Компьютерные вирусы

восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.

ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные облас-ти дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несо-ответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операци-онной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут от-личать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практи-чески никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких измене-ний, может с уверенностью сообщить, что они вызваны именно вирусом.

Другие программы часто используют различные полумеры – пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов все это бес-полезно.

Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину заражен-ных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически не-возможно.

В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. ДОК-ТОРА-РЕВИЗОРЫ,- программы, которые не только обнаруживают изменения в файлах и сис-темных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоя-нии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, ко-торые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от тех, которые используют "стан-дартные", известные на момент написания программы, механизмы заражения файлов.

Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в опе-ративной памяти компьютера и перехватывают те обращения к операционной системе, кото-рые используются вирусами для размножения и нанесения вреда, и сообщают о них пользова-теля. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вы-зываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны – они по-зволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел раз-множиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти про-граммы крайне неэффективны.

Антивирусные программы

Итак, что же такое антивирус? Почему-то многие считают, что антивирус может обна-ружить любой вирус, то есть, запустив антивирусную программу или монитор, можно быть аб-солютно уверенным в их надежности. Такая точка зрения не совсем верна. Дело в том, что ан-тивирус - это тоже программа, конечно, написанная профессионалом. Но эти программы спо-собны распознавать и уничтожать только известные вирусы. То есть антивирус против кон-кретного вируса может быть написан только в том случае, когда у программиста есть в наличии хотя бы один экземпляр этого вируса. Вот и идет эта бесконечная война между авторами виру-сов и антивирусов, правда, первых в нашей стране почему-то всегда больше, чем вторых. Но и у создателей антивирусов есть преимущество! Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими "копиями" придумано новое оружие - эвристиче-ские анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 0,5. Таким образом, в этой информационной войне, как, впрочем, и в любой другой, остаются сильнейшие. Вирусы, которые не распознаются антивирусными детекторами, способны напи-сать только наиболее опытные и квалифицированные программисты.

Таким образом, на 100% защититься от вирусов практически невозможно (подразумева-ется, что пользователь меняется дискетами с друзьями и играет в игры, а также получает ин-формацию из других источников, например из сетей). Если же не вносить информацию в ком-пьютер извне, заразиться вирусом невозможно - сам он не родится.

DOCTOR WEB

В последнее время стремительно растет популярность антивирусной программы - Doctor Web. Dr.Web относится к классу детекторов - докторов, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программи-стов на нашествие самомодифицирующихся вирусов-мутантов. Последние при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутство-вавшей в исходной версии вируса.

Управление режимами осуществляется с помощью ключей. Пользователь может указать программе, тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указыва-ется с помощью ключа /H). Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R), поддерживает работу с программно-аппаратным комплексом Sheriff (ключ /Z).

Но, конечно, главной особенностью "Лечебной паутины" является наличие эвристическо-го анализатора, который подключается ключом /S. Баланса между скоростью и качеством мож-но добиться, указав ключу уровень эвристического анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличе-нию качества. К тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а так-же упакованные LZEXE, PKLITE, DIET. Для этого следует указать ключ /U (при этом распа-ковка файлов будет произведена на текущем устройстве) или /U диск: (где диск: - устройство, на котором будет производиться распаковка), если дискета, с которой запущен Doctor Web за-щищена от записи. Многие программы упакованы таким способом, хотя пользователь может и не подозревать об этом. Если ключ /U не установлен, то Doctor Web может пропустить вирус, забравшийся в запакованную программу.

Важной функцией является контроль заражения тестируемых файлов резидентным виру-сом (ключ /V). При сканировании памяти нет стопроцентной гарантии, что "Лечебная паути-на" обнаружит все вирусы, находящиеся там. Так вот, при задании функции /V Dr.Web пытает-ся воспрепятствовать оставшимся резидентным вирусам, заразить тестируемые файлы.

Тестирование винчестера Dr.Web-ом занимает много времени, поэтому не каждый поль-зователь может себе позволить тратить столько времени на ежедневную проверку всего же-сткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) прове-рять принесенные извне дискеты. Если информация на дискете находится в архиве (а в по-следнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою про-дукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откла-дывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.

При начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в ан-тивирусе за шаблон может встретиться в здоровой программе. Если по завершении тестиро-вания Dr.Web выдаст сообщения о том, что нашел вирусы, нужно запустить