Сторожа: програм6ы-сторожа (или
фильтры) располагаются резидентно
в оперативной памяти компьютера и проверяют
на наличие вирусов запускаемые файлы
и вставляемые в дисковод дискеты. При
наличии вируса об этом сообщается пользователю.
Кроме того, многие программы-сторожа
перехватывают те действия, которые используются
вирусами для размножения и нанесения
вреда (скажем, попытку записи в загрузочный
сектор или форматирование жёсткого диска),
и сообщают о них пользователю. Пользователь
может разрешить или запретить выполнение
соответствующей операции. Программы-сторожа
позволяют обнаружить многие вирусы на
самой ранней стадии, когда вирус ещё не
успел размножиться и что-либо испортить.
Тем самым можно свести убытки от вируса
к минимуму.
Замечания.
1. Степень защиты, обеспечиваемую
программами-сторожами, не следует
переоценивать, поскольку некоторые вирусы
для своего размножения и нанесения вреда
обращаются непосредственно к программам
BIOS системы, не используя стандартный
способ вызова этих программ через прерывания,
а резидентные программы для защиты от
вируса перехватывают только эти прерывания.
2. Многие программы-сторожа проверяют
перед перезагрузкой, выполняемой
по нажатию Ctr Alt Del или по запросу
программы, вставленные в дисководы
дискеты на наличие загрузочных
вирусов. Однако если загрузка
осуществляется по нажатию кнопки
«Reset» или по включению компьютера, то
программы-сторожа ничем помочь не смогут
– ведь заражение загрузочным вирусом
происходит при загрузке операционной
системы, т.е. до запуска любых программ
или установки драйверов.
3. Иногда применяются также программы-вакцины,
или иммунизаторы, они модифицируют программы
и диски таким образом, что это не отражается
на роботе программ, но тот вирус, от которого
производится вакцинация, считает эти
программы или диски уже заражёнными.
Эти программы малоэффективны и далее
не рассматриваются.
3.2. Использование
антивирусных программ.
Ни один тип антивирусных программ
по отдельности не даёт, к сожалению,
полной защиты от вирусов. Поэтому
никакие простые советы типа
«вставьте команду запуска программы
Aidstest в AUTOEXEC.BAT» не будут достаточными.
Однако совместное использование антивирусных
программ даёт неплохие результаты, так
как они хорошо дополняют друг друга.
Поступающие из внешних источников
данные (файлы, дискеты и т.д.) проверяются
программой-детектором. Если эти данные
забыли проверить, и заражённая программа
была запущена, её может «поймать» программа-сторож.
Правда, в обоих случаях надёжно обнаруживаются
лишь вирусы, известные этим антивирусным
программам. Неизвестные вирусы детекторы
и сторожа, не включающие в себя эвристический
анализатор, не обнаруживают вовсе (пример
– программа Aidstest), а имеющие такой анализатор
– обнаруживают не более чем в 80-90% случаев.
Сторожа могут обнаруживать даже
неизвестные вирусы, если они
очень нагло себя ведут, например,
пытаются отформатировать жёсткий диск
или внести изменения в системные файлы
или области диска на жёстком диске. Впрочем,
некоторые вирусы умеют обходить такой
контроль. Более мелкие пакости вирусов(изменение
программных файлов, запись в системные
области дискет и т.д.) обычно не отслеживаются,
так как эти действия выполняются не только
вирусами, но и многими программами.
Если вирус не был обнаружен
детектором или сторожем, то результаты
его деятельности –обнаружит программа-ревизор.
Как правило, программы-сторожа
должны работать на компьютере
постоянно, детекторы – использоваться
для проверки поступающих из
внешних источников данных (файлов
и дискет), а ревизоры – запускаться
раз в день для выявления и анализа
изменений на дисках.
3.3. Антивирусные
комплексы.
Поскольку функции детектора,
ревизора и сторожа дополняют
друг друга, то в современные
антивирусные комплекты программ
обычно входят компоненты, реализующие
все эти функции. При этом
часто функции детектора и ревизора совмещаются
в одной программе.
Пример: в антивирусном комплексе
Norton antiviral функции детектора и
ревизора выполняет основная
программа комплекса (NAVW.EXE или
NAVW32.EXE), а функции сторожа –
отдельная резидентная программа
(NAVTSR.EXE или NAVBRES.EXE).
