Inovatyvūs inžineriniai sprendimai naikinant virusus
Inovatyvūs inžineriniai sprendimai
naikinant virusus
Kaunas, 2003
Turinys
Įvadas 3
1. Kas yra virusas? 5
1.1. Virusų evoliucija 6
1.2. Virusai ir į juos panašios programos 7
1.3. Kaip virusai veikia 8
1.4. Virusų tipai 9
1.5. Ką virusai gali? 10
1.6. Ko virusai negali? 11
1.7. Užkrėtimo virusu simptomai 12
1.8. Penkios taisyklės 13
2. CIH dienos pamokos 15
3. Antivirusinė programinė įranga 17
3.1. Antivirusinių programų testavimas 19
3.1.1. “AntiViral Toolkit Pro Platinum” 21
3.1.2. “InoculateIT” 22
3.1.3. “McAffee VirusScan” 23
3.1.4. “Norton Antivirus 2003” 24
3.1.5. “Panda Antivirus” 25
Išvados 27
Įvadas
Šiandien mes turime pripažinti žmogaus įėjimo į naują informacinės
visuomenės epochą, faktą. Dar visai neseniai tai buvo prilyginama mokslinei
fantastikai, tačiau dabar tapo pakankamai apčiuopiama realybe, kaip ir
vieninga informacinė erdvė, kurioje vyksta informacijos cirkuliacija, jos
kaupimas, apdorojimas, analizavimas. Visi čia paminėti procesai verčia
naudoti naujausias informacines technologijas, nes didėja informacijos
kiekiai ir vyksta daugelio informacinių resursų susijungimas. Dabartiniu
metu mes viena ar kita prasme esame priklausomi nuo kompiuterių. Jie valdo
civilinių ir karinių lėktuvų skrydžius, reguliuoja geležinkelio transporto
srautus, kontroliuoja elektros jėgainių technologinius procesus, jų pagalba
yra tvarkomi finansinės operacijos ir t.t.
Pasaulyje pastoviai didėja personalinių kompiuterių skaičius, kaip
beje ir globalinio Internet tinklo vartotojų, kas sąlygoja greitą
kompiuterinių technologijų ir komunikacijos priemonių tobulėjimą. Tačiau
kartu auga ir nusikaltimų, kuriuos įvykdant būna panaudojama skaičiavimo
technika, skaičius.
Šio darbo tikslas yra išnagrinėti virusų esmę, jų pasekmes bei
antivirusines programas.
Kad pasiekti šį tikslą buvo iškelti papildomi uždaviniai: išnagrinėti
virusų evoliuciją, tipus, jų galimybes bei užkrėtimo simptomus, apžvelgti
trumpai vieno iš pavojingiausio viruso veiklos pasekmes bei išnagrinėti
šiuo metu rinkoje pateiktus apsaugos nuo virusų produktus (antivirusines
programas), jų galimybes ir ypatumus.
Suvokti, kaip veikia virusai, yra pirmasis žingsnis gynyboje nuo jų.
Nusipirkę naują kompiuterį jo komplekte veikiausiai rasime ir antivirusinę
programą. Šis faktas labiau nei koks kitas įrodo, kaip plačiai paplito
virusai ir kaip kompiuterių bendrovės pripažįsta apsaugos nuo jų būtinybę.
Taigi virusai tapo kompiuterijos pasaulio dalimi.
Egzistuoja tūkstančiai įvairių virusų, skirstomų į daug kategorijų,
bet beveik visada jie apibrėžiami gan paprastai. Virusas yra tyčia sukurta
kompiuterinė programa, skirta įsiskverbti į kitą programą taip, kad
paleidus ppastarąją būtų paleidžiamas ir virusas, kuris savo ruožtu plinta
užkrėsdamas ir kitas programas. Virusas prisijungia prie programos-nešėjos
failo, o kartais net pakeičia visą programą. Neretai kiti programų failai
užkrečiami jau pakitusia viruso forma. Užkrečiama programa gali būti ir
makrokomandų failas arba disko pakrovimo (boot) sektorius – pirmoji
programa, paleidžiama diske su pakraunama operacine sistema.
Pastebėkime žodžius “tyčia sukurta” viruso apibrėžime. Virusai
neatsiranda šiaip sau. Juos kuria ir tobulina nemažų sugebėjimų
programuotojai, vėliau randantys būdų užkrėsti virusais naivių vartotojų
AK. Kuo galingesnės tampa antivirusinės programos, tuo labiau virusų
autoriai stengiasi jjas pergudrauti. Daugeliui virusų programuotojų tokio
kodo kūrimas yra tiesiog iššūkis; o kitiems – galimybė pasismaginti AK
vartotojų bėdų ir baimės sąskaita. Gaila, juk šie žmonės galėjo uždirbti
krūvą pinigų padėdami spręsti 2000 metų krizę.
Virusai pelnytai turi kenksmingų programų reputaciją, tačiau tikrovėje
daugelis jų nieko bloga nedaro. Tiesa, kai kurie jų gadina failus ar kaip
kitaip kenkia, bet didžioji dauguma tik erzina arba išvis yra vartotojui
nematomi. Tam, kad programa būtų laikoma virusu, ji teturi automatiškai
daugintis; visa kita yra neprivalu.
Žinoma, net “neskausmingi” virusai nėra visiškai nepavojingi. Jie
užima atmintį, vietą diske, naudoja procesoriaus resursus ir todėl turi
įtakos jūsų kompiuterio spartai ir našumui. Dar daugiau – antivirusinės
programos skirtos kovai su jais taip pat naudoja atminties ir procesoriaus
resursus; daug vartotojų tikina, kad jos lėtina kompiuterį daug labiau ir
yra gerokai įkyresnės už pačius virusus. Kitaip tariant, virusai turi
įtakos mūsų darbui su kompiuteriu net tuomet, kai nieko kenksmingo nedaro.
1. Kas yra virusas?
Biologo požiūriu, virusas yra genetinės medžiagos fragmentas, kuris
savo gyvavimui ir dauginimuisi turi infekuoti (užkrėsti) kokį nors
organizmą – nešėją. Kad virusas plistų tarp organizmų, jam paprastai
būdingos savybės, priverčiančios nešėją atlikti tam tikrus patologinius
(liguistus) veiksmus, pvz., bakterijas, gyvūnus ir pan. Dalis virusų yra
sunkių infekcijų susirgimų priežastis.
