Электронная библиотека книг Александра Фролова и Григория Фролова.
Shop2You.ru Создайте свой интернет-магазин
Библиотека
Братьев
Фроловых
[Назад] [Содержание] [Дальше]

Что такое компьютерные вирусы, и как они работают

Том 5, М.: Диалог-МИФИ, 1996, 256 стр.

3 Лучшее средство против вирусов  1

Антивирусный комплект АО “ДиалогНаука”  1

Полифаг Aidstest 2

Полифаг Doctor Web  4

Антивирус Doctor Web for WinWord  6

Ревизор диска ADinf и лечащий модуль ADinf Cure Module  7

Взаимодействие программ антивирусного комплекта  11

Программно-аппаратный комплекс Sheriff 12

Антивирусный пакет AVP   13

Антивирусный пакет Microsoft Anti-Virus  13

Резидентный монитор VSafe  15

Антивирус Norton AntiVirus for Windows 95  17

Антивирус Norton AntiVirus  18

Настройка режимов поиска вирусов  19

Автоматическая защита компьютера  24

Антивирус для OS/2 - IBM AntiVirus/2  27

 

3 Лучшее средство против вирусов

Проблема борьбы с вирусами приобрела настолько важное значение, что множество фирм, включая Microsoft, уделяют борьбе с ними все большее внимание. Среди зарубежных фирм, выпускающих антивирусное программное обеспечение, следует отметить McAfee, Central Point, IBM, S&S International, Symantec. Особенно хочется отметить отечественные антивирусные разработки АО “ДиалогНаука”, в которые входят такие известные программы как Aidstest, Doctor Web и ADinf.

Такое разнообразие ставит пользователя перед сложной проблемой выбора системы антивирусной защиты своего компьютера. Мы постараемся помочь вам, отметив критерии выбора, на которые следует обратить особое внимание. Чтобы дать вам представление о возможностях современных антивирусов, мы рассмотрим несколько таких средств, предназначенных для различных операционных систем - MS-DOS, Microsoft Windows, Microsoft Windows 95 и OS/2. Особое внимание мы уделим методике антивирусной защиты, позволяющей с наибольшей надежностью защитить вашу компьютерную систему.

Антивирусный комплект АО “ДиалогНаука”

В состав антивирусного комплекта АО “ДиалогНаука” входит несколько основных программ - Aidstest, Doctor Web, Doctor Web for WinWord, Advanced Diskinfoscope (ADinf) и ADinf Cure Module. Отдельно можно приобрести программно-аппаратный комплекс защиты от вирусов Sheriff.

Программы, входящие в состав антивирусного комплекта АО “ДиалогНаука”, используют все современные способы для борьбы с вирусами - поиск известных вирусов по их сигнатурам, эвристический анализ программ, позволяющий обнаружить неизвестные вирусы, контроль за изменениями на жестком диске.

Для поиска известных вирусов предназначены два антивируса-полифага. Это Aidstest и Doctor Web. Они позволяют обнаружить и удалить более чем 3000 известных на сегодняшний день вирусов. Полифаг Doctor Web обнаруживает не только известные вирусы. Эвристический анализатор Doctor Web может найти ранее неизвестные вирусы, которые еще не были проанализированы.

Новые вирусы появляются постоянно. Никакие законы и запреты не могут их остановить. Для успешного обнаружения и лечения вирусов программам-полифагам необходима разнообразная информация, которую можно получить только тщательным изучением зараженных программ. Поэтому успех практически любой антивирусной программы-полифага предполагает постоянное обновление версий программы или пополнение базы данных, содержащей информацию об известных вирусах.

Антивирусный комплект АО “ДиалогНаука” является в этом смысле наилучшим вариантом для отечественных пользователей. Специалисты АО “ДиалогНаука” в первую очередь занимаются вирусами, которые распространены в России и других странах бывшего СССР. Возможно, вирусные базы полифагов Aidstest и Doctor Web содержат меньшее количество вирусов, чем некоторые другие антивирусы, зато именно эти вирусы, скорее всего, могут заразить ваш компьютер.

Во многом это достигается за счет хорошо налаженных каналов поступления новых вирусов. Любой пользователь компьютера, в чьем распоряжении находится модем, может позвонить на станцию BBS АО “ДиалогНаука” и передать для изучения программы, зараженные новыми вирусами. Если переданная программа действительно заражена, то очередная версия Aidstest или Doctor Web будет его лечить.

Новые версии полифага Aidstest выходят постоянно (несколько раз в месяц) по мере появления новых вирусов. Версии полифага Doctor Web обновляются значительно реже. Чтобы Doctor Web смог лечить новые вирусы, достаточно получить файл-дополнение к вирусной базе программы. Эти файлы обычно выходят несколько раз в месяц. Получить их можно на станции BBS АО ”ДиалогНаука” или непосредственно в офисе фирмы.

Удобнее всего купить подписку на антивирусный комплект АО “ДиалогНаука”. В этом случае вы сможете постоянно получать самые последние версии антивирусных программ. Владельцы модема могут связаться через него со станцией электронной почты BBS DialogueScience и получать антивирусы буквально не вставая из-за своего стола.

Кроме программ-полифагов в антивирусный комплект входит ревизор диска ADinf. Эта программа запоминает в собственных файлах (таблицах) различную информацию о программной среде компьютера - загрузочные секторы, контрольные суммы выполнимых файлов, расположение плохих кластеров, структуры каталога и т. д. Если какой-нибудь из этих параметров изменится, то очередная проверка компьютера ревизором ADinf сразу выявит изменения.

Интересной особенностью ADinf является обращение к файловой системе в обход операционной системы. Это позволяет легко обнаруживать стелс-вирусы, маскирующие свое присутствие в компьютере.

В дополнение к ADinf поставляется лечащий модуль ADinf Cure Module. Он удаляет обнаруженные вирусы из зараженных файлов. Интересно, что в отличие от полифагов Aidstest и Doctor Web, модуль ADinf Cure Module удаляет даже новые вирусы. То есть он не нуждается в информации о каждом вирусе.

Чтобы удалить вирус ADinf Cure Module использует сведения полученные о файле до его заражения. Поэтому необходимо установить ADinf и ADinf Cure Module еще до заражения компьютера.

По настоящему полный заслон на пути вирусов ставит программно-аппаратный комплекс Sheriff. В дополнение ко всему Sheriff очень хорошо выполняет функции программы-монитора. Он немедленно реагирует на все несанкционированные действия программ, например, форматирование жесткого диска, изменение выполнимых файлов, изменение загрузочных секторов, блокируя эти операции и сообщая о них пользователю. Если для вашей работы нужен только чисто программный монитор, используйте программу VSafe из дистрибутива операционной системы MS-DOS.

Единственный метод борьбы с вирусами, не реализованный в антивирусном комплекте АО “ДиалогНаука”, это вакцинирование программ. Из-за низкой эффективности вакцинирования его использование совершенно нецелесообразно.

Служба антивирусной скорой помощи, организованная АО “ДиалогНаука”, высылает заказчику квалифицированных специалистов для лечения компьютеров в особо ответственных случаях

Программы антивирусного комплекта работают в среде DOS, однако вы сможете их использовать и в других операционных системах, например Microsoft Windows и Microsoft Windows 95.

Программы Doctor Web, ADinf и ADinf Cure Module также работают и в среде операционной системы OS/2. Текущая версия Aidstest не совместима с OS/2.

Полифаг Aidstest

Самой популярной антивирусной программой в России вот уже много лет является Aidstest, разработанный в конце 1988 года Лозинским Дмитрием Николаевичем. На момент создания книги вышло уже более 1400 версий программы. Aidstest умеет обнаруживать более 1500 вирусов в загрузочных секторах и выполнимых файлах. В том числе он успешно справляется с вирусами семейства DIR, вызвавшими эпидемию летом 1991 года и появляющимися вновь и вновь до сих пор.

Принципы, заложенные много лет назад в основу программы Aidstest, не позволяют ей обнаруживать и удалять полиморфные вирусы. Поэтому одной программы Aidstest явно недостаточно для обеспечения антивирусной безопасности компьютера. Вы обязательно должны пользоваться другими средствами комплекта. В первую очередь программой-полифагом нового поколения Doctor Web и ревизором ADinf.

Тем не менее, отказываться от Aidstest сегодня еще рано. Существует достаточно много вирусов, которые удаляет Aidstest, но которые не включены в вирусную базу Doctor Web. Возможно в скором времени вирусные базы Aidstest и Doctor Web будут объединены, тогда можно будет ограничиться использованием одной программы.

Полное описание программы Aidstest можно получить из документации. Сейчас мы приведем только самые главные параметры этой программы. Формат вызова Aidstest имеет следующий вид:

AIDSTEST путь [ключ]...[ключ]

Первый, обязательный, параметр программы путь определяет, какие файлы надо проверить. В качестве этого параметра вы можете указать имя логического диска, путь к каталогу или непосредственно имя файла для проверки. Если необходимо проверить все логические диски компьютера, укажите в качестве параметра путь символ ‘*’. Чтобы кроме логических дисков проверялись сетевые диски, компакт-диски и диски, образованные  командой SUBST, вместо одного символа ‘*’ укажите два.

После параметра путь следуют необязательные параметры, задающие различные режимы работы программы Aidstest. При вводе параметров не следует задавать символы квадратных скобок. Если вы ошиблись в задании параметров или не указали ни одного параметра, на экран выдается краткое описание программы. Ниже описаны только основные параметры программы.

 

Параметр

Описание

/E

Если видеоадаптер компьютера не русифицирован, укажите этот параметр. Aidstest будет пользоваться собственными русскими шрифтами

/F

Для лечения зараженных программ и загрузочных секторов укажите Aidstest дополнительный параметр /F. Те программы, которые невозможно восстановить, будут удалены

/G

По умолчанию Aidstest проверяет только выполнимые файлы, имеющие расширения COM, EXE и SYS. Параметр /G позволяет проверить все файлы на дисках компьютера, вне зависимости от их расширений. Если в компьютере обнаружен вирус, рекомендуется выполнить проверку всех файлов

/Q

В режиме лечения компьютера Aidstest удаляет зараженные файлы, которые нельзя восстановить. Чтобы перед удалением файлов у пользователя запрашивалось подтверждение, укажите параметр /Q

/S

Параметр /S необходимо указывать вместе с параметром /F для восстановления файлов, испорченных вирусами семейства DIR, в тех случаях, когда сам вирус отсутствует на диске

 

Как найти вирус

Программа Aidstest умеет обнаруживать вирусы без предварительной загрузки компьютера с чистой системной дискеты. Поэтому лучше всего записать программу Aidstest на жесткий диск компьютера и периодически проверять ей компьютер. Насколько часто нужно пользоваться Aidstest зависит от того, как и для чего используется компьютер. В большинстве случаев достаточно выполнять ежедневную проверку компьютера, включив вызов Aidstest в файл AUTOEXEC.BAT, а также отдельно проверять все новые файлы, записываемые на компьютер и все дискеты, которые в него вставляются. Особое внимание надо уделять проверке свободно распространяемого программного обеспечения, загруженного по электронной почте со станций BBS и FTP-серверов, а также дискетам, полученным от знакомых и друзей.

По мере появления новых вирусов выпускаются новые версии антивируса Aidstest. Чтобы обеспечить надежную защиту компьютера, всегда используйте последние версии антивируса

При ежедневной проверке компьютера можно ограничиться проверкой выполнимых файлов, имеющих расширения COM, EXE и SYS. Следующая команда проверяет загрузочные секторы и выполнимые файлы на диске C:

AIDSTEST C:

Программа отображает на экране наиболее важную информацию и начинает проверять сначала загрузочные сектора указанного диска, а затем выполнимые файлы. По окончании проверки на экране отображается краткая статистическая информация:

Проверка "C:" (метка тома: PROGRAMM)


___ "C:" ___
Проверено файлов:                 518
Заражено файлов:                   0
 - начальных секторов:           0
Следов вирусов DIR:                               0

Если в ходе проверки на дисках компьютера или дискетах обнаружатся вирусы, на экране будут показаны имена зараженных файлов и названия заразивших их вирусов.

Проверка "A:" (метка тома: PROGRAMM)
Вирус в начальном секторе “FORM”
a:\C-639.COM - болен (Khizhnjak-639)
a:\COMMAND.COM - болен (V-475)
a:\FORMAT.COM - болен (Mini-129)

___ "A:" ___
Проверено файлов:                 28
Заражено файлов:                   3
 - начальных секторов:           1
Следов вирусов DIR:                               0

В этот раз Aidstest обнаружил на нашей дискете сразу четыре вируса. Один загрузочный - FORM и три файловых - Khizhnjak-639, V-475, Mini-129. Возможно, на дискете есть еще и другие вирусы, вы обязательно должны повторить проверку дискеты антивирусом Doctor Web.

