Вредоносное программное обеспечение

2. Выявление изменений

Для инфицирования программ или загрузочных записей вирусы должны их изменить. Существуют программы, которые специализируются на вылавливании таких изменений. Программу, регистрирующую изменение файлов и загрузочных записей, можно использовать даже для выявления ранее неизвестных вирусов. Однако изменение файлов и загрузочных записей может быть обусловлено целым рядом причин, которые не имеют никакого отношения к вирусам. Выявление изменений само по себе приносит не так много пользы, т. к. необходимо очень четко понимать, какие изменения действительно указывают на наличие вируса.

3. Эвристический анализ

Эвристический анализ — это смутное подозрение антивирусной программы о том, что что-то не в порядке.

При выявлении вирусов с помощью эвристического анализа ведется поиск внешних проявлений или же действий, характерных для некоторых классов известных вирусов. Например, в файлах могут выявляться операции, применяемые вирусами, но редко используемые обычными программами. Могут также выявляться попытки записи на жесткие диски или дискеты с помощью нестандартных методов.

Так же, как при использовании предыдущего метода, с помощью эвристического анализа можно выявить целые классы вирусов, однако необходимо удостовериться, что обычные программы не были приняты за инфицированные.

  4. Верификация

Рассмотренные выше методы могут свидетельствовать, что программа или загрузочная запись поражены вирусом, однако таким образом нельзя с уверенностью опознать поразивший их вирус и уничтожить его. Программы, с помощью которых можно идентифицировать вирус, называются верификаторами. Верификаторы можно разработать только для уже изученных вирусов после их тщательного анализа.

5. Обезвреживание

Не исключено, что после выявления вируса его можно будет удалить и восстановить исходное состояние зараженных файлов и загрузочных записей, свойственное им до «болезни». Этот процесс называется обезвреживанием (дезинфекцией, лечением).

Некоторые вирусы повреждают поражаемые ими файлы и загрузочные записи таким образом, что их успешная дезинфекция невозможна. Не исключено также, что детектор одинаково идентифицирует два различных вируса, поэтому дезинфицирующая программа будет эффективна для одного вируса, но бесполезна для другого.

Дезинфицирующие программы изменяют ваши программы, поэтому они должны быть очень надежными.

Меры профилактики

Рассмотренные выше методы могут применяться с помощью различных способов. Одним из общепринятых методов является использование программ, которые тщательно обследуют диски, пытаясь обнаружить и обезвредить вирусы. Возможно также использование резидентных программ DOS, постоянно проверяющих вашу систему на вирусы. Резидентные программы имеют следующее преимущество: они проверяют все программы на вирусы при каждом их выполнении. Резидентные программы должны быть очень тщательно разработаны, т. к. иначе они будут задерживать загрузку и выполнение программ.

Нерезидентные программы эффективны при необходимости одновременного обследования всей системы на вирусы и их обезвреживания. Они представляют собой средство, дополняющее резидентные программы.

Вы должны помнить о необходимости регулярного выполнения антивирусной программы. К сожалению, как показывает опыт, об этом часто забывают. Пренебрежение профилактическими проверками вашего компьютера увеличивает риск инфицирования не только вашей компьютерной системы, но и распространения вируса на другие компьютеры. И не только через дискеты, вирусы прекрасно распространяются и по локальным сетям.

Чтобы впоследствии избежать головной боли, лучше всего обеспечить автоматическое выполнение антивирусной программы. В этом случае программа будет защищать вашкомпьютер, не требуя от вас каких-либо явных действий. Для обеспечения такой защиты можно при запуске системы установить резидентные антивирусные программы, а также использовать нерезидентные программы, выполняемые при запуске или периодически в указанное время.

Как правильно лечить?

Прежде всего, перезагрузите компьютер, нажав кнопку Reset. Такая перезагрузка называется «холодной», в отличие от «теплой», вызываемой комбинацией клавиш Ctrl-Alt-Del. Существуют вирусы, которые спокойно выживают при «теплой» перезагрузке.

Загрузите компьютер с дискеты, защищенной от записи и с установленными антивирусными программами. Необходимость хранить антивирусный пакет на отдельной защищенной дискете вызвана не только опасностью заражения антивирусных программ вирусом. Частенько вирус специально ищет на жестком диске программу-антивирус и наносит ей повреждения.

Старайтесь почаще обновлять ваши антивирусные программы. Причем как отечественные, так и импортные. Отечественные — потому что у нас пишут вирусы все кому не лень и, чтобы быстро разработать антивирусную программу, надо жить здесь. Импортные — потому что все сильнее сливаются «наше» и «их» информационные пространства, все больше западных вирусов проникает к нам по глобальным компьютерным сетям.

При обнаружении зараженного файла желательно скопировать его на дискету и лишь затем лечить антивирусом. Это делается для того, чтобы в случае некорректного лечения файла, что, к сожалению, случается, попытаться полечить файл другим антивирусом.

