43621 (Вирусы), страница 5

проверка осуществлялась при каждом включении компьютера. Выполнять проверку не

только выполнимых файлов, имеющих расширение COM, EXE, но также пакетных файлов

BAT и системных областей дисков.

Если в компьютере записано много файлов, их проверка антивирусами-полифагами,

скорее всего, будет отнимать достаточно много времени. Поэтому во многих случаях

предпочтительней для повседневной проверки использовать программы-ревизоры, а

новые и изменившиеся файлы подвергать проверке полифагами.

Практически все ревизоры в случае изменения системных областей диска (главной

загрузочной записи и загрузочной записи) позволяют восстановить их, даже в том

случае если не известно, какой именно вирус их заразил. Лечащий модуль ADinf

Cure Module даже позволяет удалять неизвестные файловые вирусы.

Практически все современные антивирусы могут правильно работать даже на

зараженном компьютере, когда в его оперативной памяти находится активный вирус.

Однако перед удалением вируса все же рекомендуется предварительно загрузить

компьютер с системной дискеты, чтобы вирус не смог препятствовать лечению.

Когда производится загрузка компьютера с системной дискеты, следует обратить

внимание на два важных момента.

Во-первых, для перезагрузки компьютера надо использовать кнопку Reset,

расположенную на корпусе системного блока, или даже временно выключить его

питание. Не использовать для перезагрузки комбинацию из трех известных клавиш.

Некоторые вирусы могут остаться в памяти даже после этой процедуры.

Во-вторых, перед перезагрузкой компьютера с дискеты проверить конфигурацию

дисковой подсистемы компьютера и особенно параметры дисководов и порядок

загрузки операционной системы (должна быть установлена приоритетная загрузка с

дискеты), записанную в энергонезависимой памяти. Существуют вирусы, ловко

меняющие параметры, записанные в энергонезависимой памяти компьютера, в

результате чего компьютер загружается с зараженного вирусом жесткого диска, в то

время как оператор думает, что загрузка происходит с чистой системной дискеты.

Обязательно проверять с помощью антивирусных программ все дискеты и все

программы, поступающие на ПК через любые носители или через модем. Если

компьютер подключен к локальной сети, необходимо проверять файлы, полученные

через сеть от других пользователей.

С появлением вирусов, распространяющихся через макрокоманды текстового

процессора Microsoft Word и электронной таблицы Microsoft Excel, необходимо

особенно внимательно проверять не только выполнимые файлы программ и системные

области дисков, но также и файлы документов.

Крайне важно постоянно следить за выходом новых версий применяемых антивирусных

средств и своевременно выполнять их обновления на системной дискете и

компьютере; использовать для восстановления зараженных файлов и системных

областей диска только самые последние версии антивирусов.

5. Антивирусная программа AntiViral Toolkit Pro

для Windows 95 (Windows NT).

AVP представляет из себя полностью 32-ух разрядное приложение, оптимизированное

для работы в популярной во всем мире среде Microsoft Windows 95 (Windows NT) и

использующее все ее возможности. AVP имеет удобный пользовательский интерфейс,

характерный для Windows 95, большое количество настроек, выбираемых

пользователем, а также одну из самых больших в мире антивирусных баз, что

гарантирует надежную защиту от огромного числа самых разнообразных вирусов.

В ходе работы AVP сканирует следующие области:

Оперативную память (DOS, XMS, EMS).

Файлы, включая архивные и упакованные.

Системные сектора, содержащие Master Boot Record, загрузочный сектор

(Boot-сектор) и таблицу разбиения диска (Partition Table).

AntiViral Toolkit Pro для Windows 95 имеет ряд особенностей, характеризующих его

работу:

детектирование и удаление огромного числа самых разнообразных вирусов, в том

числе;

полиморфных или самошифрующихся вирусов;

стелс-вирусов или вирусов-невидимок;

новых вирусов для Windows 3.XX и Windows 95;

макро вирусов, заражающих документы Word и таблицы Excel;

сканирование внутри упакованных файлов (модуль Unpacking Engine);

сканирование внутри архивных файлов (модуль Extracting Engine);

сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках;

эвристический модуль Code Analyzer, необходимый для детектирования НЕИЗВЕСТНЫХ

вирусов;

поиск в режиме избыточного сканирования;

проверка объектов на наличие в них изменений;

“AVP Monitor” – резидентный модуль, находящийся постоянно в оперативной памяти

компьютера и отслеживающий все файловые операции в системе. Позволяет

обнаружить и удалить вирус до момента реального заражения системы в целом;

удобный пользовательский интерфейс;

создание, сохранение и загрузка большого количества различных настроек;

механизм проверки целостности антивирусной системы;

мощная система помощи;

AVP Центр Управления – программа-оболочка, позволяющая организовать

эффективную антивирусную защиту на ПК.

