Компьютерные вирусы

      Таким образом,  на 100% защититься от  вирусов   практически  невозможно

(подразумевается, что  пользователь меняется дискетами  с друзьями и играет  в

игры, а также получает информацию из других источников, например из  сетей).

Если  же  не  вносить  информацию  в  компьютер  извне,  заразиться  вирусом

невозможно - сам он не родится.

 

 

 

                                 DOCTOR WEB

 

 

     В  последнее   время  стремительно  растет   популярность   антивирусной

программы - DoctorWeb. Dr.Web относится к классу  детекторов  -  докторов,

имеет так называемый "эвристический  анализатор"  -   алгоритм,  позволяющий

обнаруживать неизвестные  вирусы.  "Лечебная  паутина",  как  переводится  с

английского название программы, стала  ответом  отечественных  программистов

на   нашествие   самомодифицирующихся   вирусов-мутантов.   Последние    при

размножении   модифицируют  свое  тело  так,  что  не  остается   ни   одной

характерной цепочки байт,  присутствовавшей в исходной версии вируса.

      Управление  режимами  осуществляется  с   помощью  ключей.  Пользователь

может  указать  программе,  тестировать  как  весь  диск,  так  и  отдельные

подкаталоги или группы файлов, либо  же  отказаться  от  проверки  дисков  и

тестировать  только  оперативную  память. В свою  очередь  можно  тестировать

либо только базовую память, либо, вдобавок, ещё и  расширенную  (указывается

с  помощью ключа /H). DoctorWeb может   создавать   отчет о работе  (ключ

/P), загружать знакогенератор  Кириллицы  (ключ  /R),   поддерживает   работу

с  программно-аппаратным  комплексом Sheriff (ключ /Z).

     Но, конечно,  главной особенностью "Лечебной  паутины"  является  наличие

эвристического анализатора, который подключается ключом  /S.  Баланса  между

скоростью и качеством  можно добиться, указав  ключу  уровень  эвристического

анализа: 0 - минимальный, 1 - оптимальный,  2  -  максимальный;  при   этом,

естественно,  скорость уменьшается  пропорционально  увеличению  качества.  К

тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV,  а также

упакованные LZEXE, PKLITE, DIET. Для  этого  следует  указать  ключ  /U  (при

этом распаковка файлов будет  произведена  на  текущем   устройстве)  или  /U

диск:  (где   диск:   -   устройство,   на   котором   будет   производиться

распаковка), если дискета, с  которой запущен DoctorWeb защищена от  записи.

Многие программы упакованы  таким  способом, хотя пользователь  может  и  не

подозревать об этом. Если  ключ  /U  не  установлен,  то  DoctorWeb  может

пропустить  вирус,  забравшийся  в запакованную программу.

     Важной  функцией  является  контроль  заражения   тестируемых    файлов

резидентным вирусом (ключ /V). При сканировании  памяти   нет  стопроцентной

гарантии, что "Лечебная паутина" обнаружит  все   вирусы,  находящиеся  там.

Так  вот,  при  задании  функции  /V   Dr.Web   пытается   воспрепятствовать

оставшимся резидентным  вирусам, заразить тестируемые файлы.

     Тестирование  винчестера Dr.Web-ом занимает много времени,  поэтому не

каждый  пользователь  может себе  позволить  тратить  столько   времени   на

ежедневную   проверку  всего  жесткого  диска.  Таким  пользователям   можно

посоветовать  более тщательно (с опцией  /S2)  проверять  принесенные  извне

дискеты. Если информация на дискете находится в  архиве   (а   в   последнее

время программы и данные переносятся с машины  на  машину  только   в  таком

виде;  даже   фирмы-производители    программного    обеспечения,   например

Borland, пакуют свою  продукцию),   следует   распаковать его в отдельный

каталог на жестком диске  и  сразу  же,  не   откладывая,  запустить  Dr.Web,

задав ему в качестве параметра  вместо  имени  диска  полный  путь  к  этому

подкаталогу. И все же нужно хотя  бы раз в  две  недели  производить  полную

проверку  "винчестера"  на    вирусы   с   заданием   максимального   уровня

эвристического анализа.

     При начальном   тестировании не стоит разрешать  программе лечить  файлы,

в  которых  она   обнаружит   вирус,   так   как   нельзя   исключить,   что

последовательность  байт,  принятая   в   антивирусе   за    шаблон    может

встретиться  в  здоровой программе. Если по завершении  тестирования  Dr.Web

выдаст  сообщения о  том, что нашел вирусы, нужно запустить  его с  опцией  /P

(если эта опция не  была указана) для того,  чтобы   посмотреть,  какой  файл

заражен. После этого нужно  скопировать файл на дискету  или  на  электронный

диск и попытаться удалить, указав "Лечебной паутине" ключ /F.

