Организационные методы направлены на предотвращение заражения компьютерным вирусом.
Можно порекомендовать ряд простых и действенных мер. Внимательно следите за происхождением всех новых программ и документов на вашем компьютере. Например, ни в коем случае не следует доверять таким источникам, как CD с пиратским программным обеспечением. Не секрет, что к широкому распространению в нашей стране печально знаменитого "импортного" вируса Win32.CIH (а также вирусов TaiPan, Major, Burglar и другие) приложили свои "умелые руки" именно доморощенные пираты. Активно пользуйтесь такими возможностями, как шторка защиты от записи на дискете, режим "virus protection" в CMOS SETUP вашего компьютера и "галочка" защиты от исполнения макросов в WinWord 97. Сохранять и переносить WinWord-документы лучше в RTF-формате, его вирусы не заражают. Поставьте на файл NORMAL.DOT атрибут защиты от записи, большинство макровирусов не смогут заразить его и, значит, закрепиться на вашем компьютере.
Технические методы направлены на обнаружение, блокирование и удаление вирусов.
Эти методы предусматривают использование различных антивирусов. Наиболее известны так называемые "фаги" - программы, предназначенные для поиска и излечения известных вирусов, например DrWeb или AVP. Эффективно работают "инспектора" - программы, сохраняющие сведения о текущем программно-аппаратном состоянии вашего компьютера и регулярно следящие за всеми изменениями, например AdInf. Большую пользу могут принести так называемые "мониторы", которые в резидентном режиме постоянно отслеживают и блокируют в процессе работы компьютера все вирусоподобные действия программ; к этому классу можно отнести программу AVP Inspector. Редко встречаются и используются преимущественно вирусологами "сканеры" - программы, способные анализировать код программ с целью отыскания неизвестных еще вирусов, например TBAV. Ряд антивирусных продуктов совмещает в себе различные функции, например: "фаги" DrWeb и AVP умеют также "сканировать" программы, а "монитор" AVP Inspector способен также "инспектировать" содержимое дисковой памяти.
Залог эффективной защиты от вирусов - в совместном применении организационных и технических методов.
Какой антивирус лучше
Антивирусы постоянно тестируются и сравниваются по различным формальным критериям. По результатам сравнений, выполненным различными тестовыми лабораториями, на первом месте оказывается то один, то другой антивирус. Относиться к этому следует скептически, так как выводы типа "первый антивирус лучше второго" сильно зависят от списка критериев сравнения, номера анализируемой версии антивируса и от личных вкусов и предпочтений представителей тестовой лаборатории. Объективно же практически все имеющиеся на мировом рынке программных продуктов современные антивирусы обладают примерно одинаковыми потребительскими качествами.
Однако позволю себе поделиться мнением по вопросу, какой антивирус лучше. Мнение это весьма субъективно, но основывается на многолетнем опыте работы с некоторыми антивирусами, на результатах самостоятельного тестирования качества их работы и на личном общении с некоторыми людьми, принимавшими участие в разработке различных антивирусных программ.
AidsTest Дмитрия Лозинского. Имеется версия только для MsDos. Разработка и поддержка прекращены осенью 1997 года. Морально устарел и не способен обнаруживать и излечивать высокосложные вирусы. Обладает сверхвысокой скоростью сканирования диска. Количество обнаруживаемых и излечиваемых вирусов невелико, но качество их поиска и лечения очень высокое.
DrWeb Игоря Данилова. Поддерживается и распространяется московской фирмой "ДиалогНаука". Имеются версии для MsDos и Windows. Очень популярен. Обладает удобным и красивым пользовательским интерфейсом. Содержит очень мощный механизм обнаружения новых вирусов, способный даже автоматически излечивать некоторые просто организованные новинки; вместе с тем в отдельных редких случаях может неправильно распознать и испортить якобы зараженную новинкой программу. Количество известных и штатно излечиваемых вирусов сравнительно невелико, но набор их хорошо ориентирован на отечественную вирусную ситуацию. Отличается очень эффективными и изящными алгоритмами обнаружения и лечения высокосложных вирусов, но может пропустить при поиске программу, заведомо зараженную какой-нибудь неинтересной серостью. Обнаруженные ошибки и недостатки исправляются с задержкой, иногда в течение нескольких месяцев (как, например, в случае с некорректными процедурами обнаружения вирусов Kaczor и WM.Cap). Документация - каталог с описаниями излечимых вирусов - неполная. Обновления вирусных баз происходят в среднем раз в месяц, обновления версий антивируса - несколько раз в год.
AVP Евгения Касперского. Создается и распространяется командой "Лаборатория Касперского". Имеются версии для MsDos и Windows. Умеренно популярен. Обладает удобным пользовательским интерфейсом. Не слишком уверенно обнаруживает новые вирусы. Отличается сравнительно невысокой скоростью сканирования диска. Количество известных и штатно излечимых вирусов очень велико. Качество обнаружения и излечения высокое, но бывают задержки до нескольких недель при анализе и разработке алгоритмов излечения для вновь обнаруженных вирусов. Ошибки и недостатки исправляются быстро. Документация характеризуется полнотой и высокими потребительскими качествами (организована в виде гипертекста). Обновления вирусных баз происходят несколько раз в месяц, обновления версий антивируса - несколько раз в год.