После обнаружения на диске вирусов в выполнимых файлах повторите проверку еще раз, добавив в командной строке Aidstest параметр /G. На этот раз антивирус проверит все файлы на диске. Не забывайте выполнять такую проверку, так как иногда пользователи создают резервные копии файлов, изменяя их расширение. Например, резервная копия выполнимого файла MAYRAIN.EXE может называться MAYRAIN.BAK или MAYRAIN.EX_.

Лечение компьютера

Когда вирус обнаружен, надо решать что с ним делать. Вы можете удалить вирус с помощью антивирусной программы или удалить весь зараженный файл, восстановив его с дистрибутива или резервной копии.

Aidstest позволяет удалить обнаруженные им вирусы. Для этого надо указать дополнительный параметр /F. Если вы не укажете программе Aidstest такой дополнительный параметр, то она будет осуществлять только поиск вирусов.

В режиме лечения антивирус восстановит зараженные файлы и загрузочные секторы. Если зараженный файл испорчен и не может быть восстановлен, он будет удален. Чтобы перед удалением таких файлов, у пользователя требовалось подтверждение, добавьте параметр /Q.

Удалять вирусы из компьютера рекомендуется только после загрузки компьютера с чистой загрузочной дискеты. Это гарантирует, что вирус не получит управление и не установит в оперативной памяти резидентный модуль, который сможет помешать лечению.

Для загрузки с дискеты необходимо применять так называемую "холодную" перезагрузку, т. е. использовать кнопку сброса на корпусе компьютера или процедуру включения-выключения питания. Многие вирусы умеют оставаться в памяти компьютера после того, как пользователь нажмет комбинацию клавиш <Alt + Ctrl + Del>

Существуют несколько вирусов, изменяющих данные, записанные в CMOS-памяти, таким образом, что компьютер всегда будет загружаться с диска C:.

К вирусам, изменяющим порядок загрузки компьютера, относятся некоторые модификации вируса ExeBug и вирус Mammoth.6000. Эти вирусы включают и выключают в CMOS-памяти признак наличия дисковода A: . Перед записью или чтением с дискеты вирусы включают признак наличия дисковода, а после отключают.

В результате при загрузке с чистой системной дискеты дисководы могут оказаться не установленными, и система в таком случае попытается загрузиться с жесткого инфицированного диска. Вирус первым получит управление, установит свою резидентную копию в память, включит в CMOS-памяти признак наличия дисковода A: и передаст управление загрузочному сектору дискеты, вставленной в дисковод. В результате вирус получит управление даже при загрузке с чистой системной дискеты!

Перед перезагрузкой компьютера проверьте порядок загрузки компьютера, выбранный в CMOS-памяти. Сначала загрузка должна происходить с диска A: и только затем с диска C:. Затем проверьте тип дисководов, указанный в конфигурации компьютера. Он должен соответствовать действительным параметрам дисководов, подключенных к компьютеру.

Чтобы просмотреть конфигурацию компьютера и порядок его загрузки, запустите программу BIOS Setup. Более подробно об этой программе вы можете прочитать в разделе “Восстановление файловой системы”.

Ниже представлен пример использования антивируса Aidstest для обнаружения и лечения вирусов на диске C:.

AIDSTEST C: /F /Q

Программа проверит файлы на диске C:. Все обнаруженные вирусы сказу будут удалены:

Проверка "A:" (метка тома: PROGRAMM)
Вирус в начальном секторе “FORM” - ОБЕЗВРЕЖЕН
a:\C-639.COM - болен (Khizhnjak-639) - ОБЕЗВРЕЖЕН
a:\COMMAND.COM - болен (V-475) - ОБЕЗВРЕЖЕН
a:\FORMAT.COM - болен (Mini-129) - ОБЕЗВРЕЖЕН

___ "A:" ___
Проверено файлов:                 28
Заражено файлов:                   3
 - начальных секторов:           1
Следов вирусов DIR:                               0

Исправлено файлов:                                3
 - строк каталогов:                  0
Стерто файлов:                       0

Полифаг Doctor Web

Другая антивирусная программа-полифаг, входящая в состав антивирусного комплекта АО “ДиалогНаука”, разработана Даниловым Игорем Анатольевичем. Также как и Aidstest, программа Doctor Web является полифагом, но при этом она основана совершенно на других принципах, благодаря чему позволяет обнаруживать полиморфные вирусы и успешно удалять их. Специальные методы позволяют Doctor Web обрабатывать шифрованные вирусы.

В отличие от большинства антивирусных программ-полифагов, Doctor Web обнаруживает новые, неизвестные вирусы. Для этого применяется эвристический анализатор. Этот анализатор в автоматическом режиме изучает код проверяемых программ и загрузочных записей, пытаясь обнаружить в них участки кода, выполняющие характерные для вирусов действия.

Программа Doctor Web позволяет обнаружить и удалить опасный вирус OneHalf, широко распространившийся в последнее время. При этом Doctor Web восстанавливает зашифрованный вирусом жесткий диск компьютера. В зависимости от объема жесткого диска и того, насколько далеко зашел процесс его шифровки, на восстановление может потребоваться несколько десятков минут. В последнее время появились новые модификации вируса OneHalf, имеющие отличия в процедуре шифрования диска компьютера, поэтому надо использовать самые последние версии Doctor Web

Программа Doctor Web работает как в диалоговом, так и в пакетном режиме. Пакетный режим лучше всего использовать для проверки компьютера во время его загрузки, вызывая Doctor Web из файла AUTOEXEC.BAT. Чтобы Doctor Web начал работать в пакетном режиме, следует задать параметр /CL.

Полную информацию обо всех параметрах и режимах работы программы Doctor Web вы можете прочитать в документации антивирусного пакета АО “ДиалогНаука”. Сейчас мы перечислим только основные параметры программы:

 

Параметр

Описание

/AL

Проверка всех файлов на заданном диске

/AR

Проверка файлов, находящихся внутри архивов. Обеспечивается проверка архивов, созданных программами-архиваторами ARJ, PKZIP и RAR

/CL

Запуск программы в пакетном режиме

/CU[D][R][P]

Лечение файлов и системных областей дисков, удаление найденных вирусов. Если указан параметр D, тогда инфицированные файлы не лечатся, а просто удаляются с диска компьютера. Вместо удаления инфицированных файлов их можно переименовать. Для этого следует указать параметр R. В этом случае первый символ в расширении имени файла заменяется на символ 'V'. Если указан дополнительный параметр P, тогда перед удалением вирусов запрашивается подтверждение у пользователя

/DA

Проверка компьютера один раз в сутки. Этот режим рекомендуется использовать для запуска программы из файла AUTOEXEC.BAT

/DL

Удаление файлов, восстановление которых невозможно

/FN

Если видеоадаптер компьютера не русифицирован, укажите этот параметр. Doctor Web будет пользоваться собственными русскими шрифтами

/HA[<уровень>]

Эвристический анализ файлов и поиск в них неизвестных вирусов. Существует два уровня анализа: 0 - минимальный, 1 - максимальный. По умолчанию устанавливается минимальный уровень эвристического анализа

/HI

Поиск вирусов в адресном пространстве оперативной памяти от 0 Кбайт до 1088 Кбайт

/RV

Контроль за заражением проверяемых файлов активным резидентным вирусом

/TD<диск>:

Когда Doctor Web проверяет упакованные файлы и файлы архивов, он может создавать временные файлы. Вы можете самостоятельно задать диск, на котором создаются временные файлы, с помощью параметра /TD

/UP[N]

Проверка выполнимых файлов, упакованных программами DIET, PKLITE, LZEXE, EXEPACK, PROTECT, COMPACK, CRYPTCOM, а также файлов, вакцинированных антивирусом CPAV. Чтобы Doctor Web не отображал на экране названия программы архиватора, использованной для упаковки проверяемого файла, укажите дополнительный параметр N

 

Как найти вирус

Программа Doctor Web позволяет обнаружить вирусы без предварительной загрузки компьютера с чистой системной дискеты. Вы можете вызывать Doctor Web каждый раз во время загрузки компьютера, поместив вызов программы в файл AUTOEXEC.BAT. Лучше всего использовать Doctor Web совместно с ревизором диска ADinf. Подробнее об этом можно прочитать в разделе “Взаимодействие программ антивирусного комплекта”.

Для первоначальной проверки компьютера можно использовать следующую команду:

DRWEB * /CL /HA1 /HI /RV /UP /AR /OK

Полифаг Doctor Web проверит оперативную память компьютера, затем автоматически подключит все файлы вирусных баз-дополнений, расположенных в каталоге программы. Затем начнется последовательная проверка всех выполняемых файлов на всех дисках компьютера. Также будут проверяться файлы внутри файлов архивов.

В памяти компьютера вирусов не обнаружено
 Подключение файла WEB60109.308 :
Файл-дополнение подключен к вирусной базе программы.
Добавлено определений новых вирусов - 42
Поиск вирусов и инфицированных программ на диске C :
Метка тома: WORK DISK 
c:\PILOT.ARJ - архив ARJ
c:\BALLON\SCREEN\SCR.ARJ - архив ARJ
c:\BALLON\REPORT.WEB - Ok
c:\BALLON\MENU\MENU.ARJ - архив ARJ
c:\NC45\BITMAP.EXE упакован EXEPACK
c:\NC45\RBVIEW.EXE /

После окончания проверки, Doctor Web отображает на экране отчет о проделанной работе. В нем указывается количество проверенных файлов и загрузочных секторов, количество обнаруженных вирусов и время проверки компьютера:

  Отчет для диска С:
  Проверено : файлов  и  загрузочных   секторов - 245
  Обнаружено: вирусов и инфицированных программ - 0
  Время сканирования:                      00:05:39

Если во время проверки будут обнаружены вирусы, программа сообщит об этом. Напротив названия каждого зараженного файла указывается имя обнаруженного в нем вируса.

Поиск вирусов и инфицированных программ на диске C :
BOOT SECTOR инфицирован Form
c:\TETRA\DWOL.EXE - Ok
c:\TETRA\IDSORT.LST - Ok
c:\TETRA\REPORT.WEB - Ok
c:\TETRA\OVLOAD\KELA.EXE инфицирован TPE.Kela.4546
c:\TETRA\OVLOAD\EBBOI.COM инфицирован HelloUser.402
c:\TETRA\OVLOAD\APOC1.COM - Ok
c:\GAME\APOC1016.EXE - Ok
c:\GAME\GREEN.COM - Ok
c:\GAME\KLOM.EXE инфицирован XAM.278
c:\GAME\DOOM2DTH.EXE инфицирован Doom.666
c:\GAME\GKBEC.COM инфицирован Beer.3490
c:\NET\LOG.EXE инфицирован Novell.3120

Вместе с антивирусом Doctor Web поставляется файл с описаниями известных вирусов VIRLIST.WEB. Перед тем как удалять обнаруженные вирусы, рекомендуется прочитать их описания. Файл VIRLIST.WEB может поставляться в архиве VIR-WEB.LZH. Для восстановления файлов из этого архива используйте архиватор LHA.

При проверке компьютера в режиме эвристического анализа, Doctor Web, может сообщить о том, что файл инфицирован неизвестным вирусом. Название неизвестного вируса составляется из слова Virus и одного или нескольких терминов, описанных в следующей таблице:

 

Термин

Обнаружен

COM

Вирус, заражающий COM-файлы

EXE

Вирус, заражающий EXE-файлы

TSR

Резидентный вирус

BOOT

Вирус, заражающий загрузочные секторы дисков

CRYPT

Зашифрованный или полиморфный вирус

 

Названия обнаруженных таким образом вирусов могут выглядеть следующим образом:

D:\PROGRESS\DID\NCAA.EXE возможно инфицирован COM.CRYPT.Virus
D:\PROGRESS\FOXWOOD\README.EXE возможно инфицирован EXE.TSR.Virus
D:\FORMER\LOOM.EXE возможно инфицирован COM.EXE.TSR.CRYPT.Virus

Эти сообщения означают, что эвристический анализ данных файлов обнаружил подозрительные участки кода, характерные для вирусов. Такие файлы нужно передать специалистам для дальнейшего изучения.

Как лечить компьютер

Если проверка компьютера обнаружила вирусы, вам надо приступить к его лечению. Для этого необходимо загрузить компьютер с системной дискеты и запустить с нее программу Doctor Web. Системная дискета должна быть подготовлена заранее на компьютере, не зараженном вирусами, и на ней должна быть установлена защита от записи.

После перезагрузки компьютера с системной дискеты загрузите Doctor Web:

DRWEB * /CL /NM /TDC: /UP /CU

Теперь полифаг Doctor Web не только будет обнаруживать вирусы, а будет их удалять.

Поиск вирусов и инфицированных программ на диске C :
BOOT SECTOR инфицирован Form - исцелен!
c:\TETRA\OVLOAD\KELA.EXE инфицирован TPE.Kela.4546 - исцелен!
c:\TETRA\OVLOAD\EBBOI.COM инфицирован HelloUser.402 - исцелен!
c:\GAME\KLOM.EXE инфицирован XAM.278 - исцелен!
c:\GAME\DOOM2DTH.EXE инфицирован Doom.666 - исцелен!
c:\GAME\GKBEC.COM инфицирован Beer.3490 - исцелен!
c:\NET\LOG.EXE инфицирован Novell.3120 - исцелен!