Todėl nieko nuostabaus, kad įvairios kenkėjiškos kompiuterinės
programos (t.y. tokios, kurios, įvestos į sistemą, sutrikdo jos veikimą)
pavadintos bendru, virusų, vardu. Taigi, programuotojo požiūriu, virusas –
tai kompiuterinis kodas, kuris savo plėtimuisi turi infekuoti kurią nors
programą-nešėją. Paprastai kompiuterinis virusas infekuoja kitas programas
įjungdamas į jas programos-viruso kodą. Virusas projektuojamas tokiu būdu,
kad jis po tam tikro laiko galėtų keisti savo formą ir tikslą. Be to, jis
dauginasi ir prisijungia prie programų arba kitų failų ir, „pasislėpęs“
ten, „keliauja“ nuo vieno kompiuterio prie kito. Virusai programuojami,
siekiant atlikti įvairius kenkėjiškus veiksmus: trinti kieto disko
informaciją, modifikuoti ar naikinti tam tikrus failus ir kt.
Pirmą kartą (1949 m.) programos – viruso, t.y. kompiuterinės
programos, galinčios daugintis, modelį pateikė Džonas fon Neimanas. Pirmas
užregistruotas kompiuterinis virusas buvo žaidimas “KARAS OPERATYVIOJE
ATMINTYJE” (“Core War”), kurį 6 – ajame dešimtmetyje sukūrė kompanijos Bell
Laboratories darbuotojas M. Duglas Makilroi. Žaidimo tikslas buvo parašyti
programą, kuri ištrintų priešininko informaciją ir blokuotų jo įrašus
atmintyje. EGABTR – pirmas IBM PC virusas, atsiradęs 1985 m. liepos mėnesį.
Šiuo metu pateikti visą esamų virusų sąrašą praktiškai neįmanoma, nes nauji
virusai sukuriami beveik kiekvieną dieną. Be to, specialistai, kuriantys
virusus aptinkančias programas ir bandantys nustatyti, ar du virusai yra to
paties, ar skirtingo tipo, dažnai naudoja skirtingus kriterijus. Vieni
specialistai laiko virusus skirtingais, jei jų kodai skiriasi bent vienu
bitu. Kiti – grupuoja virusus į šeimas ir vienos šeimos virusų nelaiko
skirtingais. Todėl, priklausomai nuo vertinimo kriterijų, šiuo metu
pasaulyje suskaičiuojama nuo 50 iki daugiau kaip 10000 skirtingų virusų.
[1]
Terminą “kompiuterinis virusas” pirmą kartą pavartojo amerikietis
mokslininkas Fredas Koenas 1984 m. 7 – oje informacijos saugumo
konferencijoje (JAV). Jei kompiuterį palygintume su gyvu organizmu, o
atskiras kompiuterines programas su ląstelėmis, gautume visišką analogiją.
Kompiuterinis virusas pažeidžia informaciją, esančią programos kode. Jis
perima kompiuterinės sistemos valdymą, pakeisdamas nedidelį programos
fragmentą ir gali neribotai dauginti savo kodą. Visa tai sukelia
“kompiuterio ligą”. [6]
1.1. Virusų evoliucija
1987 m. pasirodė virusas „Brain“. Jis užkrečia 360K diskelių įkrovos
sektorius ir sugeba užmaskuoti, kad kompiuteris jo nepastebėtų. Tais
pačiais metais pasirodė virusas „Stoned“. Jis užkrečia kompiuterio MBR
(pagrindinį įkrovos sektorių), sistemos, neįmanoma įkrauti.
1988 m. programuotojas iš indonezijos parašė pirmąją antivirusinę
programą. Ji suranda ir pašalina „Brain“ virusą iš kompiuterio bei apsaugo
nuo būsimų šio viruso atakų.
Po internetą (tuo metu jis dar tik formavosi) pasklido „Internet Worm“
virusas, kuris sutrikdė maždaug 6000 kompiuterių darbą. 1989 m. atsirado
„Dark avenger“ virusas. Jis greitai užkrečia kompiuterį, bet kenkia lėtai,
todėl viruso ilgai nepavyksta aptikti. IBM kompanija išleido pirmąją
komercinę antivirusinę programą. Pradėtas intensyvus virusų tyrimas.
1990 m. pradėti kurti polimorfiniai ir daugialypiai virusai.
Polimorfiniai virusai keičiasi plisdami o daugialypiai užkrečia kelias
kompiuterio vietas iš karto. Viruso autoriai pradėjo keistis virusų
išeities tekstais naujienų grupėse.
1991 m. atsirado virusų konstravimo priemonės, kuriomis
beveik
kiekvienas gali sukurti savo virusą. Metų pradžioje devyni procentai
bendrovių pranešė nukentėjusios nuo virusų, metų pabaigoje šis skaičius
išaugo iki 63 procentų.
1992 m. atsirado „Michelangelo“ virusas, kuris pirmasis atkreipė
žiniasklaidos dėmesį. Šis virusas kovo 6 dieną sugadino diskinio kaupiklio
turinį. Antivirusinių programų paklausa gerokai padidėjo, tačiau virusas
užkrečia palyginti nedaug kompiuterių.
1994 m. Anglijos policija sulaikė viruso „Pathogen“ autorių, ir jis
nuteisiamas aštuoniolikai mėnesių kalėti. Tai pirmas kartas, kai nubaustas
viruso autorius.
1995 m. parašytas pirmasis makrovirusas „Concept“. Jis parašytas
„WordBasic“ kalba ir gali veikti bet kuriame kompiuteryje, kuriame yra
„Word“ programa. Vėliau atsiras daug makrovirusų, nes juos lengva parašyti
ir platinti.
1999 m. balandžio mėnesį išplinta „Chernobyl“ virusas, gadinantis
diskinio kaupiklio duomenis. Vien Kinija patyrė daugiau negu 291 mln. JAV
dolerių nuostolių. Nukentėjo Pietų Korėjos ir Turkijos kompiuterių
sistemos. „Melissa“ virusas užkrečia šimtus tūkstančių viso pasaulio
kompiuterių. Jis plinta išsiųsdamas savo kopijas penkiasdešimčiai adresatų
iš „Outlook“ pašto programos užrašų knygelės.
