Программа-полифаг AIDSTEST

1. Программа-полифаг AIDSTEST

Aidstest, безусловно, относится к числу наиболее популярных антивирусных программ. Это программа-полифаг, ее версии обновляются, чуть ли не раз в неделю, пополняясь информацией о новых вирусах. Для проверки дисков и лечения зараженных файлов предпочтительнее использовать оригинальную загрузочную дискету, на которой поставляется Aidstest. В этом случае для проверки вашего компьютера необходимо вставить эту дискету в дисковод А: и перезагрузить компьютер. Необходимо применять холодную перезагрузку (нажать кнопку Reset), так как многие вирусы умеют переживать теплую перезагрузку (Ctrl-Alt-Del) и продолжают оставаться в памяти. После загрузки компьютера Aidstest просканирует диски и, если найдет вирусы, спросит разрешения на лечение. Возможен запуск Aidstest и с жесткого диска. Например:

D:\ANTI\Aidstest *.*/f

Чтобы узнать параметры запуска Aidstest, просто запустите его без параметров.

2. Программа-ревизор ADINF

ADinf — это программа-ревизор. ADinf позволяет обнаружить появление любого из существующие вирусов, включая Stealth-вирусы и вирусы-мутанты, а также неизвестные на сегодняшний день вирусы. При установке дополнительного лечащего блока можно удалить до 96% из них. В режиме повседневного контроля ADinf запускается автоматически из файла AUTOEXEC.BAT при первом включении компьютера. ADinf запоминает на диске информацию о файлах, включающую длины файлов, дату и время создания, контрольные суммы файлов и следит за их сохранностью. Особенно отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. К подозрительным вирусоподобным изменениям, например, относятся изменения длины файла или его контрольной суммы без изменения даты и времени создания. Кроме того, ADinf позволяет назначать список файлов, любые изменения в которых относятся к подозрительным. Кроме контроля за целостностью файлов, ADinf следит за дисковыми операциями, появлением сбойных кластеров, за сохранностью загрузочных секторов и др. ADinf проверяет диски, не используя DOS, а читая их по секторам, прямым обращением в BIOS.

В ADinf реализован алгоритм поиска Stealth-вирусов. Stealth-вирус нельзя обнаружить простым просмотром файла. При открытии зараженного файла Stealth-вирус удаляет себя из тела программы, а после закрытия — возвращает себя на место. ADinf обнаруживает Stealth-вирусы, сравнивая информацию о файлах, выдаваемую DOS, с фактической. Несовпадение информации однозначно указывает на вирус.

ADINF CURE MODULE

ADinf Cure Module — это программа, способная вылечить файл от вируса до появления программы-фага. ADinf Cure Module ведет специальные файлы, в которые записывает необходимую для лечения зараженных файлов информацию. Если происходит заражение, ADinf сообщает о нем ADinf Cure Module, a тот пытается провести лечение.

IBM ANTIVIRUS/DOS

Программа IBM AntiVirus/DOS входит в стандартный комплект поставки PC-DOS (файл IBMAVD.EXE). IBM AntiVirus/DOS предотвращает проникновение в компьютерную систему вирусов, а также осуществляет обнаружение и удаление уже имеющихся. IBM AntiVirus/DOS обнаруживает порядка 2300 известных вирусов, а также с помощью «неопределенного сканирования» большое количество вирусов, подобных известным IBM AntiVirus/DOS вирусам. С помощью эвристического анализа обнаруживаются также неизвестные в данный момент вирусы.

Программа может работать в фоновом режиме, обеспечивая постоянную защиту системы. Кроме того, вы можете проверять дискеты и жесткие диски на вирусы, запуская программу вручную.

При выполнении программы IBM AntiVirus/DOS на экране компьютера появляется всплывающее окно «Проверка на вирусы». Полоса индикатора показывает процент выполнения проверки. Кроме того, отображается имя проверяемого в текущий момент файла и путь к нему. Проверку в любой момент можно прервать, нажав кнопку Stop. После окончания проверки отображается окно с информацией о ее результатах. При обнаружении признаков вируса появляется всплывающее окно «Отчет о заражении вирусами».

Гибкая система настроек позволяет определить конкретные каталоги, которые следует проверить, и расширения файлов. Довольно удобное меню с обширной справочной информацией, значительно облегчает пользование системой.

