Засоби боротьби з комп’ютерними вірусами

Загальні рекомендації

Не можна дати 100% гарантії від зараження вірусами комп’ютера, на якому
ви працюєте. В той же час виконання наступних правил принаймні суттєво
зменшить ймовірність тяжких наслідків.

SYMBOL 183 \f «Symbol» \s 10 \h Регулярно робіть резервні копії
важливих файлів та системних областей диска (утиліта П.Нортона Rescue,
архіватори, утиліти MS-DOS Backup, Replace і т.п.). Якщо ви розробляєте
власний програмний продукт, ведете базу даних тощо, візьміть за правило
зберігати на окремих магнітних носіях результати своєї праці наприкінці
робочого дня! Врешті-решт може просто серйозно відмовити обладнання і ви
не зможете дістатися своєї інформації.

SYMBOL 183 \f «Symbol» \s 10 \h Якщо хтось із ваших колег демонструє
на вашому комп’ютері свій продукт або ви встановлюєте нове програмне
забезпечення, обов’язково перевірте його антивірусними засобами.
Намагайтеся використовувати тільки законні шляхи одержання програм.
Зауважимо, однак, що відомі випадки, коли і більш-менш серйозні фірми
(звичайно, не злонавмисно) розповсюджували заражений продукт. Якщо ж ви
працюєте на ПК «колективного користування», то перевірка комп’ютера на
зараженість на початку вашого сеансу SYMBOL 151 \f «Arial Cyr»
обов’язкова!

SYMBOL 183 \f «Symbol» \s 10 \h Для діагностування чи лікування вашого
комп’ютера використовуйте тільки відомі програми, які добре
зарекомендували себе. До їх числа відносяться в першу чергу ті, про які
мова буде йти далі. Ще раз підкреслимо, що кожного дня з’являється у
середньому 5 SYMBOL 150 \f «Arial Cyr» 7 нових вірусів. Отже, ви повинні
подбати про те, щоб у вас завжди були нові версії антивірусних програм!

SYMBOL 183 \f «Symbol» \s 10 \h При лікуванні комп’ютера від вірусів
використовуйте чисту операційну систему, завантажуючи її з дискети. Але
ж і тут, як ми казали вище, вірус може вас обманути. Захищайте дискети
від записування, якщо є хоча б мала ймовірність зараження!.

SYMBOL 183 \f «Symbol» \s 10 \h Сучасні антивірусні програми добре
документовані. У відповідних файлах, що постачаються разом із цими
програмами, міститься опис усіх вірусів, з якими вони борються.
Прочитайте ці файли! Ви будете мати більш повне уявлення про небезпеку,
що загрожує вам і вашому комп’ютеру.

Дамо тепер загальну класифікацію антивірусних програм. За своїм
призначенням вони поділяються на детектори, фаги, ревізори, фільтри та
вакцини. Розглянемо їх характеристики більш докладно.

Детектори служать тільки для виявлення вірусів у комп’ютері. Фаги
лікують його від вірусної інфекції. Дуже часто функції детектора та фага
суміщені в одній програмі, а вибір режиму роботи здійснюється завданням
відповідних параметрів (опцій, ключів). На початку вірусної ери кожний
новий вірус визначався та лікувався окремою програмою. При цьому для
деяких з вірусів (наприклад, VIENNA) цих програм було не менше десятка.
Згодом окремі програми почали виявляти та лікувати декілька типів
вірусів, тому їх стали звати полідетекторами та поліфагами відповідно.
Сучасні антивірусні програми знаходять і знешкоджують багато тисяч
різновидів вірусів і заради простоти їх звуть коротко детекторами та
фагами. Серед детекторів та фагів найбільш відомими та популярними є
програми Aidstest, DrWeb (фірма ДиалогНаука, Росія), Scan, Clean (фірма
McAfee Associates, США), Norton AntiVirus (фірма Symantec Corporation,
США). Ці програми періодично (в середньому двічі на місяць)
поновлюються, даючи користувачеві змогу боротися з новими вірусами.
Показником важливості антивірусних засобів стало включення до складу
операційної системи MS-DOS утиліти MSAV (MicroSoft AntiVirus). Щоправда,
цей продукт був розроблений фірмою Central Point Soft Ware (автором
славнозвісних PCTools та PCShell) і звався CPAV, а згодом був куплений
фірмою MicroSoft. Утиліта MSAV є одночасно детектором, фагом, ревізором
та вакциною.

Під час запуску фагів у пам’яті комп’ютера не повинно бути резидентних
антивірусних програм, які блокують запис на диск (фільтрів).

Ще одним типом антивірусних програм є ревізори. Ці програми можуть
виявляти факт зараженості комп’ютера новими вірусами, слідкуючи за всіма
змінами системних областей та файлової структури на вашому ПК. При
першому запуску ревізор утворює таблиці, куди заносить інформацію про
вільну пам’ять, Partition Table, Boot, директорії, файли, що містяться у
них, погані кластери тощо. При повторному запуску ревізор сканує пам’ять
та диски і видає повідомлення про всі зміни, що відбулися у них з часу
останнього сеансу ревізії. Нескладний аналіз цих змін дозволяє надійно
визначити факт зараження комп’ютера вірусами. Серед ревізорів, мабуть,
найбільш популярною є програма ADinf (фірма ДиалогНаука, Росія). Вже
згадувана програма MSAV також може виконувати функції ревізора.