2000 m. „LoveLetter“ virusas, kilias iš Filipinų, per šešias valandas
nusiaubė Europą ir JAV. Jis užkrėtė nuo 2,5 iki 3 mln. kompiuterių ir
padarė 88,7 mlrd. dolerių nuostolių. Virusas „NewLove“, pasklidęs iš karto
po „LoveLetter“, buvo panašiausias į supervirusą. Jis netik greitai plito,
bet ir sugadindavo sistemines bylas, todėl kompiuteriu naudotis tapdavo
neįmanoma. Jeigu būtų veikęs tinkamai, virusas būtų padaręs labai daug
žalos. Tačiau jo autorius padarė klaidą: kompiuteris nustodavo veikęs
anksčiau, negu virusas spėdavo išsiųsti savo kopijas į kitus kompiuterius.
1.2. Virusai ir į juos panašios programos
Pateiktas virusų apibrėžimas iš tikrųjų yra gerokai siauresnis, nei
tai, ką mes paprastai laikome virusais. Kiti programų tipai tik iš dalies
atitinka apibrėžimą. Kaip ir virusai, tokios programos veikia be vartotojo
žinios ir kompiuteryje atlieka vienokius ar kitokius veiksmus, kuriems yra
sukurtos. Į tokį sąrašą galėtumėme įtraukti “kirminus” (worms), “Trojos
arklius” ir “metikus” (dropers). Visos jos kartu su virusais vadinamos
kenkėjiškomis (malware) programomis.
“Kirminas” gali daugintis per diskelius arba tinklais. Kartais
“kirminas” veikia naudodamasis tinklu kaip pagrindu. Tačiau kitų programų
jis niekada neužkrečia. Kai kurios “kirminų” rūšys naudojasi tinklu tik
tam, kad nukopijuotų save iš vieno kompiuterio į kitą, jie vadinami
“sistemos kirminais” (host worms), o kiti – “tinklo kirminai” – pasklinda
po visą tinklą ir juo naudojasi atskirų savo dalių funkcionavimui.
“Kirminai” gali daugintis ir neprijungtame prie tinklo kompiuteryje. Tuomet
jie kopijuoja save į skirtingas kietojo disko vietas.
“Trojos arklio” pavadinimas kilo iš graikų mito, kurį geriausia
paskaityti “Odisėjoje”. Pasak jo, graikai trojiečiams padovanojo medinį
arklį, kurio viduje slėpėsi kariai. Kai arklys buvo atgabentas į Troją,
graikų kariai iššoko lauk ir užgrobė miestą, taip užbaigdami ilgai trukusią
Trojos apsuptį. Panašiai veikia ir “Trojos arklys”, kuris paslepiamas iš
pažiūros visai nekaltoje programoje. Pastarąją paleidus ji pradeda tam
tikrus iš anksto numatytus veiksmus, – tuo gerokai nustebina nieko
neįtariantį vartotoją. Šio tipo programos pačios nesidaugina.
“Metikai” sukurti taip, kad antivirusinės programos nesugebėtų
atpažinti jų kodo, todėl jie lengvai prasiskverbia į AK. Pagrindinė jų
užduotis – atgabenti ir paleisti virusą. Stebėdami sistemą “metikai”
sulaukia tam tikro įvykio ir užkriečia kompiuterį savo virusu.
Panašiai veikia ir “bombos”. Įtaisytos kenkėjiškose programose jos
veikia kaip detonatoriai. Kitaip tariant, “sprogsta” atsiradus tam tikroms
sąlygoms. Kai kurios “bombos” reaguoja į sistemos laikrodį, kitos gali
Naujųjų metų proga ištrinti visus DOC tipo failus ar parodyti kokį nors
pranešimą per kokio nors garsaus žmogaus gimtadienį. Dar kitos sulaukia,
tarkime, dvidešimties tam tikros programos paleidimo kartų ir paskui
ištrina visus šios programos failų šablonus. Iš esmės “bomba” yra
piktavališkų veiksmų sekos aprašas ar planavimo programa.
Dažnai pačiuose virusuose panaudojamos viena ar kelios kenkėjiškos
programos. Virusai gali būti platinami per “metikus” (nors nebūtinai) ar
naudotis “kirminų” principu kopijuoti pačius save. Nebūdami “Trojos
arkliais” virusai gali atitikti “arkliams” keliamus reikalavimus: daryti
tai, ko nenori vartotojas, ir pasislėpę programose paversti jas “Trojos
arkliais” (t.y. veikti joms pasileidus ir atlikti nepageidaujamus
veiksmus).
1.3. Kaip virusai veikia
Virusų yra daug ir jie veikia skirtingais būdais, todėl apžvelgti
visus yra ganėtinai sunku. Aš aprašysiu tik pagrindinį procesą.
Iš pradžių virusai kokiais nors būdais atsiranda mūsų kompiuteryje.
Dažniausiai taip įvyksta su užkrėstų programų (COM, EXE failų ar pakrovimo
sektoriaus) pagalba. Praeityje virusai buvo platinami išskirtinai per
užkrėstus diskelius. Šiais laikais jie dažniausiai siunčiami tinklais (taip
pat ir “Internetu”) kaip bandomųjų programų failų, makrokomandų failų ar
prisegtų prie elektroninio pašto žinutės failų dalys.
Elektroninio pašto žinutė savaime negali būti virusu. Virusas yra
programa, jis privalo būti paleistas. Elektroniniu paštu virusas atkeliauja
prisegtas prie žinutės kaip failas, todėl niekas negali įvykti tol, kol mes
jo nepaleidžiame. Tai padaryti galime įvairiai, bet dažniausiai užkrėsti
failai paleidžiami du kurtus spragtelėjus juos pelyte. Vienintelis būdas
apsaugoti save nuo taip atkeliaujančių virusų – niekada neatidarinėti
prisegtų duomenų, kuriuose yra paleidimo failai (EXE ar COM) ar tokių
programų kaip “Office”, kurios leidžia rašyti makrokomandas, failai.
Grafiniai, garso ar kitokie duomenų failai yra saugūs.
Virusas mūsų kompiuteryje elgiasi visai taip, kaip ir “Trojos arklys”.
Jis slepiasi kitoje programoje ar faile ir paleidžiamas kartu su juo. Kad
taip įvyktų, virusas pakeičia užkrėsto failo kodą. Jis duoda nurodymą
programai aptikti virusą ir jį paleisti. Paprastai šis procesas vyksta
taip: programos vykdymas nutraukiamas, peršokama į užkrėstą dalį, įvykdomos
viruso komandos ir sugrįžus į pradžią tęsiamas programos vykdymas. Nuo tada
virusas ima veikti ir užkrečia kitus failus.
