Antivirusinės programos
Įvadas
Atsiradus kompiuterių tinklams sumažėjo informacijos, esančios kompiuteriuose, saugumas. Viena iš priežasčių yra kompiuterių virusai. Kompiuterių virusas – tai specialiai parašyta, nedidelė programa, kuri sukuria savo kopijas ir įrašo jas į kitas kompiuterio programas, sisteminius diskinių ir kitų kaupiklių sektorius, tvarkykles, duomenų bylas ir pan. Viruso kopijų užrašymas vadinamas užkrėtimu, o programa ar kitas objektas, kuriame yra virusas, užkrėstu. Dirbant su užkrėsta programa (arba su neužkrėsta programa apdorojant užkrėstą objektą) valdymą perima virusas, suranda ir užkrečia kitas programas ar objektus bei kkitaip kenkia kompiuterio veikimui, pavyzdžiui, sulėtindamas jo darbą arba ištrindamas kaupikliuose saugomą informaciją. Dažniausiai užkrėstos programos veikimas išoriškai niekuo nesiskiria nuo neužkrėstos.
Apie viruso buvimą kompiuteryje gali pranešti virusų paieškos programa (žinoma, jei tokia kompiuteryje yra) arba virusas pats „prisistato“, parašydamas ekrane kokį nors pranešimą. Požymiai, pagal kuriuos galima suprasti, kad kompiuteris užkrėstas, galėtų būti tokie:
• antivirusinė programa praneša apie jai nežinomo viruso suradimą;
• ekrane ar spausdintuvu pradedami rašyti pašaliniai pranešimai, simboliai;
• kai kurios programos nedirba ar dirba klaidingai;
• žymiai sumažėja kompiuterio darbo sparta;
• kompiuteris dažnai ppersikrauna pats;
• negalima kopijuoti bylų iš diskelio;
• kompiuteris nebedirba, negalima įkelti operacinės sistemos ir pan.
Beje, panašius reiškinius gali sukelti ir klaidos programose arba aparatūros gedimai.
Virusai rašomi taip, kad būtų kuo sunkiau pastebimi ir sunaikinami. Vienas iš virusų tipų yra save užmaskuojantys virusai. DDaugelį rezidentinių virusų (bylų, įkrovos) yra sunku surasti todėl, kad jie perima tiek operacinės sistemos, tiek taikomųjų programų kreipinius į užkrėstas bylas ir kaupiklio sektorius bei pateikia juos pradiniu (neužkrėstu) pavidalu. Tokie virusai vadinami nematomais (Stealth). Makrovirusai yra maždaug 80 procentų užkrėtimų kaltininkai. „Microsoft“ kompanijos programos „Word“ ir „Excel“ vykdo makrokomandas kiekvieną kartą atveriant dokumentą. Jei makrokomandų byla užkrėsta virusu, tai jis gali sugadinti „Word“ arba „ExceF dokumentą, kuris yra apdorojamas. Virusai, kurie neturi nė vienos pastovios baitų grupės, pagal kurią juos būtų galima identifikuoti, vadinasi polimorfiniais*.
1 Savaime keičiantys formą.
2 Antivirusinės programos
Jurgita lukošiūtė Kovos su virusais priemonės
Nuo kompiuterių virusų apsaugoti naudojamos:
1. bendrosios informacijos apsaugos priemonės;
2. specializuotos kovos su virusais priemonės;
3. profilaktinės priemonės.