Свого часу, коли не було надійних засобів боротьби з вірусами, широкого
поширення набули так звані фільтри. Ці антивірусні програми блокують
операцію записування на диск і виконують її тільки при вашому дозволі.
При цьому легко визначити, чи то ви санкціювали команду на запис, чи то
вірус намагається щось заразити. До числа широко відомих свого часу
фільтрів можна віднести програми VirBlk, FluShot, Anti4us. До речі,
остання програма SYMBOL 151 \f «Arial Cyr» німецького виробництва і
при читанні її назви ми одержимо щось на зразок «антивірус». Зараз
фільтри майже не використовують, оскільки вони, по-перше, дуже незручні,
бо відволікають час на зайвий діалог, по-друге, деякі віруси можуть
обманювати їх. Відмітимо утиліту П.Нортона DISCMON, яка у режимі Protect
здійснює саме функцію фільтра.

Нарешті до антивірусних програм відносяться вакцини. Зауважимо відразу,
що їх поширення було дуже обмеженим раніше, а зараз вони практично
зовсім не використовуються. Справа у тому, що вакцини призначені для
боротьби з дуже обмеженими класами вірусів і для кожного їх типу
потребують досить складної розробки відповідних програм. Пояснимо на
прикладах суть дії вакцин. Як ми вже казали раніше, вірус VIENNA
проставляє у зараженому файлі неіснуючий час утворення (62 секунди). Це
ж саме робить і вакцина проти вказаного вірусу. Аналогічно, вакцина
проти вірусу BLACK FRIDAY використовує той факт, що цей вірус прикметою
зараженості використовує сполучення MsDos, що записується у кінець
файлу-жертви.

Антивірусна програма Aidstest Д.Лозинського

Ця програма є детектором та фагом одночасно і, отже, призначена для
виявлення і лікування файлів та Boot-секторів, які заражені відомими
типами вірусів. В процесі роботи програмні файли, які виправити
неможливо, витираються.

Програма викликається таким командним рядком (вказані тільки основні
параметри):

Aidstest path[/f][/g][/s][/p[ім’я файлу]][/q][/e]

Параметри програми:

path задає підмножину файлів для перевірки на зараженість. Кодується
практично за тими ж правилами, що і в команді DIR операційної системи.
Замість цього параметра можна поставити символ » SYMBOL 42 \f «Symbol»
«, що задає роботу з усіма логічними розділами жорстких дисків, або
символи » SYMBOL 42 \f «Symbol» SYMBOL 42 \f «Symbol» «, які задають
роботу з усіма дисками, починаючи з «C:» і включаючи ті, що працюють у
мережі, CD та subst-диски. Для перевірки поточного каталогу задається
просто символ «.»;

/f лікувати заражені програми та витирати безнадійно зіпсовані;

/g глобальна перевірка всіх файлів (не тільки COM, EXE та SYS). З цим
параметром програму рекомендується запускати лише тоді, коли відомо про
наявність у комп’ютері вірусів;

/s використовується у випадку, коли вірус, об’явлений видаленим,
продовжує з’являтися знову;

/p[ім’я файлу] виводить протокол роботи. Якщо ім’я файлу не задане,
виведення відбувається на принтер без нагадування;

/q виводить підказку про дозвіл на витирання безнадійно зіпсованих
файлів.

Якщо ви запустили програму без параметрів або помилилися при їх
завданні, на екран видається короткий опис параметрів програми.

Приклади використання програми Aidstest.

Aidstest SYMBOL 42 \f «Symbol» перевірка всіх EXE-, COM- і SYS-файлів
на всіх дисках, починаючи з «C:».

Aidstest a: перевірка всіх EXE-, COM- і SYS-файлів на дискеті в пристрої
«A:».

Aidstest d:/g/f лікування всіх доступних файлів на диску «D:».

Під час роботи програма Aidstest виводить повідомлення, зміст яких
достатньо простий та зрозумілий.

Антивірусна програма DrWeb І.Данилова

Ця програма є детектором та фагом одночасно і призначена для виявлення і
лікування програм, які заражені відомими типами вірусів. Крім того
програма містить евристичний аналізатор, який, базуючись на загальних
відомостях про характеристики та властивості вірусів, дозволяє інколи
знаходити нові, невідомі їх екземпляри. Щоправда, це дещо уповільнює її
роботу. Взагалі, серед тестованих журналом «Virus Bulletin» 25 відомих
антивірусних програм DrWeb зайняв останнє місце за швидкодією. Програма
DrWeb працює у зручному діалоговому режимі і добре документована.

