Шкідливе програмне забезпечення

Сторожі - програми, що контролюють операції з диском і припиняють спроби вірусу щодо розмноження (VSafe). Спеціальні програми-сторожа приєднуються до операційної системи з метою спостереження за активністю запускаються на комп'ютері програм. Вони постійно контролюють вірусоподібні операції, вироблені програмами з дисками або пам'яттю. Якщо з'являються підозрілі симптоми, вони блокують роботу даної програми, повідомляють про це користувачеві і чекають його рішення. Недоліком сторожів є їх надмірна настирливість, яка виражається в занадто частих повідомленнях про підозрілі операції. Іноді такі програми підтримуються спеціальними електронними ключами, які фізично блокують доступ до програмних ресурсів. Найбільш відомий програмно-апаратний комплекс Sheriff.

Вакцини - програми, що імітують зараження вірусом для припинення його розповсюдження (NeatVac).

Створення та розповсюдження шкідливого програмного забезпечення відноситься до розряду комп'ютерних злочинів, винні в цих злочинах несуть відповідальність відповідно до чинного законодавства.

Розглянемо методи антивірусного захисту.

1. Сканування

Якщо вірус відомий і вже проаналізовано, то можна розробити програму, що виявляє всі файли і завантажувальні записи, інфіковані цим вірусом. Така програма забезпечена «медичним» довідником, що містить характерні зразки програмного коду вірусу. Програма веде пошук комбінацій байтів, характерних для вірусу, але нетипових для звичайних програм. Програми-детектори, що шукають подібних комбінацій байтів, називаються полифагами, чи сканерами.

Для багатьох вірусів характерна проста комбінація, що представляє собою послідовність фіксованих байтів. Інші віруси використовують більш складні комбінації байтів. Необхідно впевнитися, що комбінація байтів не характерна для звичайних програм, інакше програма-детектор повідомить про вірус навіть за його відсутності.

2. Виявлення змін

Для інфікування програм або завантажувальних записів віруси повинні їх змінити. Існують програми, які спеціалізуються на виловлювання таких змін. Програму, що реєструє зміну файлів і завантажувальних записів, можна використовувати навіть для виявлення раніше невідомих вірусів. Однак зміна файлів і завантажувальних записів може бути обумовлено цілою низкою причин, які не мають ніякого відношення до вірусів. Виявлення змін саме по собі приносить не так багато користі, тому що необхідно дуже чітко розуміти, які зміни дійсно вказують на наявність вірусу.

3. Евристичний аналіз

Евристичний аналіз - це підозра антивірусної програми про те, що щось не в порядку.

При виявленні вірусів за допомогою евристичного аналізу ведеться пошук зовнішніх проявів або ж дій, характерних для деяких класів відомих вірусів. Наприклад, у файлах можуть виявлятися операції, що застосовуються вірусами, але рідко використовуються звичайними програмами. Можуть також виявлятися спроби запису на жорсткі диски або дискети з допомогою нестандартних методів.

Так само, як при використанні попереднього методу, за допомогою евристичного аналізу можна виявити цілі класи вірусів, проте необхідно упевнитися, що звичайні програми не були прийняті за інфіковані.

4. Верифікація

Розглянуті вище методи можуть свідчити, що програма або завантажувальний запис вражені вірусом, проте таким чином не можна з упевненістю упізнати вразив їх вірус і знищити його. Програми, за допомогою яких можна ідентифікувати вірус, називаються верифікаторами. Верифікатори можна розробити тільки для вже вивчених вірусів після їх ретельного аналізу.

5. Знешкодження

Не виключено, що після виявлення вірусу його можна буде видалити і відновити початковий стан заражених файлів і завантажувальних записів, властиве їм до «хвороби». Цей процес називається знешкодженням (дезінфекцією, лікуванням).

Деякі віруси ушкоджують затронуті ними файли і завантажувальні записи таким чином, що їх успішна дезинфекція неможлива. Не виключено також, що детектор однаково ідентифікує два різних віруса, тому дезинфікуюча програма буде ефективна для одного вірусу, але марна для іншого.

Дезінфікуючі програми змінюють ваші програми, тому вони повинні бути дуже надійними.

 

3. Заходи профілактики

 

Розглянуті  вище методи можуть застосовуватися  за допомогою різних способів. Одним  із загальноприйнятих методів є  використання програм, які ретельно обстежують диски, намагаючись виявити і знешкодити віруси. Можливо також використання резидентних програм DOS, постійно перевіряючих вашу систему на віруси. Резидентні програми мають таку перевагу: вони перевіряють всі програми на віруси при кожному їх використанні. Резидентні програми повинні бути дуже ретельно розроблені, тому що інакше вони будуть затримувати завантаження і виконання програм.

