Учебный вопрос №5. Методы и способы защиты от вирусов.
Методы борьбы с вирусами и троянцами описаны во многих книгах и журналах. К сожалению, единственный 100-процентный способ борьбы с ними - не включать компьютер вообще. Можно еще посоветовать ничего не устанавливать и ничего не запускать. Но тогда для чего вам нужен компьютер?
Основные признаки появления вируса в системе:
· Замедление работы некоторых программ (очень низкое быстродействие компьютера).
· Увеличение размеров файлов (особенно выполняемых). Это трудно заметить, но можно. В таких случаях помогает программа-ревизор.
· Появление не существовавших ранее "странных" файлов - особенно в каталоге Windows или корневом. Прежде чем удалить файл, скопируйте его в другой каталог - вдруг он еще понадобится.
· Уменьшение объема доступной оперативной памяти. (тоже трудно отслеживается, проще посмотреть специальной программой, что конкретно запущено в данный момент). Если стандартные средства не подходят, поищите что-нибудь в Интернет, например Ha www.listsoft.ru.
· Внезапно возникающие разнообразные видео и звуковые эффекты.
· Заметное снижение скорости работы в Интернете. (Вирус или троянец может что-то качать. Это проверяется ATGuard. Если в списке работающих в сети программ есть что-то типа kemei.exe или system.exe - это серьезный повод для подозрений).
· Наконец, жалобы от друзей (или провайдера) о том, что к ним приходят различные непонятные письма. Вирусы любят рассылать себя по почте.
Как работают антивирусные программы
К сожалению, борьба с вирусами - дело весьма сложное, и далеко не каждый программист может справиться с ним самостоятельно. Поэтому практически единственный способ - это использование различных антивирусных программ. Надо четко понимать, что ни одна подобная программа не дает стопроцентной надежности - она может "не узнать" какой-то вирус или, наоборот, заподозрить его в "добропорядочной программе". Т.к. новые вирусы появляются постоянно, то антивирусные программы следует регулярно обновлять, например, вирусная база AVP сейчас обновляется ежедневно, а антивирус DRWEB примерно раз в три дня.
У большинства антивирусов есть два режима использования - сканер и монитор. В режиме сканирования тщательно проверяются файлы, расположенные на диске; при этом вы можете указать для проверки отдельные файлы, директории или весь винчестер.
Монитор же является резидентной программой (т.е. он запущен все время, пока включен компьютер) и "на лету" проверяет запускаемые вами программы и файлы, к которым эти программы обращаются. Как правило, монитор производит менее тщательную проверку, чем сканер, но все же позволяет выловить наиболее распространенные вирусы. К сожалению, у антивирусов есть один минус - они довольно ощутимо замедляют работу компьютера, ведь им надо проанализировать каждый файл, перед тем как разрешить его использование. Именно из-за этих недостатков пользователи очень часто отключают антивирусы.
Разумеется, можно отключить монитор, когда вы работаете со знакомыми программами, но если вы работаете с Интернет или запускаете какие-то новые программы, то лучше перестраховаться. И еще - стоит потратить пару минут и настроить сканер на автоматический запуск, скажем, в пятницу вечером, и проверку всех дисков и файлов. Помимо антивирусов, есть еще один очень полезный тип программ - ревизоры (например, ADinf32). Они отслеживают изменения в файлах, хранящихся на диске. При первом запуске такая программа просматривает ваши файлы и для каждого из них запоминает контрольную сумму, а при последующих запусках пересчитывает суммы и сравнивает их с хранящимся значением. И, разумеется, выдает предупреждение, если размер какого-то файла изменился (вирус, заражая файл, несколько увеличивает его размер).
Использование ревизора требует некоторого терпения, т.к. сначала у вас уйдет определенное время на его настройку - указание тех директорий и файлов, которые не надо отслеживать. А потом вам придется просматривать списки измененных файлов и решать, вирус это или нет?.. Но это вполне производительная трата времени - совместное использование антивируса и ревизора дает очень высокую степень защиты от вирусов.
Обзор антивирусных программ
Антивирусы - это программы, которые обнаруживают и удаляют вирусы с вашего компьютера. Наиболее представительными являются DrWeb (www. dials. ru), Antiviral Tolkit Pro (AVP) (www.avp.ru), ADInf (www.dials.ru или www.adinf.com). Эти программы постоянно получают международные сертификаты и считаются одними из лучших. Кроме того, на упомянутых сайтах можно найти множество полезной информации о вирусах вообще.. А главное - обновления антивирусных баз.