Если во время проверки компьютера, Doctor Web обнаружил зараженные файлы внутри файла архива, то он не сможет вылечить их автоматически. Архив надо раскрыть, а затем вылечить все зараженные файлы. После этого вы можете снова записть вылеченные файлы в архив.

Диалог с Doctor Web

Мы рассказали как работать с Doctor Web в пакетном режиме. Такой способ удобен при автоматической проверке компьютера. Для проверки в ручном режиме значительно удобнее пользоваться диалоговым режимом программы.

Чтобы запустить Doctor Web в диалоговом режиме не указывайте параметр /CL. Остальные параметры также можно не указывать, вы сможете их задать или изменить непосредственно во время работы программы.

Как подключить файлы-дополнения для вирусной базы

Новые вирусы появляются с завидной регулярностью. Для их удаления необходимо постоянно пополнять базу данных программы, содержащую информацию о вирусах. Программа Doctor Web позволяет подключать к этой базе данных внешние файлы-дополнения, содержащие сведения о новых вирусах.

Файлы-дополнения выпускаются постоянно, по мере поступления и изучения новых вирусов. Вы можете получить их через модем с BBS “ДиалогНаука”, по сети FIDO из эхо-конференции ADinf.Support, или по сети Relcom из телеконференции REL.FIDO.ADINF.SUPPORT.

В случае крайней необходимости можно получить файлы дополнений в текстовом виде через факсимильный аппарат, а затем ввести их в компьютер, набрав в любом текстовом редакторе. Если факсимильного аппарата у вас нет, файл дополнений в принципе можно записать на слух по телефону.

Файлы-дополнения имеют имена WEBymmdd.vvv. Символ y означает последнюю цифру года, mm - номер текущего месяца, dd - день месяца выпуска файла-дополнения, а vvv - номер версии программы, для которой предназначен файл. Если вы получили файл-дополнение по сети, то его надо сохранить в файле с соответствующим именем.

Чтобы подключить новые файлы-дополнения, запишите их в каталог программы Doctor Web. После запуска программы они подключатся автоматически. Вы можете выделить для файлов дополнений отдельный каталог и указать к нему путь в диалоговой оболочке Doctor Web.

Вирусы для текстового процессора Microsoft Word for Windows

Программа Doctor Web позволяет обнаружить на диске компьютера известные вирусы, распространяющиеся в среде текстового процессора Microsoft Word for Windows. Для этого следует ей указать на необходимость проверки файлов документов, имеющих расширения DOT и DOC.

Если такие вирусы будут обнаружены, воспользуйтесь для их удаления антивирусом Doctor Web for WinWord. Этот антивирус описан в следующем разделе “Антивирус Doctor Web for WinWord”. Антивирусная программа Doctor Web, предназначенная для работы в среде DOS, может только обнаружить вирусы в файлах-документах, но не удалять их.

Антивирус Doctor Web for WinWord

В разделе “Вирусы в файлах документов” мы рассказали о новом типе вирусов, заражающих файлы документов, подготовленные в текстовом процессоре Microsoft Word for Windows версии 6.0 и 7.0. В момент написания книги были известны всего несколько таких вирусов WinWord.Concept, WinWord.Nuclear, WinWord.Color.

Для борьбы с вирусами в текстовых файлах документов Даниловым Игорем Анатольевичем был разработан специальный антивирус Doctor Web for WinWord. Он может быть использован для обнаружения и удаления известных и неизвестных вирусов. Doctor Web for WinWord не является программой в полном смысле этого слова, скорее это документ, содержащий макрокоманды антивируса. В настоящее время он распространяется в файле с именем DRWEBWW.DOC.

В настоящее время Doctor Web for WinWord распространяется совершенно свободно. Вы можете получить это средство непосредственно в офисе АО “ДиалогНаука” или через модем со станции BBS “ДиалогНаука”

Чтобы установить Doctor Web for WinWord, достаточно запустить текстовый процессор Microsoft Word for Windows и загрузить в него файл DRWEBWW.DOC. В момент открытия файла среда текстового процессора будет автоматически проверена на заражение вирусами. Обнаруженные вирусы можно сразу же удалить.

Если вирусов не найдено, тогда вам будет предложено установить Doctor Web for WinWord. Согласитесь с этим предложением, в случае необходимости вы всегда сможете отключить антивирус, открыв файл DRWEBWW.DOC еще один раз. После окончания установки в главном меню Microsoft Word for Windows появится меню Dr.Web (рис. 3.1). Через это меню пользователь может настроить антивирус и выполнить проверку текстовых документов.

Рис. 3.1. Меню Doctor Web for WinWord

Настройка режимов работы Doctor Web for WinWord не должна вызвать у вас никаких затруднений. Откройте диалоговую панель настройки антивируса, выбрав из меню Dr.Web строку Settings. На экране появится диалоговая панель, показанная на рисунке 3.2.

Если вы установили у себя Doctor Web for WinWord, его можно настроить на поиск вирусов в открываемых файлах. Такая функция очень удобна, так как у вас отпадает необходимость частой проверки всех файлов документов. Даже если вы запишете на жесткий диск компьютера зараженный документ, вирус не сможет заразить вашу систему, так как он будет обнаружен в момент открытия файла.

Тем не менее, в любом случае желательно периодически проверять все файлы документов, хранимые в компьютере, даже если они не используются. В противном случае незамеченный зараженный файл может быть передан на другой компьютер, не защищенный Doctor Web for WinWord.

Антивирус Doctor Web for WinWord позволяет выполнять эвристический анализ макрокоманд проверяемых файлов. Для этого надо включить переключатель Strange macro (рис. 3.2). Такой режим позволяет обнаружить подозрительные макрокоманды, принадлежащие новым, ранее неизвестным вирусам.

Обнаружив подозрительные макрокоманды, Doctor Web for WinWord предлагает их удалить. Вы должны самостоятельно проверить эти макрокоманды и решить вопрос об их удалении.

Рис. 3.2. Выбор режима работы Doctor Web for WinWord

Чтобы начать проверку дисков компьютера, выберите из меню Dr.Web строку Scan. Антивирус проверит, сколько дисков компьютера доступно и откроет диалоговую панель с кнопками, названия которых соответствуют именам этих дисков. Doctor Web for WinWord позволяет проверить не только жесткие диски компьютера, но также компакт-диски, сетевые диски и дискеты.

Перед тем как вы сможете проверять документы, записанные на дискетах, установите в диалоговой панели настройки антивируса переключатель Check FDD. Вставьте дискету, которую надо проверить, в дисковод и выберите из Dr.Web строку Scan. Теперь в открывшейся диалоговой панели появится кнопка для проверки дискет.

Файлы документов, поступающие вам от других пользователей, следует проверять на заражение вирусами. Обязательно проверяйте файлы, поступившее к вам по электронной почте и полученные со станций BBS.

Обнаружив вирус, Doctor Web for WinWord предлагает его удалить. Перед удалением вируса мы рекомендуем сделать резервную копию зараженного документа. После того как вы убедитесь в том, что вирус удален и документ не поврежден, удалите резервную копию зараженного документа.

После удаления вируса из файла документа он остается в формате файла стилей. Если вы решите сохранить такой документ в другом формате и выберете из меню File строку Save As, то увидите, что в открывшейся диалоговой панели Save As, список форматов Save as type будет недоступен. Чтобы исправить формат документа, откройте новый документ, выбрав из меню File строку New, скопируйте в него через универсальный обменный буфер Clipboard содержимое исходного файла, а затем сохраните новый документ. Теперь старый документ можно удалить и работать с новым документом.

Ревизор диска ADinf и лечащий модуль ADinf Cure Module

Использование антивирусных программ не может гарантировать полную защиту компьютера от заражения вирусами. Антивирусные программы-полифаги типа Aidstest и Doctor Web в первую очередь настроены на обнаружение уже известных вирусов и их клонов. В Doctor Web есть эвристический анализатор, обнаруживающий большинство новых вирусов, но все же существует небольшая вероятность появления вируса, который не будет обнаружен. Кроме того, даже если новый вирус будет обнаружен, вылечить его сразу не удастся. Поэтому в антивирусный комплект включена программа-ревизор ADinf, созданная Мостовым Дмитрием Юрьевичем.

Ревизор диска ADinf сохраняет в своих таблицах различную информацию о жестком диске компьютера - загрузочных секторах, сбойных кластерах, структуре каталогов и выполнимых файлах (рис. 3.3). Это позволяет выявить любой вирус, как только он проявит себя и попытается заразить новые файлы или загрузочные секторы.

Так как стелс-вирусы перехватывают обращения к дисковой подсистеме компьютера и скрывают присутствие вируса, ADinf считывает информацию с диска, минуя операционную систему. Для чтения диска ADinf обращается непосредственно к соответствующей функции BIOS, записанной в ПЗУ компьютера. В этом случае вирус не может перехватить обращение к диску, и ADinf получает достоверную информацию.

На этом, в частности, основан метод поиска активных стелс-вирусов. Ревизор ADinf считывает проверяемые файлы и загрузочные секторы двумя способами: через операционную систему и непосредственно через вызов BIOS. Полученные данные сравниваются. Если между ними обнаруживаются различия, значит в памяти находится активный стелс-вирус, скрывающий свое присутствие.

Рис. 3.3. Проверка диска ревизором ADinf

В состав антивирусного комплекта входит дополнительный модуль ADinf Cure Module, предназначенный для использования совместно с ревизором ADinf. ADinf Cure Module разработан Ладыгиным В. С., Зуевым Д. Г. и Мостовым Д. Ю. В нашей книге мы рассматриваем ADinf версии 10.5a и лечащий модуль ADinf Cure Module версии 3.03.

Дополнив ревизор ADinf лечащим модулем ADinf Cure Module, вы получаете возможность не только обнаружить появление вируса, но также и удалить его. Интересно, что ADinf Cure Module не содержит вирусной базы данных и может удалить даже новый, ранее неизвестный вирус. Для этого лечащий модуль использует информацию о зараженном файле, собранную им до того, как файл был поражен вирусом. Версии 3.03 и 3.04 ADinf Cure Module позволяют удалить вирусы из COM-, EXE-, SYS-, XTP- и BAT-файлов.

Когда книга готовилась к публикации, вышла новая версия ревизора ADinf 10.6 и лечащий модуль ADinf Cure Module версии 3.04. По сравнению с предыдущими версиями программ, в них добавлена возможность установки ADinf и ADinf Cure Module на сетевом диске.

Теперь при работе в локальной сети ADinf и ADinf Cure Module можно установить на сервере, что облегчит администратору смену версий программ. При запуске с сетевого диска ADinf по умолчанию ищет свой файл настроек и личные таблицы в каталоге C:\ADINF на локальной машине. Этот каталог можно изменить, указав дополнительный параметр -HOME:<путь>. Улучшена совместимость с новой операционной системой Windows 95 - изменен алгоритм работы с  файлами при  лечении, что  обеспечивает сохранение  длинных имен файлов.

Несколько слов о настройке ADinf

Программа ADinf позволяет настроить режим проверки компьютера, чтобы достичь лучшего результата. Настройка программы достаточно сложна и описана в документации к программе. Поэтому мы ограничимся кратким описанием самых важных возможностей настройки программы.

Во время проверки компьютера ADinf записывает полученную информацию в таблицы, расположенные в специальных файлах. Таблицы ADinf бывают двух типов - общие и личные. Общие таблицы создаются в корневых каталогах проверяемых дисков. Личные таблицы создаются в каталоге ADinf или в любом другом указанном пользователем каталоге. Несколько пользователей одного компьютера могут иметь собственные копии личных таблиц в своих каталогах и независимо контролировать диски. Выбрать работу с личными или общими таблицами можно в меню Параметры.

Режим проверки компьютера устанавливается в меню Параметры. Для этого надо выбрать строку Режимы работы. Можно включить быстрый режим поиска (режим fast) и режим поиска (режим info).

В быстром режиме не проверяются контрольные суммы файлов, и вы узнаете только о новых и стертых файлах и каталогах, а также о файлах, у которых изменилась длина. Таблицы с информацией о диске обновляться не будут. Режим поиска выполняет полную проверку диска без обновления информации в таблицах ревизора.

Для каждодневной проверки компьютера рекомендуется отключить быстрый режим и режим поиска. В этом случае будут проверяться контрольные суммы файлов, что позволит обнаружить изменения в их структуре.

Вы можете указать, как вычислять контрольные суммы файлов с различными расширениями. Для этого выберите из меню Параметры строку Настройка, а затем в открывшемся временном меню выберите строку Список расширений. Откроется временное меню, содержащее две строки - Расширения и Тип CRC. Первая строка позволяет изменить список расширений контролируемых файлов, а вторая позволяет выбрать тип контрольных сумм для файлов с данным расширением.

