Антивирусные программы

Среди огромного разнообразия видов компьютерных программ су­ществует одна их разновидность, которая представляет опасность для ЭВМ. Это — компьютерные вирусы.

Компьютерным вирусом называется программа обычно очень не­большая по размерам (от 200 до 5000 байт), которая самостоятельно запускается, многократно копирует свой код, присоединяя его к кодам других программ («размножается»), и мешает корректной работе ком­пьютера. Конкретный вирус может удалять некоторые файлы, блоки­ровать работу компьютера или, что хуже всего, форматировать жест­кий диск. Существуют вирусы и менее «злокачественные», вызываю­щие, например, переустановку даты в компьютере, музыкальные, про­игрывающие какую-либо мелодию, приводящие к появлению на дис­плее какого-либо изображения или к искажению в отображении дис­плеем информации, осыпание букв и т.д. 84

Среди всех вирусов можно выделить следующие группы:

загрузочные (boot) вирусы заражают программу начальной загрузки компьютера, хранящуюся в загрузочном секторе диска, и запускаются при загрузке компьютера;

файловые вирусы в простейшем случае заражают исполняемые файлы, но могут распространяться и через файлы документов (систе­мы Word for Windows) и даже вообще не модифицировать файлы, а лишь иметь к ним какое-либо отношение;

загрузочно-файловые вирусы имеют признаки как загрузочных, так и файловых вирусов;

драйверные вирусы заражают драйверы устройств компьютера или запускают себя путем включения в файл конфигурации дополнитель­ных строк.

сетевые вирусы, распространяющиеся в сетях, объединяющие сот­ни и тысячи компьютеров.

По способу заражения все эти вирусы делятся на резидентные и нерезидентные. И каждый вирус имеет, конечно, особенности в своем алгоритме.

Создание компьютерных вирусов с юридической точки зрения можно квалифицировать как преступление.

Но есть и хорошие новости — предприняв определенные меры предосторожности, подробно рассмотренные в специальной литерату­ре, можно избежать последствий вирусной атаки, защитить свои про­граммы и данные. Если «заражение» все же произошло, следует при­бегнуть к помощи антивирусных программ.

Известные в настоящее время антивирусные программы можно разделить на несколько типов.

Детекторы. Их назначение — обнаружить вирусы. Детекторы ви­русов могут сравнивать загрузочные сектора дисков с известными за­грузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаруживать загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью об­наружения сигнатур известных вирусов. Такие программы в настоящее время в чистом виде редки.

Фаги, или программы-доктора. Фаг — это программа, которая способна не только обнаружить вирус, но и уничтожить его, т.е. уда­лить его код из зараженных программ и восстановить их работоспо­собность. Известным в России фагом является Aidstest, разработанный Д. Лозинским (http://www.antivir.ru). Новые версии этой программы появляются еженедельно.

Очень мощным фагом является фаг Doctor Web, созданный И. Да­ниловым (http:/www.drweb.ru). Обновления, рассчитанные на обнару­жение десятков новых вирусов появляются также каждую неделю. Большую популярность в последнее время завоевал фаг, созданный ла­бораторией Евгения Касперского Antiviral Tookit Pro (AVP) (http:/www.avp.ru). Программа создана для детектирования и удаления самых разнообразных вирусов, в том числе и неизвестных.

Ревизоры. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры запоминают исходное состояние программ, ка­талогов и системных областей диска тогда, когда компьютер не зара­жен вирусом, а затем периодически сравнивают текущее состояние с исходным. Наиболее известна в России программа — ревизор ADinf, разработанная Д. Мостовым.

Сторожа. Сторож — это резидентная программа, постоянно на­ходящаяся в памяти компьютера, контролирующая операции, связан­ные с попыткой коррекции файлов с расширением .СОМ и .ЕХЕ, из­менением атрибутов файлов, записи в загрузочные сектора диска, прямой записи на диск по абсолютному адресу и т.д. Сторож преду­преждает пользователя об этих операциях, но не лечит зараженные программы.

Вакцины. Вакцины или иммунизаторы — это резидентные про­граммы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцина­ция возможна только для известных вирусов. В настоящее время про­граммы-вакцины имеют ограниченное применение.

3.3.1. Dr. Web для Windows

Программа представляет собой классический полифаг и предназна­чена для использования в 32-битных операционных системах семейст­вах Windows. Программа производит сканирование файлов и систем­ных областей дисков компьютера на наличие в них компьютерных ви­русов и при нахождении последних их лечит.

Dr.Web для Windows выпущен в двух вариантах: с графическим интерфейсом (Dr.Web32w) и без него (Dr.Webwcl). Оба варианта под­держивают одинаковый набор параметров (ключей) командной строки. Но для графического варианта все настройки могут производиться из диалоговых панелей.

Doctor Web реализует эвристический метод поиска вирусов, кото­рый заключается в обнаружении фрагментов программ, типичных для компьютерных вирусов. Эвристический анализатор используется поли­фагами для обнаружения вирусов, не входящих в базу данных полифа­га. Эффективность эвристического анализатора определяется двумя па­раметрами: процентом обнаруженных вирусов и процентом ложных срабатываний (подозрений на вирусы в файлах, в которых их нет). Doctor Web может находить и обезвреживать полиморфные вирусы (не имеющие определенной сигнатуры), проверять файлы, находящиеся в архивах.

Меню Файл содержит команды: Начать проверку, Остановить проверку, Проверить память, Очистить список отчета.

Меню Вид позволяет изменить представление окна: показать спи­сок отчета, дерево дисков и т.д.

Меню Настройка позволяет изменить настройки программы, уста­навливаемые по умолчанию, сохранить их, а также восстановить пре­дыдущие.

В табл. 3.5 представлено назначение вкладок команды Уста­новки.

Таблица 3.5

3.3.2. Antiviral Tookit Pro

AVP — новый шаг в борьбе с компьютерными вирусами. Она представляет собой 32-разрядное приложение, оптимизированное для работы в среде Microsoft Windows и использующее все ее возможно­сти. AVP предоставляет пользователю максимум сервиса — возмож­ность обновления антивирусных баз через Internet (в том числе и авто­матический), возможность задания параметров автоматического скани­рования и лечения зараженных файлов. Обновления на сайте AVP по­являются практически еженедельно, а база данных включает описания более 40 тысяч вирусов.

AVP состоит из нескольких важных модулей.

AVP Сканер проверяет и «лечит» оперативную память (DOS, XMS, EMS); файлы, включая архивные, упакованные и документы, создан­ные в формате Microsoft Office; системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу раз­биения диска (Partition Table).

AVP Monitor — резидентный модуль, постоянно находящийся в па­мяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального зараже­ния системы в целом.

AVP Inspector позволяет отлавливать неизвестные вирусы. Этот мо­дуль использует в работе метод контроля изменений размеров файлов. Внедряясь в файл, вирус неизбежно увеличивает его «объем» и вызы­вает изменение его размера — и тем выдает себя.

Основное меню содержит команды по установлению и сохранению настроек пользователя, по обновлению антивирусной базы и прекрасно организованную систему справочной информации.