По методу работы антивирусные программы подразделяются па фильтры, ревизоры-доктора, детекторы, вакцины и др.
Программы-фильтры, или «сторожа», постоянно находятся в оперативной памяти, являясь резидентными, и перехватывают все запросы к операционной системе на выполнение подозрительных действий, т.е. операций, используемых вирусами для своего размножения и порчи информационных и программных ресурсов в компьютере, в том числе для переформатирования жесткого диска. Такими действиями могут быть попытки изменения атрибутов файлов, коррекции исполняемых СОМ- или ЕХЕ-файлов, записи в загрузочные секторы диска и др.
При каждом запросе на такое действие на экран компьютера выдается сообщение о том, какое действие затребовано и какая программа желает его выполнять. Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся «назойливость», раздражающая пользователя, и то, что объем оперативной памяти уменьшается из-за необходимости постоянного нахождения в ней «сторожа», являются главными недостатками этих программ. К тому же программы-фильтры не «лечат» файлы или диски, для этого необходимо использовать другие антивирусные программы.
Надежным средством защиты от вирусов считаются программы-ревизоры. Они запоминают исходное состояние программ, каталогов и системных областей диска, когда компьютер еще не был заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. При выявлении несоответствий (по длине файла, дате модификации, коду циклического контроля файла и др.) сообщение об этом выдается пользователю.
Программы-доктора не только обнаруживают, но и «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса. Программы этого типа делятся па фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов.
Программы-детекторы позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.
Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.
К настоящему времени зарубежными и отечественными фирмами и специалистами разработано большое количество антивирусных программ. Многие из них, получившие широкое признание, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.
У российских пользователей персональных компьютеров известной популярностью пользуется антивирусный комплект ЗАО «Диалог-Наука» - семейство антивирусных программ Doctor Web.
Комплексный антивирус Doctor Web включает в себя компоненты, обеспечивающие различные уровни борьбы с компьютерными вирусами :
• для защиты корпоративных сетей;
• для защиты рабочих станций;
• для защиты автономных компьютеров (домашнее пользование);
• для реализации специализированных решений.
Семейство Doctor Web включает антивирусы для ряда операционных систем, включая Windows 95/98/Me/NT/2000/XP, DOS, OS/2, Novell NetWare, Linux, FreeBSD, Solaris (Intel) и др.
Программа-антивирус Doctor Web предназначена для поиска и обнаружения файловых, загрузочных и файлово-загрузочных вирусов. Особенностью программы являются заложенные в ней три метода, позволяющие обнаруживать вирусы: по их сигнатуре, с помощью эвристического анализатора, с использованием эмулятора процессора.
Поиск вирусов по сигнатуре ( иное название этого процесса -сканирование вирусов) позволяет очень быстро обнаружить набор вирусных образцов, уже известных разработчику антивирусной программы. Использование же эвристического анализатора позволяет выявлять такие вирусы, сигнатуры которых отсутствуют в антивирусной базе. Прием эмуляции процессора обеспечивает борьбу со сложными шифрованными и полиморфными вирусами.
Особым свойством семейства программ Doctor Web является модульный принцип построения, что обеспечивает возможность их работы на разных программных платформах. Программа включает оболочку, ориентированную на работу в конкретной среде; ядро, не зависящее от среды, и вирусную базу, регулярно пополняемую. Такая структура позволяет одни и те же файлы вирусной базы Doctor Web использовать для разных программных платформ, подключать ядро к различным оболочкам и приложениям, а также реализовать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.
Антивирусный сканер Doctor Web для Windows 95/98/Me/NT/ 2000/ХР проверяет файлы, каталоги и диски компьютера на основе установок пользователя. Также обеспечивается полная проверка всей памяти компьютера, включая системную и память всех виртуальных машин в среде NT/2000/XP, Этот сканер находит и обезвреживает сложные с вирусами «троянский конь» программы, в том числе «ворующие» пароли для доступа в Интернет.
Антивирусная программа SplDer Guard для Windows 95/98/Me/ NT/2000/XP ориентирована на организацию защиты персонального компьютера от вирусов и представляет собой резидентный сторож, т.е. программа постоянно находится в памяти компьютера. Сторож SplDer использует то же ядро и вирусную базу, что и все сканеры семейства Doctor Web, но может делать все проверки автоматически, не отвлекая пользователя на специальные действия по обеспечению антивирусной безопасности. Программа не только обнаруживает и лечит все известные вирусы (загрузочные, файловые, макрокомандные, HTML-вирусы), но и осуществляет проверку упакованных файлов и архивов, проверку и удаление вирусов из оперативной памяти.
Входящая в состав семейства антивирусная программа Doctor Web для Novell NetWare запускается на сервере как загружаемый модуль в среде сетевой операционной системы Novell NetWare версий от 3.11 до 5-1. Она позволяет проводить проверку томов сервера по заранее заданному расписанию; осуществлять проверку приходящих на сервер и уходящих с него файлов; оповещать администратора об обнаруженных инфицированных и подозрительных файлах, вести протокол проверки; выбирать тома, каталоги и файлы, подлежащие проверке, и др.