В ревизоре ADinf реализованы три типа контрольных сумм - Без CRC, Быстрая и Полная. Тип Без CRC, означает что контрольная сумма не будет рассчитываться. Быстрые контрольные суммы основаны на знании внутренней структуры исполняемых файлов с расширениями COM и EXE. Этот тип контрольных сумм надежно защищает выполнимые файлы от внедрения в них вируса, но некоторые изменения в выполнимых файлах, не связанные с внедрением вирусов, могут остаться незамеченными. Полные контрольные суммы рассчитываются на основе всего файла. Любые изменения файла будут обнаружены. Надо заметить, что полные контрольные суммы рассчитываются медленнее быстрых.

Наиболее важно правильно указать объекты (загрузочные записи, файлы и т. д.), контролируемые ревизором ADinf. Выберите из меню Параметры строку Настройки, а затем из открывшегося временного меню строку Что контролировать. На экране появится меню Контроль (рис. 3.4).

Через это меню можно указать, какие файлы подлежат контролю - только с указанными расширениями или все, ввести список неизменяемых файлов, включить контроль загрузочных секторов, проверять вновь появившиеся плохие кластеры, проверять структуру каталогов, выполнять контроль таблицы параметров жестких дисков HDPT, а также выполнять автоматическую проверку на стелс-вирусы в новых и измененных файлах.

Рис. 3.4. Выбор вида контроля

Мы рекомендуем обязательно включить контроль за всеми выполнимыми файлами и загрузочными секторами. Необходимо также включить проверку на стелс-вирусы в новых и измененных файлах. Это позволит ADinf сразу сообщить вам о появлении вирусов в компьютере.

Для каждого логического диска компьютера можно отдельно задать метод обращения к дискам. Выберите из меню Параметры строку Настройки, а затем из открывшегося временного меню строку Обращение к дискам. На экране появится список имен логических дисков компьютера. С помощью клавиш управления курсором и клавиши пробела для каждого диска можно указать метод обращения - BIOS, Int 13h, Int 25h.

Метод BIOS предполагает, что ADinf обращается к дискам компьютера, непосредственно вызывая процедуры, записанные в ПЗУ BIOS. Это позволяет преодолеть маскировку стелс-вирусов и прочитать именно ту информацию, которая записана на диске. Вирус не может в этом случае вмешаться и исказить данные, считанные с диска.

Некоторые вирусы пытаются маскироваться даже при чтении диска процедурами BIOS. Для этого они перехватывают специальное прерывание Int 76h, вырабатываемое контроллером жесткого диска по окончании некоторых операций, и искажают считанные данные фактически на уровне контроллера жесткого диска. Ревизор ADinf применяет специальные методы и не позволяют таким вирусам остаться незамеченными.

В некоторых ситуациях ADinf не может воспользоваться процедурами BIOS для доступа к дискам. Как правило, это происходит, если установлены драйверы дисков, например драйвер Disk Manager или драйверы SCSI-дисков. В этом случае выберите для этих дисков метод доступа Int 13h.

Если в вашей системе установлены программы динамического сжатия - DoubleSpace, DriveSpace, SuperStor или Stacker, тогда для этих дисков надо установить метод доступа Int 25h. Этот метод предполагает обращение к дискам средствами операционной системы DOS.

Методы доступа Int 13h и Int 25h оставляют стелс-вирусам больше возможностей для маскировки, поэтому предпочтительней пользоваться методом доступа BIOS

Проверка компьютера

Перед проверкой компьютера выберите диски, которые надо проанализировать. Их названия следует выбрать из меню Диски. Для этого установите курсор на соответствующую строку меню с именем диска и нажмите клавишу <Insert> или клавишу пробела. Около названия диска появится знак плюс (рис. 3.5).

Рис. 3.5. Выбор дисков для проверки

Чтобы начать проверку компьютера, воспользуйтесь меню Работа, представленным на рисунке 3.6. Для проверки устройств, помеченных в меню Диски, выберите строку Проверить диск. Если проверить надо все диски компьютера, достаточно выбрать строку Проверить все. В этом случае не надо предварительно указывать проверяемые устройства в меню Диски.

Рис. 3.6. Проверка компьютера

Если ADinf обнаружит, что на диске произошли изменения, характерные для заражения вирусами, на экране появляется предупреждающее сообщение (рис. 3.7). Все найденные подозрительные изменения помечены символом . Для продолжения работы нажмите любую клавишу на клавиатуре компьютера. Диалоговая панель с предупреждающим сообщением закроется и вы сможете перейти к изучению результатов проверки диска (рис. 3.8).

Рис. 3.7. Предупреждающее сообщение ADinf

Возможно, что изменения в файловой системе вызваны не заражением вирусами, а другими причинами. Например, изменение загрузочных секторов может быть вызвано установкой новой версии операционной системы. Странная дата создания файла (например, дата больше 2000 года) могут быть вызваны неправильной установкой часов компьютера. Изменение файлов, занесенных в список неизменяемых, может быть вызвано установкой новых версий этих программ.

Чтобы подробнее изучить обнаруженные программой ADinf изменения, выберите из списка “Изменения на диске” нужную позицию и нажмите клавишу <Enter>.

Рис. 3.8. Результаты проверки диска

Наиболее подозрительны изменения в секторе главной загрузочной записи (на рисунке она называется Master-boot сектор), загрузочном секторе и выполнимых файлах. Сообщения об их изменении ни в коем случае нельзя оставлять без внимания.

Чтобы подробнее изучить изменения в секторе главной загрузочной записи выберите первую строчку в списке “Изменения на диске” или нажмите клавишу <F2>. На экране появится диалоговая панель Master-boot сектор, содержащая информацию о главном загрузочном секторе (рис. 3.9). Строка в верхней части панели сообщает об изменении программы начальной загрузки - “Изменился загрузчик”. Если вы не устанавливали новой версии операционной системы, то, скорее всего, компьютер заражен загрузочным вирусом.

Ниже расположены две таблицы, отражающие состояние таблицы разделов в настоящий момент и во время предыдущей проверки. Более подробно об этих таблицах вы можете узнать в главе “Восстановление файловой системы”.

 

Рис. 3.9. Изменения в секторе главной загрузочной записи

Программа ADinf позволяет восстановить старую главную загрузочную запись, которая была сохранена во время предыдущей проверки компьютера. Используйте эту возможность, только если вы полностью уверены, что со времени последней проверки на компьютере не было установлено программное обеспечение, меняющее главную загрузочную запись. Главная загрузочная запись может быть изменена во время установки новой версии операционной системы, программы распределения доступа и некоторых систем защиты от копирования.

Перед тем как начинать восстановление сектора главной загрузочной записи или загрузочного сектора мы рекомендуем сделать резервные копии ваших файлов документов и баз данных, хранимых в компьютере

Если изменился загрузочный сектор диска, вы можете детально просмотреть изменения. Для этого надо выбрать из диалоговой панели Результаты проверки диска (рис. 3.8) строку Загрузочный сектор или нажать клавишу <F3>. На экране откроется новая диалоговая панель, показанная на рисунке 3.10.

Рис. 3.10. Изменения в загрузочном секторе

Особое внимание в этой диалоговой панели следует обратить на изменение команды перехода на программу загрузки операционной системы (Jump на загрузчик) и изменение самой программы загрузки (Область загрузчика DOS). Их изменение может быть вызвано заражением компьютера загрузочным вирусом.

Обнаружив с помощью ADinf изменения в секторе главной загрузочной записи, загрузочном секторе или в выполняемых файлах, проверьте компьютер с помощью полифагов Aidstest и Doctor Web. Ревизор ADinf сразу может восстановить старые загрузочные сектора, но если компьютер был заражен вирусами типа OneHalf или VolGU, можно потерять информацию, записанную на дисках компьютера

Загрузочный сектор, как правило, изменяется при установке новой версии операционной системы, некоторых систем распределения доступа и после форматирования диска командой FORMAT. Конечно, в этих случаях вируса в компьютере, скорее всего, нет и восстанавливать старый загрузочный сектор не надо.

С большим вниманием надо отнестись к изменениям в выполнимых файлах. Если ADinf обнаружит такие файлы, просмотрите их список. Для этого выберите в диалоговой панели Результаты проверки диска (рис. 3.8) строку Измененных файлов или нажмите клавишу <F7>. На экране появится диалоговая панель Изменившиеся файлы (рис. 3.11).

Рис. 3.11. Изменение выполнимых файлов

Просмотрите весь список изменившихся файлов, выбирая их один за другим. ADinf сообщит о каждом файле дату и время его последнего изменения, старую длину файла и его новую длину. Если изменение длины файла не сопровождается изменением даты его последней модификации, возможно файл заражен вирусом.

Особое внимание следует обратить на случаи, когда изменились файлы, занесенные в список неизменяемых. Обычно в этот список включаются основные файлы операционных систем, другие часто используемые выполнимые файлы. По умолчанию в списке неизменяемых файлов включены файлы COMMAND.COM, IBMBIO.COM, IBMDOS.COM, IO.SYS, NC.EXE, NCMAIN.EXE и WIN.COM.

Некоторые программы записывают в свой выполнимый файл различную информацию, например конфигурацию программы и т. д. Но обычно в этом случае меняется дата и время создания файла.

В любом случае рекомендуется проверить все измененные выполнимые файлы при помощи каких-нибудь программ-полифагов. Удобнее всего организовать взаимодействие ревизора ADinf и полифагов Aidstest и Doctor Web. ADinf может подготовить для этих программ список измененных, новых и перемещенных файлов, которые необходимо проверить. Более подробно о возможностях такого взаимодействия программ антивирусного комплекта АО “ДиалогНаука” мы расскажем в разделе Взаимодействие программ антивирусного комплекта.

Лечение зараженных файлов

Одно из преимуществ ADinf перед многими другими программами-ревизорами заключается в лечащем модуле ADinf Cure Module. Если ревизор ADinf обнаружил изменения в выполнимых файлах, характерные для заражения вирусами, а полифаги Aidstest и Doctor Web не могут обнаружить вирус, скорее всего, компьютер заражен новым вирусом, еще не включенным в вирусную базу этих полифагов. Запустите еще раз полифаг Doctor Web, включив режим эвристического анализа. В этом режиме Doctor Web позволит обнаружить новый вирус, но не сможет удалить их.

Теперь можно воспользоваться лечащим модулем ADinf Cure Module. Он позволяет удалить большинство новых вирусов, еще не известных полифагам Aidstest и Doctor Web.

Лечение файлов надо выполнять, загрузившись с системной лечащей дискеты ADinf Cure Module. Эту дискету необходимо подготовить заранее во время установки ADinf Cure Module. Более подробную информацию о процессе лечения можно получить в документации на антивирусный комплект АО “ДиалогНаука”.

Перед тем как загрузиться с лечащей дискеты ADinf Cure Module, установите на ней защиту от записи. В противном случае программа не будет работать

После загрузки компьютера с этой дискеты автоматически запустится программа ADinf Cure Module. После того как вы ответите на несколько вопросов, вы сможете выбрать изменившиеся файлы, которые необходимо вылечить. Программа ADinf Cure Module восстанавливает файл только в том случае, если результирующий файл точно соответствует файлу до его заражения. Если зараженный файл восстановить не удается, ADinf Cure Module сообщит об этом.

В этом случае воспользуйтесь последними версиями полифагов Aidstest и Doctor Web. Если они также не обнаружат вирус, возможно изменения в файле связаны с заменой файла во время установки новых версий программ.

Рекомендуется дополнительно установить резидентный монитор, например VSafe  - он входит в состав дистрибутива операционной системы MS-DOS и некоторое время поработать в таком режиме. Если компьютер заражен вирусом, он рано или поздно себя проявит. Об этом вам сообщит резидентный монитор. Если резидентный монитор будет срабатывать, сообщая о нарушении защиты, постарайтесь передать подозрительные файлы, обнаруженные ADinf, специалистам по вирусам для их дальнейшего исследования.

Взаимодействие программ антивирусного комплекта

Программы антивирусного комплекта являются не просто набором дополняющих друг друга программ, они могут и должны использоваться совместно. Рекомендуется следующая последовательность установки и использования комплекта.

Перед установкой программ антивирусного комплекта в компьютер проверьте его на заражение известными вирусами. Для этого воспользуйтесь антивирусными программами полифагами Aidstest и Doctor Web.

Затем установите программы антивирусного комплекта на жесткий диск компьютера - Aidstest, Doctor Web, ADinf и ADinf Cure Module, руководствуясь документацией комплекта или отдельных программ. Если вы работаете в среде операционной системы Windows или Windows 95 и используете текстовый процессор Microsoft Word for Windows версии 6.0 или 7.0, установите антивирус Doctor Web for WinWord.

Ревизор диска ADinf позволяет создать список новых и измененных файлов, требующих проверки антивирусными программами полифагами Aidstest и Doctor Web. Вы можете создать специальный пакетный файл, в котором сначала вызывается ADinf, а затем антивирусы-полифаги. Вот пример такого файла.