Если вам понадобилась программа из ваших старых архивов или резервных копий, не поленитесь проверить ее. Не рискуйте. Лучше преувеличить опасность, чем недооценить ее.

Как ловили файловые вирусы в старину?

В старину существовал способ ловли глупых (простых) вирусов на живца. Создавался файл, состоящий из одних нулей и имеющий расширение .СОM или .ЕХЕ. Те вирусы, которые заражают программы без должной проверки, попадали в него как мухи на мед. Просмотрев впоследствии такой файл, легко можно было выделить сигнатуру (программный код вируса) и написать антивирус.

Краткий обзор антивирусных программ

Антивирусных программ написано хотя и гораздо меньше, чем вирусов, но достаточно много, чтобы пользователь имел выбор. Лучше, если у вас на компьютере и на специальной дискете будет установлено несколько таких программ. Это повысит вероятность обнаружения модификаций старых вирусов, а также, если программы используют эвристический анализ, обнаружение новых, неизвестных ранее, вирусов. Не забывайте почаще обновлять версии антивирусных программ, чтобы идти ноздря в ноздрю с авторами вирусов. Рекомендуем приобретать антивирусные программы официально. На это есть, по крайней мере, две причины:

1. Если вы будете пользоваться ворованными копиями антивирусных программ, то их разработчикам придется торговать апельсинами на рынке, чтобы заработать на жизнь. Кто в этом случае защитит вас от вирусов?

2. Вирус может быть замаскирован под нормальную антивирусную программу. Если быть точным, такая программа называется «Троянский конь». Надеюсь, аналогии прозрачны. Вы в полной уверенности запускаете антивирусную программу, а она форматирует ваш винчестер. Кстати, цены на отечественные антивирусные программы весьма доступны.

1. Программа-полифаг AIDSTEST

Aidstest, безусловно, относится к числу наиболее популярных антивирусных программ. Это программа-полифаг, ее версии обновляются, чуть ли не раз в неделю, пополняясь информацией о новых вирусах. Для проверки дисков и лечения зараженных файлов предпочтительнее использовать оригинальную загрузочную дискету, на которой поставляется Aidstest. В этом случае для проверки вашего компьютера необходимо вставить эту дискету в дисковод А: и перезагрузить компьютер. Необходимо применять холодную перезагрузку (нажать кнопку Reset), так как многие вирусы умеют переживать теплую перезагрузку (Ctrl-Alt-Del) и продолжают оставаться в памяти. После загрузки компьютера Aidstest просканирует диски и, если найдет вирусы, спросит разрешения на лечение. Возможен запуск Aidstest и с жесткого диска. Например:

D:ANTIAidstest *.*/f

Чтобы узнать параметры запуска Aidstest, просто запустите его без параметров.

2. Программа-ревизор ADINF

ADinf — это программа-ревизор. ADinf позволяет обнаружить появление любого из существующие вирусов, включая Stealth-вирусы и вирусы-мутанты, а также неизвестные на сегодняшний день вирусы. При установке дополнительного лечащего блока можно удалить до 96% из них. В режиме повседневного контроля ADinf запускается автоматически из файла AUTOEXEC.BAT при первом включении компьютера. ADinf запоминает на диске информацию о файлах, включающую длины файлов, дату и время создания, контрольные суммы файлов и следит за их сохранностью. Особенно отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. К подозрительным вирусоподобным изменениям, например, относятся изменения длины файла или его контрольной суммы без изменения даты и времени создания. Кроме того, ADinf позволяет назначать список файлов, любые изменения в которых относятся к подозрительным. Кроме контроля за целостностью файлов, ADinf следит за дисковыми операциями, появлением сбойных кластеров, за сохранностью загрузочных секторов и др. ADinf проверяет диски, не используя DOS, а читая их по секторам, прямым обращением в BIOS.

В ADinf реализован алгоритм поиска Stealth-вирусов. Stealth-вирус нельзя обнаружить простым просмотром файла. При открытии зараженного файла Stealth-вирус удаляет себя из тела программы, а после закрытия — возвращает себя на место. ADinf обнаруживает Stealth-вирусы, сравнивая информацию о файлах, выдаваемую DOS, с фактической. Несовпадение информации однозначно указывает на вирус.

ADINF CURE MODULE

ADinf Cure Module — это программа, способная вылечить файл от вируса до появления программы-фага. ADinf Cure Module ведет специальные файлы, в которые записывает необходимую для лечения зараженных файлов информацию. Если происходит заражение, ADinf сообщает о нем ADinf Cure Module, a тот пытается провести лечение.

IBM ANTIVIRUS/DOS

Программа IBM AntiVirus/DOS входит в стандартный комплект поставки PC-DOS (файл IBMAVD.EXE). IBM AntiVirus/DOS предотвращает проникновение в компьютерную систему вирусов, а также осуществляет обнаружение и удаление уже имеющихся. IBM AntiVirus/DOS обнаруживает порядка 2300 известных вирусов, а также с помощью «неопределенного сканирования» большое количество вирусов, подобных известным IBM AntiVirus/DOS вирусам. С помощью эвристического анализа обнаруживаются также неизвестные в данный момент вирусы.

