систему с защищенной от записи системной дискеты;
всегда защищать дискеты от записи при работе на других компьютерах, если на
них не будет производится запись информации;
обязательно делать архивные копии на дискетах ценной информации;
не оставлять в кармане дисковода А дискеты при включении или перезагрузке
операционной системы, чтобы исключить заражение компьютера загрузочными
вирусами;
использовать антивирусные программы для входного контроля всех исполняемых
файлов, получаемых из компьютерных сетей;
для обеспечения большей безопасности применения Aidstest и Doctor Web
необходимо сочетать с повседневным использованием ревизора диска Adinf, либо
использовать полный комплект антивируса AVP.
4.1. Антивирусная профилактика.
Необходимо всегда иметь системную дискету, созданную на не зараженном
компьютере. На системную дискету надо записать последние версии антивирусных
программ-полифагов, таких как Aidstest, Doctor Web или Antiviral Toolkit Pro.
Кроме антивирусных программ, на дискету полезно записать драйверы внешних
устройств компьютера, например драйвер устройства чтения компакт-дисков,
программы для форматирования дисков - format и переноса операционной системы -
sys, программу для ремонта файловой системы Norton Disk Doctor или ScanDisk.
Системная дискета будет полезна не только в случае нападения вирусов. Ей можно
воспользоваться для загрузки компьютера в случае повреждения файлов операционной
системы.
Необходимо периодически проверять компьютер на заражение вирусами. Лучше всего
встроить вызов антивирусной программы в файл конфигурации autoexec.bat, чтобы
проверка осуществлялась при каждом включении компьютера. Выполнять проверку не
только выполнимых файлов, имеющих расширение COM, EXE, но также пакетных файлов
BAT и системных областей дисков.
Если в компьютере записано много файлов, их проверка антивирусами-полифагами,
скорее всего, будет отнимать достаточно много времени. Поэтому во многих случаях
предпочтительней для повседневной проверки использовать программы-ревизоры, а
новые и изменившиеся файлы подвергать проверке полифагами.
Практически все ревизоры в случае изменения системных областей диска (главной
загрузочной записи и загрузочной записи) позволяют восстановить их, даже в том
случае если не известно, какой именно вирус их заразил. Лечащий модуль ADinf
Cure Module даже позволяет удалять неизвестные файловые вирусы.
Практически все современные антивирусы могут правильно работать даже на
зараженном компьютере, когда в его оперативной памяти находится активный вирус.
Однако перед удалением вируса все же рекомендуется предварительно загрузить
компьютер с системной дискеты, чтобы вирус не смог препятствовать лечению.
Когда производится загрузка компьютера с системной дискеты, следует обратить
внимание на два важных момента.
Во-первых, для перезагрузки компьютера надо использовать кнопку Reset,
расположенную на корпусе системного блока, или даже временно выключить его
питание. Не использовать для перезагрузки комбинацию из трех известных клавиш.
Некоторые вирусы могут остаться в памяти даже после этой процедуры.
Во-вторых, перед перезагрузкой компьютера с дискеты проверить конфигурацию
дисковой подсистемы компьютера и особенно параметры дисководов и порядок
загрузки операционной системы (должна быть установлена приоритетная загрузка с
дискеты), записанную в энергонезависимой памяти. Существуют вирусы, ловко
меняющие параметры, записанные в энергонезависимой памяти компьютера, в
результате чего компьютер загружается с зараженного вирусом жесткого диска, в то
время как оператор думает, что загрузка происходит с чистой системной дискеты.
Обязательно проверять с помощью антивирусных программ все дискеты и все
программы, поступающие на ПК через любые носители или через модем. Если
компьютер подключен к локальной сети, необходимо проверять файлы, полученные
через сеть от других пользователей.
С появлением вирусов, распространяющихся через макрокоманды текстового
процессора Microsoft Word и электронной таблицы Microsoft Excel, необходимо
особенно внимательно проверять не только выполнимые файлы программ и системные
области дисков, но также и файлы документов.
Крайне важно постоянно следить за выходом новых версий применяемых антивирусных
средств и своевременно выполнять их обновления на системной дискете и
компьютере; использовать для восстановления зараженных файлов и системных
областей диска только самые последние версии антивирусов.
5. Антивирусная программа AntiViral Toolkit Pro
для Windows 95 (Windows NT).
AVP представляет из себя полностью 32-ух разрядное приложение, оптимизированное
для работы в популярной во всем мире среде Microsoft Windows 95 (Windows NT) и
использующее все ее возможности. AVP имеет удобный пользовательский интерфейс,
характерный для Windows 95, большое количество настроек, выбираемых
пользователем, а также одну из самых больших в мире антивирусных баз, что
гарантирует надежную защиту от огромного числа самых разнообразных вирусов.
