В старину существовал способ ловли глупых (простых) вирусов на живца. Создавался файл, состоящий из одних нулей и имеющий расширение.СОM или.ЕХЕ. Те вирусы, которые заражают программы без должной проверки, попадали в него как мухи на мед. Просмотрев впоследствии такой файл, легко можно было выделить сигнатуру (программный код вируса) и написать антивирус.
Краткий обзор антивирусных программ
Антивирусных программ написано хотя и гораздо меньше, чем вирусов, но достаточно много, чтобы пользователь имел выбор. Лучше, если у вас на компьютере и на специальной дискете будет установлено несколько таких программ. Это повысит вероятность обнаружения модификаций старых вирусов, а также, если программы используют эвристический анализ, обнаружение новых, неизвестных ранее, вирусов. Не забывайте почаще обновлять версии антивирусных программ, чтобы идти ноздря в ноздрю с авторами вирусов. Рекомендуем приобретать антивирусные программы официально. На это есть, по крайней мере, две причины:
1. Если вы будете пользоваться ворованными копиями антивирусных программ, то их разработчикам придется торговать апельсинами на рынке, чтобы заработать на жизнь. Кто в этом случае защитит вас от вирусов?
2. Вирус может быть замаскирован под нормальную антивирусную программу. Если быть точным, такая программа называется «Троянский конь». Надеюсь, аналогии прозрачны. Вы в полной уверенности запускаете антивирусную программу, а она форматирует ваш винчестер. Кстати, цены на отечественные антивирусные программы весьма доступны.
1. Программа-полифаг AIDSTEST
Aidstest, безусловно, относится к числу наиболее популярных антивирусных программ. Это программа-полифаг, ее версии обновляются, чуть ли не раз в неделю, пополняясь информацией о новых вирусах. Для проверки дисков и лечения зараженных файлов предпочтительнее использовать оригинальную загрузочную дискету, на которой поставляется Aidstest. В этом случае для проверки вашего компьютера необходимо вставить эту дискету в дисковод А: и перезагрузить компьютер. Необходимо применять холодную перезагрузку (нажать кнопку Reset), так как многие вирусы умеют переживать теплую перезагрузку (Ctrl-Alt-Del) и продолжают оставаться в памяти. После загрузки компьютера Aidstest просканирует диски и, если найдет вирусы, спросит разрешения на лечение. Возможен запуск Aidstest и с жесткого диска. Например:
D:\ANTI\Aidstest *.*/f
Чтобы узнать параметры запуска Aidstest, просто запустите его без параметров.
2. Программа-ревизор ADINF
ADinf — это программа-ревизор. ADinf позволяет обнаружить появление любого из существующие вирусов, включая Stealth-вирусы и вирусы-мутанты, а также неизвестные на сегодняшний день вирусы. При установке дополнительного лечащего блока можно удалить до 96% из них. В режиме повседневного контроля ADinf запускается автоматически из файла AUTOEXEC.BAT при первом включении компьютера. ADinf запоминает на диске информацию о файлах, включающую длины файлов, дату и время создания, контрольные суммы файлов и следит за их сохранностью. Особенно отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. К подозрительным вирусоподобным изменениям, например, относятся изменения длины файла или его контрольной суммы без изменения даты и времени создания. Кроме того, ADinf позволяет назначать список файлов, любые изменения в которых относятся к подозрительным. Кроме контроля за целостностью файлов, ADinf следит за дисковыми операциями, появлением сбойных кластеров, за сохранностью загрузочных секторов и др. ADinf проверяет диски, не используя DOS, а читая их по секторам, прямым обращением в BIOS.
В ADinf реализован алгоритм поиска Stealth-вирусов. Stealth-вирус нельзя обнаружить простым просмотром файла. При открытии зараженного файла Stealth-вирус удаляет себя из тела программы, а после закрытия — возвращает себя на место. ADinf обнаруживает Stealth-вирусы, сравнивая информацию о файлах, выдаваемую DOS, с фактической. Несовпадение информации однозначно указывает на вирус.
ADINF CURE MODULE
ADinf Cure Module — это программа, способная вылечить файл от вируса до появления программы-фага. ADinf Cure Module ведет специальные файлы, в которые записывает необходимую для лечения зараженных файлов информацию. Если происходит заражение, ADinf сообщает о нем ADinf Cure Module, a тот пытается провести лечение.
