1.4.3. Использование антивирусных средств

Как уже говорилось, одна программа в отдельности не может дать абсолютной гарантии обороны от вирусов, хотя некоторые и названных могут с полным правом претендовать на это.

В общем же случае методика обороны должна быть примерно такой:

• Поступающие извне программы и документы в первую очередь проверяются сторожем, который всегда должен быть запущен вместе с операционной системой. Однако сторожа хороши лишь против известных им вирусов, соответственно, вирусные базы программы - сторожа надо регулярно обновлять.

• Далее, получаемые файлы должны проверяться программой-детектором, поскольку не все сторожа обладают эвристическим анализатором. Кроме того, хороший детектор может выявить и стелс - вирусы, от которых сторожа спасают редко.

• И последний уровень обороны, программы-ревизоры нужно запускать раз в день для выявления и анализа изменений в вашем компьютерном хозяйстве. Даже если вы и не приносили ничего извне, все равно желательно запускать ревизор, так как он наиболее полно позволяет выловить стелс-вирусы, которые могли быть пропущены сторожами и детекторами.

• Всё это должно сочетаться с регулярным резервированием ценных данных и использованием профилактических мер, призванных уменьшить вероятность заражения вирусами.

Теперь рассмотрим, на какие сообщения антивирусных программ следует обращать первоочередное внимание. Самыми подозрительными являются сторожа, они "ругаются" первыми. Вначале, естественно на сообщения, что файл такой-то заражен таким-то вирусом. Это в случае, если вирус "узнали по фейсу". Тогда вам остается разрешить программе попытаться вылечить инфицированный файл, или удалить его в случае невозможности лечения. Во-вторых, подозрительны сообщения, что "программа такая-то пытается сделать запись в исполняемый (.ЕХЕ или .СОМ) файл такой-то". Это похоже на попытку размножения. Такие действия следует запрещать. Однако некоторые программы могут записывать изменения в своей конфигурации прямо в саму себя. В-третьих, если программа сторож пишет, что в памяти находится что-то похожее на вирус, то есть, подозревает наличие стелс-вируса. В подавляющем большинстве такие подозрения бывают оправданы. Тогда следует загрузиться с "чистой" дискеты с набором антивирусных программ и произвести поиск инфекции. В-четвертых, если сторож пишет сообщение о подозрительной активности, похожей на вирусную. Например, если есть попытки записи в загрузочную запись жесткого диска, или попытки изменения системных файлов. В-пятых, если вы чувствуете, что несмотря на отсутствие предупреждений, с вашим компьютером творится что-то не то. Например, не удается записать файл на диск, хотя вы точно знаете, что места там должно хватать. У авторов был случай, когда никак не удавалось скопировать программу с одного логического диска на другой, хотя места было достаточно. Позже, после проверки свежей версией детектора DrWeb с дискеты, выявилось наличие так называемого DIR-вируса. В общем, доверяйте своим подозрениям.

В самом "главном стратегическом резерве главнокомандования" остается запуск хорошей программы-ревизора, например Adinf. Запускать ее нужно обязательно с дискеты, иначе вместо лечения вируса вы можете провести тотальное инфицирование дисков вашего ПК. Хотя программа очень надежно детектирует наличие стелс-вирусов, 100%-й гарантии никто вам не даст. Программа проведет поиск на дисках, и при наличии изменений характерных для вирусов, выдаст вам сообщение.

Остается высказать некоторые рекомендации при работе с антивирусными программами и приступить уже непосредственно к изучению самих программ:

• Не пользуйтесь неизвестными антивирусными программами. Несмотря на то, что автор программы может расписывать её достоинства как непревзойденные, с таким же успехом её можно проигнорировать. Пользуйтесь только известными программными пакетами. Иначе вместо антивирусной программы можно и троянского коня поймать. Или свежий вирус.

