Антивірусна програма DrWeb І.Данилова

Програма Doctor Wett (спрощено Dr.WEB) один з кращих в світі антивірусів, розроблених вперше для DOS у 1992 р. російським програмістом Ігорем Даніловим та керованою ним компанією “Діалог-Наука” (Санкт Петербург). В другій половині 90-х розроблено також версії з графічним інтерфейсом для Windows. Від самого початку свого існування по сьогоднішній день програма залишається одним зі лідерів серед антивірусних програм продуктів. Вона неодноразово, отримувала нагороди від Visus Bulettin за 100% виявлення вірусів різних типів.

Dr Web визнаний програмою із найшвидшим алгоритмом роботи серед всіх антивірусів, що беруть участь в тестування Virus Bulettin. Крім цього

Рис.2Антивірусна програма DrWeb І.Данилова

Dr.WEB приваблює користувачів дуже простим і зручним інтерфейсом, невеликими вимогами до ресурсів ПК та простотою у встановлені програми. Програма дозволяє перемикати інтерфейс між англійською, російською та німецькими мовами.

Dr.WEB є поліфагом, що здатний “читати” та лікувати архіви, знешкоджувати завантажувальні та Stelth - віруси. Програма Dr.WEB завжди славилась надзвичайно потужним та своєрідним алгоритмом евристичного аналізу, що дозволяє виявляти і знешкоджувати поліморфні віруси краще за інші антивірусні програми.

Антивірусна програма Norton AntiVirus Остання версія цього продукту перша, яка почала працювати у середовищі операційної системи Windows-95, використовуючи всі її особливості

Рис.3 Антивірусна програма Norton AntiVirus

та можливості. Система Norton AntiVirus пропонує користувачеві чудовий діалоговий режим боротьби з вірусами, в якому передбачений цілий комплекс засобів, зокрема, створення рятувальної (Rescue) дискети. Ця система є одночасно детектором, фагом та ревізором.

Антивірус NOD32

NOD32 - антивірусний пакет, що випускається фірмою Eset. Виник в кінці 1998 року. Назва споконвічно розшифровувалося як Nemocnica na Okraji Disku ("Лікарня на краю диска").

NOD32 - це комплексне антивірусне рішення для захисту в реальному часі від широкого круга погроз. Eset NOD32 забезпечує захист від вірусів, а також від інших загроз, включаючи троянські програми, черв'яки, spyware, adware, phishing-атаки. У рішенні Eset NOD32 використовується патентована технологія ThreatSense В®. Ця технологія призначена для виявлення нових виникаючих погроз в реальному часі шляхом аналізу виконуваних програм на наявність шкідливого коду, що дозволяє попереджати дії авторів шкідливих програм. Дружній інтерфейс Інтерфейс програми легкий і інтуїтивно зрозумілий, настройка не викликає проблем.

Висока продуктивність Ефективне виявлення шкідливих програм не обов'язково повинне уповільнювати роботу комп'ютера. NOD32 здебільшого написаний на мові асемблера і неодноразово вигравав нагороди за найвищу продуктивність серед антивірусних додатків. NOD32 в середньому в 2-5 разів швидше, ніж його конкуренти (джерело: Virus Bulletin).

Малий вплив на системні ресурси NOD32 економить ресурси жорсткого диска і оперативної пам'яті, залишаючи їх для критичних додатків. Установник займає всього 8,6 Мбайт, а додатку потрібно менше 20 Мбайт оперативної пам'яті (це значення може варіюватися із зміною технології виявлення). Оновлення технології ThreatSense, що включають записи евристичної логіки і вірусні сигнатури, зазвичай мають об'єм 20-50 Кбайт.

Простота управління Оновлення програми і вірусної бази даних виконуються автоматично у фоновому режимі. Якщо NOD32 використовується на особистому або домашньому комп'ютері, можна просто включити функцію автоматичного оновлення і більше ніколи про це не згадувати. Підприємства і організації з крупними розподіленими мережами можуть використовувати потужний компонент видаленого адміністрування (Remote Administrator), що дозволяє розгортати, встановлювати, спостерігати і контролювати тисячі робочих станцій і серверів NOD32.

Нарівні з базами вірусів NOD32 використовує евристичні методи. Вважається, що серед інших ведучих антивірусних пакетів NOD32 відрізняється малим використанням системних ресурсів.