Для проверки вы можете выбрать либо программные файлы, либо все файлы. При выборе режима Программные файлы программа IBM AntiVirus/DOS будет проверять обычные исполняемые файлы на указанных дисках. Такие файлы имеют расширения ВАТ, BIN, CMD, СОМ, DOS, DLL, EXE, OS2, ОV?, PRO и SYS. При выборе режима все файлы программа IBM AntiVirus/DOS будет проверять все файлы на заданных дисках. Главная загрузочная запись и загрузочные записи всех активных разделов на всех заданных локальных жестких дисках, включая загрузочные записи Менеджера загрузки, проверяются на вирусы независимо от выбранного режима. Если по какой-то причине доступ к файлу невозможен, то этот файл пропускается, и проверка продолжается.

Всплывающее окно Автоматическая проверка позволяет конфигурировать IBM AntiVirus/DOS для выполнения автоматической проверки системы.

Вы можете указать программе IBM AntiVirus/DOS, чтобы она проверяла DOS при ее запуске — ежедневно, еженедельно или ежемесячно.

Если при работе в текстовом процессоре Word for Windows вы вдруг обнаружили, что не можете сохранить свой файл, знайте: у вас завелся вирус. На сегодняшний день этим вирусом заражено 90% всех компьютеров. К счастью, добрые люди написали антивирус. Он представляет собой файл с расширением DOC, в котором содержится текст руководства по применению и специальная кнопка. Щелкните ею, и антивирус сделает свое дело.

IBM AntiVirus использует выявление изменений для решения двух задач. Прежде всего, это является отправной точкой для эвристического анализа и обнаружения новых вирусов. Кроме того, это ускоряет выявление новых вирусов. Для инфицирования файлов и загрузочных записей вирусы должны их изменить. Если вчера при проверке файл не был инфицирован и со вчерашнего дня не изменился, то можно сделать вывод, что и сегодня вируса в этом файле нет. При стандартном использовании программы IBM AntiVirus проверяются на уже известные вирусы только изменившиеся и новые файлы. Удостовериться, что файл изменился или что это новый файл, можно гораздо быстрее, чем проверить его на уже известные вирусы. Этот метод ускоряет процесс проверки.

При проверке файлов и загрузочных записей на известные вирусы IBM AntiVirus использует метод, называемый «неопределенное сканирование». Этот метод сканирования, применяемый IBM AntiVirus, предусматривает поиск последовательностей байтов, свидетельствующих о наличии вируса. Именно так работает большинство сканеров. Кроме того, этот метод позволяет выявить последовательности байтов, которые почти (но не полностью) совпадают с искомыми. Неточное соответствие может свидетельствовать о наличии штамма известного вируса, и при отображении отчета о заражении вирусами IBM AntiVirus сообщает, что файл или загрузочная запись могут быть инфицированы. Вам будет предоставлена возможность удаления всех подобных вирусов. Этот способ позволяет программе IBM AntiVirus выявить и правильно идентифицировать целый ряд новых вариантов вируса. Однако при отсутствии дополнительных мер это «неточное совпадение» может привести к ложным сигналам тревоги. IBM AntiVirus обеспечивает высокую надежность идентификации вирусов. Для этого используется усовершенствованный метод устранения ложных сигналов тревоги.

15 февраля 1996 года компания Microsoft объявила, что пользователи Windows 95 должны проявлять осторожность при загрузке на свой компьютер программ из Internet и он-лайновых служб, так как появился первый вирус, заражающий программы для Windows'95. Дискеты также могут служить переносчиком вируса. По данным компании Symantec, вирус имеет австралийское происхождение и поражает 32-разрядные исполняемые файлы. Вирус получил сразу два наименования: Boza и Bizateh. 7 февраля стало известно о втором вирусе для Windows'95, получившем название Chavez.