Bendrosios informacijos apsaugos priemonės
Yra du pagrindiniai bendrosios duomenų apsaugos būdai – duomenų rezervinis kkopijavimas ir kreipties įjuos apribojimas. Būtina turėti duomenų ir naudojamų programinių paketų archyvines ar etalonines kopijas, kurias derėtų saugoti informacijos išoriniuose nešikliuose: diskeliuose, magnetooptiniuose diskuose, magnetinėse juostose ir kt. Reguliariai darytinos achyvinės kopijos tų failų, kurie iš naujo kuriami ar keičiami. Prieš archyvizaciją reikia patikrinti, ar šie failai neužkrėsti virusais. Be to, reikia nukopijuoti į diskelį ir disko sisteminę informaciją. Kopijavimo sąnaudos bus kur kas mažesnės už duomenų grąžinimo sąnaudas, jei juos suardė virusas. Kreipties apribojimas ir paskirstymas padeda išvengti nnesankcionuoto informacijos naudojimo ir kartu apsaugo duomenis nuo užsikrėtimo virusu, kurį gali sukelti neteisingai veikiančios programos ar klaidingi vartotojų veiksmai.
Specializuotos kovos su virusais priemonės – tai techninė ir programinė antivirusinė įranga.
Techninė antivirusinė įranga – tai specialios kovos su kelties virusais mikroshemos. Jos perima valdymą sistemos pradinės kelties metu anksčiau už sisteminės kieto disko informacijos ir OS keltį. Be to, antivirusinės mikroshemos tikrina kiekvieno diskelio kelties sektorių prisijungimo metu, ir tai trunka kelias milisekundes. Antivirusinė programinė įranga – tai populiariausia kovos su virusais priemonė. Reikėtų naudoti rinkinį turintį visus galimus anksčiau išnagrinėtų antivirusinių programų grupių atstovus, įvertinant kiekvieno jų privalumus bei trūkumus ir paskirtį. Antivirusinių programų sistemos pasirenkamos, atsižvelgiant į vartotojo darbo aplinką: kompiuterio ir OS tipą, integravimąsi į lokalų ar globalų tonklą.
Profilaktinės priemonės, nors dažnai atrodo ir trivialios, realiai žymiai sumažina užsikrėtimo virusu tikimybe ir kartu dėl to patiriamus nuostolius. Rekomenduojami tokie pagrindiniai veiksmai.
♦ Reikėtų apsaugoti nuo įrašymo diskelius, kuriuose esanti informacija naudojama tik
skaityti. Taip pat kietame diske reikėtų sukurti loginį, apsaugotą nuo įrašymo,
diską.Jame įrašomos programos bei duomenys, kurie naudojami, bet nekeičiami.
3 Antivirusinės programos
Jurgita lukošiūtė
♦ Siekiant išvengti užsikrėtimo per diskelių kelties sektorių, prieš atliekant
kompiuterio pakartotinę keltį iš kieto disko, reikia patikrinti, ar kaupiklyje neįdėtas diskelis.
♦ Atliekant kompiuterio keltį iš diskelio, reikia naudotis tik nnuo įrašymo apsaugotu
etaloniniu diskeliu.
♦ Nereikia perrašinėti programinės įrangos iš kitų kompiuterių, nes ji gali būti
užkrėsta.
♦ Visa nauja gauta (ypač iš BBS ar Interneto demonstracinė ar sąliginai nemokama
(shareware)), net ir licencinė, programinė įranga prieš instaliavimą turi būti patikrinta
turimomis antivirusinėmis priemonėmis. Žinoma daug atvejų, kai programinės
įrangos kūrėjai išplatino užkrėstus diskelius ar kompaktinius diskus.
♦ Pageidautina, kad vienu kompiuteriu naudotųsi kuo mažiau asmenų, kad jie
nedirbtų be priežiūros.
♦ Nevykdyti nepatikimų ar gautų iš nepatikimų šaltinių vykdomųjų failų. Pradedama
vykdyti nauja programa turi būti patikrinta.
♦ Reguliariai būtina įvesti naujas ir atnaujinti turimas antivirusinės programas.
♦ Visada reikia turėti sisteminį diskelį su svarbiausiomis OS komandomis.
Tačiau ir naudojant visas apsaugos priemones, virusas gali „prasiskverpti“ į sistemą. Jei pastebimi kompiuterio užkrėtimo simptomai, rekomenduojama laikytis tokių taisyklių.