Антивірусні програми Scan та Clean J.McAfee

Програма Scan є детектором, а програма Clean SYMBOL 151 \f «Arial Cyr»
фагом. За кількістю вірусів, які можуть виявляти та лікувати ці
програми, вони посідають, мабуть, перше місце. Але краще все-таки
користуватися двома попередніми програмами, оскільки зараз, як ми вже
казали, центр виробництва вірусів перемістився на територію колишнього
СРСР, а програми Aidstest та DrWeb швидше «реагують» на них.

Під час своєї роботи програма Scan у разі виявлення зараженості
комп’ютера повідомляє ім’я відповідного вірусу. Для лікування треба
задати це ім’я для програми Clean як параметр.

До складу комплексу програм J.McAfee входить також ревізор Validate.

Антивірусна програма Norton AntiVirus

Остання версія цього продукту SYMBOL 151 \f «Arial Cyr» перша, яка
почала працювати у середовищі операційної системи Windows-95,
використовуючи всі її особливості та можливості. Система Norton
AntiVirus пропонує користувачеві чудовий діалоговий режим боротьби з
вірусами, в якому передбачений цілий комплекс засобів, зокрема,
створення рятувальної (Rescue) дискети. Ця система є одночасно
детектором, фагом та ревізором.

Антивірусна програма ADinf Д.Мостового

Ця програма є одним з найпоширеніших ревізорів, дуже швидко проглядає
весь диск і повідомляє у зручній діалоговій формі про всі підозрілі
зміни на ньому. Програма має простий, інтуїтивно зрозумілий інтерфейс та
добре документована. Додатково з ADinf може працювати спеціальний
модуль, що лікує, ADinf Cure Module, який дозволяє у багатьох випадках
зараження новими вірусами успішно відбудовувати уражені файли.

Антивірусна програма AVP Є.Касперського

Ця програма менш популярна, ніж Aidstest та DrWeb, але містить у своєму
складі чудову демонстрацію роботи багатьох вірусів.

Захист від вірусів у комп’ютерних мережах

Із широким розповсюдженням комп’ютерних мереж постала серйозна проблема
їх захисту від вірусів. Ця проблема в цілому вирішується тими ж фірмами,
що розробляють антивірусні засоби для автономних комп’ютерів. Це SYMBOL
151 \f «Arial Cyr» такі відомі фірми як Dr Solomon’s Software, IBM,
Intel, McAfee Associates, Symantec, Trend Micro Devices та багато інших.

Як приклад, вкажемо деякі нові продукти для антивірусного захисту у
мережах, які випустила компанія McAfee у 1996 р.

McAfee проводить у життя стратегію організації ешелонованого
антивірусного захисту корпоративних обчислювальних середовищ. Так, за
збереження Boot-сектора відповідає пакет BootShield, за захист
настільної системи SYMBOL 151 \f «Arial Cyr» VirusScan, мережного
серверу SYMBOL 151 \f «Arial Cyr» NetShield, клієнту електронної пошти
та Web-броузера SYMBOL 151 \f «Arial Cyr» WebScan, шлюзу для передачі
Web-трафіка SYMBOL 151 \f «Arial Cyr» WebShield. Враховуючи серйозну
небезпеку розповсюдження вірусів у середовищах колективної роботи та
обміну повідомленнями, компанія випустила продукти GroupScan і
GroupShield. Вони покликані знизити ризик «епідемії», який у подібних
середовищах багаторазово зростає в силу наявності потужних функцій
тиражирування та постійного надходження файлів, що приєднані до
повідомлень електронної пошти.

Де знайти додаткову інформацію?

Як ми вже казали, інформація про віруси міститься у додатках до програм
AIDSTEST (автор Д.Лозинський, E-mail: [email protected] SYMBOL 151 \f
«Arial Cyr» файл aidsvir.txt) та DrWeb (автор І.Данилов,
E-mail:[email protected] SYMBOL 151 \f «Arial Cyr» файл virlist.web).

Починаючи з грудня 1995р. інформацію про конкретні віруси та нові версії
популярних антивірусних програм ви можете одержати на антивірусному
сервері [email protected] Надішліть за вказаною адресою листа з
командою HELP і ви отримаєте інструкцію по роботі з сервером.

Якщо ви маєте прямий доступ до Internet, то можете одержати необхідну
інформацію на таких FTP-серверах:

FTP-сервери СНД:

ftp.kiae.su orgland.ru push.stack.serpukhov.su

elvis.msk.su ftp.pczz.msk.su

Закордонні FTP-сервери:

ftp.netcom.com io.com ftp.informatik.uni-hamburg.de

oak.oakland.edu wuarchive.wustl.edu garbo.uwasa.fi

nic.funet.fi cert.org ftp.sunet.se

Зауважимо, що кожна солідна фірма, яка розробляє антивірусні продукти
приміщує на своїх серверах багато корисної інформації, надаючи у деяких
випадках можливість одержати по мережі окремі програмні засоби. Вкажемо
мережні адреси лише двох фірм:

http://www.symantec.com SYMBOL 151 \f «Arial Cyr» Symantec,

http://www.macafee.com SYMBOL 151 \f «Arial Cyr» MacAfee.

Решту адрес ви можете знайти на вказаних серверах.

Похожие записи