Virusai gali pradėti veikti iš karto – tokie virusai vadinami
tiesioginio veikimo virusais – arba pasinaudoję operacinės sistemos leidimu
pasikrauti į atmintį ir ten tūnoti. Daugelis virusų priskiriami antrajai
kategorijai. Tokie virusai vadinami “atminties virusais”. Pasilikdami
atmintyje jie įgyja daug laisvės – gali stebėti atsarginių kopijų darymo
procesą, sekti klaviatūros ar pelės veiklą ir daug kitų dalykų. Atmintyje
įsikūręs virusas gali daryti beveik viską, ką daro operacinė sistema.
Naudodamas “bombas” virusas gali palaukti tam tikro įvykio ir tik paskui
pradėti savo veiklą jūsų kompiuteryje. Virusas taip pat gali rasti mūsų
kompiuterio diske (ar kur kitur tinkle) paleidžiamųjų failų ir juos
užkrėsti. [4]
1.4. Virusų tipai
Virusų autoriai nuolat ieško naujų būdų užkrėsti kompiuterius, tačiau
tokių būdų iš tikrųjų yra labai nedaug. Virusai užkrečia disko paleidimo
sektorius, paleidimo failus ir makrokomandų failus. Yra begalė skirtingai
besivadinančių virusų, bet jų veikimo principas yra toks pat.
Pradinio disko sektoriaus virusai ir užkrėtėjai įsirašo tam tikroje AK
kietojo disko vietoje ir būna paleidžiami kraunant kompiuterį. Anksčiau
pradinio sektoriaus virusai užkrėsdavo tiktai DOS pradinį sektorių, tačiau
atskiras jų porūšis dabar užkrečia ir visą pagrindinį disko pradžios įrašą
(master boot record – MBR). Abu šie sektoriai skaitomi kraunantis
kompiuteriui. Tuo metu virusai ir kraunami į atmintį.
Pakrauti sistemą iš užrakinto sistemos diskelio yra vienas geriausių
būdų apsisaugoti nuo tokio tipo virusų. Žinoma, negali būti įsitikinęs, kad
diskelis nebuvo užkrėstas prieš sisteminių failų įrašymą, bet tai galima
patikrinti antivirusinėmis programomis.
Failų užkrėtėjai, kitaip dar vadinami “parazitiniais virusais”, yra
programos, kurios prisijungia prie paleidimo failo. Jos yra labiausiai
paplitusios ir geriausiai
žinomos. Kaip dera tikram virusui, jos įsikuria
atmintyje ir laukia, kol vartotojas paleis kitą programą naudodamos tai
kaip signalą ją užkrėsti. Yra daugybė skirtingų failų užkrėtėjų tipų, bet
jie nedaug tesiskiria.
Makrovirusai pasirodė ganėtinai neseniai. Savo tikslams jie naudoja
vidinę programavimo kalbą, kurią turi kai kurie programų rinkiniai.
Makrokalba vartotojui leidžia susikurti pagalbines programėles, vadinamas
makrokomandomis, kurių dėka jis gali automatizuoti norimas užduotis. Tokią
kalbą, pavyzdžiui, turi “Microsoft Office”. Iš tikrųjų makrovirusas yra
paprasčiausia komandų seka. Pirmasis tokio tipo virusas buvo sukurtas
“Microsoft Word” failams.
Kai tik atidaromas dokumentas ar šablonas, turintis viruso
makrokomandą, virusas pradeda savo kenkėjišką veiklą. Be to, makrokomanda
gali būti suprogramuota taip, kad nukopijuotų save į kitus dokumentus.
Taigi toliau naudojant programą virusas vis labiau plinta.
Ketvirto tipo virusai vadinami daugiaveiksmiais (multipartite). Jie
užkrečia ir pradinius disko sektorius, ir failus.
Išsamų virusų sąrašą ir jų aprašymus galime rasti “Symantec” kovos su
virusais centro virusų enciklopedijos tiklapiuose
www.symantec.com/avcenter/vinfodb.html
1.5. Ką virusai gali?
Nors virusai tėra programa, tačiau dažnai jie būna sukurti labai
išradingai ir klastingai. Kai kurie virusai gali:
1) Apgaudinėti rezidentines apsaugines programas, pavyzdžiui,
užkrėsdami ir gadindami duomenis nesinaudodami operacinės sistemos
funkcijomis, o kreipdamiesi tiesiai į BIOS įvedimo ir išvedimo programas ar
netgi diskinių ir diskelinių kaupiklių valdiklio prievadus;
2) Išlikti, pakartotinai įkrovus kompiuterį, tiek naudojant klavišų
derinį Ctrl Alt Del, tiek iš “sterilaus” sisteminio diskelio, naudojant
mygtuką ““Reset” ar tiesiog, išjungus ir vėl įjungus kompiuterį;
3) Užkrėsti failų archyvus;
4) Užkrėsti failus tik jų patalpinimo į diskelius ar archyvus metu;
5) Kovoti su antivirusinėmis programomis;
6) Ilgą laiką neišsiduoti, t.y. tapti aktyviais tik praėjus kelioms
savaitėms ar net mėnesiams nuo kompiuterio užkrėtimo;
7) Užšifruoti kaupiklių sisteminius sektorius ar kitus duomenis taip,
kad kreiptis į juos būtų įmanoma tik turint kompiuterio atmintyje šį
virusą.
|Poveikis |Poveikio dydis, |
| |procentais |
|Darbo efektyvumo sumažėjimas|70 |
|Pažeisti failai |66 |
|Negalima dirbti su PK |50 |
|Nėra priėjimo prie duomenų |49 |
|Sutrikimai dirbant su |44 |
|failais | |
|Prarasti duomenys |40 |
|Pranešimai ekrane, |33 |
|mirguliavimas | |
|Vartotojo konfidencialumo |22 |
|pažeidimas | |
|Sutrikimai išsaugant |30 |
|duomenis | |
|Nestabilus programų darbas |14 |
|Sutrikimai spausdinant |9 |
1.6. Ko virusai negali?
Kompiuteris bbus užkrėstas virusu tik tada, jei bus nors kartą paleista
virusu užkrėsta programa, t.y.:
a) Paleistas užkrėstas vykdomasis failas ar įdiegtas užkrėstas tvarkiklis;
b) Įvykdytas pradinis įkrovimas iš įkrovimo virusu užkrėsto diskelio;
c) Iškvietus redagavimui užkrėstus programos WORD FOR WINDOWS dokumentus ar
programos EXCEL lenteles.