Опишем некоторые из них.

5.1. Механизм распаковки исполняемых модулей

(Unpacking Engine).

В настоящее время достаточно широко распространены утилиты упаковки исполняемых

файлов. Они записывают упакованный файл на диск со специальным распаковщиком.

При исполнении такого файла этот распаковщик распаковывает исполняемую программу

в оперативную память и запускает ее.

Пораженные вирусом файлы могут быть компрессированы такими паковщиками так же,

как и неинфицированные. При сканировании обычными антивирусными программами

пораженные таким образом файлы будут определяться как неинфицированные, так как

тело вируса упаковано вместе с кодом программы.

Unpacking Engine распаковывает файлы, созданные наиболее популярными утилитами

упаковки: DIET, PKLITE, LZEXE и EXEPACK различных версий, во временный файл и

передает его на повторную проверку. Если внутри упакованного файла обнаружен

известныйвирус, то возможно его удаление. При этом исходный файл замещается

распакованным и вылеченным. Механизм распаковки корректно работает и с

многократно упакованными файлами.

Модуль распаковки работает также с некоторыми версиями иммунизаторов (программы

защищающие выполняемые файлы от заражения путем присоединения к ним

контролирующих блоков) файлов (CPAV и F-XLOCK) и шифрующих программ (CryptCOM).

Модуль Unpacking Engine будет обновляться для новых паковщиков, шифровщиков и

иммунизаторов.

5.2. Механизм распаковки из архивов

(Extracting Engine).

Проблема поиска вирусов в архивированных файлах (ZIP, ARJ, LHA и RAR) становится

в данный момент, пожалуй, одной из самых насущных. Инфицированный файл может

затаиться на несколько месяцев и даже лет, и быстро распространиться при

невнимательном обращении с такими архивами. Особую опасность представляют

архивы, хранящиеся на BBS.

С такой ситуацией успешно справляется механизм распаковки из архивов Extracting

Engine. При сканировании архивов Extracting Engine распаковывает файлы из архива

по заданной маске во временный файл и передает его для проверки основному

модулю. После проверки временный файл уничтожается.

Текущая версия Extracting Engine содержит коды для распаковки архивов формата

ARJ, ZIP, LHA, RAR существующих версий.

ЗАМЕЧАНИЯ!

1. AVP не удаляет вирусы из архивов, а только детектирует их.

2. Extracting Engine не распаковывает архивы, защищенные паролем.

AVP детектирует зараженный файл, даже если он зашифрован утилитой CryptCOM,

затем упакован PKLITE и записан в архив программой PKZIP.

5.3. Анализатор кода

(Code Analyzer).

Анализатор кода (эвристический сканер) проверяет коды файлов и секторов по

разным ветвям алгоритма сканируемой программы на наличие вирусоподобных

инструкций и выдает сообщение, если обнаружена комбинация команд, таких как

открытие или запись в файл, перехват векторов прерываний и т.д.

Конечно, этот алгоритм может давать ложные срабатывания, как и любой из подобных

эвристических алгоритмов, но он был протестирован на очень большом количестве

файлов, и при этом не было получено ни одного действительно ложного

срабатывания.

При сканировании кода Code Analyzer проверяет много ветвей алгоритма программы

(включая несколько подуровней). Вследствие этого AVP работает примерно на 20%

медленнее при включенном Code Analyzer, чем при выключенном. Но данный механизм

определяет около 80% вирусов (включая многие шифрованные) из нашей коллекции, и

мы рассчитываем, что новые неизвестные вирусы будут определяться с такой же

вероятностью.