В деле борьбы с вирусами главное - иметь свежий антивирус. В любом случае существует вероятность заполучить вирус или троянца. Антивирус может его сначала не найти (если вирус еще неизвестен антивирусной программе). Но после обновления, т.е. получения с сайта производителя антивируса набора свежих антивирусных баз с последними дополнениями существует высокая вероятность, что вирус будет немедленно обнаружен и уничтожен.
Также важно не запускать неизвестных вам программ. Из за неуемного любопытства многие люди постоянно скачивают из Интернета различные программы и сразу запускают их или, купив пиратский компакт диск, запускают программы, не проверив их на наличие вирусов. Если вы хотите работать с подобными программами, то установите антивирусный монитор (который отличается от антивирусного сканера). Когда вы запускаете DrWeb на проверку дисков - это антивирусный сканер, а поставляемый с ним в комплекте Spider - это антивирусный монитор. Антивирусный монитор загружается вместе с операционной системой и постоянно проверяет все запускаемые файлы. И если находит вирус, то вам об этом сообщает. А потом, по вашей команде, может вылечить. А если не вылечит, то просто может уничтожить зараженную программу. И эта последовательность действий зависит от особенностей вируса, а также возможностей и установленных опций антивируса.
Можно порекомендовать и украинский антивирус Stop! (www dizet corn ua) Этот продукт специально предназначен для борьбы с троянскими программами.
Также хорошим подспорьем для обнаружения троянцев может стать ATGuard.
Коммерческие антивирусные программы
Теперь мы рассмотрим коммерческие антивирусные программы, которые предлагает нам сегодняшний рынок.
Собственно, наибольшую популярность у отечественных пользователей снискали две компании-производителя антивирусных программ ЗАО "Лаборатория Касперского" и ЗАО "ДиалогНаука" (http//www.dials.ru).
Doctor Web
Легендарная программа, разработанная И.А. Даниловым в 1994г. и пришедшая на смену морально устаревающему Aidstest`у. Она до сих пор не потеряла своей популярности, кстати, недавно вышла ее новая версия 4.26. Существует в двух вариантах 16-и 32-битном. Последний факт дает основания предполагать, что Doctor Web будет и в дальнейшем нас радовать качественными обновками.
Последняя версия продукта распознает вполне приличное количество вирусов, поэтому приверженцам "ДиалогНауки" советуем со всей серьезностью относиться к обновлению антивирусного программного обеспечения. С недавнего времени Doctor Web выпускают не только для DOS/Windows, но и для OS/2, Novell NetWare, Linux и ряда других платформ.
Бесплатные и ознакомительные некоммерческие версии некоторых перечисленных продуктов компаний можно загрузить на http://www.dials ru/download. Если захотите что-либо купить, на страничке http//www.dials.ru/commer/shop.htm можно найти список электронных (и не только) магазинов.
AVP
Эта торговая марка известна далеко за пределами России, а последние несколько лет она неизменно фигурирует в тройке лучших антивирусных производителей мира: если верить статистике, ей отдает предпочтение каждый второй пользователь! И это неудивительно - сложно найти обеспечение, равное по надежности программам AVP (AntiViral Toolkit Pro) или "Антивирус Касперского". Эту истину неоднократно подтверждали множество именитых компьютерных изданий.
Линейка AVP состоит из четырех продуктов: Lite и Gold, ориентированных на домашние ПК, Platinum - для малого бизнеса, и "Решение для Корпоративных пользователей" - для крупного.
Symantec Norton AntiVirus
По объемам продаж этот антивирус (http://www.Symantec.com/nav) и уступает только McAfee VirusScan, занимая второе место в мире.
Прежде всего, стоит отметить наличие русскоязычной версии этого антивируса. Но, несмотря на его огромную популярность на отечественном рынке, его нельзя назвать лучшим антивирусом, в первую очередь, из-за плохого распознавания вирусов и ложных срабатываний. Что касается требовательности программы к системным ресурсам и удобства в обращении, то здесь все в порядке. Если пакет успешно обнаружит вирус, то даст вразумительное объяснение, как рекомендуется поступить в данной ситуации. В случае детектирования неизвестных вирусов, он может локализовать зараженные данные на время, пока не появятся соответствующие обновления на сайге разработчика. Вообще, все подозрительные данные Norton AntiVirus при необходимости кодирует и отправляет по почте в исследовательский центр Symantec. Подобно McAfee VirusScan, программа позволяет сканировать носители по ранее заданному расписанию и автоматически обновлять базы. Symantec Norton AntiVirus 2001 выпускают отдельно для ОС Windows 9x/Me, отдельно для NT/2000. В ShopSymantec (http//www.symantecstore.com) обе версии программы можно загрузить за 39.95 $ или за те же деньги плюс расходы по доставке приобрести CD-ROM.