Рис.4 Антивірус NOD32

Зараження вірусом ПК

Найпоширенішим засобом зараження файлу вірусом є дописування його тіла у кінець файлу (див. рис. 5). При цьому, щоб при запуску зараженого файлу одразу одержати управління, вірус замість початку файлу, який приховує у своєму тілі, ставить команду переходу на себе. Після того, як вірус відпрацював, він передає управління файлу-жертві. В деяких випадках, якщо в силу тих чи інших причин початок файлу, що інфікується, не зберігається, або є ще якісь "помилки" у вірусі, файл буде зіпсований і його подальше лікування буде неможливим.

Останнім часом поширились віруси, що перезаписують початок файлу-жертви (File Overwriters), не змінюючи його довжину. Зрозуміло, що інфікована таким чином програма замість свого дійсного початку містить вірус і буде безповоротно зіпсована, залишаючись в змозі лише заражати інші програми. Як правило, вказані віруси під час своєї дії інфікують якомога більше файлів і, в залежності від різних умов, виконують ті чи інші додаткові руйнівні дії. Прикладами цих вірусів є: Abraxas-3, Banana, Burger, Bloodlust, Bk Monday, Cossiga, Clint, Druid та багато інших.

Зауважимо, що віруси можуть записувати своє тіло також у кінець або середину файлу-жертви. Останнім часом з'явились віруси, які впроваджують себе до файлу, що заражається окремими "плямами". При запису у середину файлу вірус інколи знаходить "порожні" місця і приміщує туди своє тіло, не змінюючи довжину жертви. У більшості випадків довжина інфікованого файлу збільшується на деяку величину, що, як правило, є постійною для вірусу, який заразив його. Ця величина зветься довжиною вірусу і вимірюється звичайно у байтах. У більшості випадків віруси пишуться на мові Асемблера, інколи на мовах високого рівня (Pascal, C тощо). У першому випадку довжина вірусів порівняно невелика (SillyCR.76 мабуть, світовий рекордсмен малих резидентних вірусів, що зберігає працездатність інфікованої програми, має довжину у 76 байт), у другому може бути у декілька десятків Кбайт (MiniMax 31125 байт). Цікаво, що існують віруси (DICHOTOMY), які при зараженні записують частини свого тіла у два різних файли (296 + 567 байт).

Рис. 5. Схема дії файлового вірусу

Важливою характеристикою вірусів є здатність багатьох з них залишатись у пам'яті комп'ютера після запуску інфікованого файлу. Такі віруси називають резидентними. Зрозуміло, що резидентні віруси уражають файли набагато частіше ніж нерезидентні.

Бутові віруси заражають Boot-сектор вінчестера або дискет. Механізм зараження цими вірусами представлений на рис. 6. Вірус записує початок свого тіла до Boot-сектора, а решту у вільні (інколи зайняті) кластери, помічаючи їх як погані. Туди ж вірус приміщує також і справжній запис Boot - сектора, щоб потім передати йому управління. За своєю природою бутові віруси завжди резидентні.

Рис.6. Схема дії бутового вірусу

Останнім часом з'явились окремі віруси, які заражають і Boot - сектори (або Master Boot записи) і файли. Такі віруси звуться файлово-бутовими (Multi-Partite Viruses). Прикладом таких, поки що дуже рідких вірусів, є вірус One_Half, що розглядається далі.

Крім того є віруси, механізм зараження яких суттєво відрізняється від розглянутих вище механізмів. Першим таким вірусом був вірус DIR. Цей вірус не заражував виконувані файли, а лише змінював у каталогах посилання на початок файлу-жертви, так щоб воно тепер вказувало на тіло вірусу, який містився в єдиному екземплярі на всьому диску. Таким чином при запусканні будь-якої зараженої програми вірус одержував управління першим, а після відпрацювання передавав управління запущеній програмі. Схема дії вірусу DIR приводиться на рис. 7.

Рис. 7. Схема дії вірусу DIR

Сучасні віруси застосовують найрізноманітніші засоби, з метою утруднити роботу по їх виявленню, розшифруванню та знешкодженню.

