерные для вирусов ) действия. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
7.1. Виды антивирусных программ.
Антивирусные программы можно разделить на виды в соответствии с выполняемыми ими функциям.
Детекторы: программы-детекторы позволяют обнаруживать файлы, заражённые одним из нескольких известных вирусов. Некоторые программы-детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также «лечить» заражённые файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору).
Ревизоры: программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках – сравнивают их состояние исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных(характерных для вирусов или недопустимых) изменениях, не беспокоя лишний раз пользователя. Часто программы-ревизоры позволяют также “лечить” заражённые файлы или диски, удаляя из их вирусы(это удаётся сделать почти для всех типов вирусов).
Сторожа: програм6ы-сторожа (или фильтры) располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисковод дискеты. При наличии вируса об этом сообщается пользователю. Кроме того, многие программы-сторожа перехватывают те действия, которые используются вирусами для размножения и нанесения вреда (скажем, попытку записи в загрузочный сектор или форматирование жёсткого диска), и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Программы-сторожа позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус ещё не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Замечания. 1. Степень защиты, обеспечиваемую программами-сторожами, не следует переоценивать, поскольку некоторые вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам BIOS системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания.
2. Многие программы-сторожа проверяют перед перезагрузкой, выполняемой по нажатию CtrAltDel или по запросу программы, вставленные в дисководы дискеты на наличие загрузочных вирусов. Однако если загрузка осуществляется по нажатию кнопки «Reset» или по включению компьютера, то программы-сторожа ничем помочь не смогут – ведь заражение загрузочным вирусом происходит при загрузке операционной системы, т.е. до запуска любых программ или установки драйверов.
3. Иногда применяются также программы-вакцины, или иммунизаторы, они модифицируют программы и диски таким образом, что это не отражается на роботе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже заражёнными. Эти программы малоэффективны и далее не рассматриваются.
7.2. Использование антивирусных программ.
Ни один тип антивирусных программ по отдельности не даёт, к сожалению, полной защиты от вирусов. Поэтому никакие простые советы типа «вставьте команду запуска программы Aidstest в AUTOEXEC.BAT» не будут достаточными. Однако совместное использование антивирусных программ даёт неплохие результаты, так как они хорошо дополняют друг друга:
Поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяются программой-детектором. Если эти данные забыли проверить, и заражённая программа была запущена, её может «поймать» программа-сторож. Правда, в обоих случаях надёжно обнаруживаются лишь вирусы, известные этим антивирусным программам. Неизвестные вирусы детекторы и сторожа, не включающие в себя эвристический анализатор, не обнаруживают вовсе (пример – программа Aidstest), а имеющие такой анализатор – обнаруживают не более чем в 80-90% случаев.
Сторожа могут обнаруживать даже неизвестные вирусы, если они очень нагло себя ведут, например, пытаются отформатировать жёсткий диск или внести изменения в системные файлы или области диска на жёстком диске. Впрочем, некоторые вирусы умеют обходить такой контроль. Более мелкие пакости вирусов(изменение программных файлов, запись в системные области дискет и т.д.) обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами.
Если вирус не был обнаружен детектором или сторожем, то результаты его деятельности –обнаружит программа-ревизор.
Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы – использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры – запускаться раз в день для выявления и анализа изменений на дисках.
Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора и ревизора совмещаются в одной программе.
Пример: в антивирусном комплексе Nortonantiviral функции детектора и ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), а функции сторожа – отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE).
В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции детектора и ревизора выполняются отдельными программами (причём в качестве детекторов предлагается использовать сразу две программы – Aidstest и Dr.Web). Однако некоторые элементы интеграции в этом комплексе всё же есть: программа-ревизор Adinf может формировать список измененных файлов, а программа Aidstest и Dr.Web – проверять файлы только из этого списка. Это заметно сокращает время проверки жёстких дисков на наличие вирусов.
А в качестве фильтра фирма «Диалог-Наука» предлагает аппаратно-программный комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надёжнее, чем программная, поскольку её ни один вирус обойти не может. Однако, Sheriff имеет и недостаток – он не проверяет запускаемые программы на наличие вирусов.
7.4. Обновление антивирусных программ.
Для программ-детекторов следует периодически обновлять их версии. Новые вирусы сейчас появляются каждую неделю, и при использовании версий программ полугодовой или годовой давности очень вероятно заражение таки вирусом, который этим программам будет неизвестен.
Замечания. 1. Для некоторых программ (например, NortonAntiVirus ) для обновления не надо покупать новую версию программы, а следует переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно.
2. Фирма «Диалог-Наука» позволяет приобрести годовой абонемент, позволяющий получать самые последние версии программ Aidstest, Dr.Web, Adinf и AdinfExt по электронной почте или через BBS фирмы «Диалог-Наука». При продлении годового абонемента предоставляется скидка 50%. Последние версии базы данных со сведениями о вирусах для программы NortonAntiVirus можно бесплатно списать по модему с FTP-сервера ftp. symantec. com или с WWW-сервера www. symantec. com. В обоих случаях обновление версий выполняется не одного раза в месяц.
8. Действия при заражении вирусом.
8.1. Симптомы заражения вирусом.
Вы можете быть уверены, что на Вашем компьютере имеется вирус, если:
Программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в файлах или системных областях на жёстком диске.
Программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержание файла изменено, а время его модификации – нет.
Программа-ревизор сообщает об изменении главной загрузочной записи жёсткого диска (MasterBoot, она содержит таблицу разделения жёсткого диска ) или загрузочной записи (Bootrecord), а Вы не изменяли разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.
Программа-сторож сообщает о том, что какая-то программа желает форматироать жёсткий диск, изменять системные области жёсткого диска и т.д. , а Вы не поручали никакой программе выполнять подобные действия.
Программа-ревизор сообщила о наличии в памяти «невидимых» («стелс») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к диску выдаётся разное содержимое.