 

 

                                    ADINF

 

                          (AdvancedDiskinfoscope)

 

ADinf относится к классу программ-ревизоров.  Антивирус имеет высокую

скорость работы, способен с успехом  противостоять  вирусам,  находящимся  в

памяти. Он позволяет контролировать диск,  читая его по секторам через  BIOS

и не используя системные  прерывания DOS, которые может перехватить  вирус.

     Для лечения  заражённых файлов применяется   модуль  ADinfCureModule,

не входящий в  пакет  ADinf  и   поставляющийся   отдельно.  Принцип работы

модуля -  сохранение  небольшой  базы  данных,   описывающей  контролируемые

файлы.  Работая  совместно,  эти  программы позволяют обнаружить  и  удалить

около 97% файловых вирусов  и  100%  вирусов   в   загрузочном   секторе.   К

примеру,  нашумевший  вирус SatanBug был легко обнаружен,  и заражённые  им

файлы  автоматически  восстановлены. Причем, даже  те  пользователи,  которые

приобрели ADinf и ADinfCureModule за  несколько   месяцев   до   появления

этого вируса, смогли без  труда от него  избавиться.

     В отличие  от  других  антивирусов  AdvansedDiskinfoscope  не  требует

загрузки  с  эталонной,  защищённой  от  записи  дискеты.  При  загрузке   с

винчестера надежность защиты не уменьшается.

ADinf  имеет хорошо  выполненный дружественный интерфейс,    который

реализован в   графическом  режиме.  Программа  работает  непосредственно  с

видеопамятью,   минуя  BIOS,  при  этом   поддерживаются   все   графические

адаптеры.  Наличие  большого  количества  ключей   позволяет    пользователю

создать  максимально  удобную   для   него   конфигурацию   системы.   Можно

установить,   что   именно   нужно   контролировать:   файлы   с   заданными

расширениями, загрузочные  сектора, наличие сбойных  кластеров,  новые  файлы

на наличие Stealth-вирусов, файлы из списка неизменяемых и  т.д.  По  своему

желанию пользователь  может  запретить  проверять  некоторые  каталоги  (это

нужно, если каталоги  являются  рабочими  и   в  них  всё  время  происходят

изменения).  Имеется  возможность  изменять способ доступа  к  диску  (BIOS,

Int13h или Int25h/26h), редактировать  список расширений проверяемых   файлов,

а  также   назначить  каждому  расширению  собственный  вьюер,  с    помощью

которого  будут просматриваться  файлы  с  этим  расширением.  В   традициях

современного программного обеспечения реализована  работа  с  мышью.  Как  и

вся  продукция  фирмы  "ДиалогНаука",    ADinf    поддерживает   программно-

аппаратный комплекс Sheriff.

     При инсталляции  ADinf в систему   имеется   возможность   изменить  имя

основного файла ADINF.EXE и  имя  таблиц,   при   этом   пользователь  может

задать любое имя. Это  очень полезная функция, так   как  в  последнее  время

появилось множество   вирусов,   "охотящихся"   за  антивирусами  (например,

есть  вирус,  который  изменяет  программу  Aidstest  так,  что она вместо

заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за

ADinf.

     Полезной функцией  является возможность  работы  с  DOS,  не  выходя  из

программы. Это бывает полезно, когда  нужно   запустить   внешний  антивирус

для лечения файла, если  у  пользователя  нет   лечащего  блока  ADinfCure

Module.

     Ещё  одна  интересная  функция  -  запрещение  работы  с  системой  при

обнаружении  изменений  на  диске.  Эта   функция    полезна,    когда    за

терминалами работают пользователи, не имеющие ещё большого  опыта  в  общении

с компьютером. Такие пользователи, по  незнанию  или  по  халатности,  могут

проигнорировать сообщение  ADinf  и продолжить  работу,  как ни  в чём не

бывало, что может привести к  тяжёлым  последствиям.

     Если же  установлен  ключ  -Stop  в строке  вызова  Adinf AUTOEXEC.BAT,

то при  обнаружении   изменений   на   диске   программа  потребует  позвать

системного   программиста,   обслуживающего   данный   терминал,   а    если

пользователь нажмет ESC  или   ENTER,   то   система  перезагрузится  и  все

повторится снова.