 

                @echo off

 

                ADINF * /@C:\ADDTEST.LST /A


                if errorlevel 50 goto end

                if errorlevel 40 goto vir_in_mem

                if errorlevel 30 goto end

                if not exist C:\ADDTEST.LST goto end


                DRWEB /@+C:\ADDTEST.LST /CL /HA1 /RV /HI /UPN /NS

                if errorlevel 2 goto new_vir

                if errorlevel 1 goto vir

 

                AIDSTEST /@C:\ADDTEST.LST /G /NB


                if errorlevel 3 goto end

                if errorlevel 2 goto end

                if errorlevel 1 goto vir


:no_vir

                echo Вирусы не обнаружены

                goto end

 

:vir_in_mem

                pause Обнаружен активный вирус, противодействующий ADinf

                goto end

 

:vir

                pause Внимание! Обнаружен известный вирус

                goto end

 

:new_vir

                pause Внимание! Подозрение на неизвестный вирус

 

:end

 

Для надежной проверки диска важно правильно настроить список расширений проверяемых файлов и режимы работы ADinf, чтобы не пропустить существенных зменений на диске. Настройка ADinf наиболее полно описана в документации на антивирусный комплект АО “ДиалогНаука”.

Если среди измененных файлов, антивирусы Aidstest или Doctor Web обнаружат вирусы, рекомендуется перезагрузить компьютер с ранее подготовленной системной дискеты, на которой записаны Aidstest и Doctor Web, и проверить все файлы и загрузочные записи на дисках компьютера.

Можно организовать более сложное взаимодействие антивирусов, чем в приведенном нами примере. Например, можно повторно вызывать антивирусы-полифаги для лечения зараженных файлов и выполнить заключительный вызов ADinf для окончательной проверки компьютера. Однако надо иметь в виду, что такое автоматическое лечение очень опасно. Перед лечением зараженных файлов и загрузочных записей рекомендуется провести анализ ситуации и как минимум сделать резервные копии ваших документов и файлов баз данных.

Программно-аппаратный комплекс Sheriff

Дополнительно к антивирусному комплекту АО “ДиалогНаука” можно приобрести программно-аппаратный комплекс защиты Sheriff. Совместное использование традиционных антивирусных программ и контроля с помощью аппаратных средств обеспечивают наибольшую безопасность системы.

Комплекс, разработанный Фоминым Юрием Николаевичем, включает адаптер защиты и управляющее им программное обеспечение. Адаптер защиты представляет собой плату расширения, предназначенную для установки в системную шину ISA. Плата имеет маленький формат и может быть вставлена в 8-разрядный разъем ISA.

Программно аппаратный комплекс можно использовать с операционными системами, совместимыми с MS-DOS (IBM PC-DOS, DR-DOS, Novell DOS), а также с Microsoft Windows версий 3.1 и 3.11, Microsoft Windows for Workgroups версии 3.11 и новой операционной системой Microsoft Windows 95.

Контроллер защиты контролирует доступ к контроллеру жесткого диска на уровне портов ввода/вывода и сообщает программному обеспечению Sheriff о выполнении любой программой или пользователем несанкционированных действий. Программное обеспечение блокирует дальнейшую работу компьютера, предотвращая возможную порчу программного обеспечения компьютера и записанных в нем данных.

Даже если контроллер жесткого диска подключен к компьютеру через системную шину VLB, PCI или EISA, адаптер защиты будет работать на таком компьютере.

Вот несколько основных возможностей и особенностей комплекса Sheriff:

·     Блокирует выполнение операций, характерных для вирусов и троянских программ. Sheriff предотвращает форматирование жестких дисков; запись в область загрузочных секторов жестких дисков; запись в секторы, распределенные защищаемым файлам, элементам каталогов и таблице размещения файлов; запись в секторы и логические диски, отмеченные как доступные только для чтения; обращение к дискам в обход специально предназначенного для этого прерывания; прямое обращение к портам контроллера жестких дисков

·     Решает проблемы несанкционированного доступа, запрашивая пароль во время начальной загрузки компьютера. Если загрузить защищенный компьютер с дискеты, жесткий диск будет недоступен

·     Содержит в себе систему разграничения доступа для нескольких пользователей, позволяющую определить для каждого пользователя пароль и персональные права доступа к ресурсам компьютера

·     Защиту Sheriff можно отключить только при помощи специальной установочной дискеты. Другие способы отключения контроля связаны с полной потерей данных

Совместное использование Sheriff и других программ комплекта

Чтобы на компьютере, защищенном комплексом Sheriff, запустить остальные программы антивирусного комплекта, их необходимо настроить соответствующим образом. В противном случае защита сработает и компьютер окажется блокирован.

Для настройки ADinf и ADinf Cure Module, откройте в ADinf меню Параметры и выберите из него строку Настройки. На экране появится временное меню. Выберите из него строку Сер. Номер Sheriff и введите пять первых цифр серийного номера вашего экземпляра Sheriff. Например, если Sheriff имеет серийный номер 123450981705763, надо ввести цифры 12345 (рис. 3.12).

Рис. 3.12. Ввод серийного номера Sheriff

Если вы желаете воспользоваться программами Aidstest, Doctor Web, то в командной строке вызова этих программ надо добавить дополнительный параметр /Z и /SH соответственно, указав после него первые пять цифр серийного номера Sheriff:

AIDSTEST C: /Z12345
DRWEB C: /SH12345

Антивирусный пакет AVP

Антивирусный пакет Antiviral Toolkit Pro (AVP) создан фирмой КАМИ, основной разработчик - Касперский Евгений Валентинович. Пакет AVP позволяет обнаружить и удалить около 6000 различных вирусов. К сожалению, большое количество обнаруживаемых вирусов еще не является полной гарантией от заражения компьютера. Всегда найдется новый вирус, не входящий в вирусную базу программы.

Пакет AVP использует почти все средства для обнаружения вирусов. Он позволяет сканировать файлы, загрузочные записи и оперативную память компьютера в поисках известных вирусов. Анализатор кода может обнаружить большинство новых вирусов, но для их лечения надо получить обновления вирусной базы данных.

Антивирус AVP также позволяет вычислять контрольные суммы проверяемых файлов, а затем периодически проверять их. Расхождения в контрольных суммах файла может служить сигналом, что файл заражен вирусом. В отличае от ревизора ADinf, антивирус AVP не умеет обращаться к дискам компьютера непосредственно через функции BIOS. Поэтому многие активные стелс-вирусы могут оказаться незамеченными AVP.

Однако AVP не дает возможности удалить новые вирусы. В этом плане лучше использовать ADinf и лечащий модуль ADinf Cure Module, входящие в состав антивирусного комплекта АО “ДиалогНаука”. ADinf Cure Module позволяет удалить большинство новых вирусов, еще не включенных в вирусные базы программ-полифагов.

Вместе с AVP поставляется антивирусный резидентный монитор Antiviral Monitor. Он позволяет обнаружить и сообщить обо всех проявлениях, которые могут быть вызваны компьютерными вирусами. Antiviral Monitor также позволяет выполнять автоматическую проверку всех запускаемых и открываемых файлов на заражение известными вирусами.

В настоящий момент фирма КАМИ не выпускает программно-апаратных средств антивирусной защиты, подобных комплексу Sheriff, продаваемых вместе с антивирусным комплектом АО “ДиалогНаука”. Поэтому если необходима антивирусная защита высокой надежности, лучше ориентироваться на программно-аппаратный комплекс Sheriff, и антивирусные программы из комплекта АО “ДиалогНаука”.

Вместе с AVP можно купить компьютерную энциклопедию вирусов - AVP Virus Encyclopedia. Она содержит описания большого количества вирусов, структурированные по различным признакам. Для наиболее интересных вирусов можно просмотреть и прослушать выполняемые вирусами эффекты.

Рис. 3.13. Вирус Ambulance

Например, для вируса Ambulance энциклопедия AVP Virus Encyclopedia позволяет просмотреть эффект, иногда вызываемый этим вирусом. В нижней части экрана под звуки сирены движется автомобиль скорой помощи (рис. 3.13).

Антивирусный пакет Microsoft Anti-Virus

В состав дистрибутива операционной системы MS-DOS версии 6.0 и более поздних версий входит программа Microsoft Anti-Virus. Комплект Microsoft Anti-Virus включает в себя не только антивирусы для операционной системы MS-DOS, но также и для Windows. Надо заметить, что этот антивирус не является разработкой самой фирмы Microsoft, а изготовлен фирмой Central Point Software Product.

Новая версия операционной системы Microsoft Windows 95 не содержит встроенных антивирусных средств, в том числе в ней отсутствует Microsoft Anti-Virus. Поэтому для Microsoft Windows 95 вы должны использовать другие средства защиты.

Процедуры установки и использования этих антивирусных программ описаны во втором томе серии "Персональный компьютер. Шаг за шагом". Поэтому мы повторим только самые основные сведения и больше внимания уделим методике использования Microsoft Anti-Virus и его сравнению с другими антивирусными средствами.

Антивирусная программа Microsoft Anti-Virus для MS-DOS выполняет функции полифага и ревизора. Она позволяет обнаружить известные вирусы и вылечить их. Кроме того, она запоминает основную информацию о выполнимых файлах и проверяет ее при последующих запусках.

В отличае от ревизора ADinf, антивирусная программа Microsoft Anti-Virus не умеет обращаться к дискам компьютера непосредственно через функции BIOS. Поэтому многие активные стелс-вирусы могут оказаться незамеченными.

Для запуска Microsoft Anti-Virus для MS-DOS, введите в командной строке DOS следующую команду:

MSAV.EXE

Рис. 3.14. Антивирусная программа Microsoft Anti-Virus для MS-DOS

На экране появится диалоговая оболочка программы (рис 3.14). В верхней части расположен заголовок программы, ниже него список дисков, которые можно проверить. В окне Main Menu находятся 5 кнопок, управляющие работой программы.

 

Кнопка

Назначение

Detect

Выполнить поиск вирусов

Detect & Clean

Выполнить поиск и удаление вирусов

Select new drive

Выбрать диск для проверки

Options

Установить режим работы Microsoft Anti-Virus

Exit

Закончить работу с Microsoft Anti-Virus

 

Чтобы изменить режим поиска вирусов, нажмите кнопку Options. На экране появится временная диалоговая панель с переключателями, показанная на рисунке 3.15.

Рис. 3.15. Настройка Microsoft Anti-Virus

 

Переключатель

Режим работы программы

Verify Integrity

Антивирус сверяет информацию, записанную в файлах CHKLIST.MS (см. переключатель "Verify Integrity") с текущими характеристиками файлов. Если при проверке выявляются различия, на экран выдается предупреждающее сообщение

Create New Checksums

Во время проверки файлов на наличие вирусов в каждом каталоге создается файл CHKLIST.MS. В этом файле записываются сведения обо всех выполнимых файлах, содержащихся в каталоге (размер файла, дата создания, атрибуты). К выполнимым файлам относятся все файлы с расширениями EXE, COM, BAT, OV*, SYS, BIN, APP, CMD, PGM, PRG, DRV, DLL, 386, FON, ICO, PIF. При последующих проверках характеристики всех выполнимых файлов сверяются с данными из файлов CHKLIST.MS. Если обнаруживается несовпадение, антивирус отображает предупреждающее сообщение

Create Checksums on Floppy

Если включен этот переключатель и переключатель, "Create New Checksums", тогда во время проверки файлов, расположенных на дискете, в каждом каталоге создается файл CHKLIST.MS

Disable Alarm Sound

Отключаются все звуковые сигналы

Create Backup

Перед восстановлением зараженных файлов создаются резервные копии инфицированных файлов. Файлы резервных копий создаются с расширением VIR

Create Report

Создавать файл отчета, содержащий информацию о результатах проверки диска. Файл создается в корневом каталоге проверяемого диска и имеет имя MSAV.RPT

Prompt While Detect

Если переключатель находится во включенном положении, то при обнаружении вируса или несоответствия информации, записанной в файле CHKLIST.MS, с параметрами проверяемых файлов дальнейшая проверка прерывается и на экране отображается предупреждающее сообщение "Virus Found" или "Verify Error" соответственно

Anti-Stealth

Выполняется проверка на наличие активных стелс-вирусов, маскирующихся на уровне операционной системы

Check All Files

Переключатель позволяет выполнить проверку всех файлов, расположенных на диске

 

Если вы постоянно работаете в среде Microsoft Windows, тогда вам лучше использовать для проверки компьютера Microsoft Anti-Virus for Windows.

 

Для проверки компьютера на наличие вирусов и восстановления пораженных файлов и системных областей можно воспользоваться приложением Microsoft Anti-Virus.

 

Чтобы запустить Microsoft Anti-Virus, переключитесь в Windows на приложение Program Manager. Затем установите указатель мыши на пиктограмму приложения Microsoft Anti-Virus, расположенную в группе Microsoft Tools, и сделайте двойной щелчок левой кнопкой мыши.

Если группа Microsoft Tools отсутствует, тогда запустите файл MWAV.EXE, он должен находится в каталоге DOS. На экране появится главное окно "Microsoft Anti-Virus" (рис. 3.16).

