Вирусы и антивирусное программное обеспечение

Антивирусные программы.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько  видов специальных программ, которые  позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие  виды антивирусных программ:

·     программы-детекторы;

·     программы-доктора или фаги;

·     программы-ревизоры;

·     программы-фильтры;

·     программы-вакцины или иммунизаторы.

Программы-детекторы  осуществляют поиск характерной  для конкретного вируса сигнатуры  в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора  или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что  постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам  защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля  (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры  или «сторожа» представляют собой  небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1.    попытки коррекции файлов с расширениями COM, EXE;

2.    изменение атрибутов файла;

3.    прямая запись на диск по абсолютному адресу;

4.    запись в загрузочные сектора диска;

5.    загрузка резидентной программы.

При попытке  какой-либо программы произвести указанные  действия «сторож» посылает пользователю сообщение и предлагает запретить  или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.

Вакцины или  иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют  программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Главным оружием  в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.

Существует  несколько основополагающих методов  поиска вирусов, которые применяются  антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование.

Оно заключается  в поиске сигнатур, выделенных из ранее  обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.

Недостатком простых  сканеров является их неспособность  обнаружить полиморфные вирусы, полностью  меняющие свой код. Для этого необходимо использовать более сложные алгоритмы  поиска, включающие эвристический анализ проверяемых программ.

Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

Краткая характеристика некоторых  антивирусов

Dr Solomon's AntiVirus Toolkit

Достоинства: в  целом самые лучшие результаты обнаружения  и устранения вирусов.

Недостатки: весьма недешев; обновленные версии доступны только на дискетах, распространяемых по подписке.

Звание "Лучший выбор" получил Dr Solomon's AntiVirus Toolkit, несмотря на высокую цену - 85 долл. Нашелся  только один программный продукт - VirusScan фирмы McAfee, который в наших тестах устранил больше "диких" вирусов, чем Dr Solomon's Toolkit. Благодаря толковому интерфейсу на экран по вашему распоряжению выводится любая нужная вам антивирусная функция, наряду с полной экранной энциклопедией всех известных вирусов и вызываемых ими последствий. Бродячие охотники за вирусами наверняка оценят также входящую в пакет загрузочную дискету Magic Bullet ("Волшебная пуля"), которая позволяет быстро найти и уничтожить вирус в любой системе.

Недостатком данного  пакета является невозможность сетевой загрузки новых данных о вирусах; число же обновленных версий ограничено четырьмя в год.

Компания сообщила нам о том, что скоро она  станет продавать Toolkit только в наборе для пяти пользователей ценою  в 349 долл. Однако с середины марта  компания вывела на рынок новую, упрощенную версию, которая называется Dr Solomon's AntiVirus и стоит 50 долл. Насколько можно судить по бета-версии, которую мы видели, этот новый пакет не в состоянии сканировать сетевые дисководы, но он сохраняет все те возможности, благодаря которым Toolkit столь удобен для персонального употребления, включая энциклопедию вирусов и дискету Magic Bullet (переименованную в SOS). Пользоваться интерфейсом стало проще, появилась возможность получения обновленных версий в режиме оперативного доступа, а стоимость ежемесячного обновления - 30 долл. в год. Мы еще не тестировали эту новую версию, но в ней использованы те же программные средства обнаружения вирусов, что и в Toolkit, так что она должна работать столь же хорошо. 

 

http://www.drsolomon.com/

F-Prot Professional

Достоинства: почти безупречное обнаружение вирусов; широкие возможности настройки; способность при обнаружении вируса посылать сигнал тревоги по электронной почте.

Недостатки: необходимость пароля и переустановки программы для обновления версий; весьма посредственные способности удаления вирусов.

Цена немалая - 99 долл., однако предлагаемая за эти  деньги F-Prot Professional представляет собой  действенную и эффективную антивирусную утилиту, напичканную возможностями, которые понравятся администраторам локальных сетей. Если, однако, ваша система с установленной на ней Windows 95 работает вне сети и вы нуждаетесь всего лишь в ненавязчивой антивирусной защите, то предусмотренные в F-Prot Professional всякие локально-сетевые наращения могут быть для вас излишеством. Кроме того, вы, возможно, захотите иметь пакет, лучше удаляющий вирусы: F-Prot Professional обнаружила 99% использованных в нашем тесте вирусов, поражающих файлы, но лишь 78% из них смогла уничтожить.

Набор базовых  функций F-Prot Professional сравним с аналогичными наборами других рассмотренных пакетов. В дополнение к этому F-Prot Professional, подобно пакетам ThunderByte и McAfee VirusScan, допускает расширенные возможности контроля за тем, какие именно диски, папки или файлы должны быть включены в регулярное сканирование или исключены из него. Это позволяет сэкономить время, игнорируя файлы, которые вы просканировали ранее и которые, как вам известно, не были изменены. F-Prot Professional - единственный из протестированных нами пакетов, который при обнаружении вируса посылает по локальной сети электронное письмо с сигналом тревоги, он даже способен переслать администратору сети зараженный файл.