• Регулярно обновляйте вирусные базы ваших детекторов. Они доступны через сеть Интернет и чаще всего бесплатны. А еще лучше, станьте официальным покупателем антивирусной программы. Тогда вы будете получать и свежие базы, и бесплатные обновления самих программ. Кроме того, в этом случае вы можете рассчитывать на техническую поддержку сервисного центра создателей программы, а также на бесплатные консультации специалистов.

• Регулярно обновляйте таблицы "эталонов" программ-ревизоров (см. выше). Иначе после длительного периода они устареют и начнут вам мешать в работе. Желательно, чтобы копии таблиц сохранялись также и на съемных носителях (дискетах, многократно записываемых компакт-дисках, ZIP-дискетах, магнитооптических дисках и прочих). Иначе при наличии некоторых вирусов может быть нарушена и сама таблица "эталонов". Тогда от ревизора не будет никакого толка.

• Обязательно нужно иметь аварийный комплект с антивирусными программами. Самый простой способ – это записать их на дискеты. Однако сейчас не все программы можно туда уместить. Лучше поместить их на перезаписываемый компакт-диск. Тогда вы можете сделать его и системным, чтобы с него загружаться, и можете также вместить туда не одну программу, а несколько. К примеру, и ревизор и детектор со всеми вирусными базами, которые при необходимости можно и обновлять.

• Обязательно нужно иметь дискету, где записано содержимое таблицы разбиения дисков (partition table). Получить таблицу можно, например, с помощью программы Rescue, входящей в комплект Norton Utilities. Иногда при нарушении этой таблицы вирусами лечение бывает вообще невозможно. И вы можете потерять всё содержимое логических дисков вашего ПК.

• Антивирусные программы нужно записывать в первичном разделе жесткого диска (обычно это диск С). В этом один из авторов убедился на собственном горьком опыте, когда вирус убил таблицу разбиения дисков и получить доступ к "антивируснику", расположенному на логическом диске D, было невозможно. Так что обязательно располагайте детектор и ревизор в первичном разделе жесткого диска.

• Иногда бывает, что в системе живут сразу несколько вирусов. В таком случае, если вы не уверены в своих силах, обратитесь к более опытному коллеге или же к специалистам по антивирусной защите. Иначе, вместо лечения вы собственноручно "поубиваете" все содержимое вашего ПК. Такая ситуация крайне опасна в смысле последствий. Протестировав систему свежим детектором с дискеты (!) и узнав наименования вирусов, обязательно узнайте в литературе, в Интернете (http://www.avp.ru, http://www.drweb.ru, http://www.sald.com), или в другом месте¹⁷ о том, что делает вирус. Например, программа Norton Antivirus дает описание для тех типов вирусов, которые она знает, также выводя сообщения о степени опасности вируса. Если вирусы такие, что шифруют данные, то скорее всего вашим данным "каюк", излечить их будет весьма сложно. В этом случае лучше всего обратиться к специалистам. Если же вы уверены в положительном исходе, например, для безвредных вирусов, то можете проделать операцию лечения собственноручно. Но даже в этом случае, желательно сделать копии важных данных, чтобы в случае безуспешного лечения попробовать показать их специалистам.

• И последнее, как уже говорилось выше, если при проверке жесткого диска выявляется много ошибок, и большинство из них относятся к исполняемым файлам (.ЕХЕ и .СОМ), нужно быть осторожным при исправлении. В этом случае автор рекомендует использовать программу Norton Disk Doctor (NDD) из программного пакета Norton Utilities. Дело в том, что она позволяет создать так называемый файл отката (undo file), который позволит отменить сделанные исправления в структуре диска, если они были ошибочны. Проверять и отменять, естественно, нужно с чистой от вирусов дискеты. Необдуманное "лечение" станет для ваших исполняемых файлов фатальным. Будьте внимательны и осторожны.

• Иногда антивирусные программы ругаются и зря. Например, у нас Doctor Web одной из версий часто ругался на программы, компилированные в Turbo Pascal.