Рис. 3.16. Приложение Microsoft Anti-Virus

В группе Drivers отображаются пиктограммы всех дисковых устройств, к которым имеет доступ операционная система - накопители на гибких и жестких магнитных дисках, а также, если компьютер подключен к локальной сети, сетевые диски.

Выберите диски, которые надо проверить на наличие вирусов. Для этого достаточно последовательно щелкнуть указателем мыши по изображениям соответствующих устройств. Их названия выделяются цветом, после чего выполняется предварительный сбор информации об устройстве.

Информация о выбранных устройствах отображается в группе Status. В поле Selected выводится количество выбранных устройств Drivers, количество каталогов Directories и общее количество файлов на выделенных устройствах Files.

Чтобы начать проверку выбранных дисков, нажмите кнопку Detect. Если вирусы обнаружены и их надо удалить, нажмите кнопку Detect and Clean. Вы можете задавать различные режимы проверки компьютера. Для этого выберите в меню Options строку Set Options. На экране появится диалоговая панель Options (рис. 3.17).

Рис. 3.17. Диалоговая панель "Options"

В этой диалоговой панели расположены девять переключателей, управляющих приложением Microsoft Anti-Virus for Windows. Переключатели и их назначение практически полностью соответствует переключателям, управляющим антивирусом Microsoft Anti-Virus. Добавлен только один переключатель Wipe Deleted Files. После его включения антивирус будет применять специальные приемы для удаления с диска файлов, зараженных вирусами. Восстановление таких файлов с помощью приложений, аналогичных Microsoft Undelete, будет невозможно.

Резидентный монитор VSafe

В состав Microsoft Anti-Virus входит резидентный монитор VSafe, позволяющий постоянно контролировать работу компьютера. После загрузки, он будет сообщать пользователю о любых подозрительных действиях программ, которые могут быть вызваны работой вирусов.

Запуск VSafe желательно выполнять в момент загрузки компьютера, поместив его вызов в конце конфигурационного файла AUTOEXEC.BAT, перед запуском командных оболочек типа Norton Commander или операционной системы Windows:

VSAFE.COM

Программе VSafe можно указать несколько параметров, устанавливающих режим его работы. Однако вместо этого есть возможность вызова специальной диалоговой панели, в которой выполняются все настройки программы. Если вы работаете в среде DOS, то для этого надо нажать комбинацию клавиш <Alt + V>. На экране откроется диалоговая панель, показанная на рисунке 3.18.

Рис. 3.18. Диалоговая панель VSafe Warning Options

В этой панели расположен ряд переключателей, управляющих работой монитора. Устанавливая те или иные переключатели, вы определяете какие операции будут контролироваться. Чтобы установить переключатель или сбросить его, надо нажать соответствующую цифровую клавишу. Например, чтобы изменить положение переключателя Resident надо нажать клавишу <2>.

 

Переключатель

Назначение

HD Low level format

Некоторые вирусы и троянские программы форматируют жесткие диски компьютера. Если переключатель установлен, то попытка отформатировать жесткий диск будет перехвачена и пользователь получит предупреждающее сообщение

Resident

Выдается предупреждение при попытке программы остаться резидентной в памяти компьютера

General write protect

Предупреждение выдается при любой попытке программы выполнить запись на диск

Check executable files

Проверяет целостность выполнимых файлов в момент их запуска. Сравнивается размер, дата создания и атрибуты файла запускаемого файла с информацией, записанной в файле CHKLIST.MS. Когда вы запустите зараженный файл, на экране появится предупреждение и вы сможете заняться лечением этого файла

Boot sector viruses

Устанавливается защита против вирусов, распространяющихся через загрузочный сектор

Protect HD boot sector

Сообщение выдается при попытке записи в загрузочный сектор или таблицу разделов жесткого диска. Изменения в загрузочный сектор и таблицу разделов жесткого диска, как правило, вносят вирусы

Protect FD boot sector

Выдается сообщение при попытке записи в загрузочный сектор дискеты (гибкого диска). Изменения в загрузочном секторе дискеты, как правило, вносят вирусы, которые уже находятся на компьютере

Protect executable files

Выдается предупреждение при попытке изменить выполнимые файлы. Как правило, при нормальной работе операционной системы изменения в выполнимые файлы не вносятся. Такие изменения могут служить сигналом, что данный файл заражен

 

Когда вы закончите установку переключателей, закройте панель VSafe Warning Options, нажав клавишу <Esc>. После перезагрузки компьютера положение переключателей восстановится.

Чтобы каждый раз при загрузке компьютера не менять положение переключателей, их положение можно задавать в командной строке VSafe. Сначала надо указать префикс параметра - символ слеша, затем номер переключателя и символ + или -, в зависимости от того надо включить или выключить переключатель.

Например, чтобы включить контроль за резидентными программами и включить проверку загрузочных секторов, измените вызов VSafe следующим образом:

VSAFE.COM /2+ /6-

Обнаружив, что какая-либо программа пытается нарушить установленную защиту, монитор VSafe немедленно сообщает об этом пользователю. На рисунке 3.19 представлено сообщение монитора о том, что файл MODE.COM изменен. Сообщение появляется в момент запуска файла. Такое изменение часто является результатом заражения программы файловым вирусом. Монитор VSafe позволяет предотвратить нарушение защиты, нажав кнопку Stop. В этом случае программа MODE.COM не будет запущена.

Рис. 3.19. Сообщение монитора VSafe

Если вы работаете в среде операционной системы Windows, вы также можете использовать монитор VSafe. Для этого надо запустить программу VSafe Manager for Windows.

 

Выполнимый файл VSafe Manager for Windows называется MWAVTSR.EXE и расположен в каталоге MS-DOS. Чтобы приложение VSafe Manager for Windows автоматически запускалось при каждом старте Windows, добавьте его в группу StartUp приложения Program Manager

 

При запуске приложения VSafe Manager for Windows на экране появляется окно приложения, показанное на рисунке 3.20.

Рис. 3.20. Диалоговая панель Vsafe Manager

Нажмите кнопку Options. Появляется диалоговая панель Vsafe Options (рис. 3.21). В ней расположен ряд переключателей, управляющих работой приложения. Они соответствуют переключателям резидентного монитора VSafe, описанным выше. Через диалоговую панель Vsafe Options можно полностью управлять резидентным монитором VSafe.

Рис. 3.21. Диалоговая панель Vsafe Options

Чтобы при последующих запусках Windows на экране не появлялась диалоговая панель Vsafe Manager, откройте в приложении Program Manager окно группы StartUp и щелкните один раз по пиктограмме Vsafe Manager. Затем нажмите комбинацию клавиш <Alt + Enter>. На экране появится панель Program Item Properties. Установите переключатель Run Minimized. Теперь при загрузке Windows приложение Vsafe Manager будет запускаться в виде пиктограммы.

К сожалению, резидентный монитор VSafe обманется некоторыми вирусами. Так вирус AntiC.1000, заражающий выполнимые файлы, может обнаружить в оперативной памяти резидентный монитор VSafe. В этом случае он выводит небольшой текст - "И даже VSafe тебе не поможет...". Чтобы антивирус не смог обнаружить факт заражения, вирус удаляет с диска файлы, имеющие расширение *.MS. В этих файлах хранится информация  о контролируемых файлах и если она будет удалена, Microsoft Anti-Virus не сможет обнаружить в них изменения.

Чтобы отключить резидентный монитор, удалите пиктограмму Vsafe Manager из группы StartUp и удалите вызов программы VSAFE.COM из файла AUTOEXEC.BAT.

Антивирус Microsoft Anti-Virus позволяет удалить только известные вирусы, информация о которых есть в его базе данных. Новые вирусы появляются постоянно, поэтому версию антивируса необходимо постоянно обновлять.

К сожалению, Microsoft Anti-Virus не может не только удалить, но даже обнаружить полиморфные вирусы типа OneHalf. Из-за этого защита при помощи одного только антивируса Microsoft Anti-Virus недостаточна и необходимо дополнительно использовать другие средства.

Антивирус Norton AntiVirus for Windows 95

Как вы уже знаете, в дистрибутив операционной системы MS-DOS входит антивирусный пакет Microsoft Anti-Virus. В его составе несколько антивирусных программ для MS-DOS и Windows. Новая операционная система Microsoft Windows 95 не содержит в себе встроенных антивирусных средств. Поэтому мы включили в нашу книгу немного сведений о пакете Norton AntiVirus, предназначенном специально для этой операционной системы.

Так как новые вирусы появляются с завидным постоянством, то необходимо периодически обновлять вирусную базу Norton AntiVirus, содержащую описания известных вирусов. В противном случае при проверке можно пропустить новый вирус, заразивший компьютер.

Некоторые вирусы, созданные в России и не получившие широкого распространения за рубежом, могут не определяться программой Norton AntiVirus. Поэтому мы рекомендуем в первую очередь пользоваться отечественными разработками антивирусных программ

Операционная система Windows 95 имеет много новшеств по сравнению со старыми операционными системами MS-DOS и Windows. В частности, внесены изменения в файловую систему. Теперь пользователь может задавать для файлов длинные имена (до двухсот шестидесяти пяти символов). Некоторые старые программы, разработанные для прежних версий Windows, не работают с длинными именами файлов. Ряд антивирусных программ пользуются низкоуровневым доступом к жесткому диску и также не работают совместно с Windows 95.

Мы не стали описывать процедуру установки Norton AntiVirus for Windows 95, вы сможете найти ее в документации, а уделили основное внимание описанию возможностей этого пакета, его достоинствам и недостаткам.

После установки на компьютере Norton AntiVirus for Windows 95 версии 4.0 создается новая папка Norton AntiVirus, содержащая ряд приложений (рис. 3.22).

Рис. 3.22. Папка Norton AntiVirus

В следующей таблице мы перечислим пиктограммы пакета Norton AntiVirus и приведем их краткие описания.

 

Пиктограмма

Приложение

Некоторые вирусы могут разрушить операционную систему компьютера таким образом, что она перестанет загружаться. Приложение Create Rescue Disk позволяет создать дискету, с которой вы сможете загрузить Windows 95 и восстановить ее работоспособность

Приложение Norton AntiVirus Auto-Protect постоянно работает в фоновом режиме и проверяет все запускаемые программы на заражение известными вирусами. Кроме того, Norton AntiVirus Auto-Protect позволяет отслеживать все подозрительные действия и предупреждать о них пользователя

Основное приложение пакета Norton AntiVirus. Выполняет поиск вирусов в компьютере. Приложение Norton AntiVirus позволяет выбрать режим проверки компьютера, просмотреть информацию об известных вирусах, просмотреть журнал, содержащий информацию о предыдущих проверках компьютера

Приложение Norton Program Scheduler позволяет выполнять запуск Norton AntiVirus в автоматическом режиме. Например, вы можете указать время когда Scheduler должен запустить антивирус для проверки всех файлов на диске. Вместо Norton Program Scheduler вы можете воспользоваться приложением System Agent, входящим в состав Microsoft Plus! For Windows 95

Приложение Uninstall Norton AntiVirus позволяет отключить антивирусную защиту и удалить все файлы пакета с жесткого диска компьютера. Отключение антивирусной защиты увеличивает шансы вирусов заразить компьютер, поэтому если вы отказались от использования Norton AntiVirus, мы рекомендуем вам попробовать другие антивирусные программы, например, антивирусный комплект АО “ДиалогНаука”

 

Антивирус Norton AntiVirus

Запустите приложение Norton AntiVirus. На экране откроется главное окно Norton AntiVirus (рис. 3.23). В верхней части окна, под главным меню, расположен ряд кнопок, позволяющих настроить режим работы приложения, просмотреть информацию об известных вирусах, установить программу автоматического запуска Norton Program Scheduler и просмотреть журнал предыдущих проверок компьютера.

В средней части окна расположены две группы переключателей, при помощи которых можно выбрать проверяемые диски. В группе переключателей, расположенной слева, перечислены имена всех дисков компьютера и их метки (если такие есть). Чтобы проверить диск, необходимо включить переключатель, расположенный около него. Вы можете выбрать любую комбинацию проверяемых дисков, например, A:, C:, F: или C:, D:, E: и G:.

Вы можете указать не только отдельные имена проверяемых дисков, но и целые группы. Группа переключателей Drive types позволяет указать, что проверке подлежат все дисководы для гибких дисков, все жесткие диски и все сетевые диски. Вы можете проверить не только жесткие диски компьютера, но также все сетевые диски, к которым ваш компьютер имеет доступ и компакт-диски.

Рис. 3.23. Главное окно приложения Norton AntiVirus

С правой стороны окна Norton AntiVirus расположены три кнопки - Scan Now, Exit и Help. Они позволяют начать проверку компьютера, завершить приложение Norton AntiVirus, а также получить справочную информацию.

Чтобы начать проверку выбранных дисков, нажмите кнопку Scan Now. Антивирус выполнит проверку оперативной памяти и загрузочных секторов. Затем будут проверены основные файлы операционной системы. Если никаких нарушений не будет обнаружено, начинается проверка дисков (рис. 3.24).