В антивирусном комплекте DSAV фирмы
«Диалог-Наука» функции детектора
и ревизора выполняются отдельными
программами (причём в качестве
детекторов предлагается использовать
сразу две программы – Aidstest
и Dr.Web). Однако некоторые элементы интеграции
в этом комплексе всё же есть: программа-ревизор
Adinf может формировать список измененных
файлов, а программа Aidstest и Dr.Web – проверять
файлы только из этого списка. Это заметно
сокращает время проверки жёстких
дисков на наличие вирусов.
А в качестве фильтра фирма
«Диалог-Наука» предлагает аппаратно-программный
комплекс Sheriff, который позволяет
на аппаратном уровне выявлять
и пресекать нежелательную деятельность
вирусов: изменение загрузочных
областей дисков, системных файлов
DOS, иных файлов по указанию пользователя.
Такая защита гораздо надёжнее, чем программная,
поскольку её ни один вирус обойти не может.
Однако, Sheriff имеет и недостаток – он не
проверяет запускаемые программы на наличие
вирусов.
3.4. Обновление антивирусных
программ.
Для программ-детекторов следует
периодически обновлять их версии.
Новые вирусы сейчас появляются
каждую неделю, и при использовании
версий программ полугодовой
или годовой давности очень
вероятно заражение таки вирусом,
который этим программам будет неизвестен.
Замечания.
1.
Для некоторых программ (например,
Norton AntiVirus ) для обновления не надо
покупать новую версию программы,
а следует переписать с помощью
модема новую версию базы данных
со сведениями о вирусах. Обычно
это можно делать бесплатно.
2. Фирма «Диалог-Наука» позволяет
приобрести годовой абонемент,
позволяющий получать самые последние
версии программ Aidstest, Dr.Web, Adinf и AdinfExt
по электронной почте или через
BBS фирмы «Диалог-Наука». При продлении
годового абонемента предоставляется
скидка 50%. Последние версии базы данных
со сведениями о вирусах для программы
NortonAntiVirus можно бесплатно списать по модему
с FTP-сервера ftp. symantec. com или с WWW-сервера
www. symantec. com. В обоих случаях обновление
версий выполняется не одного раза в месяц.
4. Действия при
заражении вирусом.
4.1. Симптомы заражения
вирусом.
Вы можете
быть уверены, что на Вашем
компьютере имеется вирус, если:
- Программа-детектор
сообщает о наличии известного ей вируса
в оперативной памяти, в файлах или системных
областях на жёстком диске.
- Программа-ревизор
сообщает об изменении файлов, которые
не должны изменяться. При этом изменение
часто выполняется необычным способом,
например, содержание файла изменено,
а время его модификации – нет.
- Программа-ревизор
сообщает об изменении главной загрузочной
записи жёсткого диска (Master Boot, она содержит
таблицу разделения жёсткого диска ) или
загрузочной записи (Boot record), а Вы не изменяли
разбиение жёсткого диска, не устанавливали
новую версию операционной системы и не
давали иных поводов к изменению данных
областей жёсткого диска.
- Программа-сторож
сообщает о том, что какая-то программа
желает форматироать жёсткий диск, изменять
системные области жёсткого диска и т.д.
, а Вы не поручали никакой программе выполнять
подобные действия.
- Программа-ревизор
сообщила о наличии в памяти «невидимых»
(«стелс») вирусов. Это проявляется в том,
что для некоторых файлов или областей
дисков при чтении средствами DOS и при
чтении с помощью прямых обращений к диску
выдаётся разное содержимое.
Вирус сам
Вам представился, выведя соответствующее
сообщение.
Вы можете
подозревать наличие вируса, если:
- Антивирусная
программа сообщает об обнаружении неизвестного
вируса.
- На экран
или принтер начинают выводиться посторонние
сообщения, символы и т.д.
- Некоторые
файлы оказываются испорченными.
- Некоторые
программы перестают работать или начинают
работать неправильно.
- Работа на
компьютере существенно замедляется.
Впрочем,
похожие явления могут вызываться
не вирусом, а неправильно работающими
программами, сбоями в аппаратуре и т.д.
4.2. Пять правил
при заражении компьютера вирусом.
При заражении компьютера вирусом
( или при подозрении на это
) важно соблюдать пять правил.
