Компьютерные вирусы и меры защиты от них

Рисунок 4 - Окно программы DRWEB

Антивирусная программа  Aidstest

В нашей стране, как уже было сказано  выше,  особую  популярность приобрели антивирусные программы, совмещающие в  себе  функции  детекторов и докторов. Самой известной  из них является программа AIDSTEST Д.Н. Лозинского. В Украине  практически  на  каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последних версия обнаруживает более 8000 вирусов.

Aidstest для своего  нормального функционирования  требует, чтобы в памяти не было резидентных антивирусов,  блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо  воспользоваться соответствующей утилитой.

При запуске Aidstest проверяет себя оперативную память на наличие известных ему вирусов и обезвреживает их. При этом  парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" некоторые вирусы  могут сохраняться. Вдобавок,  лучше запустить машину  и Aidstest  с защищённой от записи дискеты, так как при запуске с зараженного диска вирус может записаться в память  резидентом  и препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов,  а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. При этом возможны случаи ложной  тревоги,  например  при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее  работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.

Как показала практика, самый оптимальный  режим  для  ежедневной работы задается ключами /g (проверка всех файлов, а не только с расширением EXE,COM,SYS) и /s (медленная проверка). Увеличение времени при таких опциях практически не ощутимо, зато вероятность обнаружения на порядок выше.

При обычном тестировании не следует  ставить ключ /f (исправление зараженных программ и стирание не  подлежащих  восстановлению), даже с ключом /q (выдавать запрос об удалении файла), поскольку любая программа, в том числе и антивирусная, не  застрахована  от  ошибок.  Ключ  /f  следует использовать  тогда,  когда Aidstest, а также другие антивирусы указывают на наличие вируса в каком-либо файле. При этом следует перезапустить компьютер с защищённой от записи дискеты, так как система может быть  заражена резидентным вирусом, и тогда лечение будет неэффективным, а то и просто опасным. При обнаружении вируса в ценном файле следует переписать его на дискету, а ещё лучше - на электронный, диск и там попытаться вылечить с помощью указания Aidstest-у опции /f. Если попытка не увенчается успехом, то надо удалить все зараженные копии файла и проверить диск снова. Если в файле содержится  важная информация, которую стирать жалко, то можно заархивировать файл  и подождать выхода новой версии Aidstest  или другого антивируса, способной лечить этот тип вируса. Для ускорения процесса  можно направить зараженный файл в качестве образца Лозинскому.

Для создания в файле протокола  работы программы Aidstest служит ключ /p. Протокол оказывается нужным,  когда пользователь не успевает просмотреть имена зараженных файлов. Для поддержки антивирусного программно - аппаратного комплекса Sheriff (далее будет рассмотрен подробнее), служит ключ /z.

Антивирусная  программа ADINF

(Advanced Diskinfoscope)

ADinf относится к классу программ-ревизоров.  Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск,  читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус.

Программа ADinf получила первый приз на Втором Всесоюзном конкурсе  антивирусных  программ в 1990  году,  а  также  второй  приз  на  конкурсе  Borland Contest'93. ADinf был единственным антивирусом, который летом 1991  года  обнаружил вирус DIR, построенный на принципиально новом способе заражения и маскировки.

Для лечения заражённых файлов применяется  модуль  ADinf  Cure Module, не входящий в пакет ADinf  и поставляющийся  отдельно. Принцип работы модуля - сохранение небольшой базы данных,  описывающей контролируемые файлы.  Работая совместно,  эти программы позволяют обнаружить и удалить около 97% файловых вирусов и 100% вирусов в загрузочном секторе.  К примеру,  нашумевший  вирус SatanBug был легко обнаружен, и заражённые им файлы автоматически восстановлены. Причем, даже те пользователи, которые приобрели ADinf и ADinf Cure Module за несколько месяцев до  появления этого вируса, смогли без труда от него  избавиться.

В отличие от других антивирусов  Advansed Diskinfoscope не требует загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается.