Нерезидентні  програми ефективні при необхідності одночасного обстеження всієї системи  на віруси та їх знешкодження. Вони являють собою засіб, що доповнює резидентні програми.

Всі повинні  пам'ятати про необхідність регулярного  виконання антивірусної програми. На жаль, як показує досвід, про це часто  забувають. Нехтування профілактичними  перевірками вашого комп'ютера збільшує ризик інфікування не тільки вашої комп'ютерної системи, а й поширення вірусу на інші комп'ютери. І не тільки через диски чи якісь інші носії, віруси чудово поширюються і по локальних мережах.

Щоб згодом уникнути головного болю, краще за все забезпечити  автоматичне використання антивірусної програми. У цьому випадку програма буде захищати ваш комп'ютер, не вимагаючи від вас будь-яких явних дій. Для забезпечення такого захисту можна при запуску системи встановити резидентні антивірусні програми, а також використовувати нерезидентні програми, які використовуються при запуску або періодично в зазначений час.

 

4. Як правильно лікувати

 

Перш за все, перезавантажте комп'ютер, натиснувши кнопку Reset. Така форма перезавантаження називається «холодне», на відміну від «теплого», що викликається комбінацією клавіш Ctrl-Alt + Del. Існують віруси, які спокійно виживають при «теплому» перезавантаженні.

Завантажте комп'ютер з диску, захищеного від запису і до встановлених антивірусними програмами. Необхідність зберігати антивірусний пакет на окремому захищеному диску викликана не тільки небезпекою зараження антивірусних програм вірусом. Частенько вірус спеціально шукає на жорсткому диску програму-антивірус і завдає їй пошкодження.

Намагайтеся частіше оновлювати ваші антивірусні програми. Причому як вітчизняні, так і імпортні. Вітчизняні - тому що у нас пишуть віруси всі кому не лінь і, щоб швидко розробити антивірусну програму, треба жити тут. Імпортні - тому що все сильніше зливаються «наш» і «їх» інформаційні простори, все більше західних вірусів проникає до нас з глобальних комп'ютерних мереж.

При виявленні зараженого файлу бажано скопіювати його на дискету і лише потім лікувати антивірусом. Це робиться для того, щоб у разі некоректного лікування файлу, що, на жаль, трапляється, спробувати полікувати файл іншим антивірусом.

Якщо вам знадобилася програма з ваших старих архівів або резервних копій, не полінуйтеся перевірити її. Не ризикуйте. Краще перебільшити небезпеку, ніж недооцінити її.

 

5. Традиційні методи “лову”  файлових вірусів. Огляд антивірусних програм

 

За старих часів існував  спосіб лову дурних (простих) вірусів  на живця. Створювався файл, що складається  з одних нулів і має розширення. СОM або. ЕХЕ. Ті віруси, які заражають  програми без належної перевірки, потрапляли в нього як мухи на мед. Переглянувши згодом такий файл, легко можна було виділити сигнатуру (програмний код вірусу) і написати антивірус.

Короткий огляд антивірусних програм

Антивірусних  програм написано хоча і набагато менше, ніж вірусів, але досить багато, щоб користувач мав вибір. Краще, якщо у вас на комп'ютері і на спеціальній дискеті буде встановлено кілька таких програм. Це підвищить ймовірність виявлення модифікацій старих вірусів, а також, якщо програми використовують евристичний аналіз, виявлення нових, невідомих раніше, вірусів. Не забувайте частіше оновлювати версії антивірусних програм, щоб йти ніздря в ніздрю з авторами вірусів. Рекомендуємо купувати антивірусні програми офіційно. На це є, принаймні, дві причини:

1. Якщо ви  будете користуватися краденими копіями антивірусних програм, то їх розробникам доведеться торгувати апельсинами на ринку, щоб заробити на життя. Хто в цьому випадку захистить вас від вірусів?

2. Вірус може  бути замаскований під нормальну  антивірусну програму. Якщо бути точним, така програма має назву «Троянський кінь». Сподіваюся, аналогії прозорі. Ви в повній впевненості запускаєте антивірусну програму, а вона форматує ваш вінчестер. До речі, ціни на вітчизняні антивірусні програми вельми доступні.

1. Програма-поліфаг AIDSTEST

Aidstest, безумовно,  відноситься до числа найбільш  популярних антивірусних програм.  Це програма-поліфаг, її версії  оновлюються, мало не раз на  тиждень, поповнюючись інформацією  про нові віруси. Для перевірки  дисків і лікування заражених  файлів краще використовувати оригінальну завантажувальну дискету, на якій поставляється Aidstest. У цьому випадку для перевірки вашого комп'ютера необхідно вставити цей диск в дисковод і перезавантажити комп'ютер. Необхідно застосовувати холодне перезавантаження (натиснути кнопку Reset), так як багато вірусів вміють переживати тепле перезавантаження (Ctrl-Alt-Del) і продовжують залишатися в пам'яті. Після завантаження комп'ютера Aidstest просканує диски і, якщо знайде віруси, спитає дозволу на лікування. Можливий запуск Aidstest і з жорсткого диска. Наприклад:

D: ANTIAidstest *.* / f

Щоб дізнатися  параметри запуску Aidstest, просто запустіть  його без параметрів.