Функции IBM AntiVirus не ограничиваются выявлением уже известных вирусов. С помощью эвристического анализа эта программа выявляет также и ранее неизвестные вирусы. Она ведет поиск комбинаций изменений в файлах, а также характеристик программ, типичных для больших групп известных вирусов DOS. При выявлении факторов, соответствующих данным критериям, IBM AntiVirus при отображении отчета о заражении вирусами сообщает об этих файлах и загрузочных записях как о «подозрительных». Вам будет предоставлена возможность удаления/перезаписи подобных подозрительных файлов. Если IBM AntiVirus обнаруживает объект, напоминающий какой-либо известный вирус, то проверяется каждый релевантный байт этого вируса. Таким образом определяется, что это действительно именно этот вирус. Эта проверка имеет очень большое значение. Если можно с уверенностью утверждать, что это тот самый вирус, то чаще всего этот файл или загрузочную запись можно достаточно надежно дезинфицировать. Если же оказалось, что это другой вирус, то не исключено, что он изменил файл или загрузочную запись самым неожиданным образом. Попытка его обезвреживания может вызвать повреждение файла или загрузочной записи. IBM AntiVirus не предпринимает попыток дезинфекции, если это может вызвать повреждение файлов или загрузочных записей. Вместо этого программа предоставляет вам возможность удаления/перезаписи инфицированных файлов и загрузочных записей. В тех случаях, когда дезинфекция могла вызвать повреждение файлов, но этого не произошло, IBM AntiVirus отмечает этот факт в файле регистрации, создаваемом в ходе вашего сеанса IBM AntiVirus. Затем вы можете более тщательно обследовать эти программы и определить, надо ли их восстанавливать с резервных копий. Если программа IBM AntiVirus обнаруживает вирус во время начальной выборочной проверки, она может обследовать всю систему. При этом проверяются все (даже неизмененные) файлы на всех локальных жестких дисках и предоставляется возможность уничтожения найденных вирусов.

VIRUSCAN/CLEAN-UP

VIRUSCAN/CLEAN-UP— это пакет антивирусных программ компании McAfee Associates. Программа VIRUSCAN обнаруживает вирусы и передает подробную информацию программе CLEAN-UP, которая осуществляет лечение.

VIRUSCAN обнаруживает около 3000 известных вирусов и их модификаций. VIRUSCAN проверяет partition table жесткого диска (Master Boot Record), DOS Boot Sector, выполняемые файлы, включая системные, и файлы с любыми другими расширениями.

Кроме того, VIRUSCAN обнаруживает неизвестные вирусы. В первую очередь VIRUSCAN проверяет подозрительные изменения, которые произошли с файлами с момента последней проверки. VIRUSCAN хранит информацию о контрольных суммах файлов, размерах и др. Далее VIRUSCAN производит поиск новых классов вирусов, анализируя код файлов на предмет характерных для вирусов операций. VIRUSCAN способен найти и вирус-мутант (шифрующий свой код), используя алгоритмы статистического анализа, эвристического анализа и дизассемблируя код.

Инфицированный файл может быть уничтожен, если VIRUSCAN запущен с ключом /D, либо очищен от вируса программой CLEAN-UP.

Правила выживания для пользователя

- Перед запуском переписанной где-то программы на своем компьютере проверьте ее всеми имеющимися у вас антивирусными программами.

- Если не возникает необходимость что-то записывать на дискету — заблокируйте возможность записи на нее. Если при работе с защищенной дискетой, с которой информация только считывается, на экране появилось сообщение «Write protect error writing drive А:» (Ошибка защиты при записи на диск А:) — ваша машина скорее всего заражена.

- Одалживайте свои программы только на рабочей дискете, а после ее возвращения - безжалостно форматируйте.

- Если вы хотите проверить ваш компьютер на вирусы, загрузитесь с защищенной дискеты, содержащей все необходимые антивирусные программы.

- Регулярно делайте резервные копии ваших файлов.

- Пресекайте все попытки воспользоваться дисководом вашего компьютера.

- Следите за сообщениями о необычных ошибках — они могут свидетельствовать о появлении вируса.

- Используйте только официальные версии антивирусных программ.

- Используйте только лицензионное программное обеспечение.

- Обращайте особое внимание на игровые программы. Они основной разносчик заразы.

Если вы переписали программу с пиратского компакт-диска, гарантии, что она не содержит вируса, нет. Обязательно проверьте ее антивирусной программой.