Программа может работать в фоновом режиме, обеспечивая постоянную защиту системы. Кроме того, вы можете проверять дискеты и жесткие диски на вирусы, запуская программу вручную.

При выполнении программы IBM AntiVirus/DOS на экране компьютера появляется всплывающее окно «Проверка на вирусы». Полоса индикатора показывает процент выполнения проверки. Кроме того, отображается имя проверяемого в текущий момент файла и путь к нему. Проверку в любой момент можно прервать, нажав кнопку Stop. После окончания проверки отображается окно с информацией о ее результатах. При обнаружении признаков вируса появляется всплывающее окно «Отчет о заражении вирусами».

Гибкая система настроек позволяет определить конкретные каталоги, которые следует проверить, и расширения файлов. Довольно удобное меню с обширной справочной информацией, значительно облегчает пользование системой.

Для проверки вы можете выбрать либо программные файлы, либо все файлы. При выборе режима Программные файлы программа IBM AntiVirus/DOS будет проверять обычные исполняемые файлы на указанных дисках. Такие файлы имеют расширения ВАТ, BIN, CMD, СОМ, DOS, DLL, EXE, OS2, ОV?, PRO и SYS. При выборе режима все файлы программа IBM AntiVirus/DOS будет проверять все файлы на заданных дисках. Главная загрузочная запись и загрузочные записи всех активных разделов на всех заданных локальных жестких дисках, включая загрузочные записи Менеджера загрузки, проверяются на вирусы независимо от выбранного режима. Если по какой-то причине доступ к файлу невозможен, то этот файл пропускается, и проверка продолжается.

Всплывающее окно Автоматическая проверка позволяет конфигурировать IBM AntiVirus/DOS для выполнения автоматической проверки системы.

Вы можете указать программе IBM AntiVirus/DOS, чтобы она проверяла DOS при ее запуске — ежедневно, еженедельно или ежемесячно.

Если при работе в текстовом процессоре Word for Windows вы вдруг обнаружили, что не можете сохранить свой файл, знайте: у вас завелся вирус. На сегодняшний день этим вирусом заражено 90% всех компьютеров. К счастью, добрые люди написали антивирус. Он представляет собой файл с расширением DOC, в котором содержится текст руководства по применению и специальная кнопка. Щелкните ею, и антивирус сделает свое дело.

IBM AntiVirus использует выявление изменений для решения двух задач. Прежде всего, это является отправной точкой для эвристического анализа и обнаружения новых вирусов. Кроме того, это ускоряет выявление новых вирусов. Для инфицирования файлов и загрузочных записей вирусы должны их изменить. Если вчера при проверке файл не был инфицирован и со вчерашнего дня не изменился, то можно сделать вывод, что и сегодня вируса в этом файле нет. При стандартном использовании программы IBM AntiVirus проверяются на уже известные вирусы только изменившиеся и новые файлы. Удостовериться, что файл изменился или что это новый файл, можно гораздо быстрее, чем проверить его на уже известные вирусы. Этот метод ускоряет процесс проверки.

При проверке файлов и загрузочных записей на известные вирусы IBM AntiVirus использует метод, называемый «неопределенное сканирование». Этот метод сканирования, применяемый IBM AntiVirus, предусматривает поиск последовательностей байтов, свидетельствующих о наличии вируса. Именно так работает большинство сканеров. Кроме того, этот метод позволяет выявить последовательности байтов, которые почти (но не полностью) совпадают с искомыми. Неточное соответствие может свидетельствовать о наличии штамма известного вируса, и при отображении отчета о заражении вирусами IBM AntiVirus сообщает, что файл или загрузочная запись могут быть инфицированы. Вам будет предоставлена возможность удаления всех подобных вирусов. Этот способ позволяет программе IBM AntiVirus выявить и правильно идентифицировать целый ряд новых вариантов вируса. Однако при отсутствии дополнительных мер это «неточное совпадение» может привести к ложным сигналам тревоги. IBM AntiVirus обеспечивает высокую надежность идентификации вирусов. Для этого используется усовершенствованный метод устранения ложных сигналов тревоги.

15 февраля 1996 года компания Microsoft объявила, что пользователи Windows 95 должны проявлять осторожность при загрузке на свой компьютер программ из Internet и он-лайновых служб, так как появился первый вирус, заражающий программы для Windows'95. Дискеты также могут служить переносчиком вируса. По данным компании Symantec, вирус имеет австралийское происхождение и поражает 32-разрядные исполняемые файлы. Вирус получил сразу два наименования: Boza и Bizateh. 7 февраля стало известно о втором вирусе для Windows'95, получившем название Chavez.