1. Nepanikuoti, t.y. neskubėti priimti gerai neapgalvotus sprendimus. Dėl
neapgalvotų veiksmų galima ne tik netekti dalies failų, kuriuos buvo galima
išsaugoti, bet ir pakartotinai sistemą užkrėsti.
2. „Nukirsti“ visus kompiuterio kontaktus su „išoriniu pasauliu“, t.y. jį izoliuoti.
Reiktų atjungti elektroninio pašto sistemą, ryšį su Internetu ir pan. Būtina
bematant išjungti kompiuterį, kad virusas netęstų savo griaunamųjų veiksmų.
3. Nustatyti infekavimo kilmę ir laipsnį. Pasistengti prisiminti visus atliktus
veiksmus kompiuteryje ir atsiradusius užkrėtimo simptomus. Gal atsiminsite,
kad, sakykim, pažįstamas buvo paskolinęs diskelį. Jei taip, būtina j į patikrinti.
Reikia tiksliai žinoti, kas atsitiko sistemai: ar pažeistas kietas diskas, ar didėja
daromi nuostoliai, t.y. ar toliau tęsiasi kkenkėjiška viruso veikla, ir pan. Visus
veiksmus, nustatant užkrėtimo rūšį ir gydant kompiuterį, galima atlikti tik
atkėlus sistemą iš neinfekuotų, apsaugotų nuo įrašymo, diskelių (diskų).
Reikia naudoti programas (vykdomuosius failus) tik apsaugotuose nuo
įrašymo diskuose. Priešingu atveju sistemoje virusas gali būti aktivizuotas, o
4 Antivirusinės programos
Jurgita lukošiūtė veikiant virusui kompiuterio gydymas beprasmiškas, nes ir toliau diskai ir
programos bus užkrečiami. 4. Jei neturite pakankamos kompiuterio gydymo patirties ar žinių, kreipkitės
pagalbos į aukštesnės kvalifikacijos vartotojus. Kovai su virusais yra kuriamos specialios antivirusinės programos.
Antivirusinė programinė įranga
Kovai su virusais pasitelkiamos specialios programų sistemos, kurios dažniausiai vadinamos antivirusinėmis programomis, kuriomis galima surasti virusus, taisyti užkrėstas bylas ir kaupiklius, pastebėti įtartinus (panašius į virusų) veiksmus ir užkirsti jiems kelią. Pagal veikimo būdą ir atliekamas funkcijas į antivirusinės sistemos sudėtį įeinančios programos gali būti skirstomos į tokias pagrindines grupes.
Programos – detektoriai (skeneriai). Jos suteikia galimybę rasti failus, kurie užkrėsti kokiu nors žinomu(ais) virusu(ais). Detektoriai tik aptinka virusą, bet nuo jo neišgydo. Virusas gali būti randamas pagal parašą, t.y., kaip minėjome, pagal jam būdingų baitų kombinaciją. Todėl šiose programose yra virusinių parašų bankas. Banko sudėtis apsprendžia aptinkamų virusų rūšis ir jų skaičių. Be to, kai kuriems virusams surasti gali būti pasitelkiama vadinamoji euristinė analizė. Tai rinkinio taisyklių, apibrėžiančių virusus, panaudojimas jiems
lokalizuoti. Detektoriai gali tikrinti nurodytus diskus ar failus. Daugelis jų turi užkrėstų failų naikinimo priemones. Dirbant su programomis detektoriais, reikia jas reguliariai (bent kas 1-3 mėnesius) atnaujinti t.y., dirbti su konkrečios programos paskutine versija, galinčia aptikti ir naujai pasirodžiusius virusus.
