Вирусы и антивирусы

   Во многих сканерах используются также алгоритмы эвристического сканирования, т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.

Поскольку эвристическое сканирование является во многом вероятностным методом  поиска вирусов, то на него распространяются многие законы теории вероятности. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

   К достоинствам сканеров относится их универсальность, к недостаткам – размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшая скорость поиска вирусов.

CRC-сканеры

  Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т. д.

При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен, или заражен вирусом.

   CRC-сканеры, использующие «антистелс»-алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивируса есть врожденный недостаток, который заметно снижает его эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру.

CRC-сканеры не могут детектировать вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для CRC-сканеров.

Мониторы

   Антивирусные мониторы – это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т. д., то есть вызовы, которые характерны для вирусов в момент их размножения.

   К достоинствам мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты монитора и большое количество ложных срабатываний.

   Необходимо также отметить такое направление антивирусных средств, как антивирусные мониторы, выполненные в виде аппаратных компонентов компьютера («железа»). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает ложное срабатывание защиты.

Существует несколько более  универсальных аппаратных мониторов, но к перечисленным выше недостаткам  добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные мониторы крайне непопулярными на фоне остальных типов антивирусной защиты.

Иммунизаторы

   Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конце файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяет его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении «стелс»-вирусом. Поэтому такие иммунизаторы, как и мониторы, практически не используются в настоящее время.

   Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример – строка MSDos, предохраняющая от ископаемого вируса Jerusalem). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса, при запуске вируса натыкается на нее и считает, что система уже заражена.

   Такой тип иммунизации не может быть универсальным, поскольку нельзя проиммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие – 60с. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.         

Самые распространенные в России антивирусы – Doctor Web лаборатории И. Данилова и Антивирус Касперского, оба очень неплохого качества, в международных чемпионатах среди антивирусов постоянно занимают самые высокие места. Из западных антивирусов можно назвать Norton Antivirus – самый, пожалуй, известный в мире антивирус, Nod32 – самый быстрый и легкий (мало загружающий систему) антивирус и Panda – самый дешевый антивирус.

 Установив антивирусную программу, стоит не забывать обновлять ее антивирусные базы: новые вирусы появляются пачками, буквально каждый день. А за ними следом поспевают и обновления антивирусов. Причем система обновления обычно предельно проста: достаточно нажать одну единственную кнопку, а некоторые программы сами обновляются через сеть, причем по нескольку раз в день.

   Не стоит ставить сразу два антивируса на один компьютер: они будут мешать и друг другу и всем остальным программам. И, прежде всего это касается постоянно работающих модулей – мониторов.

2.3. Методика использования антивирусных программ

Если на компьютере найден вирус, то следует сделать следующее:

В случае обнаружения файлового  вируса компьютер необходимо отключить  от сети и проинформировать системного администратора. Если вирус еще не проник в сеть, это защитит сервер и другие рабочие станции от проникновения вируса. Если же вирус уже поразил сервер, то отключение от сети не позволит ему вновь проникнуть на компьютер после лечения. Подключение к сети возможно лишь после того, как будут выключены все серверы и рабочие станции.

При обнаружении загрузочного вируса отключать компьютер от сети не следует: вирусы этого типа по сети не распространяются (естественно кроме файлово-загрузочных  вирусов).

Если произошло заражение макровирусом, вместо отключения от сети достаточно на период лечения убедится в том, что соответствующий   редактор неактивен на всех компьютерах.

Когда обнаружены файловые вирусы или  загрузочные вирусы, следует убедится в том, что вирус либо нерезидентный, либо резидентная часть вируса обезврежена: при запуске некоторые антивирусы автоматически обезвреживают резидентные вирусы в памяти. Удаление вируса из памяти необходимо для того, чтобы остановить его распространение. При сканировании файлов антивирусы сканируют их, многие из резидентных вирусов перехватывают это событие и заражают открываемые файлы. В результате большая часть файлов окажется зараженной, поскольку вирус не удален из памяти. То же может и произойти и в случае загрузочных вирусов: все проверяемые дискеты могут оказаться зараженными.

Если используемый антивирус не удаляет вирусы из памяти, следует перезагрузить компьютер с заведомо незараженной и защищенной от записи системной дискеты. Перезагрузка должна быть «холодной» (клавиша Reset или выключение/включение компьютера), так как некоторые вирусы «выживают» при теплой перезагрузки. Некоторые вирусы используют приемы, позволяющие им «выжить» и при холодной перезагрузки (например, вирус Ugly), поэтому также следует проверить в настройках BIOS пункт «последовательность загрузки А: С», чтобы гарантировать загрузку DOS с системной дискеты, а не с зараженного винчестера.

При помощи антивирусной программы  нужно восстановить зараженные файлы  и затем проверить их работоспособность. Перед лечением или одновременно с ним – создать резервные  копии зараженных файлов и распечатать или сохранить где-либо список зараженных файлов (log-файл антивируса). Это необходимо для того, чтобы восстановить файлы, если лечение не будет иметь успеха из-за ошибки в лечащем модуле антивируса либо по причине неспособности антивируса лечить данный вирус. В этом случае придется прибегнуть к помощи какого-либо другого антивируса.