Краткое описание некоторых часто встречающихся вирусов

Это просто интересная информация. Этот параграф хорошо читать вечером дома за чашкой чая. Почитайте, и возможно, что описанные здесь симптомы напомнят вам что-то из странного поведения вашего компьютера. Или вы организуете партию борьбы с загрязнением компьютерной среды GreenPC. Или поймете, что принципиально нового вируса написать никогда не сможете, а повторять кого-то — бессмысленно.

ВИРУС AIRCOP

Название: Aircop

Классификация: Вирус, поражающий загрузочную запись дискеты

Длина вируса: Загрузочная запись и один дополнительный сектор жесткого диска или дискеты

Поведение: При начальной загрузке с зараженной дискеты вирус помещает себя в память и заражает дискеты, используемые в дальнейшем в дисководах А: и В:. При заражении примерно каждой восьмой дискеты вирус выдает сообщение «RED STATE Germ offensing — Aircop» (по-видимому, это попытка сказать «Боевая готовность, вирусная атака»).

ВИРУС APRIL 1ST СОМ

Название: April 1st СОМ

Синонимы: April 1st, sURIV 1.01

Семейство вирусов: 1813

Классификация: Резидентный вирус, заражающий СОМ-файлы

Длина вируса: Приблизительно 381 байт

Поведение: Когда выполняется зараженная программа, этот вирус загружается в память, и любой запускаемый после этого СОМ-файл становится зараженным. Если текущая дата — 1-е апреля любого года, то при наличии вируса в памяти запуск любой программы вызовет появление сообщения «APRIL 1ST НА НА НА YOU HAVE A VIRUS» и зависание машины. Если текущая дата— после 1 апреля 1988 г., то при запуске любой программы выводится сообщение «YOU HAVE A VIRUS». Так как заражение этим вирусом слишком очевидно, то, вероятно, он является вымершим.

ВИРУС AZUSA

Название: Azusa

Классификация: Бутовый вирус, поражающий дискеты и жесткие диски

Длина вируса: Только загрузочная запись

Поведение: Этот вирус поражает главную загрузочную запись дискеты и жесткого диска. Иногда этот вирус обнуляет таблицы BIOS для СОМ-портов и портов принтера, делая таким образом недоступными принтеры и последовательные порты.

ВИРУС BOUNCING BALL

Название: Bouncing Ball

Синонимы: Bouncing Dot, Italian, Ping-Pong, Vera Cruz

Семейство вирусов: Bouncing Ball

Классификация: Бутовый вирус, поражающий дискеты и жесткие диски

Длина вируса: Приблизительно 975 байтов

Поведение: Этот вирус поражает неглавную загрузочную запись на дискетах и разделах жестких дисков. Иногда после начальной загрузки рисует на экране прыгающую точку.

ВИРУС BRUNSWICK

Название: Brunswick

Классификация: Резидентный бутовый вирус, поражающий главную загрузочную запись дискет и жестких дисков

Длина вируса: Загрузочная запись и один дополнительный сектор жесткого диска или дискеты

Поведение: При загрузке с зараженной дискеты этот вирус поражает первый физический жесткий диск системы. При загрузке с зараженного жесткого диска или дискеты, вирус помещается в память и заражает дискеты, используемые в дальнейшем в дисководах А: и В:. При загрузке с зараженного жесткого диска он иногда помещает в главную загрузочную запись случайные данные, делая таким образом диск незагружаемым. Кроме того, к данным на диске после этого невозможно получить доступ без технического вмешательства. В некоторых системах вирус записывает поверх данных пользователя и, возможно, части таблицы размещения файлов, когда он производит сохранение исходной загрузочной записи в области данных на жестком диске.

Вирус DataCrime II

Название: DataCrime II

Синонимы: 1514, Columbus Day

Семейство вирусов: DataCrime

Классификация: Нерезидентный вирус, заражающий СОМ- и ЕХЕ-файлы IBM DOS

Длина вируса: 1514 байтов в зараженных СОМ-файлах; несколько дополнительных заполняющих байтов в зараженных ЕХЕ-файлах.

Поведение: Этот вирус распространяется среди СОМ- и ЕХЕ-файлов. Если зараженная программа выполняется между 13-м октября и 31-м декабря (включительно) любого года, вирус отображает сообщение «* DATACRIME II VIRUS» и стирает данные с части жесткого диска, делая их таким образом недоступными.

