1. АНТИВИРУСНЫЕ ПРОГРАММЫ
Для защиты от вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, лечить зараженные файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов) действия. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Виды антивирусных программ.
Антивирусные программы можно разделить на виды в соответствии с выполняемыми ими функциями.
Детекторы.
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Некоторые программы-детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору).
Ревизоры.
Программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках — сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных (характерных для вирусов или недопустимых) изменениях, не беспокоя лишний раз пользователя.
Часто программы-ревизоры позволяют также «лечить» зараженные файлы или диск удаляя из них вирусы (это удается сделать почти для всех типов вирусов).
Сторожа.
Программы-сторожа (или фильтры) располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисководы дискеты. При наличии вируса об этом сообщается пользователю. Кроме топ многие программы-сторожа перехватывают те действия, которые используются вирусами для размножения и нанесения вреда (скажем, попытку записи в загрузочный сектор или форматирование жесткого диска), и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции, Программы-сторожа позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свеет убытки от вируса к минимуму-
Степень защиты, обеспечиваемую программами-сторожами, не следует и переоценивать, поскольку некоторые вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам BIOS системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вирус перехватывают только эти прерывания.
Многие программы-сторожа проверяют перед перезагрузкой, выполняемой по нажатии [Ctrl][AlT][Del] или по запросу программы, вставленные в дисководы дискеты на наличие загрузочных вирусов. Однако если загрузка осуществляется по нажатию кнопки «Reset» или при включении компьютера, то программы-сторожа ничем помочь не смогут — ведь заражение загрузочным вирусом происходит при загрузке операционной системы, т.е. до запуска любых программ или установки драйверов.
Иногда применяются также программы-вакцины, или иммунизаторы, они модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы малоэффективны и далее не рассматриваются.
Использование антивирусных программ.
Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. Поэтому никакие простые советы типа «вставьте в команду запуска программы Aidstest в AUTOEXEC.BAT» не будут достаточными. Однако совместное использование антивирусных программ дает неплохие результаты, так как они хорошо дополняют друг друга:
• поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяют программой-детектором. Если эти данные забыли проверить и зараженная программа была запущена, ее может «поймать» программа-сторож. Правда, в обоих случаях надежно обнаруживаются лишь вирусы, известные этим антивирусным программам. Неизвестные вирусы детекторы и сторожа, не включающие в себя эвристический анализатор, не обнаруживают вовсе (пример — программа Aidstest), имеющие такой анализатор — обнаруживают не более чем в 80—90% случаев;
• сторожа могут обнаруживать даже неизвестные вирусы, если они очень «нагло» себя ведут, например, пытаются отформатировать жесткий диск или внести изменения системные файлы или области диска на жестком диске. Впрочем, некоторые вирусы умеют обходить такой контроль. Более мелкие пакости вирусов (изменение программных файлов, запись в системные области дискет и т.д.) обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами;
• если вирус не был обнаружен детектором или сторожем, то результаты его деятельности обнаружит программа-ревизор.
Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы — использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры — запускаться раз в день для выявления и анализа изменений на дисках. Разумеется, все это должно сочетаться с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора и ревизора совмещаются в одной программе.
Пример. В антивирусном комплексе NortonAntiVirus функции детектора ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), функции сторожа — отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE).
В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции детектора и ревизора выполняются отдельными программами (причем в качестве детекторов предлагается использовать сразу две программы — Aidstest и Dr. Web). Однако некоторые элементы интеграции в этом комплексе все же есть: программа-ревизор ADinf может формировать список измененных файлов, а программы Aidstest и Dr. Web — проверять файлы только из этого списка. Это заметно сокращает время проверки жестких дисков на наличие вирусов.
А в качестве фильтра фирма «Диалог-Наука» предлагает аппаратно-программный комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надежнее, чем программная, поскольку ее ни один вирус обойти не может. Однако Sheriff имеет и недостаток — он не проверяет запускаемые программы на наличие вирусов.
2. ПРОФИЛАКТИКА ПРОТИВ ЗАРАЖЕНИЯ ВИРУСОМ
В настоящем разделе описываются меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также обнаружить заражение, если оно произошло, как можно раньше. Если Вы будете неуклонно применять данные меры «компьютерной гигиены», то на Вашем компьютере вряд ли заведутся вирусы (подобно тому, как у чистоплотного и соблюдающего меры гигиены человека вряд ли заведутся вши).
Наряду с профилактическими мерами против заражения вирусом необходимо использовать и общие меры, обеспечивающие сохранность данных: регулярное создание резервных копий, использование методов ограничения доступа к данным и т.д.
Проверка данных, поступающих извне.
Все принесенные дискеты или полученные извне (скажем, по электронной почте) файлы перед использованием следует проверить на наличие вируса с помощью программ-детекторов. Не используйте и не запускайте принесенные извне программы, назначение которых Вам непонятно.
Если полученные файлы содержатся в архивах, следует извлечь их из, архивов и проверить программами-детекторами сразу после этого (впрочем, некоторые программы-детекторы могут просматривать отдельные типы архивов сами). Если файлы из архивов можно извлечь только программой установки пакета программ, то надо выполнить установку этого пакета и сразу после этого проверить записанные на диск файлы, как это описано выше. Желательно выполнять установку при включенной резидентной программе-стороже для защиты от вирусов.
Не следует переписывать программное обеспечение с других компьютеров (особенно тех, к которым могут иметь доступ различные безответственные лица), так как оно может быть заражено вирусом. Автор не считает возможным вдаваться здесь в обсуждение моральных и юридических аспектов нелегального копирования программ, однако он хочет заметить, что распространяемые производителями программного обеспечения «фирменные» дискеты с программами, как правило, не содержат вирусов.
Периодическая проверка на наличие вирусов.
Желательно обеспечить ежедневную проверку дисков на наличие вирусов. Один способ — вставить в командный файл AUTOEXEC.BAT, выполняемый при начальной загрузке DOS, вызов программы или командного файла для проверки на наличие вирусов. В главе 40 описано, как сделать, чтобы эта программа или командный файл вызывались не чаще одного раза в день. Так, при использовании антивирусного комплекта DSAV «Диалог-Наука» можно из файла AUTOEXEC.BAT вызвать командный файл, запускающий программу-ревизора ADinf, который составляет список измененных файлов, используемый затем программами-детекторами Aidstest и Dr.Web (это позволяет существенно сократить время проверки). Пример такого командного файла включен в комплект поставки антивирусного комплекта DSAV.