Vadinasi, galima daryti išvadą, kad nėra pagrindo bijoti kompiuterio
užkrėtimo virusu, jeigu:
~ Į kompiuterį perrašomi failai, neturintys programinių sudedamųjų
dalių ir neskirti paversti programomis, pavyzdžiui, grafiniai failai,
tekstiniai failai, Multi – Edit tipo tekstų redaktorių dokumentai ir t.t.;
~ Kompiuteriu vykdomas failų kkopijavimas iš vieno diskelio į kitą ar
kiti veiksniai, nesusiję su “svetimų” programų paleidimu, pakartotiniu
įkrovimu iš “svetimų” diskelių, arba “svetimų” WORD FOR WINDOWS dokumentų
arba EXCEL elektroninių lentelių redagavimu.
Be to, virusai užkrečia tik programas, bet negali užkrėsti įrangos
(klaviatūros, displėjaus ir t.t.). Virusas negali užkrėsti ar pakeisti
duomenų, kurie yra nuo rašymo ar trynimo apsaugotuose diskuose, taip pat
duomenų, esančių aparatiniu būdu (tarkime naudojant kompleksą SHERRIF)
apsaugotuose loginiuose kaupikliuose. [5]
1.7. Užkrėtimo virusu simptomai
Galite būti tikri, kad jūsų kompiuteris užkrėstas virusu jeigu:
• virusu paieškos programa praneša apie jai pažįstamo viruso suradimą
operatyviojoje atmintyje, failuose ar diskinio kaupiklio sisteminiuose
sektoriuose;
• tikrinanti programa praneša apie failu, kurie nebuvo keičiami,
pakeitimus. Be to, tie pakeitimai dažnai vykdomi kokiu nors neįprastu būdu,
pavyzdžiui, failo turinys pakeistas, o jo pakeitimo laikas – ne;
• tikrinanti programa praneša apie pasikeitimus diskiniame
kaupiklyje saugomoje įkrovimo programoje ( Master Boot, kurioje yra
duomenys apie diskinio kaupiklio suskaidymų j loginius kaupiklius) ar
įkrovimo jraše (Boot record). Tačiau Jūs nekeitėte diskinio kaupiklio
suskaidymo į loginius kaupiklius, neatnauįinote OŠ ir nedarėte nieko, kas
būtu galėję nulemti tuos pasikeitimus;
• apsauginė programa praneša, kad kažkokia programa nori formuoti
diskinį kaupiklį, keisti diskinio kaupiklio sisteminiu sektorių turinį ir
1.1., o Jūs nepaleidote jokios programos, kuri turėtu tai daryti;
• tikrinanti programa praneša apie „„nematomus“ virusus kompiuterio
atmintyje. Tai pasireiškia tuo, kad skaitant kai kuriuos failus ar kai
kuriuos diskinio kaupiklio sektorius DOS priemonėmis ten randama vienokia
informacija, o skaitant juos tiesiogiai – kitokia;
• virusas pats „prisistato“, išvesdamas į ekraną atitinkamą
pranešimą.
Galite įtarti, kad kompiuteris užkrėstas virusu, jeigu:
• antivirusinė programa praneša apie jai nežinomo viruso suradimą;
• į ekraną ar spausdintuvą pradedami išvesti pašaliniai pranešimai,
simboliai ir t.t.;
• kai kurie failai pasirodo esą sugadinti;
• kai kuriuos programos nedirba ar dirba klaidingai;
• žymiai sumažėja kompiuterio darbo sparta.
Tarp kitko, panašius reiškinius gali sukelti ir klaidos programose,
aparatūros gedimai ir t.t.
1.8. Penkios taisyklės
Jei žinote ar įtariate, kad Jūsų kompiuteris užkrėstas virusu, labai
svarbu laikytis šių penkių taisyklių:
1. Nereikia skubėti ir priimti neapgalvotą sprendimą. Kaip sakoma,
„septynis kartus pamatuok, viena kartą nupjauk“. Neapgalvoti veiksmai gali
ne tik sunaikinti dalį duomenų, kuriuos buvo galima apsaugoti, bet ir
pakartotinai užkrėsti kompiuterį virusu.
2. Kita vertus, vieną dalyką reikia padaryti tuojau pat. Jei nesate
tikri, kad virusą aptikote anksčiau, negu jis tapo aktyvus, išjunkite
kompiuterį, kad virusas negalėtu tęsti savo žalingos veiklos.
3. Visus su viruso suradimu ir kompiuterio „gydymu“ susijusius
veiksmus reikia atlikti tik teisingai įkrovus kompiuterį iš nuo rašymo ir
trynimo apsaugoto „etaloninio“ diskelio su sisteminiais failais. Be to,
galima paleisti tik nuo rašymo ir trynimo aapsaugotuose diskeliuose esančius
vykdomuosius failus. Nesilaikant šios taisyklės, virusas gali tapti
aktyvus, nes tuo pat metu bus užkrečiamos ir programos ir kaupikliai.
4. Viruso pažeistos informacijos „gydymas“ paprastai nėra
sudėtingas, tačiau kartais (kai viruso padaryta žala yra didelė) jis būna
labai keblus. Jei matote, kad Jums trūksta žinių ar patirties, verčiau
kreiptis pagalbos į patyrusius kolegas.
5. Kompiuterio „gydymas“ yra kūrybinis procesas, todėl bet kokie
patarimai (tarp jų ir surašyti žemiau) neturėtų būti suprasti kaip dogmos.
Juk virusu kūrėjai retkarčiais ima ir sugalvoja ką nors nauja. Dėl to kai
kurie patarimai, kaip kovoti su virusais, pasensta.[5]
Dvidešimt virusų, labiausiai paplitusių 2003 m. Balandžio mėnesį
|Poz. |Virusas |Dažnumas |
|1 |I-Worm.Klez |37.60% |
|2 |I-Worm.Sobig |10.75% |
|3 |I-Worm.Lentin |9.03% |
|4 |I-Worm.Avron |3.30% |
|5 |Macro.Word97.Thus |2.62% |
|6 |I-Worm.Tanatos |1.38% |
|7 |Macro.Word97.Marker |1.21% |
|8 |Worm.Win32.Opasoft |1.13% |
|9 |I-Worm.Hybris |1.04% |
|10 |Win95.CIH |0.69% |
|11 |Worm.Win32.Randon |0.58% |
|12 |VBS.Redlof |0.57% |
|13 |Backdoor.Death |0.51% |
|14 |Win95.Spaces |0.51% |
|15 |I-Worm.Roron |0.49% |
|16 |Trojan.PSW.Gip |0.49% |
|17 |Backdoor.NetDevil |0.48% |
|18 |Win32.HLLP.Hantaner |0.45% |
|19 |TrojanDropper.Win32.Delf |0.42% |
|20 |TrojanDropper.Win32.Yabinder |0.41% |
[www.esecurity.lt]
[pic]
2. CIH dienos pamokos
1999 metų balandžio 26-ąją prisimins daugelis. Tą saulėtą pirmadienio
rytą kaip per baisiausią maro epidemiją visame pasaulyje vienas po kito
gaišo kompiuteriai. Krito ne dešimtimis, o tūkstančiais.