IBM ANTIVIRUS/DOS
Программа IBM AntiVirus/DOS входит в стандартный комплект поставки PC-DOS (файл IBMAVD.EXE). IBM AntiVirus/DOS предотвращает проникновение в компьютерную систему вирусов, а также осуществляет обнаружение и удаление уже имеющихся. IBM AntiVirus/DOS обнаруживает порядка 2300 известных вирусов, а также с помощью «неопределенного сканирования» большое количество вирусов, подобных известным IBM AntiVirus/DOS вирусам. С помощью эвристического анализа обнаруживаются также неизвестные в данный момент вирусы.
Программа может работать в фоновом режиме, обеспечивая постоянную защиту системы. Кроме того, вы можете проверять дискеты и жесткие диски на вирусы, запуская программу вручную.
При выполнении программы IBM AntiVirus/DOS на экране компьютера появляется всплывающее окно «Проверка на вирусы». Полоса индикатора показывает процент выполнения проверки. Кроме того, отображается имя проверяемого в текущий момент файла и путь к нему. Проверку в любой момент можно прервать, нажав кнопку Stop. После окончания проверки отображается окно с информацией о ее результатах. При обнаружении признаков вируса появляется всплывающее окно «Отчет о заражении вирусами».
Гибкая система настроек позволяет определить конкретные каталоги, которые следует проверить, и расширения файлов. Довольно удобное меню с обширной справочной информацией, значительно облегчает пользование системой.
Для проверки вы можете выбрать либо программные файлы, либо все файлы. При выборе режима Программные файлы программа IBM AntiVirus/DOS будет проверять обычные исполняемые файлы на указанных дисках. Такие файлы имеют расширения ВАТ, BIN, CMD, СОМ, DOS, DLL, EXE, OS2, ОV?, PRO и SYS. При выборе режима все файлы программа IBM AntiVirus/DOS будет проверять все файлы на заданных дисках. Главная загрузочная запись и загрузочные записи всех активных разделов на всех заданных локальных жестких дисках, включая загрузочные записи Менеджера загрузки, проверяются на вирусы независимо от выбранного режима. Если по какой-то причине доступ к файлу невозможен, то этот файл пропускается, и проверка продолжается.
Всплывающее окно Автоматическая проверка позволяет конфигурировать IBM AntiVirus/DOS для выполнения автоматической проверки системы.
Вы можете указать программе IBM AntiVirus/DOS, чтобы она проверяла DOS при ее запуске — ежедневно, еженедельно или ежемесячно.
Если при работе в текстовом процессоре Word for Windows вы вдруг обнаружили, что не можете сохранить свой файл, знайте: у вас завелся вирус. На сегодняшний день этим вирусом заражено 90% всех компьютеров. К счастью, добрые люди написали антивирус. Он представляет собой файл с расширением DOC, в котором содержится текст руководства по применению и специальная кнопка. Щелкните ею, и антивирус сделает свое дело.
IBM AntiVirus использует выявление изменений для решения двух задач. Прежде всего, это является отправной точкой для эвристического анализа и обнаружения новых вирусов. Кроме того, это ускоряет выявление новых вирусов. Для инфицирования файлов и загрузочных записей вирусы должны их изменить. Если вчера при проверке файл не был инфицирован и со вчерашнего дня не изменился, то можно сделать вывод, что и сегодня вируса в этом файле нет. При стандартном использовании программы IBM AntiVirus проверяются на уже известные вирусы только изменившиеся и новые файлы. Удостовериться, что файл изменился или что это новый файл, можно гораздо быстрее, чем проверить его на уже известные вирусы. Этот метод ускоряет процесс проверки.