В ходе работы AVP сканирует следующие области:
Оперативную память (DOS, XMS, EMS).
Файлы, включая архивные и упакованные.
Системные сектора, содержащие Master Boot Record, загрузочный сектор
(Boot-сектор) и таблицу разбиения диска (Partition Table).
AntiViral Toolkit Pro для Windows 95 имеет ряд особенностей, характеризующих его
работу:
детектирование и удаление огромного числа самых разнообразных вирусов, в том
числе;
полиморфных или самошифрующихся вирусов;
стелс-вирусов или вирусов-невидимок;
новых вирусов для Windows 3.XX и Windows 95;
макро вирусов, заражающих документы Word и таблицы Excel;
сканирование внутри упакованных файлов (модуль Unpacking Engine);
сканирование внутри архивных файлов (модуль Extracting Engine);
сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках;
эвристический модуль Code Analyzer, необходимый для детектирования НЕИЗВЕСТНЫХ
вирусов;
поиск в режиме избыточного сканирования;
проверка объектов на наличие в них изменений;
“AVP Monitor” – резидентный модуль, находящийся постоянно в оперативной памяти
компьютера и отслеживающий все файловые операции в системе. Позволяет
обнаружить и удалить вирус до момента реального заражения системы в целом;
удобный пользовательский интерфейс;
создание, сохранение и загрузка большого количества различных настроек;
механизм проверки целостности антивирусной системы;
мощная система помощи;
AVP Центр Управления – программа-оболочка, позволяющая организовать
эффективную антивирусную защиту на ПК.
Опишем некоторые из них.
5.1. Механизм распаковки исполняемых модулей
(Unpacking Engine).
В настоящее время достаточно широко распространены утилиты упаковки исполняемых
файлов. Они записывают упакованный файл на диск со специальным распаковщиком.
При исполнении такого файла этот распаковщик распаковывает исполняемую программу
в оперативную память и запускает ее.
Пораженные вирусом файлы могут быть компрессированы такими паковщиками так же,
как и неинфицированные. При сканировании обычными антивирусными программами
пораженные таким образом файлы будут определяться как неинфицированные, так как
тело вируса упаковано вместе с кодом программы.
Unpacking Engine распаковывает файлы, созданные наиболее популярными утилитами
упаковки: DIET, PKLITE, LZEXE и EXEPACK различных версий, во временный файл и
передает его на повторную проверку. Если внутри упакованного файла обнаружен
известныйвирус, то возможно его удаление. При этом исходный файл замещается
распакованным и вылеченным. Механизм распаковки корректно работает и с
многократно упакованными файлами.
Модуль распаковки работает также с некоторыми версиями иммунизаторов (программы
защищающие выполняемые файлы от заражения путем присоединения к ним
контролирующих блоков) файлов (CPAV и F-XLOCK) и шифрующих программ (CryptCOM).
Модуль Unpacking Engine будет обновляться для новых паковщиков, шифровщиков и
иммунизаторов.
5.2. Механизм распаковки из архивов
(Extracting Engine).
Проблема поиска вирусов в архивированных файлах (ZIP, ARJ, LHA и RAR) становится
в данный момент, пожалуй, одной из самых насущных. Инфицированный файл может
затаиться на несколько месяцев и даже лет, и быстро распространиться при
невнимательном обращении с такими архивами. Особую опасность представляют
архивы, хранящиеся на BBS.
С такой ситуацией успешно справляется механизм распаковки из архивов Extracting
Engine. При сканировании архивов Extracting Engine распаковывает файлы из архива
по заданной маске во временный файл и передает его для проверки основному
модулю. После проверки временный файл уничтожается.
Текущая версия Extracting Engine содержит коды для распаковки архивов формата
ARJ, ZIP, LHA, RAR существующих версий.
ЗАМЕЧАНИЯ!
1. AVP не удаляет вирусы из архивов, а только детектирует их.
2. Extracting Engine не распаковывает архивы, защищенные паролем.
AVP детектирует зараженный файл, даже если он зашифрован утилитой CryptCOM,
затем упакован PKLITE и записан в архив программой PKZIP.
5.3. Анализатор кода
(Code Analyzer).
Анализатор кода (эвристический сканер) проверяет коды файлов и секторов по
разным ветвям алгоритма сканируемой программы на наличие вирусоподобных
инструкций и выдает сообщение, если обнаружена комбинация команд, таких как
открытие или запись в файл, перехват векторов прерываний и т.д.
Конечно, этот алгоритм может давать ложные срабатывания, как и любой из подобных
эвристических алгоритмов, но он был протестирован на очень большом количестве
файлов, и при этом не было получено ни одного действительно ложного
срабатывания.
При сканировании кода Code Analyzer проверяет много ветвей алгоритма программы