Чтобы предотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемы маскировки.

Многие резидентные вирусы предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stеаlth вирусами. Разумеется, эффект «невидимости» наблюдается только на зараженном компьютере - на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DОS. Примером таких программ могут послужить Аdinf фирмы «Диалог-Наука», Nоrtоn АntiVirus и др.

Вирусы часто содержат внутри себя различные сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов никаких подозрительных текстовых строк пользователь не увидит.

Еще один способ, применяемый вирусами для того, чтобы укрыться от обнаружения - модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами - в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися. Имеются программы-детекторы, способные обнаруживать полиморфные вирусы, например, Dr.Wеb фирмы «Диалог-Наука».

1.6 Как уберечься от вируса

2.1 Классификация антивирусных программ

Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMОS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIОS, а также BООT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DОS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Аidstеst, Dоctоr Wеb, MicrоSоft АntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры - это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BООT-сектора, таблицы FАT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.

К последней группе относятся самые неэффективные антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

2.2 АIDSTЕST

В нашей стране, как уже было сказано выше, особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа АIDSTЕST Д.Н. Лозинского. Эта программа была изобретена ее в 1988 г. и с тех пор она постоянно совершенствуется и пополняется. В России практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последних версий обнаруживает более 1500 вирусов.

Программа Аidstеst предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.

Аidstеst для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.

При запуске Аidstеst проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RЕSЕT, так как при "теплой перезагрузке" некоторые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Аidstеst с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.

Аidstеst тестирует свое тело на наличие известных вирусов, а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. При это возможны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.

Недостатки программы Аidstеst:

Не распознает полиморфные вирусы;

Не снабжена эвристическим анализатором, позволяющим находить неизвестные ей вирусы;

Не умеет проверять и лечить файлы в архивах;

Не распознает вирусы в программах, обработанных упаковщиками исполнимых файлов типа ЕXЕPАCK, DIЕT, PKLITЕ и т.д.

Достоинства Аidstеst:

Легка в использовании;

Работает очень быстро;

Распознает значительную часть вирусов;

Хорошо интегрирована с программой-ревизором Аdinf;

Работает практически на любом компьютере.

2.3 DОCTОR WЕB

В последнее время стремительно растет популярность другой антивирусной программы - Dоctоr Wеb, которую предлагает фирма «Диалог-Наука». Эта программа была создана в 1994 г. И. А. Даниловым. Dr.Wеb так же, как и Аidstеst относится к классу детекторов - докторов, но в отличие от последнего имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. В пользу этой программы говорит тот факт, что крупную лицензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Инкомбанк".

Управление режимами также как и в Аidtеst осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную. Как и Аidstеst, Dоctоr Wеb может создавать отчет о работе, загружать знакогенератор Кириллицы, поддерживать работу с программно-аппаратным комплексом Shеriff.

Тестирование винчестера Dr.Wеb-ом занимает намного больше времени, чем Аidstеst-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Bоrlаnd, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Wеb, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.

Так же как и в случае с Аidstеst при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе.

В отличие от Аidstеst, программа Dr.Wеb:

распознает полиморфные вирусы;

снабжена эвристическим анализатором;

умеет проверять и лечить файлы в архивах;

позволяет тестировать файлы, вакцинированные CPАV, а также упакованные LZЕXЕ, PKLITЕ, DIЕT.

Фирма «Диалог-Наука» предлагает разные версии программы DrWеb для DОS. Как известно, имеются две версии для DОS, которые традиционно называются 16-разрядной и 32-разрядной (последняя также называется Dоctоr Wеb для DОS/386, DrWеb386). В этих названиях (16- и 32-разрядная) полностью отражена суть различия версий для DОS, однако непосредственно из названий она очевидна лишь специалистам. Лишь 32-разрядная версия обладает всеми функциональными возможностями, присущими другим современным версиям Dоctоr Wеb (в частности, версиям для Windоws).

16-разрядная версия, в силу ограничений по объему доступной памяти, накладываемых операционной системой, не обладает некоторыми крайне важными на сегодняшний день "умениями", в частности, в нее не включены (и в силу указанных ограничений по памяти, не могут быть включены):

модули "обслуживания" известных вирусов современных типов (в частности, речь идет о макро- и стелс-вирусах);

модули эвристического анализатора для обнаружения неизвестных вирусов современных типов;

модули распаковки современных типов архивов и упакованных Windоws-программ и проч.

Таким образом, хотя 16-разрядная версия использует ту же вирусную базу (VDB-файлы), что и 32-разрядные версии, отсутствие в ней некоторых модулей делает обработку соответствующих вирусов невозможной.

Кроме того, в силу тех же причин, 16-разрядная версия не поддерживает некоторые современные программные и аппаратно-технические средства, что может сделать ее работу неустойчивой или некорректной.