Norton Antivirus (NAV) фирмы Symantec. Имеются версии для Windows. Умеренно популярен. Обладает удобным пользовательским интерфейсом. Сочетает функции поиска новинок, обнаружения и удаления известных вирусов, а также способен отслеживать подозрительные изменения в программно-аппаратной конфигурации компьютера. Функция поиска новых вирусов весьма эффективна, но нередко NAV видит новые вирусы там, где их нет. Количество обнаруживаемых и штатно излечимых вирусов очень велико. Качество обнаружения и излечения высокое, но для отдельных вирусов вместо исправления неоправданно предлагается удаление. Обновления вирусных баз происходят несколько раз в месяц.
Также весьма высокими потребительскими характеристиками обладают антивирусные продукты от DrSolomon и McAffee, но в конце лета 1998 года произошло формальное слияние этих фирм, и появится ли какая-нибудь новая антивирусная программа - пока неясно. Старые же практически не совершенствуются, хотя обновление вирусных баз происходит регулярно.
Я высказал свое мнение по поводу ряда известных антивирусов, а выводы должны сделать сами читатели. Единственное, что я могу рекомендовать: никогда, ни при каких условиях не пользуйтесь устаревшими (более чем на полгода) или малоизвестными антивирусами! В лучшем случае они просто ничего не найдут, в худшем - испортят информацию на винчестере похлеще любого "троянца".
Уроки Чернобыльского вируса
Все вы, конечно, прекрасно помните, как 26 апреля 1999 года активизировался и принес пользователям персональных компьютеров неисчислимые бедствия вирус Win32.CIH. По некоторым оценкам, в этот день вышел из строя каждый десятый компьютер, на котором была установлена операционная система Windows 95/98. Можно ли было этого избежать? Конечно!
Вирус Win32.CIH получил известность еще весной 1998 года, когда тайваньский студент Чен Инг Хау разослал в ряд интернетовских эхо-конференций свое новое "творение". Вирус, живущий только в среде Windows 95/98, быстро распространился по миру через Интернет. Россия же, как это принято у нас последние 80 лет, пошла своим путем. У нас распространению вируса способствовали главным образом изготовители пиратских CD, которые обильно "засеяли" свою продукцию этим вирусом. Таким образом, входными воротами в Самару для этого вируса послужил наш ипподром.
Win32.CIH прекрасно обнаруживался и корректно лечился практически всеми современными антивирусами еще с лета 1998 года. Но по древней русской традиции, "пока гром не грянет", мужик не запустит антивирус. Гром грянул 26 апреля 1999 года.
Что же делает этот вирус в день памяти Чернобыльской трагедии? Его деструктивные проявления состоят из двух этапов.
На первом этапе вирус через механизм VxDCall обильно записывает на винчестер случайную информацию, уничтожая содержимое Master Boot Record, Boot-сектора, обеих таблиц FAT и отдельных фрагментов данных.
После этого вирус пытается записать "мусор" в Flash BIOS компьютера. Дело в том, что если раньше BIOS намертво "прошивался" в ПЗУ, то на современных материнских платах он содержится в перезаписываемой flash-памяти. Под ударом оказались практически все компьютеры с материнскими платами, выпущенными после 1995 года. Конечно, на большинстве таких материнских плат имеется перемычка защиты от записи... но положа руку на сердце, признайтесь - точно ли вы знаете, в каком положении она находится?
Итак, 26 апреля 1999 года часть компьютеров просто перестала реагировать на включение питания, а те, кому повезло, могли полюбоваться сообщением, что "загрузочный диск не найден".
Катастрофа? Конечно! Но все-таки не стоит паниковать.
Еще летом прошлого года фирмы-производители BIOS'ов разработали стратегию борьбы с повреждениями, наносимыми Win32.CIH и ему подобными вирусами. Большинство flash-BIOS'ов содержат фрагмент, не перезаписываемый ни при каких условиях, так называемый Boot-блок. Этот фрагмент позволяет компьютеру произвести загрузку со специально подготовленной дискеты, двоичный образ которой можно скачать на Интернет-сайте фирмы производителя, например на http://www.award. com. Надо только проследить, чтобы номер версии погибшего BIOS'а точно совпадал с указанным в read.me скачиваемого файла. Загрузившись с этой дискеты и запустив специальную перезаписывающую программу, можно восстановить содержимое flash-BIOS. Одна тонкость - Boot-блок не умеет инициализировать современные PCI-видеокарты, и для того чтобы хоть что-то увидеть на дисплее компьютера в процессе восстановления, вам надо временно заменить ее на старую ISA-карту. Говорят, что некоторые компьютерные фирмы Самары проделывают эту операцию за минимальную оплату.