Компьютерные вирусы. Антивирусные программы

    2. Многие программы-сторожа проверяют  перед перезагрузкой, выполняемой  по нажатию Ctr Alt Del или по запросу программы, вставленные в дисководы дискеты на наличие загрузочных вирусов. Однако если загрузка осуществляется по нажатию кнопки «Reset» или по включению компьютера, то программы-сторожа ничем помочь не смогут – ведь заражение загрузочным вирусом происходит при загрузке операционной системы, т.е. до запуска любых программ или установки драйверов.

    3. Иногда применяются также программы-вакцины,  или иммунизаторы, они модифицируют  программы и диски таким образом,  что это не отражается на  роботе программ, но тот вирус,  от которого производится вакцинация, считает эти программы или  диски уже заражёнными. Эти  программы малоэффективны и далее  не рассматриваются.

7.2. Использование антивирусных  программ.

    Ни  один тип антивирусных программ по отдельности не даёт, к сожалению, полной защиты от вирусов. Поэтому никакие  простые советы типа «вставьте команду  запуска программы Aidstest в AUTOEXEC.BAT» не будут достаточными. Однако совместное использование антивирусных программ даёт неплохие результаты, так как они хорошо дополняют друг друга:

    Поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяются программой-детектором. Если эти данные забыли проверить, и  заражённая программа была запущена, её может «поймать» программа-сторож. Правда, в обоих случаях надёжно  обнаруживаются лишь вирусы, известные  этим антивирусным программам. Неизвестные  вирусы детекторы и сторожа, не включающие в себя эвристический анализатор, не обнаруживают вовсе (пример – программа  Aidstest), а имеющие такой анализатор – обнаруживают не более чем в 80-90% случаев.

    Сторожа могут обнаруживать даже неизвестные  вирусы, если они очень нагло себя ведут, например, пытаются отформатировать  жёсткий диск или внести изменения  в системные файлы или области  диска на жёстком диске. Впрочем, некоторые вирусы умеют обходить такой контроль. Более мелкие пакости  вирусов(изменение программных файлов, запись в системные области дискет и т.д.) обычно не отслеживаются, так  как эти действия выполняются  не только вирусами, но и многими  программами.

    Если  вирус не был обнаружен детектором или сторожем, то результаты его  деятельности –обнаружит программа-ревизор.

    Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы  – использоваться для проверки поступающих  из внешних источников данных (файлов и дискет), а ревизоры – запускаться  раз в день для выявления и  анализа изменений на дисках.

7.3. Антивирусные комплексы.

    Поскольку функции детектора, ревизора и сторожа  дополняют друг друга, то в современные  антивирусные комплекты программ обычно входят компоненты, реализующие все  эти функции. При этом часто функции  детектора и ревизора совмещаются  в одной программе.

    Пример: в антивирусном комплексе Norton antiviral функции детектора и ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), а функции сторожа – отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE).

    В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции детектора и ревизора выполняются отдельными программами (причём в качестве детекторов предлагается использовать сразу две программы – Aidstest и Dr.Web). Однако некоторые элементы интеграции в этом комплексе всё же есть: программа-ревизор Adinf может формировать список измененных файлов, а программа Aidstest и Dr.Web – проверять файлы только из этого списка. Это заметно сокращает время проверки  жёстких дисков на наличие вирусов.

    А в качестве фильтра фирма «Диалог-Наука» предлагает аппаратно-программный  комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надёжнее, чем программная, поскольку её ни один вирус обойти не может. Однако, Sheriff имеет и недостаток – он не проверяет запускаемые программы на наличие вирусов.

7.4. Обновление антивирусных  программ.

    Для программ-детекторов следует периодически обновлять их версии. Новые вирусы сейчас появляются каждую неделю, и  при использовании версий программ полугодовой или годовой давности очень вероятно заражение таки вирусом, который этим программам будет неизвестен.

    Замечания. 1. Для некоторых программ (например, Norton AntiVirus ) для обновления не надо покупать новую версию программы, а следует переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно.

    2. Фирма «Диалог-Наука» позволяет  приобрести годовой абонемент,  позволяющий получать самые последние  версии программ Aidstest, Dr.Web, Adinf и AdinfExt по электронной почте или через BBS фирмы «Диалог-Наука». При продлении годового абонемента предоставляется скидка 50%. Последние версии базы данных со сведениями о вирусах для программы NortonAntiVirus можно бесплатно списать по модему с FTP-сервера ftp. symantec. com или с WWW-сервера www. symantec. com. В обоих случаях обновление версий выполняется не одного раза в месяц.

8. Действия при заражении  вирусом.

8.1. Симптомы заражения  вирусом.

    Вы  можете быть уверены, что на Вашем  компьютере имеется вирус, если:

    Программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в  файлах или системных областях на жёстком диске.