Прежде всего, не надо торопиться
и принимать опрометчивых явлений.
Как говориться, « семь раз отмерь, один
раз отрежь» - непродуманные действия
могут привести не только к потере части
данных, которые можно было бы восстановить,
но и к повторному заражению компьютера.
Тем не менее, одно действие должно быть
выполнено немедленно. Если Вы не абсолютно
уверены в том, что обнаружили вирус до
того, как он успел активизироваться на
Вашем компьютере, то надо выключить компьютер,
чтобы вирус не продолжал своих разрушительных
действий.
Все действия по обнаружению
вида заражения и лечению компьютера следует
выполнять только при правильной загрузке
компьютера с защищённой от записи «эталонной»
дискеты с операционной системой. При
этом следует использовать только программы
( исполнимые файлы ), хранящиеся на защищённых
от записи дискетах. Несоблюдение этого
правила может привести к очень тяжёлым
последствиям, поскольку при загрузке
DOS или запуске программы с заражённого
диска в компьютере может быть активирован
вирус, а при работающем вирусе лечение
компьютера будет бессмысленным, так как
оно будет сопровождаться дальнейшим
заражением дисков и программ.
Лечение от вируса обычно несложно,
но иногда ( при существенных разрушениях,
причинённых вирусом) оно очень
затруднительно.
Лечение компьютера от вируса
– процесс творческий, поэтому любые
рекомендации по этому поводу не надо
воспринимать как догму. Тем более писатели
вирусов нет-нет, да и придумают что-то
новое, и некоторые рекомендации по борьбе
с вирусами из-за этого устареют.
Некоторые пользователи предпочитают
лечить компьютер при заражении вирусом,
не загружаясь с «чистой» дискеты, считая,
что так удобнее. Что ж, раньше были хирурги,
не считавшие нужным мыть руки перед операциями.
Одни больные выздоравливали, а другие
умирали от внесённой инфекции…
4.3. Раннее обнаружение
вируса.
Если Вы используете резидентную
программу-сторожа для защиты
от вируса, то наличие вируса
можно обнаружить на самом
раннем этапе, когда вирус ещё
не успел активизироваться, заразить
другие программы или диски
и испортить какие-либо данные.
Например, при обращении к дискете программа-сторож
может вывести сообщение, что на диске
имеется загрузочный вирус, и предложить
его удалить. Тогда для удаления вируса
достаточно согласиться с предложением
программы-сторожа. Никаких других действий
в этом случае предпринимать не надо. Аналогично,
если при проверке полученной со стороны
дискеты или скачанного по электронной
почте файла программами-детекторами
типа Aidstest, Dr.Web и т.д. было получено сообщение,
что дискета или файл содержит вирус, то
надо вылечить только эту дискету или
файл (разумеется, если Вы не загружались
с дискеты и не запускали полученные программные
файлы ).
4.4. Выяснение сведений
о вирусе.
Если какая-либо из программ-детекторов
сообщит о том, что она нашла
известный ей вирус, то желательно
прочесть в её документации или встроенном
справочнике сведения о данном типе вируса.
Например, в комплект поставки программ-детекторов
Aidstest и Dr.Web входят текстовые файлы с описаниями
знакомых им вирусов. Сведения о вирусах
позволят Вам оценить возможные последствия
заражения и выбрать необходимые меры
по их устранению. Например, если компьютер
оказался заражён неопасным загрузочным
вирусом, то кроме удаления вируса с жёсткого
диска и дискет, которыми Вы пользовались,
делать ничего не надо. А устранение последствий
устранения вирусом, изменяющим случайно
выбранные участки диска, могут быть гораздо
серьёзнее – обычно при этом приходиться
заново устанавливать все пакеты программ
с дистрибутивов, а собственные данные
– с резервных копий.
5. Удаление вирусов.
Если какая-либо из программ-детекторов
обнаружила вирус, то следует
с помощью этой программы излечить
или удалить заражённые объекты.
Как правило, для системных
областей диска программа-детектор
предлагает выбрать их излечение
или оставление без изменений, а для
файлов – лечение, удаление или оставление
без изменений. Удаление заражённых файлов
обычно предпочтительнее их лечения, если
заражённый файл входит в пакет программ,
который можно заново установить с дистрибутивных
дисков.