W95.CIH virusas pirmą kartą buvo pastebėtas Pietryčių Azijos regione
praeitą vasarą. Jau
tuomet jis buvo pelnytai pavadintas vienu iš
pavojingiausių visų laikų virusų. Tai buvo vienas iš pirmųjų, sėkmingai
besidauginančių “Windows 95” terpėje, ir pirmasis, kurio padarinių
pašalinimui galėjo tekti atidaryti kompiuterio korpusą. Jeigu virusui
pasiseka, jis ne tik sunaikina kietajame diske saugomus duomenis, bet ir
ištrina kompiuterio “Flash BIOS” mikroschemos turinį. Nuo pat pradžios buvo
žinoma ir tai, jog dauguma CIH viruso variantų savo juodą darbą pradeda
balandžio 26-ąją, Černobylio atominio reaktoriaus sprogimo dieną. Dėl to
jis turi ir antrą pavadinimą – Černobylio virusas. Visa tai buvo žinoma,
bet nniekas nemanė, jog CIH diena bus tokia įspūdinga.
Vieni neteko visos įmonės buhalterinės apskaitos, kiti – penkerius
metus rašyto mokslinio darbo, muitinės postas staiga prarado sugebėjimą
įforminti deklaracijas, prokuratūros sekretorė nebesurado bylų, studentai –
“valdiškame” kompiuteryje saugotų kursinių darbų. Kas sakė, kad Lietuvoje
nebūna uraganų?.. Vieni graužė nagus ir nežinojo, ką daryti, kiti, kurių
namus nelaimė aplenkė, piktdžiugiškai kikeno ir džiaugėsi nauja atrakcija,
o treti “darė biznį” – siūlė duomenų atkūrimo paslaugas ir skubėjo
pardavinėti antivirusines programas. Žodžiu, buvo linksma.
Atslūgus pirmajam šokui pamąstykime: ir dėl ko vvisas tas cirkas? Argi
taip sunku buvo išvengti šios tragikomedijos?
CIH virusą, kaip ir keliasdešimt tūkstančių kitų, galėjo surasti ir
sunaikinti kiekviena naujesnė antivirusinė programa. Ar daug kas tokią
turi? Dabar akivaizdu, jog mažesnė pusė. O ir dauguma turinčių parsisiuntė
ją prieš kelis mėnesius, jjei ne prieš metus, iš “Interneto” ir įsivaizduoja
esą saugūs. Už jokį antivirusą senas antivirusas yra gal net blogesnis, nes
jis suteikia pasitikėjimo paleidžiant nežinia kokias programas ar skaitant
abejotinos kilmės dokumentus. Vienos darbo vietos apsauga paprastai
kainuoja ne daugiau kaip 300 litų, o perkant naują kompiuterį – vos
keliasdešimt. Už šiuos pinigus antivirusinės programos kūrėjai aprūpins mus
naujausiomis versijomis ištisus metus ar net dvejus. Keli ar keliolika litų
per mėnesį – argi mūsų kompiuteryje kaupiama informacija nėra to verta?..
Neįtikėtina, bet juodojo pirmadienio rytą kai kas prarado kelių
mėnesių ar net metų darbo rezultatus. Tam juk nereikia ir “Černobylio”.
Kompiuterio kietasis diskas ir pats savaime nėra amžinas mechanizmas. Ne
veltui sakoma, jog diskai būna dviejų rūšių: tie, kurie jau sugedo, ir tie,
kurie dar suges. Kelios minutės laiko kartą per ssavaitę ir dėžutė diskelių
atsarginėms svarbiausių dokumentų kopijoms – argi tai yra per didelė
šventos ramybės kaina?..
CIH parodė, jog elementariu saugumu visiškai nesirūpina ne tik
daugelis pavienių vartotojų, bet ir rimtos firmos bei įstaigos, valstybinės
organizacijos ir institucijos. Universitetų, bibliotekų, ministerijų ir
netgi bankų tinklai jungiami prie “Interneto” be jokių apsaugos priemonių
nuo galimų virusų, “Trojos arklių”, savaime besidauginančių “kirminų” ir
kitokių parazitų. Pinigai paprastai skiriami tik “geležiai”, pamirštant
programinę įrangą, o ką jau kalbėti apie kompleksinę tinklų, serverių ir
darbo vietų apsaugą. Skęstančiųjų gelbėjimas – pačių skęstančiųjų rreikalas?
Černobylio metinių šoko terapija daugelį privers rimčiau pažvelgti į
kibernetinio amžiaus pavojus. Bet ar ilgam?..
3. Antivirusinė programinė įranga
Kovai su virusais pasitelkiamos specialios programų sistemos, kurios
dažniausiai vadinamos antivirusinėmis programomis. Pagal veikimo būdą ir
atliekamas funkcijas į antivirusinės sistemos sudėtį įeinančios programos
gali būti skirstomos į tokias pagrindines grupes.
Programos – detektoriai (skeneriai). Jos suteikia galimybę rasti
failus, kurie užkrėsti kokiu nors žinomu(ais) virusu(ais). Detektoriai tik
aptinka virusą, bet nuo jo neišgydo. Virusas gali būti randamas pagal
parašą, t.y., kaip minėjome, pagal jam būdingų baitų kombinaciją. Todėl
šiose programose yra virusinių parašų bankas. Banko sudėtis apsprendžia
aptinkamų virusų rūšis ir jų skaičių. Be to, kai kuriems virusams surasti
gali būti pasitelkiama vadinamoji euristinė analizė. Tai rinkinio
taisyklių, apibrėžiančių virusus, panaudojimas jiems lokalizuoti.
Detektoriai gali tikrinti nurodytus diskus ar failus. Daugelis jų turi
užkrėstų failų naikinimo priemones. Dirbant su programomis detektoriais,
reikia jas reguliariai (bent kas 1-3 mėnesius) atnaujinti, t.y., dirbti su
konkrečios programos paskutine versija, galinčia aptikti ir naujai
pasirodžiusius virusus.