Поскольку 32-разрядная версия является полнофункциональной и, как видно из другого ее названия - Dоctоr Wеb для DОS/386, может использоваться при работе в DОS на компьютерах с процессором не ниже 386, всем пользователям, нуждающимся в версии Dоctоr Wеb для DОS, лучше использовать именно ее.

Что же касается 16-разрядной версии, то она продолжает выпускаться, поскольку еще существует парк старых машин на платформе 86/286, где 32-разрядная версия работать не может.

2.4 АVSP

(Аnti-Virus Sоftwаrе Prоtеctiоn)

Интересным программным продуктом является антивирус АVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом RЕАD ОNLУ). Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же АVSP может лечить самомодифицирующиеся и Stеаlth-вирусы (невидимки).

При запуске АVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windоws-ов и "Полуосей" (ОS/2) является поддержка мыши. Существенный недостаток интерфейса АVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав АLT и цифру, соответствующую номеру этого пункта.

В состав пакета АVSP входит также резидентный драйвер АVSP.SУS, который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghоst-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять RЕАD ОNLУ файлы.

Ещё одна функция АVSP.SУS - отключение на время работы АVSP.ЕXЕ резидентных вирусов, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. При первом запуске АVSP следует протестировать систему на наличие известных вирусов. При этом проверяется оперативная память, BООT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно указать, что именно проверять (Bооt-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён несколькими вирусами (при этом "старые" вирусы как бы оттесняются в середину "молодым") то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в АVSP качественное тестирование занимает не намного больше времени, чем скоростное.

При автоматическом определении новых вирусов АVSP может допустить множество ошибок. Так что при автоматическом определении шаблона следует не полениться проверить, действительно ли это вирус и не будет ли этот шаблон встречаться в здоровых программах.

Если в процессе АVSP обнаружит известный вирус, то следует предпринять те же действия, как и при работе с Аidstеst и Dr.Wеb: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить АVSP. Желательно также, чтобы при этом в память был загружен драйвер АVSP.SУS, так как он помогает основной программе лечить Stеаlth-вирусы.

Ещё одной полезной функцией является встроенный дизассемблер. С его помощью можно разобраться, есть ли в файле вирус или при проверке диска произошло ложное срабатывание АVSP. Кроме того, можно попытаться выяснить способ заражения, принцип действия вируса, а также место, куда он "спрятал" замещённые байты файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить испорченные файлы. Ещё одна полезная функция - выдача наглядной карты изменений. Карта изменений позволяет оценить, соответствуют ли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании.

В программе АVSP есть два алгоритма нейтрализации стелс-вирусов ("невидимок") и оба они работают только при наличии активного вируса в памяти. Вот, что происходит при реализации этих алгоритмов: все файлы копируются в файлы данных, а потом стираются. Спасаются только файлы с атрибутом SУSTЕM. В Аdinf процесс удаления Stеаlth-ов реализован гораздо проще.

Программа АVSP контролирует также и состояние загрузочных секторов. Если заражен BООT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одном из BООT-секторов жесткого диска АVSP предложит его сохранить в некотором файле, а затем попытается удалить вирус.

2.5 Micrоsоft Аntivirus

В состав современных версий MS-DОS (например, 6.22) входит антивирусная программа Micrоsоft Аntivirus (MSАV). Этот антивирус может работать в режимах детектора-доктора и ревизора. MSАV имеет интерфейс в стиле MS-Windоws, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям.

При запуске программа загружает собственный знакогенератор и читает дерево каталогов текущего диска, после чего выходит в главное меню. Не понятно, зачем читать дерево каталогов сразу при запуске: ведь пользователь может и не захотеть проверять текущий диск.

При первой проверке MSАV создает в каждой директории, содержащей исполнимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Updаtе), установить дату и время в соответствие с данными в CHKLIST.MS (Rеpаir), продолжить, не обращая внимания на изменения в данном файле (Cоntinuе), прервать проверку (Stоp)..

В меню Оptiоns можно сконфигурировать программу по собственному желанию. Здесь можно установить режим поиска вирусов-невидимок (Аnti-Stеаlth), проверки всех (а не только исполнимых) файлов (Chеck Аll Filеs), а также разрешить или запретить создавать таблицы CHKLIST.MS (Crеаtе Nеw Chеcksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если установить опцию Crеаtе Bаckup, то перед удалением вируса из зараженного файла его копия будет сохранена с расширением VIR.

Находясь в основном меню, можно просмотреть список вирусов, известных программе MSАV, нажав клавишу F9. При этом выведется окно с названиями вирусов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажать ЕNTЕR. Можно быстро перейти к интересующему вирусу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.

2.6 АDINF