ADinf имеет хорошо выполненный дружественный интерфейс,  который реализован в графическом режиме. Программа работает непосредственно с видеопамятью,  минуя BIOS, при этом поддерживаются все графические адаптеры. Наличие большого количества ключей  позволяет пользователю  создать максимально удобную для него конфигурацию системы. Можно установить, что именно нужно контролировать: файлы с заданными расширениями, загрузочные сектора, наличие сбойных кластеров, новые файлы на наличие Stealth-вирусов, файлы из списка неизменяемых и т.д. По своему желанию пользователь может запретить проверять некоторые каталоги (это нужно, если каталоги являются рабочими и в них всё время происходят изменения).  Имеется возможность изменять способ доступа к диску (BIOS, Int13h или Int25h/26h), редактировать список расширений проверяемых файлов, а также назначить каждому расширению собственный вьюер, с помощью которого  будут просматриваться файлы с этим расширением. В традициях современного программного обеспечения реализована работа  с мышью. Как и вся продукция фирмы "ДиалогНаука",  ADinf  поддерживает программно-аппаратный комплекс Sheriff.

При инсталляции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц,  при этом  пользователь может задать любое имя. Это очень полезная функция, так  как в последнее время появилось множество  вирусов,  "охотящихся"  за антивирусами (например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы "Диалог Наука" пишет: "Лозинский - пень"), в том числе и за ADinf.

Полезной функцией является возможность  работы с DOS, не выходя из программы. Это  бывает полезно, когда нужно  запустить  внешний антивирус для лечения  файла, если  у  пользователя  нет  лечащего блока ADinf Cure Module.

Ещё одна интересная функция - запрещение работы с системой при обнаружении  изменений на диске. Эта  функция  полезна,  когда  за терминалами  работают пользователи, не имеющие  ещё большого  опыта в общении  с компьютером. Такие пользователи, по незнанию или по халатности, могут  проигнорировать сообщение ADinf и продолжить работу, как ни в чём не бывало, что может привести к тяжёлым последствиям.

Если же установлен  ключ  -Stop  в строке  вызова  Adinf AUTOEXEC.BAT, то при обнаружении изменений на  диске программа потребует позвать системного программиста, обслуживающего данный терминал, а если пользователь нажмет ESC или ENTER,  то  система перезагрузится и все повторится снова.

Принцип работы ADinf основан на  сохранении  в таблице копии MASTER-BOOT и BOOT секторов, список  номеров сбойных кластеров, схему дерева каталогов и информацию обо всех контролируемых файлах. Кроме того, программа запоминает и при каждом запуске проверяет, не изменился ли доступный DOS объем оперативной памяти  (что бывает при заражении большинством загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера в области переменных BIOS.

При первом запуске программа запоминает объем оперативной памяти, находит  и запоминает адрес обработчика  прерывания Int 13h в BIOS, который будет  использоваться при всех  последующих  проверках, и строит таблицы для  проверяемых дисков. При этом проверяется, показывал ли вектор прерывания 13h в BIOS перед загрузкой DOS.

При последующих запусках ADinf проверяет объем оперативной памяти, доступной DOS, переменные BIOS, загрузочные сектора,  список номеров сбойных кластеров (так как некоторые вирусы,  записавшись в кластер, помечают его, как сбойный, чтобы их  не  затёрли другие данные, а также не обнаружили примитивные антивирусы).  К тому же антивирус ищет вновь созданные и уничтоженные  подкаталоги, новые, удаленные, переименованные, перемещённые и изменившиеся файлы (проверяется изменение длины и контрольной суммы).  Если ADinf обнаружит, что, изменился файл из списка неизменяемых,  либо в файле произошли изменения без изменения даты и времени, а также наличие у файла странной  даты  (число больше  31,  месяц больше 12 или год больше текущего) или времени (минут больше  59, часов больше 23 или секунд больше 59), то он выдаст  предупреждение о том, что возможно заражение вирусом.

Если обнаружены изменения BOOT-секторов,  то  можно  в  режиме диалога сравнить системные таблицы, которые были до и после изменения, и по желанию восстановить прежний  сектор. После восстановления измененный сектор сохраняется в файле на диске  для  последующего анализа. Новые сбойные кластеры (вернее информация о  них в FAT) могут появиться  после запуска какой-либо утилиты,  лечащей диск (например, NDD) или благодаря  действиям  вируса.  Если  Adinf выдал  сообщение, а пользователь не запускал никаких подобных утилит, то, скорее всего в компьютер забрался  вирус.  При  получении такого сообщения следует продолжить проверку,  внимательно  следя за всеми сообщениями  об изменениях файлов и загрузочных  секторов. Если в системе действительно  вирус, то такие сообщения не  заставят себя долго ждать (ведь если все тело вируса будет находиться в "сбойном" кластере, ему никогда  не передастся управление).