Taip veikiančios antivirusinės programos pavyzdžiu galėtų būti sistema
Doctor Web, naudojanti virusams rasti ir jų parašą, ir euristinę analizę.
Jos virusinių parašų banke yra keli tūkstančiai parašų, o euristinėje
analizėje galimi trys lygiai: minimalus, optimalus ir patikimiausias.
Dokumentacijoje rašoma, kad testuojant nežinomus virusus Doctor Web
efektyvumas yra 72% (patikimumo lygis, t.y., procentas aptiktų iš visų
pateiktų testavimui virusų) minimaliu llygiu, 80% – optimaliu bei 82-90% –
patikimiausiu. Tačiau bendras sistemos efektyvumas, specialistų teigimu,
neviršija 50%. Maždaug kas mėnesį pateikiama nauja šios sistemos versija.
Doctor Web vartotojai dažniausiai moka jos metinės prenumeratos mokestį
(apie kelis šimtus litų). Dar vienas programos detektoriaus pavyzdys –
programa FindVirus, naudojama sistemoje „Dr. Solomon’s Anti-Virus Toolkit“,
sukurtoje bendrovėje „S&Software“; tai viena tobuliausių antivirusinių
priemonių. Šia sistema galima aptikti per 10000 virusų; specialistai jai
teikia apie 97% patikimumo lygį. Sistema turi parašų banko atnaujinimo
priemones (pvz., iš diskelių, platinamų per prenumeratą, Internetą). Be to,
pakete yra virusų enciklopedija, kurioje aprašyti įvairūs virusai ir jų
poveikis kompiuteriui. Kasmetinis mokestis už sistemos atnaujinimą yra apie
1000 litų.
Programos – daktarai (fagai). Tai antivirusinės programos, ne tik
aptinkančios virusus, bet ir išgydančios nuo jų, t.y. atliekančios
priešingus veiksmus nei atliko virusas, užkrėsdamas kompiuterį. Jos iš
užkrėstos programos ar disko „iškanda“ (išmeta) virusą, t.y., grąžina
programą į tą būseną, kuri buvo prieš užsikrečiant. Failai, kurių
nepasiseka grąžinti, paprastai daromi neveikliais (nedarbingais) arba
išmetami. Programų – daktarų pagrindiniai trūkumai: gydant kai kuriuos
virusus, gali būti sugadinta programa ar palikti viruso fragmentai, kai
kurie virusai gali būti klaidingai atpažinti ir tada blogai išgydoma.
Programos – daktarai dažniausiai neišskiriamos į atskirą grupę.
Traktuojama, kad tai yra programa – detektorius, turinti galimybę gydyti.
Pavyzdžiui programa F-Prot, kuri naudojama antivirusinėje sistemoje F-Prot
Professsional, sukurtoje bendrovėje „Frisk Softvvare International“,
identifikuoja per 7000 virusų ir apie 85% atvejų nuo jų išgydo.
Specialistai šiai sistemai suteikia apie 94% patikimumo lygį.
Programos – revizoriai. Jos naudojamos atliekant ankstyvąją viruso
diagnostiką ir turi du darbo etapus. Pirmiausia revizoriai atsimena
duomenis apie programų ir diskų sisteminių sričių (kelties sektoriaus ir
sektoriaus su disko paskirstymo lentele) būklę (pvz., jų dydžius).
Traktuojama, kad tuo momentu programos ir sisteminės diskų sritys
neužkrėstos. Po to revizoriai gali kiekvienu momentu palyginti esamųjų
būklę su pradine. Jei randamas neatitikimas („prikibęs“ prie programos
virusas padidina ją standartiniu, jam budingu dydžiu), apie
tai pranešama vartotojui. Tai suteikia galimybę nustatyti užsikrėtimą
virusu iki tol, kol jis dar nepadarė didelių nuostolių. Be to, programa
-revizorius gali rasti viruso paveiktus failus. Norint
patikrinti, ar nepasikeitė failas, skaičiuojamas arba jo ilgis, arba
kontrolinė suma – tai tam tikra speciali viso failo turinio funkcija (pvz.,
bendras vienetų skaičius failo duomenyse). Jei pasikeitė ilgis ar
kontrolinė suma, tai aišku, kad pasikeitė ir failas. Pakeisti failą taip,
kad nepakistų kontrolinė jo suma, praktiškai neįmanoma. Norint suskaičiuoti
kontrolinę sumą, būtina perskaityti visą failą, o tai santykinai ilgas
procesas. Kadangi tikrinti, ar kompiuteryje nėra virusų, reikia
dažnai (geriausiai OŠ kiekvienos pradinės kelties metu), tai
ilgas tikrinimo laikas nepageidautinas. Todėl paprastai
kontrolinės sumos skaičiavimą ir pastovų jos tikrinimą tikslinga atlikti
tik itin svarbiem, dažniausiai vykdomiems failams (programoms) (pvz.,
COMMAND.COM, IO.SYS, MSDOS.SYS ir pan.). O kitų
failų gali būti tikrinamas
tik dydis. Taigi programos – revizoriai gali „išgaudyti“ ir žinomus, ir
visai nežinomus virusus.
Programų – revizorių pavyzdžiai – tai ASP Integrity Toolkit, esanti
sistemos „Dr. Solomon’s Anti-Virus Toolkit“ sudėtyje, Integrity Master ir
VDS, dirbančios DOS terpėje.
Programos – filtrai. Jos dar vadinamos rezidentinėmis antivirusinėmis
programomis arba bendrojo monitoringo (įspėjimo) programomis. Šios
programos talpinamos rezidentiškai kompiuterio operatyviojoje atmintyje ir
perima tuos kreipinius į OŠ, kuriuos virusai naudoja dauginimuisi ir
kenkimui. Apie tai jos praneša vartotojui, kuris gali leisti atlikti
atitinkamą operaciją ar ją uždrausti. Tokie „įtartini“ kreipiniai
(veiksmai) yra šie: vykdomųjų failų keitimas, failo atributo „tik
skaitymui“ panaikinimas, disko formatavimas, tiesioginis įrašymas (įrašymas
pagal absoliutinį adresą) į diską, programos padarymas rezidentine.Kai tik
yra kreipinys (į OŠ) atlikti „įtartiną“ veiksmą, į ekraną išvedamas
pranešimas apie tai, kokį veiksmą reikia atlikti ir kokia programa nori jį
atlikti. Jei šis veiksmas realiai nereikalingas vykdant tą programą, jį
reikia uždrausti, nes tai, matyt, yra viruso reikalaujamas veiksmas.