В 2001 г. в семействе Doctor Web появился новый компонент для работы в среде достаточно мало используемых операционных систем Linux, FreeBSD и Solaris, названный программой-демоном Dr. WebD. Подключаемая в качестве внешнего антивирусного фильтра, эта программа проверяет проходящие через почтовый сервер сообщения электронной почты, а также организует отбор «компьютерного мусора», выступая как спам-фильтр.
В ноябре 2002 г. разработан антивирусный модуль Dr. Web для The Bat! для обеспечения антивирусной защиты при работе с почтовыми сообщениями в почтовой программе The Bat!. Этот модуль позволяет проверять на наличие вирусов входящую почту при ее получении и при открытии вложения. При обнаружении вируса модуль в зависимости от настройки в почтовой программе The Bat! (меню «Свойства», пункт «Антивирусная защита») может произвести одно из следующих действий:
• переместить письмо в специальную почтовую папку «Карантин» для последующего анализа;
• попытаться вылечить зараженные части письма;
• удалить зараженные части из письма;
• удалить письмо целиком.
В борьбе с компьютерными вирусами очень важна скорость реакции - чем быстрее создается «вакцина» против нового вируса, тем большее количество компьютеров и находящейся на них информации удается спасти. С октября 2000 г. дополнения вирусной базы Doctor Web выходят регулярно. При этом ежедневное и еженедельное дополнения доступны на странице Web-сервера этой компании (www.DialogNauka.ru/dsav/russian/add-on).
С программой Doctor Web можно работать как в режиме полноэкранного интерфейса с использованием меню и диалоговых окон, так и в режиме командной строки. При работе в режиме полноэкранного интерфейса после запуска антивирусной программы пользователь использует необходимые установки через пункты основного меню: Тест Настройки Дополнения.
Переход на операционные системы Windows NT/2000 породил проблемы с защитой от вирусов, создаваемых специально для этой среды. Кроме того, появилась новая разновидность инфекции - макровирусы, «вживляемые» в документы, подготавливаемые текстовым процессором Word и электронными таблицами
Excel. Известными антивирусными программами являются AntiViral Toolkit Pro (AVP32), Norton Ami Virus Sophos SWEEP, Thunder BYTE Anti Virus Utilities и др. Эти программы работают в виде программ-сканеров и проводят антивирусный контроль оперативной памяти, папок и дисков, содержат алгоритмы для распознавания новых типов вирусов, позволяют в процессе проверки лечить файлы и диски.
Программа AntiViral Toolkit Pro (A VP32) является 32-разрядным приложением, работающим в среде Windows NT, имеет удобный пользовательский интерфейс, систему помощи, гибкую систему настроек, выбираемых пользователем, распознает более 7 тыс. различных вирусов. Для работы этой программы компьютер должен иметь не менее 4 Мбайт оперативной памяти и не менее 2 Мбайт свободного места на жестком диске. AntiViral Toolkit Pro распознает (детектирует) и удаляет полиморфные вирусы, вирусы-мутанты и вирусы-невидимки, макровирусы, заражающие документ Word и таблицы Excel, объекты Access - «троянские кони».
Важная особенность этой программы состоит в возможности контроля всех файловых операций в системе в фоновом режиме и обнаружении вирусов до момента реального заражения системы, а также в возможности детектирования вирусов внутри архивов формата ZIP, ARJ, ZHA, RAR.
Учитывая развитие локальных компьютерных сетей, электронной почты и сети Интернет и внедрение сетевой ОС Windows NT, разработчиками антивирусных программ разработаны и поставляются на рынок такие программы, как Mad Checker ~ для проверки входящей и исходящей электронной почты, AntiViral Toolkit Pro для Novell Net Ware (A VPN) - для обнаружения, лечения, удаления и перемещения в специальный каталог пораженных вирусом файлов при работе с сетевой ОС Novell NetWare версий 3.x и 4.x.
AVPN работает как антивирусный сканер и фильтр, постоянно контролируя хранящиеся на сервере файлы. В режиме фильтра сканируются на наличие известных файловых вирусов файлы, приходящие на сервер и исходящие с сервера (в том числе запускаемые и считываемые), в режиме сканера происходит немедленное или автоматическое сканирование томов сервера.
AVPN имеет возможность удалять, перемещать и «лечить» зараженные объекты; проверять упакованные и архивные файлы;
детектировать неизвестные вирусы с помощью эвристического механизма; проверять в режиме сканера удаленные серверы; отключать зараженную станцию от сети и т.д.
Кроме того, AVPN легко настраивается для сканирования файлов различных типов; имеет удобную схему пополнения антивирусной базы; посылает сообщения о заражении сервера вирусом по сети, электронной почте и на пейджер; осуществляет автоматическое ведение файла-отчета о выполняемых операциях и управление программой с рабочей станции.