Главным недостатком F-Prot Professional является способ обновления файла с сигнатурами вирусов. Хотя обновленные файлы доступны в Web, вам приходится сперва узнать у фирмы пароль: только воспользовавшись им, вы сможете переустанавливать программу для включения в нее обновленного файла - дополнительные операции, не требуемые ни одним из протестированных пакетов.  

 

http://www.commandcom.com/.

McAfee VirusScan for Windows 95

Достоинства: наивысшая  оценка за удаление вирусов; работает с разными операционными системами; самая недорогая программа.

Недостатки: самая  низкая оценка за обнаружение вирусов; поддержка и гарантированное обновление оплачиваются дополнительно.

McAfee VirusScan - один  из наиболее известных антивирусных  пакетов. По результатам нашего  теста Norton AntiVirus фирмы Symantec отловил  все 13 macro-вирусов, тогда как  McAfee VirusScan один упустил - это был относительно редкий вирус Imposter. Еще важнее то, что у VirusScan хуже, чем у любого другого пакета, обстоят дела с обнаружением "диких" разновидностей файловых вирусов. Программа смогла обнаружить лишь 93% таких вирусов. Из всех протестированных программ худший показатель только у ближайшего родственника программы - версии VirusScan для Windows NT (92%).

Если бы его  эффективность была выше, VirusScan был  бы привлекательным пакетом. Он легко  и быстро устанавливается с использованием настроек по умолчанию, но его можно настроить и по собственному усмотрению. Вы можете сканировать все файлы или только программные, распространять или не распространять процедуру сканирования на сжатые файлы.

VirusScan является  также единственной из рассмотренных нами программ, которая всего лишь за 45 долл. включает версии для всех основных операционных систем - Windows 95, 3.x и NT, DOS и OS/2.

Зато вам  придется платить за поддержку программы. Обновленные версии базы данных свободно доступны в Web, но, согласно Web-странице McAfee, работа этих обновлений не гарантируется без подписки на план технической поддержки компании. Зарегистрированные пользователи получают одно бесплатное обновление программы в течение первых трех месяцев ее эксплуатации. После этого контракт на техническое обслуживание за 49 долл. в год дает вам право на свободное получение неограниченного количества обновленных версий программы и списков сигнатур вирусов, а также на круглосуточные телефонные консультации.

 
http://www.mcafee.com/.

Norton AntiVirus 2.0 for Windows 95

Достоинства: стопроцентное  обнаружение вирусов в нашем  тесте; великолепный интерфейс; автоматическое обновление.

Недостатки: удаляет  только 77% "диких" вирусов.

Стоящая 70 долл. программа Norton AntiVirus 2.0 компании Symantec - один из наименее удачных пакетов с точки зрения удаления вирусов; ее результат - 77%. Она, однако, вошла в число всего лишь четырех из девяти протестированных программ, сумевших обнаружить каждый отдельно взятый "дикий" вирус. В целом это быстрый, надежный и простой в обращении инструмент, который начинающие пользователи могут установить на свой компьютер с тем, чтобы больше о нем не заботиться, а опытные пользователи могут настроить нужным для себя образом.

В интерфейсе программы Norton AntiVirus имеется функция LiveUpdate, позволяющая щелчком на одной-единственной кнопке обновлять через Web как программу, так и набор сигнатур вирусов. Уникальный Мастер по борьбе с вирусами (Virus Repair Wizard) выдает подробную информацию об обнаруженном вирусе, а также предоставляет вам возможность выбора: удалять вирус либо в автоматическом режиме, либо более осмотрительно, посредством пошаговой процедуры, которая позволяет увидеть каждое из выполняемых в процессе удаления действий.

Управление всеми основными функциями - заказ на сканирование конкретных дисков, каталогов или файлов, включение и отключение резидентного сканирования - для удобства вынесено непосредственно на главный экран. И всего лишь на расстоянии пары щелчков мыши находятся более продвинутые функции - такие, как обнаружение изменений в размере файла, автоматическое сканирование и выдача отчета.

http://www.symantec.com/.  

Рецепты самозащиты

Не баюкайте себя историями об иррациональных вирусных атаках. Наилучшая оборона - первым делом удостовериться в том, что вирусы не могут подобраться к вашему ПК.

·     Проверяйте общие дискеты.

·     Устанавливайте защиту от записи на дискеты.

·     Не запускайте загруженные файлы сразу.

·     Регулярно создавайте резервные копии.

·     Запирайте ваш ПК.

·     Регулярно обновляйте вашу антивирусную программу.