В поліморфні віруси (Self-Encrypting Polymorphic Viruses) встроюються так звані поліморфні генератори вірусних шифрувальників та розшифрувальників (MtE MuTation Engine механізми утворення поліморфних копій), які змінюють їх коди з часом. Значна частина сучасних вірусів використовує так звану Stelh-технологію (за аналогією із назвою відомого літака). Ці віруси-невидимки самоліквідуються при спробі дослідження їх за допомогою відповідних засобів (відлагоджувачі та трасувальники), видають інформацію, начебто уражений комп'ютер не має інфекції і т.п. Так, вже один із перших вірусів BRAIN при спробі проглядання зараженого Boot-сектора виводив не своє тіло, що знаходилось там, а справжній не інфікований запис. Вірус DARK AVENGER "підправляв" дію команди DIR операційної системи так, щоб довжина зараженого ним файлу виводилась без урахування довжини вірусу, тобто справлялось враження, що файл не інфікований.

Віруси-супутники (Companion Viruses) замість зараження існуючого EXE-файлу, утворюють новий файл, який має теж саме ім'я, але інше розширення (COM). Сам вірус буде знаходитись у знов утвореному файлі. Напpиклад, для файлу EDIT.EXE буде утворений файл EDIT.COM і сам вірус буде знаходитись в останньому файлі. Пpи спробі запуску EXE-пpогpами з командного рядка, замість потрібної програми буде запущена знов утворена, з вірусом. Після її відпрацювання буде запущена потрібна програма (EXE).

На ранніх етапах розвитку віруси заражали лише виконувані файли типу COM та EXE. Зараз спектр файлів, що можуть зазнавати атаки з боку вірусів значно розширився. Відмітимо, що існують віруси, які можуть заражати файли в архівах (типу ARJ, ZIP тощо), файли-документи (типу DOC), що утворені відомим текстовим процесором WinWord (6 версія та вище) фірми MicroSoft.

Деякі віруси залишаються у пам'яті ПК після теплого перезавантаження (Ctrl+Alt+Del). Більше того, при спробі завантажити чисту операційну систему з пристрою A: після холодного запуску, тобто після натискання кнопки Reset або вимкнення/увімкнення комп'ютера, ви можете несподівано виявити, що у його пам'яті вже знаходиться вірус. Саме такі можливості мають віруси EXEBUG та MAMMOTH, які відключають у CMOS'і наявність дисководу A:, що призводить до завантаження зараженої системи з диску C:. При цьому вірус імітує, начебто завантаження відбувається саме з гнучкого диска. Якщо ж на зараженій машині ви звернетесь до дисководу A:, то він буде тимчасово включений. У порівнянні з такими монстрами змінювання системного часу в CMOS'і деякими вірусами виглядає як безневинна забава!

І останній приклад "швидкого реагування" вірусів на нові досягнення комп'ютерної техніки. Тільки-но з'явився так званий Flash-BIOS, як вірус VLAD став записувати свій код до нього. В класифікації вірусів Dr.Solomon’s присутні також “троянські програми” (TROJANS), котрі проводять шкідливі дії замість оголошених легальних функцій або наряду з ними. Вони не спроможні на самовідтворення і передаються тільки при копіюванні користувачем. Цікаве явище презентує собою поганий вірус – як результат порчі реального вірусу або просто погано написаний програмістом. Такий вірус нічого не може зробити – або “висне” при виконанні, або не може заражати інші файли. Інколи йде інший процес – вірус виконує непродумані дії, котрі ведуть до знищення інформації. Серед авторів вірусів не часто зустрічаються погані програмісти. Всього на сьогоднішній день існують тисячі вірусів, але тільки в декількох десятках із них реалізовані оригінальні ідеї, інші є лише “варіаціями на тему”.

Таблиця 1

Ознаки зараження вірусом

	Зменьшення розміру пам’яті
	Уповільнення роботи комп’ютера
	Затримки при виконанні програм
	Незрозумілі зміни в файлах
	Зміна дати модифікації файлів без причини
	Незрозумілі помилки Write-protection
	Помилки при інсталяції і запуску WINDOWS
	Відключення 32-розрядного допуску до диску
	Неспроможність зберігати документи Word в інші каталоги, крім TEMPLATE
	Погана робота дисків

Ранні ознаки зараження дуже тяжко виявити, але коли вірус переходить в активну фазу, тоді легко помітити такі зміни:

Таблиця 2

	Зникнення файлів
	Форматування HDD
	Неспроможність завантажити комп’ютер
	Неспроможність завантажити файли
	Незрозумілі системні повідомлення, музикальні ефекти і т.д.