Сообщения Code Analyzer:

Сообщения выдаются в формате:

: подозрение на вирус типа TYPE - подозрение на вирус , где "TYPE" является

одной из строк:

Com - файл выглядит как зараженный неизвестным вирусом, поражающим COM файлы;

Exe - файл выглядит как зараженный неизвестным вирусом, поражающим EXE файлы;

ComExe - файл выглядит как зараженный неизвестным вирусом, поражающим файлы

формата COM и EXE;

ComTSR, ExeTSR, ComExeTSR - файл выглядит как зараженный неизвестным резидентным

вирусом, поражающим файлы формата COM, EXE, или COM и EXE файлы;

Boot - файл/сектор выглядит как зараженный неизвестным boot-вирусом или как

инсталлятор boot-вируса;

Trojan - файл выглядит как троянская программа;

5.4. Избыточное сканирование.

Избыточное сканирование - это механизм полного сканирования содержимого

исследуемых файлов вместо стандартной обработки только “точек входа” (т.е. тех

мест, где начинается обработка программ системой).

Этот режим рекомендуется использовать, когда вирус не обнаружен, но в работе

системы продолжаются “странные” проявления (частые “самостоятельные”

перезагрузки, замедление работы некоторых программ и др.). В остальных случаях

использование этого режима не рекомендуется, так как процесс сканирования

замедляется в несколько раз и увеличивается вероятность ложных срабатываний при

сканировании незараженных файлов.

5.5. AVP Monitor.

AVP Monitor представляет собой резидентную антивирусную программу, которая

постоянно находится в оперативной памяти и контролирует операции обращения к

файлам и секторам. Прежде чем разрешить доступ к объекту, AVP Monitor проверяет

его на наличие вируса. Таким образом он позволяет обнаружить и удалить вирус до

момента реального заражения системы.

Если при запуске программы в командной строке указать специальный ключ /q, то

AVP Monitor запустится в особом режиме, при котором будут запрещены следующие

действия пользователя:

выгрузка программы из памяти (команда "Выход" в контекстном меню и кнопка

"Выгрузить AVP Monitor" во вкладке "Общие" станут недоступными);

выключение AVP Monitor (команда "Выключить" в контекстном меню и установленный

флажок "Включить" во вкладке "Общие" станут недоступными);

изменение любых настроек программы (все остальные опции также будут

недоступными).

В этом режиме можно просматривать вкладку "Статистика", а также просмотреть

установленные опции, не изменяя их.

Главное окно AVP Monitor содержит 5 вкладок: "Общие", "Объекты", "Действия",

"Настройки", "Статистика". Перемещаясь по вкладкам и выбирая нужные опции, Вы

можете изменять настройки программы.

Чтобы все произведенные Вами действия по выбору опций вступили в силу, нужно

нажать кнопку "Применить"(в этом случае окно AVP Monitor останется открытым) или

кнопку "OK"(в этом случае окно свернется в иконку) которые находятся в нижней

части окна.

5.5.1. Вкладка "Общие".

В верхней части вкладки "Общие" содержится различная информация о программе

(номер версии, дата последнего обновления и количество известных программе

вирусов, регистрационная информация, информация о разработчиках). Нажав кнопку

"Техническая поддержка", Вы получите информацию о каналах, по которым

осуществляется техническая поддержка для легальных пользователей программы.

В нижней части вкладки находится флажок "Включить", с помощью которого можно

включать или выключать монитор.

Кнопка "Выгрузить AVP Monitor" позволяет завершить работу программы.

5.5.2. Вкладка "Объекты".

Эта вкладка позволяет выбирать типы файлов, которые будут проверяться.

Вы можете выбрать один из типов файлов:

Программы по формату - проверять на наличие вируса только программы, т.е.

объекты, имеющие внутренний формат выполняемых файлов, а также все файлы,

имеющие расширения: .BAT, .COM, .EXE, .OV*, .SYS, .BIN, .PRG, .VxD, .DLL, .OLE.;

Программы по расширению - проверять все выполняемые файлы, имеющие расширения:

*.BAT, *.COM, *.EXE, *.OV*, *.SYS, и т.д.

Все файлы - проверять все файлы, независимо от их внутреннего формата;

По маске - проверять файлы по маскам, задаваемым пользователем. Маски нужно

вписывать в поле ввода через запятую. Например: *.EXE, *.COM, *.DOC.

5.5.3. Вкладка "Действия".

Вкладка "Действия" позволяет задавать действия AVP Monitor при обнаружении

зараженного объекта. Вы можете выбрать одно из следующих действий:

Запрашивать пользователя о действии - если Вы выберите эту опцию, то

при каждой попытке обращения к зараженному объекту будет появляться синий экран,