    Программа-ревизор  сообщает об изменении файлов, которые  не должны изменяться. При этом изменение  часто выполняется необычным  способом, например, содержание файла  изменено, а время его модификации  – нет.

    Программа-ревизор  сообщает об изменении главной загрузочной  записи жёсткого диска (Master Boot, она содержит таблицу разделения жёсткого диска ) или загрузочной записи (Boot record), а Вы не изменяли разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.

    Программа-сторож сообщает о том, что какая-то программа  желает форматироать жёсткий диск, изменять системные области жёсткого диска и т.д. , а Вы не поручали никакой программе выполнять  подобные действия.

    Программа-ревизор  сообщила о наличии в памяти «невидимых» («стелс») вирусов. Это проявляется  в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к диску выдаётся разное содержимое.

    Вирус сам Вам представился, выведя соответствующее  сообщение.

    Вы  можете подозревать наличие вируса, если:

    Антивирусная  программа сообщает об обнаружении  неизвестного вируса.

    На  экран или принтер начинают выводиться посторонние сообщения, символы  и т.д.

    Некоторые файлы оказываются испорченными.

    Некоторые программы перестают работать или  начинают работать неправильно.

    Работа  на компьютере существенно замедляется.

    Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими  программами, сбоями в аппаратуре и  т.д.

8.2. Пять правил при  заражении компьютера  вирусом.

    При заражении компьютера вирусом ( или  при подозрении на это ) важно соблюдать  пять правил.

    Прежде  всего, не надо торопиться и принимать  опрометчивых явлений. Как говориться, « семь раз отмерь, один раз отрежь» - непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера.

    Тем не менее, одно действие должно быть выполнено  немедленно. Если Вы не абсолютно уверены  в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить  компьютер, чтобы вирус не продолжал  своих разрушительных действий.

    Все действия по обнаружению вида заражения  и лечению компьютера следует  выполнять только при правильной загрузке компьютера с защищённой от записи «эталонной» дискеты с  операционной системой. При этом следует  использовать только программы ( исполнимые файлы ), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила  может привести к очень тяжёлым  последствиям, поскольку при загрузке DOS или запуске программы с заражённого диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

    Лечение от вируса обычно несложно, но иногда ( при существенных разрушениях, причинённых  вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения  компьютера, попросите помочь Вам  более опытных коллег.

    Лечение компьютера от вируса – процесс  творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают  что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого  устареют…

    Замечание: некоторые пользователи предпочитают лечить компьютер при заражении  вирусом, не загружаясь с «чистой» дискеты, считая, что так удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед операциями. Одни больные  выздоравливали, а другие умирали  от внесённой инфекции…

9. Раннее обнаружение вируса.

    Если  Вы используете резидентную программу-сторожа  для защиты от вируса, то наличие  вируса можно обнаружить на самом  раннем этапе, когда вирус ещё  не успел активизироваться, заразить другие программы или диски и  испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что  на диске имеется загрузочный  вирус, и предложить его удалить. Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, если Вы не загружались с дискеты и не запускали полученные программные файлы ).

10. Выяснение сведений о вирусе.

    Если  какая-либо из программ-детекторов сообщит  о том, что она нашла известный  ей вирус, то желательно прочесть в  её документации или встроенном справочнике  сведения о данном типе вируса. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если компьютер оказался заражён неопасным загрузочным вирусом, то кроме удаления вируса с жёсткого диска и дискет, которыми Вы пользовались, делать ничего не надо. А устранение последствий устранения вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьёзнее – обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные – с резервных копий.

11. Удаление вирусов.

    Если  какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить  заражённые объекты. Как правило, для  системных областей диска программа-детектор предлагает выбрать их излечение  или оставление без изменений, а  для файлов – лечение, удаление или  оставление без изменений. Удаление заражённых файлов обычно предпочтительнее их лечения, если заражённый файл входит в пакет программ, который можно  заново установить с дистрибутивных дисков.

    Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска вируса во всех файлах, а вен только в программных файлах, а также  режим поиска в архивах. Если Вы используете  архивы видов, не поддерживаемых программой-детектором, то может потребоваться распаковать  архив во временны каталог и проверить  его содержимое программой-детектором.

    Если  Вы лечили ( а не удаляли ) какие-либо файлы, рекомендуется ещё раз  проверить компьютер всеми имеющимися детекторами на отсутствие вирусов  – ведь некоторые файлы могли  быть заражены несколькими вирусами, «наслаивающимися» один на другой.

    Замечание: Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 - . ZIP и LZH, Dr.Web - . ARJ, . ZIP, . LZH, . RAR, . ZOO и . ICE, а Aidstest – не умеет искать вирусы в архивах вообще.

12. Что могут и  чего не могут  компьютерные вирусы.

12.1. Вирусофобия.