Рис. 3.24. Проверка диска C:

Ход проверки компьютера зависит от того, как настроен Norton AntiVirus. Зараженные файлы могут обрабатываться в автоматическом режиме или вручную. Более подробно о настройке Norton AntiVirus можно прочитать в следующей главе.

По итогам работы антивирусной скорой помощи АО “ДиалогНаука” можно сказать, что в 1995 году наибольшее распространение получил вирус OneHalf. Это крайне опасный, полиморфный стелс-вирус, который постепенно шифрует информацию, записанную на жестком диске компьютера. Старая версия Norton AntiVirus for Windows 95 умеет обнаруживать присутствие этого вируса, но удалить его не позволяет. Тем, кто обнаружит его на своих компьютерах, предлагается обратиться в службу технической поддержки фирмы Symantec. Антивирусная программа Doctor Web позволяет в автоматическом режиме удалить вирус OneHalf и расшифровать жесткий диск компьютера без привлечения специалистов

Для более опытных пользователей рекомендуется ручная обработка. В этом случае антивирус позволяет самому пользователю решать, что делать с обнаруженным вирусом (рис. 3.25) - удалить вирус, удалить сам зараженный файл или оставить файл без обработки. Вы можете просмотреть информацию о пойманном вирусе, нажав кнопку Info.

Рис. 3.25. Список обнаруженных вирусов

После того как вы обработаете все вирусы или нажмете кнопку Done, на экране появится диалоговая панель, содержащая статистические данные о проверке компьютера. Закрыв эту панель, вы вернетесь в главное окно программы.

Вирус Beer. 2794

Опасный резидентный шифрованный вирус, заражает выполнимые файлы в формате COM и EXE. Уничтожает файлы DISKDATA.DTL, VIRUSES.INF, DIRINFO, -V.MSG или A-DINF-_.___. Иногда проигрывает мелодию и выводит текст "Сейчас бы пивка"

Настройка режимов поиска вирусов

Перед тем как приступить к поиску вирусов на компьютере, следует настроить Norton AntiVirus. Для этого вы можете нажать кнопку Options или выбрать из меню Tools строку Options. На экране появится блокнот Options, содержащий несколько страничек - диалоговых панелей (рис. 3.26). Для выбора страницы следует нажать указателем мыши на закладки, расположенные в верхней части окна.

Сейчас мы дадим основные рекомендации по настройке всех режимов Norton AntiVirus.

Первая страница блокнота настроек, которую мы рассмотрим, называется Scanner (рис. 3.26). Она задает все основные параметры работы антивируса в режиме ручной проверки компьютера. Самая главная группа переключателей What to scan определяет, где приложение будет искать вирусы. От того, насколько правильно вы установите эти переключатели, зависит эффективность проверки компьютера.

Первый переключатель Memory управляет поиском вирусов в оперативной памяти и позволяет обнаружить активные вирусы.

Переключатель Master boot record управляет поиском вирусов в главном загрузочном секторе жестких дисков компьютера. Желательно выполнять эту проверку всегда, так как главный загрузочный сектор - излюбленное место для вирусов.

Следующий переключатель Boot record включает поиск вирусов в загрузочных секторах жестких дисков и дискет. Имеет смысл установить этот переключатель, также как переключатель Master boot record, потому, что они оба отвечают за поиск загрузочных вирусов. Вы обязательно должны включить переключатель Boot record при поиске вирусов на дискетах.

Переключатель Within compressed files задает режим поиска внутри файлов архивов. Обычно такая проверка бывает полезна, так как вирусы могут попасть в архив во время его создания, когда вы записываете в него зараженный файл. Существуют вирусы, которые могут записать новый файл с вирусом в архив, и можно представить себе вирус, способный заразить файлы внутри архива.

В группе What to scan также расположен переключатель с зависимой фиксацией, который позволяет выбрать файлы для проверки. Вы можете задать проверку всех файлов на выбранных дисках или только файлов, имеющих определенные расширения. Чтобы проверить все файлы, этот переключатель надо перевести в положение All files. Если вам надо проверить только выполнимые файлы, переведите переключатель в положение Program files. По умолчанию будут проверены все файлы, имеющее расширения COM, EXE, OV?, SYS, DRV, APP, CMD, PGM, PRG, DLL и 386, но вы можете изменить этот список произвольным образом.

Рис. 3.26. Страница Scanner Setting

Если во время проверки компьютера Norton AntiVirus обнаружит вирус, он может выполнить различные действия, от сообщения пользователю до остановки компьютера. Для того чтобы определить поведение Norton AntiVirus при обнаружении вируса, предназначена группа How to respond.

Список When a virus is found содержит перечень возможных вариантов:

 

Строка из списка

Действие Norton AntiVirus при обнаружении вируса

Prompt

На экране появляется приглашение. Пользователю разрешается самостоятельно решить судьбу зараженного файла. Этот режим предполагает, что пользователь хорошо разбирается в программном обеспечении компьютера и в состоянии решить что делать с зараженным файлом или загрузочным сектором

Notify Only

Выводится сообщение об обнаружении вируса. Сам вирус не удаляется. В этом случае пользователь должен либо удалить зараженный файл самостоятельно, либо вылечить его, запустив Norton AntiVirus в другом режиме

Repair Automatically

В этом режиме все обнаруженные вирусы будут автоматически удаляться. К сожалению, не во всех случаях такое лечение будет успешным. Некоторые вирусы так заражают файлы, что они не подлежат лечению и должны быть восстановлены с резервной копии или с дистрибутива

Delete Automatically

Это очень опасный режим, в котором обнаруженный вирус будет удален вместе с зараженным файлом. Следует иметь в виду, что после удаления большинства файлов программное обеспечение компьютера скорее всего перестанет работать и вам может потребоваться устанавливать его заново

Shutdown Computer

Компьютер немедленно отключается. Этот режим можно использовать, если компьютер обслуживается специалистами, которых можно вызвать в случае вирусной атаки. Немедленное отключение компьютера, зараженного вирусами, и вызов специалиста во многих случаях позволят сохранить информацию, записанную в нем

 

Если вы выбрали строку Prompt, то при обнаружении вируса на экране появится диалоговая панель с кнопками, указывающими, что делать с зараженным файлом. Таких кнопок четыре: Repair - восстановить файл, удалив вирус, Delete - удалить зараженный файл, Continue - продолжить проверку компьютера и ни чего не делать с обнаруженным вирусом, Exclude - исключить файл из всех последующих проверок компьютера. Некоторые кнопки из перечисленных выше можно заблокировать, для этого следует выключить соответствующий переключатель в группе Buttons to display if prompted.

Некоторые дополнительные параметры режима проверки компьютера задаются в диалоговой панели Scanner Advanced Setting (рис. 3.27). Чтобы ее открыть, нажмите кнопку Advanced.

Рис. 3.27. Диалоговая панель Scanner Advanced Setting

Диалоговая панель Options - Startup Settings определяет, как будет проверяться компьютер при загрузке операционной системы (рис. 3.28). Ряд переключателей, объединенных в группу What to scan, указывают антивирусу, что конкретно он должен проверять.

 

Переключатель

Описание и рекомендации по использованию

Memory

Позволяет проверить, нет ли активных вирусов в оперативной памяти компьютера

Master boot record

Выполняет поиск загрузочных вирусов в главной загрузочной записи жесткого диска компьютера

Boot record

Проверяет загрузочные секторы в поисках загрузочных вирусов

System files

Проверяет основные файлы операционной системы

Programs run from AUTOEXEC.BAT

Выполняет поиск файловых вирусов в программах, запускаемых при загрузке компьютера из файла AUTOEXEC.BAT

 

Для повышения степени защиты компьютера вы можете установить все перечисленные в таблице переключатели, но время загрузки компьютера несколько увеличиться. Если проверка компьютера при его загрузке будет выполняться слишком долго, ее можно прервать нажав комбинацию клавиш, установленную переключателем Bypass keys.

Рис. 3.28. Диалоговая панель Options - Startup Settings

Когда Norton AntiVirus обнаружит вирус, он может вывести для пользователя предупреждающее сообщение. Вы имеете возможность задать его сами. Для этого выберите диалоговую панель Options - Alerts Settings (рис. 3.29). Включите переключатель Display alert message и наберите текст сообщения в окне редактора, расположенном под этим переключателем. Дополнительно можно установить подачу звукового сигнала, включив переключатель Sound audible alert.

Рис. 3.29. Диалоговая панель Options - Alerts Settings

Если вы проверяете компьютер на наличие вирусов во время своего отсутствия, вы можете захотеть, чтобы предупреждающее сообщение отображалось на экране не дольше заданного времени. Поэтому установите переключатель Remove alert dialog after и укажите промежуток времени в секундах.

К сожалению, не всегда попытка лечения файла оказывается успешной. Иногда после удаления вируса вылеченная программа оказывается неработоспособной. Поэтому перед восстановлением файла обычно делают резервную копию. Если вылеченная программа оказывается неработоспособной, ее восстанавливают с резервной копией. Вирус в этом случае остается нетронутым.

Большинство антивирусных программ, в том числе и Norton AntiVirus, позволяет автоматически создавать резервные копии файлов программ перед их лечением. Вы можете управлять этой возможностью. Выберите диалоговую панель Options - General Settings (рис. 3.30).

Чтобы разрешить создание резервных копий, включите переключатель Back up file before attempting a repair, и введите расширение, которое будет присваиваться файлам копий. По умолчанию используется расширение VIR.

Таким образом, резервным копиям выполнимых файлов COM и EXE присваивается одинаковое расширение VIR. Отличить их можно просмотрев несколько первых символов из этих файлов. Выполнимые файлы программ в формате EXE начинаются символами MZ или ZM.

Рис. 3.30. Диалоговая панель Options - General Settings

В диалоговой панели Options - General Settings находится еще один переключатель Scan high memory when scanning memory. Он отвечает за проверку верхней области памяти во время теста оперативной памяти компьютера. Для повышения надежности защиты включите этот переключатель.

Антивирус Norton AntiVirus выполняет функции ревизора диска. Он позволяет записать необходимую информацию о загрузочных секторах и выполнимых файлах, а затем сверять ее. Если будет обнаружено совпадение, вероятнее всего загрузочный сектор или файл подверглись нападению вируса.

По умолчанию Norton AntiVirus записывает информацию только о загрузочных секторах и основных файлах операционной системы, но вы можете расширить этот список, выбрав диалоговую панель Options - Inoculation Settings (рис. 3.31). Для этого включите переключатель Inoculate program files.

Рис. 3.31. Диалоговая панель Options - Inoculation Settings

Иногда требуется исключить ряд файлов из проверки на вирусы. Примером такого файла могут служить некоторые выполнимые файлы антивирусных программ, содержащие сигнатуры известных вирусов. Список таких файлов вы можете поддерживать, вызвав на экран диалоговую панель Options - Exclusions List Setting (рис. 3.32).

Рис. 3.32. Диалоговая панель Options - Exclusions List Setting

Вы можете добавлять новые имена файлов в список, изменять их и удалять из списка с помощью кнопок New, Edit и Remove.

Во время проверки компьютера Norton AntiVirus ведет журнал регистрации, в который записывает все основные события, такие как обнаружение вируса и т. д. Вы можете управлять ведением этого журнала через диалоговую панель Activity Log Settings (рис. 3.33).

Рис. 3.33. Диалоговая панель Options - Activity Log Settings

Переключатели, расположенные в группе Log following events, определяют события, которые будут занесены в файл журнала. В группе Limit log file size можно указать максимальный размер файла журнала, а список Activity log filename - выбрать имя для файла журнала.

Впоследствии вы сможете просмотреть файл журнала, нажав кнопку Activity Log в главном окне приложения (рис. 3.33).

Автоматическая защита компьютера

В состав комплекта Norton AntiVirus for Windows 95 входит приложение Norton AntiVirus Auto-Protect. Будучи запущенным, это приложение постоянно работает в фоновом режиме, контролируя работу компьютера.

После запуска Norton AntiVirus Auto-Protect в нижней части экрана появляется небольшая пиктограмма, изображающая монитор с осциллограммой (см. правую пиктограмму на рис. 3.34). Эта пиктограмма означает, что компьютер находится под защитой.

Рис. 3.34. Папка Norton AntiVirus Auto-Protect

Вы можете временно отключить Norton AntiVirus Auto-Protect и настроить режим его работы. Для этого сделайте двойной щелчок мышью по пиктограмме AntiVirus Auto-Protect. На экране появится диалоговая панель управления приложением (рис. 3.35), содержащая три кнопки. Кнопка Minimaze позволяет закрыть эту диалоговую панель.

Рис. 3.35. Диалоговая панель Norton AntiVirus Auto-Protect

Чтобы временно отключить защиту компьютера с помощью Norton AntiVirus Auto-Protect, нажмите кнопку Disable. Защита будет отключена, а в нижней части экрана пиктограмма Norton AntiVirus Auto-Protect изменит свой внешний вид (рис. 3.36). Чтобы снова включить защиту, опять щелкните два раза мышью по перечеркнутой пиктограмме и в открывшейся диалоговой панели нажмите кнопку Enable.