     Принцип работы  ADinf основан на  сохранении  в таблице копии MASTER-

BOOT и BOOT секторов, список   номеров   сбойных   кластеров,  схему  дерева

каталогов  и  информацию  обо  всех  контролируемых  файлах.   Кроме   того,

программа запоминает и  при  каждом  запуске   проверяет,  не  изменился  ли

доступный  DOS  объем  оперативной  памяти   (что   бывает   при   заражении

большинством загрузочных  вирусов),  количество  установленных  винчестеров,

таблицы параметров винчестера в области переменных BIOS.

     При первом  запуске  программа  запоминает  объем  оперативной  памяти,

находит и запоминает адрес  обработчика прерывания Int 13h  в BIOS,  который

будет использоваться при  всех  последующих  проверках, и  строит таблицы  для

проверяемых дисков. При  этом проверяется,  показывал  ли  вектор  прерывания

13h в BIOS перед загрузкой  DOS.

     При последующих  запусках  ADinf  проверяет объем оперативной памяти,

доступной  DOS,  переменные  BIOS,  загрузочные   сектора,   список  номеров

сбойных  кластеров  (так  как  некоторые  вирусы,   записавшись  в  кластер,

помечают его, как сбойный, чтобы  их  не  затёрли другие данные, а также  не

обнаружили  примитивные   антивирусы).   К  тому  же  антивирус  ищет  вновь

созданные и уничтоженные  подкаталоги,  новые,  удаленные,  переименованные,

перемещённые  и   изменившиеся  файлы   (проверяется   изменение   длины   и

контрольной суммы).  Если ADinf обнаружит, что,  изменился файл  из  списка

неизменяемых,  либо  в  файле  произошли  изменения  без  изменения  даты  и

времени, а также наличие  у  файла   странной   даты   (число   больше   31,

месяц больше 12 или год  больше текущего)  или  времени  (минут  больше   59,

часов больше 23 или секунд больше 59), то он выдаст  предупреждение  о  том,

что возможно заражение вирусом.

     Если обнаружены  изменения BOOT-секторов,  то  можно   в  режиме  диалога

сравнить системные таблицы, которые были до и после изменения, и по  желанию

восстановить  прежний  сектор.  После   восстановления   измененный   сектор

сохраняется в файле на  диске   для   последующего  анализа.  Новые  сбойные

кластеры (вернее информация о  них в  FAT)  могут  появиться  после  запуска

какой-либо утилиты,  лечащей  диск (например, NDD)  или  благодаря  действиям

вируса.  Если  Adinf выдал сообщение, а пользователь  не  запускал  никаких

подобных  утилит,  то,  скорее  всего  в  компьютер  забрался   вирус.   При

получении такого сообщения  следует продолжить проверку,  внимательно   следя

за всеми сообщениями  об изменениях файлов и  загрузочных  секторов.  Если  в

системе действительно вирус, то такие  сообщения  не   заставят  себя  долго

ждать (ведь если все тело вируса будет находиться в "сбойном" кластере,  ему

никогда не передастся управление).

     После  проверки  ADinf  выдаёт  сводную    таблицу,    сообщающую    об

изменениях  на  диске.  По   таблице   можно    перемещаться   стрелками   и

просматривать подробную  информацию, нажав ENTER   на   интересующем  пункте.

Существует возможность  перехода к   любому   пункту   с   помощью  "быстрых"

клавиш.  Изменившиеся  файлы   можно   просмотреть   в  классическом  режиме

(шестнадцатеричный  дамп  /  ASCII-коды)   с   помощью   встроенного  вьюера,

который читает  диск  через   BIOS.   Можно  также  воспользоваться  внешним

вьюером, предварительно указав к нему  путь.  Подключив внешний редактор,

можно отредактировать  изменившийся файл.

     Не совсем  привычно  выглядит  форма,  в   которой   ADinf   сообщает  об

обнаруженных  подозрительных  изменениях:   вместо   выдачи    сообщения   о

конкретных изменениях он выводит красное  окно  со  списком  всех  возможных

и помечает галочкой  пункты,  соответствующие   изменениям,  произошедшим  в

настоящий момент. Если после  получения  такого  сообщения  нажать  ESC,  то

программа  запросит  о  дальнейших действиях: обновить информацию  о  диске,

не обновлять  её,  лечить (при наличии лечащего модуля  ADinfCureModule)

или  записать  протокол.  Для  лечения    можно    воспользоваться   внешним

антивирусом, загрузив  его  из  окна  работы  с  DOS,   которое   вызывается

комбинацией клавиш ALT+V.

     Если изменения  не относятся к разряду подозрительных, то  после  выдачи

таблицы изменений можно  нажать ESC. При этом  программа  спросит,  нужно  ли

обновлять данные о  диске  в  таблицах  или  не  нужно,  а  также  нужно  ли