Taip veikiančios antivirusinės programos pavyzdžiu galėtų būti sistema Doctor Web, naudojanti virusams rasti ir jų parašas, ir euristinę analizę. Jos virusinių parašų banke yra keli tūkstančiai parašų, o euristinėje analizėje galimi trys lygiai: minimalus, optimalus ir patikimiausias. Dokumentacijoje rašoma, kad testuojant nnežinomus virusus Doctor Web efektyvumas yra 72% (patikimumo lygis, t.y., procentas aptiktų iš visų pateiktų testavimui virusų) minimaliu lygiu, 80% – optimaliu bei 82 – 90% – patikimiausiu. Tačiau bendras sistemos efektyvumas, specialistų teigimu, neviršija 50%. Maždaug kas mėnesį pateikiama nauja šios sistemos versija. Doctor Web vartotojai dažniausiai moka jos metinės prenumeratos mokestį (apie kelis šimtus litų). Dar vienas programos detektoriaus pavyzdys – programa FindVirus, naudojama sistemoje „Dr. Solomon’s Anti-Virus Toolkit“, sukurtoje bendrovėje „S&Software“; tai viena tobuliausių antivirusinių priemonių. Šia ssistema galima aptikti daugiau nei 10000 virusų;
7 Antivirusinės programos
Jurgita lukošiūtė reikalo naudojamos visam diskui tikrinti, t.y., jų vykdymo komandos užrašomos į
AUTOEXEC.BAT failą. Tokį tikrinimą geriau atliks programos – revizoriai. O programos detektoriai reikalingi kitiems tikslams – tikrinti, ar nauja gauta programinė įįranga neturi virusų. Paskutinėje vietoje būtų programos – daktarai, kurias tikslinga naudoti tik tada, kai nėra užkrėstos programos kopijos archyve ar ją sunku gauti kitu būdu. Be to, jei jau buvo naudotas daktaras, reikia būtinai patikrinti grąžintą failą su revizoriumi (aišku, jei informacija apie ši failą buvo iš anksto išsaugota), nes ne visada daktarai gydo teisingai. Nė viena iš aptartų antivirusinių programų grupių nesuteikia apsoliučios apsaugos nuo visų virusų. Todėl reikėtų naudoti (įvertinant anksčiau pateiktas pastabas) visą jų rinkinį.
Esamos antivirusinių programų sistemos apskritai skiriasi tokiomis pagrindinėmis charakteristikomis: veikimo terpe, greičiu, reikalingais atminties resursais, patikimumu, vartotojo sąsaja, kaina.
Antai anksčiau nagrinėta antivirusinė programa Dr.Solomon’s Anti-Virus Toolkit, kuri orientuota dirbti WINDOWS 95 terpėje (FOR WINDOWS 95), testavus (1997m.) jąPK (procesorius Pentium 90 MHZ, ddiskas 800MB), turėjo tokį greitį: tikrinant kietą diską sugaišo 91 sekundę, o diskelį 60-ia failų- 31 sekundę. Jos reikalaujami atminties resursai: 4MB operatyviosios atminties bei 10MB diskinės atminties. Kaip minėta, jos patikimumo lygis 97,2%. Kūrėjo rekomenduojama kaina buvo apie 500 litų, 5skaitant virusų banko atnaujinimą kas ketvirtį pirmaisiais metais. Kaip minėta, kasmetinis mokestis už sistemos atnaujinimą siekė 1000 litų. Ši antivirusinė programa naudoja ne tik viruso parašo paieškos metodą, bet ir sistemos padėties monitoringą, leidžiantį efektyviai ieškoti virusų visoje sistemoje, oo ne tik atskirame faile. Ji garantuoja, kad aptiks visus virusus, esančius kompiuterių saugumo nacionalinės asociacijos (National Computer Security Association (NCSA)) kolekcijoje.
Antivirusinės programos
Antivirusinės programos yra vienos iš svarbiausių, todėl ir reikalavimai joms keliami dideli. Geras antivirusas turi jus saugoti nuo bet kokių į virusą panašių grėsmių, būti paprastas naudoti ir atnaujinti virusų duomenų failus taip nepastebimai, kaip tik įmanoma – be jokių sistemos apkrovimų.