После проверки ADinf выдаёт сводную таблицу,  сообщающую  об изменениях на диске. По таблице можно перемещаться стрелками и просматривать подробную информацию, нажав ENTER  на  интересующем пункте. Существует возможность перехода к любому  пункту  с помощью "быстрых" клавиш. Изменившиеся файлы можно просмотреть в классическом режиме (шестнадцатеричный дамп / ASCII-коды)  с помощью встроенного вьюера, который читает диск через BIOS.  Можно также воспользоваться внешним вьюером, предварительно указав к нему путь. Подключив внешний редактор, можно отредактировать изменившийся файл.

Не совсем привычно выглядит форма, в которой  ADinf  сообщает об обнаруженных подозрительных изменениях: вместо выдачи  сообщения о конкретных изменениях он выводит красное окно  со  списком всех возможных и помечает галочкой пункты, соответствующие изменениям, произошедшим в настоящий момент. Если после получения такого сообщения нажать ESC, то  программа запросит  о дальнейших действиях: обновить информацию о диске, не обновлять её,  лечить (при наличии лечащего модуля ADinf Cure Module) или записать протокол. Для лечения можно воспользоваться внешним антивирусом, загрузив его из окна работы с DOS,  которое вызывается  комбинацией клавиш ALT+V.

Если изменения не относятся  к разряду подозрительных, то после  выдачи таблицы изменений можно  нажать ESC. При этом  программа  спросит, нужно ли обновлять данные о диске в таблицах или не нужно, а также нужно ли создавать  файл в отчете о проделанной работе. После выбора одного из пунктов программа  выполняет  затребованное действие и завершает свою работу.

Рисунок 5 - Окно программы ADINF

Сетевой центр управления антивирусами

Если интрасеть насчитывает  сотни и тысячи компьютеров, то необходимо централизованное удаленное управление антивирусными программами и  контроль их работы. Выполнение в «ручном» режиме таких операций, как отслеживание обновлений антивирусной базы данных и загрузочных модулей антивирусных программ, контроль эффективности обнаружения  вирусов на рабочих станциях и  серверах и т.п., малоэффективно, если в сети имеется большое количество пользователей или если сеть состоит  из территориально удаленных друг от друга сегментов.

Если же не обеспечить своевременное  и эффективное выполнение перечисленных  выше операций, технология антивирусной защиты корпоративной сети обязательно  будет нарушена, что рано или поздно приведет к вирусному заражению. Например, пользователи могут неправильно  настроить автоматическое обновление антивирусной базы данных или просто выключать свои компьютеры в то время, когда такое обновление выполняется. В результате автоматическое обновление не будет выполнено и возникнет потенциальная угроза заражения новыми вирусами.

В современных антивирусных системах реализованы следующие функции  удаленного управления и контроля:

• установка и обновление антивирусных программ, а также антивирусных баз данных;
• централизованная дистанционная установка и настройка  антивирусов;
• автоматическое обнаружение новых рабочих станций, подключенных к корпоративной сети, с последующей автоматической установкой на эти станции антивирусных программ;
• планирование заданий для немедленного или отложенного запуска (таких как обновление программ, антивирусной базы данных, сканирование файлов и т.п.) на любых компьютерах сети;
• отображение в реальном времени процесса работы антивирусов на рабочих станциях и серверах сети.

Все перечисленные выше функции  или многие из них реализованы  в сетевых центрах управления ведущих корпоративных антивирусных продуктов, созданных компаниями Sophos (http://www.sophos.com), Symantec (http://www.symanteс.ru), Network Associates (http://www.nai.com) и Лаборатория Касперского.

Сетевые центры управления позволяют  управлять антивирусной защитой  всей сети с одной рабочей станции  системного администратора. При этом для ускорения процесса установки  антивирусов в удаленных сетях, подключенных к основной сети медленными каналами связи, в этих сетях создаются собственные локальные дистрибутивные каталоги.