Диагностика и профилактика заражения ПК вирусами

Один из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компью­терная профилактика состоит из небольшого количества пра­вил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных.

1. Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплат­но или почти бесплатно копировать их из других источ-ников. Отсюда вытекает необходимость хранения ди­стрибутивных копий программного обеспечения на за­щищенных от записи дискетах.

2. Периодически сохраняйте файлы, с которыми ведет­ся работа, на внешний носитель, например дискеты. Такие копии носят название Backup-копий. При на­личии стримера, CD-ROM или другого носителя боль­шого объема имеет смысл делать Backup всего содер­жимого винчестера.

3. Постарайтесь не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Жела­тельно использовать только программы, полученные из надежных источников. Перед запуском новых про­грамм обязательно проверьте их одним или нескольки­ми антивирусами. Желательно также, чтобы при ра­боте с новым программным обеспечением в памяти находился какой-либо антивирусный «супервизор». Если запускаемая программа заражена вирусом, то такой «супервизор» поможет обнаружить вирус и оста­новить его распространение.

4. Необходимо ограничить круг лиц, допущенных к ра­боте на ПК. Как правило, наиболее часто подверже­ны заражению «многопользовательские» ПК (напри­мер, в компьютерных классах школ и институтов).

5. Пользуйтесь утилитами проверки целостности инфор­мации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты пос­ледней модификации файлов и т. д.).

6. Периодически сравнивайте информацию, хранящую­ся в подобной базе данных, с реальным содержимым винчестера, т. к. практически любое несоответствие может служить сигналом о появлении вируса или «троянской» программы.

7. Руководствуйтесь следующей методикой использования антивирусных программ (перед использованием анти­вирусных программ крайне желательно загрузиться с резервной копии DOS, расположенной на заведомо чистой от вирусов и защищенной от записи дискете).

Перезагрузка ПК должна быть холодной, т. к. неко­торые вирусы выживают при теплой перезагрузке. Же­лательно, чтобы антивирусные программы, использу­емые для проверки, были самых последних версий. Если обнаружены зараженные файлы, то следует:

• распечатать их список;

• если для этих файлов нет BacKup-копии, то сохра­нить их на дискеты;

• при помощи антивирусной программы восстановить зараженные файлы и затем проверить их работоспо­собность и соответствие Backup-копии (если есть);

• если восстановление файлов произошло не вполне корректно, то их следует уничтожить и переписать с Backup-копий; если же копий нет, то восстано­вить зараженные файлы с дискет и попытаться де­зактивировать их при помощи другого антивируса. Следует отметить, что качество восстановления файлов многими антивирусными программами ос­тавляет желать лучшего. Необходимо обращать осо­бое внимание на чистоту модулей, сжатых утили­тами типа LZEXE, PKLITIE или DIET, файлов в архивах (ZIP, ARC, ICE, ARJ и т. д.) и данных в самораспаковывающихся файлах, созданных утили­тами типа ZIP2.EXE.

Штаммы вируса могут проникнуть и в Backup-копии про­граммного обеспечения при обновлении этих копий.

Никто не может гарантировать полного уничтожения всех копий компьютерного вируса, т. к. файловый вирус может поразить не только выполняемые файлы, но и оверлейные модули с расширениями имени, отличающимися от СОМ и ЕХЕ.

Необходимо помнить, что резидентные вирусы отличают­ся гораздо большим коварством и изощренностью, чем нере­зидентные.

Антивирусные программы

Качество антивирусной программы определяется по сле­дующим позициям, приведенным в порядке убывания их важности.1. Надежность и удобство работы — отсутствие зависаний антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.

2. Качество обнаружения вирусов всех распространненых типов, сканирование внутри файлов документов/таб­лиц (MS Word, Excel, Office 97), упакованных и ар­хивированных файлов. Отсутствие ложных срабатыва­ний. Возможность лечения зараженных объектов. Для сканеров, как следствие, важной является также пе­риодичность появления новых версий, т. е. скорость настройки сканера на новые вирусы.

3. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows 9x, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т. д.), при­сутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование сервер­ных версий с возможностью администрирования сети.

4. Скорость работы и прочие полезные функции. Самыми популярными и эффективными антивирусными

программами являются антивирусные сканеры (другие назва­ния: фаги, полифаги).

Следом за ними по эффективности и популярности сле­дуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа мониторы (блокировщики) и иммунизаторы.

Мнение о достоинствах и недостатках антивирусных про­грамм, представленных в России, не может быть абсолют­но объективным. Однако мнение Касперского Е. В. отно­сительно некторых программ многим может показаться ин­тересным.

ADINF

Прекрасный DOS-ревизор с хорошо отлаженными «анти-стелс»-режимами. Однако помимо врожденных недостатков всех CRC-сканеров имеет ряд своих:

• неспособность сканировать файлы-документы (Word и Excel) делает его бессильным против наиболее распро­страненного типа вирусов (макровирусов);

• отсутствие полноценных He-DOS-версий;

•  интерфейс скорее перегружен, чем дружествен к пользователю.

Все эти недостатки, видимо, явились причиной того, что в целом очень неплохой ревизор ADINF практически так и не вышел из России и имеет за ее пределами очень неболь­шое число пользователей.

Фирма-разработчик — «Диалог-Наука».

AIDSTEST

Популярность AIDSTEST сегодня можно объяснить лишь крайним консерватизмом отечественных пользователей. Из необходимых антивирусным программам качеств этой при­сущи лишь надежность и неплохая скорость работы.

AIDSTEST абсолютно бессилен против большинства со­временных вирусов (макро-, полиморфик-вирусов), и к тому же не имеет эвристического сканера и He-DOS-версий. Это, однако, не умаляет его прошлых заслуг: на протяжении не­скольких лет AIDSTEST достойно отражал вирусные атаки на тысячах компьютеров российских пользователей.

Фирма-распространитель — см. ADINF.

AVP

Один из надежных и мощных антивирусов в мире. За три года стал популярным не только в России, но и за ее пре­делами.

Недостатки: отсутствие сканирования на лету в версиях для DOS и OS/2; отсутствие встроенного CRC-сканера.

Фирма-разработчик — ЗАО «Лаборатория Касперского».

DrWeb

Неплохая антивирусная программа, имеющая все необ­ходимые для современного сканера функции поиска и лече­ния вирусов. К недос таткам можно отнести очень неболь­шую базу данных (всего около 3000 вирусов). Встроенный мощный эвристический сканер сглаживал бы этот недоста­ток, если бы не большое число ложных срабатываний.

К недостаткам также относятся ненадежность в работе (за­висания) и отсутствие версий для Windows и OS/2. В ре­зультате, также как и другой российский антивирус —ADINF, DrWeb до сих пор практически не представлен на западном рынке и является чисто российской программой. Фирма-распространитель — см. ADINF.

NAV

По объему продаж — второй антивирус в мире (после SCAN). По качеству детектирования вирусов весьма средняя программа. Вызывает ложные срабатывания. По остальным пунктам замечаний не имеет. Удобный пользовательский интерфейс, большое количество дополнительных функций, версии под все популярные платформы.

Из-за недостаточно качественного детектирования виру­сов пользователи NAV часто попадают в ситуацию, когда для обнаружения и лечения вируса им приходится обращаться к антивирусным продуктам других фирм.

Фирма-разработчик — Symantec.

SCAN

То же, что и NAV, но имеет лучшие показатели по ка­честву обнаружения вирусов. Отличительной чертой SCAN является наличие условно-бесплатных версий, которые мож­но получить на WWW и BBS.

Фирма-разработчик — McAfee.