Norton Antivirusinė programa 2001:
„Norton antivirus 2001″ (NAV) atitinka visus anksčiau minėtus reikalavimus. Jis užtikrina maksimalią apsaugą, tikrina visų tipų failus, interneto kodus ir el.paštą. Iš visų apžvelgtų antivirusų NA V mažiausiai apkrovė sistemą. Tiesą sakant, jo buvimą pastebėdavome tik tada, kai
8 Antivirusinės programos
Jurgita lukošiūtė gaudavome pranešimus apie aptiktus virusus, o foniniu rėžimu veikiančio skenerio visiškai
nesijautė. NAV vartotojo sąsaja – iš paprasčiausių: ji leidžia nesunkiai sukurti skenavimo pagal grafiką užduotis ir keisti nuostatas, kokių failų ir segtuvų netikrinti. Programos „Live Update“ modelis automatiškai atsiųsdavo ir įdiegdavo naujus virusų duomenų failus, kai tik kompiuteris būdavo prijungiamas prie interneto, – ši ypatybė labai svarbi visiškai apsaugai užtikrinti.
Panda Antivirus Platinum:
Tai galinga programa, deja kartais gana paini panaudoti. Beje, „Panda Antivirus Platinium“ lėtesnė už kitus antivirusų rinkos lyderius „McAfee VirusScans“ ir „Norton AntiVirus“. Pirmiausia programa pasiūlo vartotojui „Immediate Scans“ – neatidėliotino tikrinimo meniu, kkur jau sukonfiguruotos virusų paieškos užduotys: visos sistemos skenavimas, individualių vietinių arba tinklo kietųjų diskų ar el.pašto segtuvų. Realaus laiko skenavimo modulis, kurį „Panda“ pakrikštijo „Permanent“, yra ypač budrus: jis stebi viską nuo lokalių failų iki Voratinklio turinio ir parodo pranešimą apie virusą tą pačią akimirką, kai tik virusas pamėgina įsibrauti į sistemą. Šitaip turėtų elgtis visos antivirusinės programos. „Panda“ produktas unikalus tuo, kad jei sistemoje aktyvuota kalbėjimo sistema, balsu bus pranešama apie sistemoje aptiktą virusą ir toliau pasakoma apie dezinfekcijos procesą. Deja, šis unikalumas sunaudos nemažai sistemos resursų. „Panda Antivirus Platinum“ turi įspūdingų interneto skenavimo galimybių. Ji blokuoja piktadariškus „Java“ ir „ActiveX“ kodus, filtruoja IP adresus ir interneto adresus. Patogu tiems, kurie nori nepageidautiną intemeto turinį laikyti atokiau nuo savo kompiuterio.
PC – cillin 2000:
Ši antivirusinė programa pirmiausia išsiskiria savo sąsaja, kuri neužverčia vartotojo krūvomis langų ir painių nuostatų. O po šia kuklia išvaizda slypi galinga antivirusinė programa. Virusų paieška iš tiesų labai nesudėtinga. Galima pasirinkti: tikrinti diskus ir katalogus ar individualius failus, makrodokumentus, lanksčioj o diskelio ir kietojo disko įkrovos sektorius, interneto failus, „Microsoft Outlook“ prikabintus failus. Realaus laiko virusų paieška vyksta nuolat foniniu rėžimu. Stebimi failai, Voratinklio „Java“ ir „ActiveX“ kodai, el.paštu atsiunčiami failai. Gavus el.pašto žinutę su iinfekuotu failu, „PC – cillin“ sučiupo virusus iškart kai jie atvyko, ir užkrėstus failus atskyrė į „karantiną“ dar prieš jiems pradedant piktus darbus. „Karantine“ atsidūrę failai gali būti nusiųsti „Trend Micro“ virusų ekspertams, kurie žada grąžinti nuo virusų jau išvalytus failus per 48 valandas.