Рис. 3.36. Папка Norton AntiVirus Auto-Protect

Norton AntiVirus Auto-Protect постоянно работает в фоновом режиме и проверяет все запускаемые программы на заражение известными вирусами. Кроме того, Norton AntiVirus Auto-Protect позволяет отслеживать все подозрительные действия и предупреждать о них пользователя

Кнопка Configure служит для настройки автоматической защиты от вирусов. После того как вы на нее нажмете, на экране появится диалоговая панель Options - Auto-Protect Settings (рис. 3.37).

Рис. 3.37. Диалоговая панель Options - Auto-Protect Settings

Эта диалоговая панель почти соответствует уже рассмотренной нами панели основного приложения Norton AntiVirus (рис. 3.26). Она содержит описанные нами ранее две группы переключателей - Scan a file when и How to respond. Поэтому сейчас мы расскажем о дополнительных особенностях этой панели.

В первую очередь это переключатель Load Auto-Protect at startup. Если включить его, тогда Norton AntiVirus Auto-Protect будет автоматически запускаться каждый раз при загрузке компьютера.

Переключатель Auto-protect can be disabled позволяет заблокировать возможность временного отключения защиты. Для этого переключатель должен быть выключен. Вы можете воспользоваться этой возможностью, если на компьютере работают начинающие пользователи. Лучше всего использовать этот переключатель вместе с переключателем Show icon on task bar, который позволяет не отображать пиктограмму приложения в нижней части экрана.

Интересной особенностью приложения Norton AntiVirus Auto-Protect является то, что оно позволяет обнаруживать в выполнимых файлах не только известные, но также неизвестные вирусы. Для этого применяется специальная технология, которая называется Sensor technology. Нажмите кнопку Sensor. На экране появится диалоговая панель Auto-Protect Virus Sensor Settings (рис. 3.38).

Рис. 3.38. Диалоговая панель Auto-Protect Virus Sensor Settings

Чтобы включить режим поиска неизвестных вирусов, установите переключатель Use virus sensor technology. Список When an unknown virus is found и группа переключателей Buttons to display if prompted, определяют реакцию антивируса в случае обнаружения неизвестного вируса.

Кроме проверки запускаемых файлов Norton AntiVirus Auto-Protect выполняет все функции обычного резидентного монитора. Он отслеживает все действия, которые могут стать причиной разрушения программного обеспечения компьютера и хранимых в нем данных, сообщая о них пользователю. Вы можете установить, в каких случаях Norton AntiVirus Auto-Protect будет сообщать вам о “нападении вирусов”. Для этого нажмите кнопку Advanced в диалоговой панели Options - Auto-Protect Settings. Откроется новая диалоговая панель Auto-Protect Advanced Settings (рис. 3.39).

Рис. 3.39. Диалоговая панель Auto-Protect Advanced Settings

В группе Virus-like activity monitors перечислены ситуации, которые отслеживает приложение. Для каждой ситуации вы можете выбрать реакцию приложения Prompt - разрешить пользователю самому решить, выполнять ли данную операцию, Allow - разрешить выполнение операции, Don’t Allow - запретить выполнение операции.

Вот список таких ситуаций с краткими описаниями и рекомендациями.

 

Переключатель

Описание и рекомендации

Low-level format of hard disk

Низкоуровневое форматирование жесткого диска. Очень опасная операция. Вызывает полную потерю всех данных на диске. Если монитор обнаружил попытку выполнить форматирование жесткого диска, практически наверняка компьютер заражен вирусом, троянской программой или логической бомбой. Вы должны отменить операцию форматирования и немедленно проверить компьютер на наличие вирусов

Write to hard disk boot record

Запись данных в загрузочные секторы жесткого диска. Обычно такая операция выполняется загрузочными вирусами при заражении жестких дисков компьютера. Однако изменение загрузочных секторов может быть вызвано значительно более прозаической причиной. Загрузочные секторы изменяются, когда вы изменяете метку диска командой LABEL и устанавливаете новую версию операционной системы. Если монитор сообщит о попытке изменения загрузочных секторов, вы должны самостоятельно проанализировать ситуацию и решить, не вызвано ли такое изменение вашими действиями. В случае если вы не форматировали диски, не меняли метку диска, не устанавливали новую версию операционной системы, то возможно компьютер заражен вирусом. Тогда отмените операцию записи загрузочного сектора и проверьте компьютер на наличие вирусов

Write to floppy disk boot record

Запись данных в загрузочные секторы дискеты. Обычно такая операция выполняется загрузочными вирусами при заражении дискеты. В тоже время изменение загрузочного сектора может быть вызвано форматированием дискеты, изменением ее метки, командой LABEL, записью на нее операционной системы командой SYS. Если монитор сообщит о попытке изменения загрузочного сектора дискеты, проанализируйте ситуацию и решите, не вызвано ли такое изменение вашими действиями. При необходимости проверьте компьютер на заражение вирусами

Write to program files

Запись данных в выполнимый файл. Эту операцию выполняет большинство файловых вирусов, заражая свои новые жертвы. Тем не менее, выполнение записи в выполнимый файл не может однозначно говорить о том, что компьютер заражен вирусом. Некоторые программы записывают в свой выполнимый файл различную информацию, например, свою конфигурацию. Если монитор сообщит о попытке изменения выполнимого файла, обратите внимание на файл в который выполняется запись. Если вы уверены, что это неизменяемый файл, скорее всего, компьютер заражен вирусом

Read-only attribute change

Изменение атрибута файла. Некоторые вирусы, заражая выполнимые файлы, предварительно снимают с них атрибут “только читаемый файл”. Это может сигнализировать о вирусной атаке. Атрибуты файла могут меняться не только вирусами. Например, популярная программа Norton Commander позволяет устанавливать атрибуты файлов произвольным образом

 

Приложение Norton AntiVirus Auto-Protect имеет те же недостатки, что и остальные резидентные мониторы. Оно отнимает время на проверку программ во время их запуска, занимает ресурсы компьютера. Монитор может надоесть вам, постоянно сообщая об изменении выполнимых файлов и т. д. Мы рекомендуем пользоваться защитой Norton AntiVirus Auto-Protect во время запуска подозрительных или просто новых программ неизвестного происхождения.

Вирус Gloomy.2725

Заражает выполнимые файлы в формате COM и EXE, резидентный. При каждом шестнадцатом запуске программы портит случайный сектор. Удаляет с диска файлы с именами "*.MS" и "*.?AS". Заменяет главную загрузочную запись на программу, которая после 511 загрузок компьютера форматирует диск. Содержит тексты "Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!" и "Only the Hope dies last!".

 

Если на вашем компьютере установлена операционная система Windows 95, вы можете использовать монитор Norton AntiVirus Auto-Protect при запуске новых программ, а в качестве основных антивирусных программ пользоваться комплектом АО “ДиалогНаука”.

Антивирус для OS/2 - IBM AntiVirus/2

Малое количество вирусов, специально созданных для OS/2, не означает что компьютеры с этой операционной системой находятся в безопасности. Так как программы, разработанные для MS-DOS, могут работать в среде OS/2, то обычные вирусы MS-DOS все еще представляют опасность для компьютера, а также для установленного в нем программного обеспечения и, самое главное, опасность для данных пользователя.

В принципе для защиты от вирусов компьютера с установленной на нем операционной системой OS/2 можно применять обычные антивирусные средства, разработанные для операционной системы DOS. Однако в некоторых случаях это программное обеспечение не сможет нормально функционировать. Одной из причин служат отличия файловой системы OS/2. Если на жестких дисках компьютера имеются разделы OS/2 в формате высокопроизводительной файловой системы HPFS, не совместимой с FAT, то антивирусные программы DOS не смогут с ней работать.

 

Чтобы защитить компьютеры пользователей OS/2 от вирусов, фирма IBM выпустила в свет антивирус IBM AntiVirus/2, специально предназначенный для этой операционной системы.

 

Главное окно антивирусной программы IBM AntiVirus/2 представлено на рисунке 3.40. Как видите, интерфейс антивируса позволяет максимально упростить процедуру проверки компьютера. Для этого достаточно просто нажать кнопку Push here. Простота IBM AntiVirus/2 несомненно относится к достоинствам этого антивируса. Даже пользователь, имеющий поверхностные знания о вирусах, сможет успешно с ним работать.

Рис. 3.40. Главное окно IBM AntiVirus/2

После запуска антивирус начнет последовательно просматривать файлы на жестком диске компьютера. Если будут обнаружены вирусы, на экране появится диалоговая панель с предложением удалить их (рис. 3.41). Пользователю предлагается несколько вариантов. Он может удалить вирус, восстановив зараженный файл или загрузочный сектор. Для этого следует выбрать из списка зараженные файлы, подлежащие восстановлению и нажать кнопку Disinfect.

Зараженные загрузочные секторы могут быть восстановлены, даже если из них невозможно удалить вирус. При этом зараженный загрузочный сектор заменяется программой IBM AntiVirus/2. Чтобы выполнить замену, нажмите кнопку Replace.

И наконец, зараженный вирусом файл можно удалить, воспользовавшись кнопкой Erase. Файлы, удаленные программой IBM AntiVirus/2, невозможно восстановить даже с помощью специальных программ, поэтому пользуйтесь этой операцией с большой осторожностью. Удаляя зараженный файл, надо иметь в виду, что возможно после этого программное обеспечение компьютера перестанет нормально работать и его придется переустанавливать с дистрибутивов или резервных копий. Проверяйте резервные копии программного обеспечения на заражение вирусами. В противном случае они могут быть испорчены.

Любой из перечисленных способов удаления вируса предпочтительнее работы на компьютере, зараженном вирусом. Никак не проявляя себя внешне, вирус может планомерно уничтожать данные, записанные на диске

Чтобы отложить лечение зараженных файлов, достаточно нажать кнопку Close и диалоговая панель IBM AntiVirus/2 - Virus infection report будет закрыта, а вы вернетесь в главное окно программы.

Рис. 3.41. Обнаружены вирусы

Программа IBM AntiVirus/2 позволяет задавать различные режимы проверки компьютера. Вы сами можете задать, какие диски и какие файлы будут проверяться. Для этого выберите из главного меню приложения Check строку Check system. На экране появится диалоговая панель Check system for viruses (рис. 3.42).

Органы управления группы позволяют указать диски и каталоги, которые должны быть проверены. Рекомендуется проверять все диски компьютера со всеми каталогами. Если компьютер подключен к сети, появляется возможность поиска вирусов на сетевых дисках.

Если компьютер используется в качестве почтовой станции, можно ограничиться проверкой только почтовых каталогов, в которые поступают новые файлы.

 

Рис. 3.42. Диалоговая панель Check system for viruses

Все ли файлы будут проверяться, определяется положением переключателя с зависимой фиксацией, размещенного в группе Files to check. Для ежедневной антивирусной профилактики можно проверять только программные файлы. Чтобы сократить время проверки, установите в группе Look for known viruses in переключатель New/changed files. В этом случае будут проверяться только новые и изменившиеся файлы.

Если вирус обнаружен, то лучше всего проверить все файлы в компьютере, включая файлы внутри архивов. Для этого установите переключатели в группе Look for known viruses in, как это показано на рисунке 3.42.

Так как практически все известные вирусы работают в среде MS-DOS, то контролю за программами, работающими в окне DOS, уделяется наибольшее внимание. Чтобы настроить режим контроля за программами MS-DOS, выберите из меню Setup строку Shield DOS. Откроется диалоговая панель Shield DOS (рис. 3.43).

Рис. 3.43. Диалоговая панель Shield DOS

Основные параметры контроля устанавливаются в группе Features, содержащей несколько переключателей, описанных в следующей таблице:

 

Переключатель

Описание

Prevent common DOS viruses

Проверять заражение известными вирусами

Use expanded memory

Задействовать дополнительную память. Переключатель доступен только в том случае, если включен переключатель Prevent common DOS viruses

Warn when viral activity occurs

Антивирус сообщит пользователю, если вирус проявит активность

Check diskette boot records when used

Автоматическая проверка загрузочных секторов всех используемых дискет. Достаточно удобная функция. Немного замедляет работу с дискетами, зато позволяет обнаружить дискеты, инфицированные загрузочными вирусами

Check files when opened

Включает проверку файлов перед их запуском на выполнение

 

Мы рассказали, как проверить жесткие диски и диски, доступные через локальную сеть. Для проверки дискет нужно воспользоваться меню Check и выбрать из него строку Check diskettes. На экране появится диалоговая панель Check diskettes (рис. 3.44).

Рис. 3.44. Диалоговая панель Check diskettes

Чтобы IBM AntiVirus/2 успешно защищал компьютер от проникновения в него вирусов, необходимо постоянно обновлять вирусные базы данных программы. Это позволит обнаружить новые вирусы, появившиеся с момента выпуска программы. Обновление вирусной базы данных выполняется очень просто. Достаточно выбрать из меню Update строку Update и указать расположение файла с обновлениями вирусной базы данных.

[Назад] [Содержание] [Дальше]