Гораздо надежнее восстановить зараженные файлы из резервной копии (если она  есть), однако все равно потребуются  услуги антивируса – вдруг не все  копии окажутся, уничтожены, или, если файлы в back-up-копии также заражены.

Следует отметить, что качество восстановления файлов многими антивирусными программами  оставляет ждать лучшего. Многие популярные антивирусы частенько необратимо портят файлы вместо  выше перечисленные пункты следует в полном объеме.

В случае загрузочного диска необходимо проверить все дискеты независимо от того, загрузочные они (т.е. содержат файлы DOS) или нет. Даже совершенно пустая дискета может стать источником распространения вируса – достаточно забыть ее в дисководе и перезагрузить компьютер (если, конечно же, в BIOS Setup загрузочным диском отмечен гибкий диск).

Помимо перечисленных выше пунктов  необходимо обращать особое внимание на чистоту модулей, сжатых утилитами  типа LZEXE, PKLITE или DIET, файлов в архивах (ZIP, ARC, ICE, ARJ и т. д.) и данных в самораспаковывающихся файлах, созданных утилитами типа ZIP2EXE. Если случайно упаковать файл, зараженный вирусом, то обнаружение и удаление такого вируса без распаковки файла практически невозможно. В данном случае типичной будет ситуация, при которой все антивирусные программы, неспособные сканировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять.

Штаммы вируса могут проникнуть и в резервные копии ПО при обновлении этих копий. При чем архивы и резервные копии являются основными поставщиками давно известных вирусов. Вирус может годами сидеть дистрибутивной копии какого-либо программного продукта и неожиданно проявится при установке программ на новом компьютере.

Никто не гарантирует полного уничтожения  всех копий компьютерного вируса, так как файловый вирус может  поразить не только выполняемые файлы, но и оверлейные модули с расширениями имени, отличающимися от COM или EXE. Загрузочный вирус может остаться на какой-либо дискете и внезапно проявится при случайной попытке перезагрузиться с нее.

Поэтому целесообразно некоторое  время после удаления вируса постоянно  пользоваться резидентным антивирусным сканером.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Антивирус Avast

Avast! 5 Free Antivirus - на сегодняшний день один из лучших бесплатных антивирусов в мире, к тому же специально разработанный для использования на домашних компьютерах. Продукт потребляет минимальное количество ресурсов и практически не оказывает негативного влияния на скорость загрузки операционной системы и общую производительность компьютера. Он получил совершенно новый более удобный и понятный интерфейс, который обеспечивает быстрый доступ ко всем параметрам программы (рис.1).

Рис.1 Стартовое окно антивируса Avast                                                                                                          Значительным усовершенствованием в Avast! 5 Free Antivirus является поддержка механизмов эвристического анализа, которые позволяют выявлять большее количество новых модификаций вредоносных программ. Также Avast! 5 Free Antivirus укомплектован механизмами обнаружения потенциально нежелательных программ и новым компонентом Code Emulator, способным идентифицировать вредоносный код, для упаковки которого использовались неизвестные ранее упаковщики. 

 

 

 

Основные возможности

Рассмотрим Avast! 5 Free Antivirus подробнее. Итак, запускаем установщик продукта. В стартовом окне установщика нам предлагается выбор языка интерфейса антивируса.

Во втором окне предоставлен выбор  типа установки (по умолчанию или  выборочный), а также установка  параметров участия в сервисе  сбора анонимной информации с  ПК, которая связанна с его безопасностью.

Интересный момент - в третьем  окне продукт предлагает установить браузер Google Chrome.

После успешной установки выводится  окно, сигнализирующее об этом, но с  весьма юморным содержанием.

Интерфейс продукта состоит из четырех  вкладок. Первая вкладка - это "Сводка". Данная вкладка в свою очередь состоит из двух закладок - "Текущее состояние" и "Статистика".

В этих двух закладках представлена информация о текущем состоянии  защиты компьютера, версии антивирусных баз, актуальности лицензии, а также  режиме работы уведомлений антивируса.

В Avast! 5 Free Antivirus представлена возможность настроить режим работы уведомлений антивируса о тех или иных событиях - например, об обновлении определений вирусов, о сканировании входящей почты и т.п. Вы можете полностью отключить уведомления или же отключить уведомления только во время работы приложений в полноэкранном режиме – компьютерных игр, фильмов и т.п.

Переходим ко второй вкладке - "Сканировать компьютер". Она состоит из трех закладок - "Сканировать", "Сканирование при загрузке" и "Журналы сканирования".

Avast! 5 Free Antivirus включает ряд стандартных  видов сканирования, которые устанавливаются  по умолчанию.

Экспресс-сканирование - выполняет быстрое сканирование системного диска на вашем компьютере (обычно диск C:\). По умолчанию сканируются только "опасные" расширения, т.е. файлы с такими расширениями, как "exe", "com", "bat" и т.п.

Полное сканирование - более тщательное сканирование всех жестких дисков в системе.

Сканирование съемных носителей - сканирование всех съемных носителей, подключенных к компьютеру.

Выберите папку для сканирования - эта опция позволяет просканировать только определенную папку или несколько папок (рис.2).