Command AntiVirus:
Programa suderinama su keletu operacinių sistemų („Windows95/98/NT3,l“), DOS ir kt. Pagrindinė programos vartotojo sąsaja yra paprasta – tereikia išrinkti diską, katalogą ar failą, kurį norite apsaugoti. „Command AntiVirus“ (anksčiau „F – Prot Professional“) yra viena iš nedaugelio programų, kuri atnaujina prie senų virusų aprašus – todėl nereikia kaskart atsisiųsti
9 Antivirusinės programos
Jurgita lukošiūtė viso virusų aprašo failo. Deja, programa nesuteikia jokios galimybės iš anksto nustatyti, kada
atsiųsti atnaujinimus. Be to, apie pasenusį virusų aprašo failą primena tik tada, kai pasileidžiate tikrinimo programą. Atlikti bandymai rodo, jog „Command AntiVirus“ „Windows2000″ sistemoje labiausiai stabdė sistemos našumą: pagal „Content Creation Winstone“ rezultatus – net 16,5 procentų. Tačiau programa greičiausiai atliko virusų paiešką.
McAfee VirusScan:
Naujausia bendrovės „Netvvork Associates“ gaminys. Antivirusinė programa „McAfee VirusScan“ gali ieškoti virusų įvairiausiuose failų tipuose, įskaitant visus atsisiuntimus iš interneto, „ActiveX“, „Java“ programėlių. Programa taip pat yra viena iš nedaugelio tikrinančių prie elektroninio pašto laiškų prisegtus failus, juos atsisiunčiant iš serverio (dauguma kitų programų laukia, kol failai bus
atkabinami nuo laiško), taip mažinant galimybę, jog užkrėstus failus persiųsite kitiems. Rezidentinis tikrintuvas sistemos darbą sulėtina vos 4%. Matuodami „McAfee VirusScan“ virusų paieškos laiką, mokslininkai sulaukė neįtikėtinų rezultatų: tiek „Windows2000″, tiek „Windows Me“ sistemose iš 56 virusų teaptiko tik 14. Pasirodo, programa negali aptikti virusų, kurie pasislėpę ZIP failuose. Tai gana rimtas trūkumas. Pasirodo taip buvo tik senesnėse „McAfee“ versijose. Nuo 5.2 versijos jau viskas gerai.
10 Antivirusinės programos
Jurgita lukošiūtė
Išvados
Per mėnesį sukuriama apie 200 naujų virusų, taigi lenktynės tarp virusų kūrėjų ir jjų naikintojų nė kiek nemažėja. Tikimybė užkrėsti kompiuterį didėja, tačiau nuo virusų galima apsisaugoti. Tam reikia:
1. naudoti legalias programas;
2. turėti kelias geras ir patikimas antivirusinės programas;
3. rūpintis, kad virusų duomenų bazė nepasentų (t.y. nuolat ją atnaujinti);
4. žinoti, kokie nauji virusai atsirado ir kaip jie plinta;
5. nuolat daryti duomenų kopijas;
6. diskelius imti tik iš patikimų žmonių;
7. tikrinti visus į kompiuterį dedamus diskelius ar kompaktinius diskus;
8. tikrinti iš interneto persiunčiamas bylas;
9. atsargiai elgtis su iš nepažįstamų žmonių gautais elektroninio pašto laiškais su
prisegtomis bylomis.
Šiuolaikinės antivirusinės programos yra vartotojui patrauklios, nesunkiai panaudojamos, atsirado ggalimybė kiekvieną savaitę ar kasdien atnaujinti jas per internetą, patobulėjo virusų paieškos technologijos. Daugelis programų naudoja vadinamuosius euristinius paieškos metodus, kuriais analizuojant programą galima aptikti ir naują, nežinomą virusą. Tačiau dar nesukurta universali antivirusinė programa, kuri galėtų sunaikinti visus virusus iir, kaip šmaikščiai pataria kompiuterių virusų specialistai, visiškai išvengti virusų galima tik nesinaudojant kompiuteriais ir rašant rašomąja mašinėle.