2. Програма-ревізор  ADINF

ADinf - це програма-ревізор. ADinf дозволяє виявити появу будь-якого  з існуючих вірусів, включаючи Stealth-віруси і віруси-мутанти, а також невідомі на сьогоднішній день віруси. При встановленні додаткового лікуючого блоку можна видалити до 96% з них. У режимі повсякденного контролю ADinf запускається автоматично з файлу AUTOEXEC.BAT при першому включенні комп'ютера. ADinf запам'ятовує на диску інформацію про файли, що включає довжини файлів, дату і час створення, контрольні суми файлів і стежить за їх збереженням. Особливо відстежуються вірусоподібні зміни, про які негайно видається попередження. До підозрілих вірусоподібних змін, наприклад, відносяться зміни довжини файлу або його контрольної суми без зміни дати і часу створення. Крім того, ADinf дозволяє призначати список файлів, будь-які зміни в яких відносяться до підозрілих. Крім контролю за цілісністю файлів, ADinf стежить за дисковими операціями, появою збійних кластерів, за збереженням завантажувальних секторів та ін ADinf перевіряє диски, не використовуючи DOS, а читаючи їх по секторах, прямим зверненням до BIOS.

У ADinf реалізований алгоритм пошуку Stealth-вірусів. Stealth-вірус не можна виявити простим переглядом файлу. При відкритті зараженого файлу Stealth-вірус видаляє себе з тіла програми, а після закриття - повертає себе на місце. ADinf виявляє Stealth-віруси, порівнюючи інформацію про файли, що видається DOS, з фактичною. Розбіжність інформації однозначно вказує на вірус.

ADINF CURE MODULE

ADinf Cure Module - це  програма, здатна вилікувати файл  від вірусу до появи програми-фага. ADinf Cure Module веде спеціальні файли, у яких записує необхідну для лікування заражених файлів інформацію. Якщо відбувається зараження, ADinf повідомляє про нього ADinf Cure Module, a той намагається провести лікування.

IBM ANTIVIRUS / DOS

Програма IBM AntiVirus / DOS входить в стандартний комплект поставки PC-DOS (файл IBMAVD.EXE). IBM AntiVirus / DOS запобігає проникненню в комп'ютерну систему вірусів, а також здійснює виявлення та видалення вже наявних. IBM AntiVirus / DOS виявляє близько 2300 відомих вірусів, а також за допомогою «невизначеного сканування» велику кількість вірусів, подібних відомим IBM AntiVirus / DOS вірусам. За допомогою евристичного аналізу виявляються також невідомі в даний момент віруси.

Програма може працювати у фоновому режимі, забезпечуючи постійний захист системи. Крім того, ви можете перевіряти дискети і жорсткі диски на віруси, запускаючи програму вручну.

При використанні програми IBM AntiVirus / DOS на екрані комп'ютера  з'являється спливаюче вікно «Перевірка на віруси». Смуга індикатора показує  відсоток виконання перевірки. Крім того, відображається ім'я перевіряється у поточний момент файла і шлях до нього. Перевірку в будь-який момент можна перервати, натиснувши кнопку Stop. Після закінчення перевірки відображається вікно з інформацією про її результати. При виявленні ознак вірусу з'являється спливаюче вікно «Звіт про зараження вірусами».

Гнучка система  настроювань дозволяє визначити  конкретні каталоги, які слід перевірити, і розширення файлів. Досить зручне меню з обширною довідковою інформацією, значно полегшує користування системою.

Для перевірки  ви можете вибрати або програмні  файли, або всі файли. При виборі режиму Програмні файли програма IBM AntiVirus / DOS буде перевіряти звичайні використані  файли на зазначених дисках. Такі файли  мають розширення ВАТ, BIN, CMD, СОМ, DOS, DLL, EXE, OS2, ОV?, PRO та SYS. При виборі режиму всі файли програма IBM AntiVirus / DOS буде перевіряти всі файли на заданих дисках. Головний завантажувальний запис і завантажувальні записи всіх активних розділів всіх заданих локальних жорстких дисках, включаючи завантажувальні записи Менеджера завантаження, перевіряються на віруси незалежно від обраного режиму. Якщо з якоїсь причини доступ до файлу неможливий, то цей файл пропускається, і перевірка триває.