Вирус Keypress

Название: Keypress

Синоним: Turku

Классификация: Резидентный вирус для СОМ- и ЕХЕ-файлов IBM DOS

Длина вируса: Приблизительно 1232 байтов

Поведение: Когда выполняется зараженный файл, вирус помещает себя в память. Если текущая версия DOS — 3.0 или более поздняя, то вирус заражает все файлы, выполняемые в дальнейшем. Если текущая версия DOS — более ранняя, чем 3.0, он заражает все открываемые файлы (за исключением системных) с расширениями СОМ и ЕХЕ. Каждые десять минут вирус вызывает имитирование нажатия клавиш в течение 2 секунд и эффект «залипания» клавиш.

ВИРУС MICHELANGELO

Название: Michelangelo

Классификация: Вирус, поражающий главную загрузочную запись дискет и жестких дисков

Длина вируса: Загрузочная запись и один дополнительный сектор жесткого диска или дискеты

Поведение: При загрузке с дискеты вирус поражает главную загрузочную запись первого жесткого диска (если таковой имеется) и помещает себя в память. При загрузке с зараженного жесткого диска он только помещает себя в память. Пока вирус находится в памяти, используемые в дисководе А: дискеты становятся зараженными. Если текущая дата — 6 марта, то при загрузке с инфицированного диска или дискеты вирус перезаписывает области загрузочного диска, заполняя их случайными данными.

ВИРУС TEQUILA

Название: Tequila

Классификация: Резидентный вирус, инфицирующий файлы ЕХЕ и главную загрузочную запись на жестком диске в системе IBM DOS.

Длина вируса: Приблизительно 2470 байтов

Поведение: При выполнении инфицированного файла поражается главная загрузочная запись на первом же жестком диске. При загрузке системы с инфицированного жесткого диска вирус поселяется в памяти и поражает все выполняемые впоследствии файлы ЕХЕ. Этот вирус отображает на экране монитора набор «Mandelbrot» с низкой разрешающей способностью (округлое цветовое пятно). Этот вирус имеет целый ряд сложных, но, как правило, неинтересных свойств. Например, файлы с определенными именами не заражаются; вирус инфицирует каждый файл немного по-разному, чтобы его труднее было обнаружить и т.д. Однако выявление этого вируса не составляет труда.

ВИРУС VACSINA

Название: VACSINA

Семейство: TPxxVIR вирусов

Классификация: Резидентный вирус, преобразующий файлы ЕХЕ и поражающий файлы СОМ в системе IBM DOS

Длина вируса: Приблизительно 1206 байтов

Поведение: Этот вирус преобразует файлы формата ЕХЕ в формат СОМ, а также инфицирует файлы формата СОМ. Вирус становится резидентным после выполнения первого зараженного файла и преобразует/инфицирует файлы, выполняемые впоследствии. Не исключено, что при инфицировании файлов система будет подавать звуковой сигнал.

Заключение

В современном обществе совокупность знаний и навыков в области вычислительной техники ценится особенно высоко. Чем выше сумма знаний, тем шире круг возможностей и тем больше шансов на успех. Достаточно открыть любую газету с объявлениями о трудоустройстве, чтобы понять, что даже в профессии секретаря-машинистки сегодня необходимо умение работать с ПК и знать программное обеспечение. Для творческой личности компьютер предоставляет неограниченные возможности самосовершенствования. Одно перечисление профессий, в которых могут использоваться компьютерные навыки, грозит превратиться в протяженный список, который никогда не будет полным. Новые компьютерные профессии рождаются ежедневно вместе с новым программным обеспечением. Так, может быть совсем скоро, возникнет профессия компьютерного «доктора», и без людей этой специальности невозможно будет обойтись ни на работе, ни дома.

Список литературы

А.Г. Гейн, А.И. Сенокосов, В.Ф. Шолохович «Информатика 7-9» Москва, «Дрофа» 1999

С. Симонович, Г. Евсеев, А. Алексеев «Windows. Лаборатория мастера» Москва, «АСТпресс» 2000

И. Б. Львов, Г. Г. Казеева, И. А. Морев «ИНФОРМАТИКА» Владивосток, ДВГУ, 1999

4. А. Алексеев «Информатика 2001» Москва, «Дрофа» 2001