При проверке файлов и загрузочных записей на известные вирусы IBM AntiVirus использует метод, называемый «неопределенное сканирование». Этот метод сканирования, применяемый IBM AntiVirus, предусматривает поиск последовательностей байтов, свидетельствующих о наличии вируса. Именно так работает большинство сканеров. Кроме того, этот метод позволяет выявить последовательности байтов, которые почти (но не полностью) совпадают с искомыми. Неточное соответствие может свидетельствовать о наличии штамма известного вируса, и при отображении отчета о заражении вирусами IBM AntiVirus сообщает, что файл или загрузочная запись могут быть инфицированы. Вам будет предоставлена возможность удаления всех подобных вирусов. Этот способ позволяет программе IBM AntiVirus выявить и правильно идентифицировать целый ряд новых вариантов вируса. Однако при отсутствии дополнительных мер это «неточное совпадение» может привести к ложным сигналам тревоги. IBM AntiVirus обеспечивает высокую надежность идентификации вирусов. Для этого используется усовершенствованный метод устранения ложных сигналов тревоги.
15 февраля 1996 года компания Microsoft объявила, что пользователи Windows 95 должны проявлять осторожность при загрузке на свой компьютер программ из Internet и он-лайновых служб, так как появился первый вирус, заражающий программы для Windows'95. Дискеты также могут служить переносчиком вируса. По данным компании Symantec, вирус имеет австралийское происхождение и поражает 32-разрядные исполняемые файлы. Вирус получил сразу два наименования: Boza и Bizateh. 7 февраля стало известно о втором вирусе для Windows'95, получившем название Chavez.
Функции IBM AntiVirus не ограничиваются выявлением уже известных вирусов. С помощью эвристического анализа эта программа выявляет также и ранее неизвестные вирусы. Она ведет поиск комбинаций изменений в файлах, а также характеристик программ, типичных для больших групп известных вирусов DOS. При выявлении факторов, соответствующих данным критериям, IBM AntiVirus при отображении отчета о заражении вирусами сообщает об этих файлах и загрузочных записях как о «подозрительных». Вам будет предоставлена возможность удаления/перезаписи подобных подозрительных файлов. Если IBM AntiVirus обнаруживает объект, напоминающий какой-либо известный вирус, то проверяется каждый релевантный байт этого вируса. Таким образом определяется, что это действительно именно этот вирус. Эта проверка имеет очень большое значение. Если можно с уверенностью утверждать, что это тот самый вирус, то чаще всего этот файл или загрузочную запись можно достаточно надежно дезинфицировать. Если же оказалось, что это другой вирус, то не исключено, что он изменил файл или загрузочную запись самым неожиданным образом. Попытка его обезвреживания может вызвать повреждение файла или загрузочной записи. IBM AntiVirus не предпринимает попыток дезинфекции, если это может вызвать повреждение файлов или загрузочных записей. Вместо этого программа предоставляет вам возможность удаления/перезаписи инфицированных файлов и загрузочных записей. В тех случаях, когда дезинфекция могла вызвать повреждение файлов, но этого не произошло, IBM AntiVirus отмечает этот факт в файле регистрации, создаваемом в ходе вашего сеанса IBM AntiVirus. Затем вы можете более тщательно обследовать эти программы и определить, надо ли их восстанавливать с резервных копий. Если программа IBM AntiVirus обнаруживает вирус во время начальной выборочной проверки, она может обследовать всю систему. При этом проверяются все (даже неизмененные) файлы на всех локальных жестких дисках и предоставляется возможность уничтожения найденных вирусов.
VIRUSCAN/CLEAN-UP
VIRUSCAN/CLEAN-UP— это пакет антивирусных программ компании McAfee Associates. Программа VIRUSCAN обнаруживает вирусы и передает подробную информацию программе CLEAN-UP, которая осуществляет лечение.
VIRUSCAN обнаруживает около 3000 известных вирусов и их модификаций. VIRUSCAN проверяет partition table жесткого диска (Master Boot Record), DOS Boot Sector, выполняемые файлы, включая системные, и файлы с любыми другими расширениями.
Кроме того, VIRUSCAN обнаруживает неизвестные вирусы. В первую очередь VIRUSCAN проверяет подозрительные изменения, которые произошли с файлами с момента последней проверки. VIRUSCAN хранит информацию о контрольных суммах файлов, размерах и др. Далее VIRUSCAN производит поиск новых классов вирусов, анализируя код файлов на предмет характерных для вирусов операций. VIRUSCAN способен найти и вирус-мутант (шифрующий свой код), используя алгоритмы статистического анализа, эвристического анализа и дизассемблируя код.
Инфицированный файл может быть уничтожен, если VIRUSCAN запущен с ключом /D, либо очищен от вируса программой CLEAN-UP.