Programų – filtrų naudojimo pagrindiniai trūkumai: 1) jos pastoviai užima
tam tikrą operatyviosios atminties dalį ir kartu mažina atminties dalį, į
kurią ggali kreiptis kitos programos; 2) vartotojas turi atsakinėti į
klausimus: leisti ar uždrausti konkrečius veiksmus kompiuteryje; jei šie
klausimai dažni, vartotojui jie gali nusibosti; 3) jų užtikrinamo apsaugos
laipsnio nereikia pervertinti, nes daugelis virusų, norėdami plisti ir
kenkti, tiesiogiai kreipiasi į OŠ programas, nenaudodami šių programų
standartinio iškvietimo per pertraukimus būdo. O rezidentinės programos
perima tik šiuos pertraukimus. Be to, jos nepadeda apsaugoti diską nuo
užsikrėtimo virusais, kurie plinta per kelties sektorių – toks užsikrėtimas
gali įvykti OŠ pradinės kelties metu, t.y., prieš bet kurių programų
vykdymą ar tvarkyklių nustatymą. Pagrindinis programų filtrų privalumas
tas, kad jos gali nustatyti ankstyvos stadijos virusą, t.y., kol jis dar
nespėjo išplisti ir pakenkti. Tuo būdu, nuostolius dėl virusų galima
sumažinti iki minimumo. [1]
3.1. Antivirusinių programų testavimas
Tarptautinės kompiuterių saugumo asociacijos (ICSA) duomenimis, yra
vienos dešimtosios tikimybė, kad per mėnesį susidursite su bent vienu
virusu. Ši tikimybė yra dvigubai didesnė negu pernai. Lietuvoje prieš
Naujuosius metus suaktyvėjo “Happy99” virusas, o pastaruoju metu dažnai
pasitaiko “PrettyPark” virusas. Dažnai kalbama apie kenkėjiškus “ActiveX”
ar “JavaScript” įskiepius, tačiau jų grėsmė kol kas daugiau tteorinė.
[pic]
“Kompiuterijos” testavimų centre buvo išbandytos penkios antivirusinės
programos, kurias Lietuvoje galima įsigyti legaliai. Tai – bendrovės
“Laineta” pristatytas “Kaspersky Labs” produktas “AVP Platinum”, bendrovės
“CHS Baltic” pristatytas “Symantec” gaminys “Norton Antivirus 2000” bei
“Computer Associates” programa “InoculateIT” (ją nemokamai galima
atsisiųsti internetu). Testavimų centre taip pat buvo išbandyta “Baltic
Amadeus” platinama “McAffee VirusScan” programa bei “Panda Software”
sukurta “Panda Antivirus” programinė įranga, kurią platina bendrovė “Adis”.
Nepaisant to, kad vienos programos pasirodė geriau, kitos prasčiau,
praleido vieną kitą virusą ar buvo ne tokios sparčios, tikrai
rekomenduojame vieną jjų išsirinkti ir įsigyti. Visos bandytos programos
gali atnaujinti virusų “parašų” bazes per internetą, todėl būsite apsaugoti
nuo “naujausių” kenkėjų. Visuose programinės įrangos paketuose yra
nuolatinio skenavimo moduliai, apsaugosiantys nuo užkrėsto dokumento
atvertimo, programos aktyvavimo ar elektroninio laiško priedo įrašymo. Kad
pasiruoštumėte blogiausiam, kiekviena programa sukurs sisteminį diskelį ar
jų komplektą, iš kurio, kai diskinis kaupiklis bus nepasiekiamas, galėsite
įkrauti, taisyti ir gydyti sistemą. Daugelis bendrovių (ar bent jau jų
užsienio partneriai) per 24 val. išgydys jūsų aptiktą nežinomą virusą ir
atsiųs atitinkamą bazės pataisą.
3.1.1. “AntiViral Toolkit Pro Platinum”
[pic]
Senesni kompiuterių vartotojai turbūt prisimins bene pirmąsias
antivirusines programas “Aidstest” bei “Kaspersky”. Jos pasirodžiusios
beveik prieš dešimt metų, “gaudydavo” vos tūkstantį virusų. Dabar viena šių
produktų kūrėjų “Kaspersky Labs” išaugo į nemažą bendrovę. Vienas
pagrindinių jos produktų yra antivirusinių programų paketas “AntiViral
Toolkit Pro”.
Norint naudotis visomis šios programos galimybėmis, reikia šiek tiek
daugiau nei pradedantysis išmanyti apie kompiuterį. Tačiau programą
perpratus, ji tampa galingu įrankiu.
Programos įdiegimas yra palyginti paprastas, jo pabaigoje perspėjama
apie būtinybę atnaujinti programos duomenų bazes. Taip pat pasiūloma
atnaujinti skenavimo variklį (engine). Nustatyti, kada atnaujinti AVP,
galima bene lanksčiausiai, palyginti su kitomis bandytomis programomis.
Atnaujinti galima kas valandą ar mėnesį, susidarius tam tikroms sąlygoms
(pvz., jei diskų tikrinimas buvo nesėkmingas) arba įvykus kokiam nors
įvykiui (pvz., įsijungus ekrano užsklandai).
Nuolatinio skenavimo modulį galima suderinti taip, kad būtų
skenuojamos tik potencialiai pavojingos bylos (programos, funkcijų
bibliotekos ir pan.), supakuotos bylos ar pašto duomenų bazės (tokiu atveju
apie užkrėstą laišką bus pranešta net nebaigus jo siųsti). Nuolatinis
modulis užima labai mažai operatyviosios atmintinės – tik 8 KB, yra
neblogai paslėptas (“Ctrl+Alt+Del” iškviečiamame programų sąraše jo
nematyti).
Tiek pagrindiniame (juo atliekamas skenavimas vartotojui patogiu
metu), tiek nuolatiniame modulyje galima pasirinkti euristinę disko bylų
analizę (“Code Analyzer”). Tačiau, tikrinant diską tokiu režimu, procesas
trunka dukart ilgiau negu paprastai.
Viena iš neįprastų, tačiau naudingų programos savybių buvo ta, kad ji
informavo ne tik apie užkrėstas bylas, bet ir apie sugadintas programas bei
dokumentus.
Bandytas “AVP Platinum” komplektas skirtas dirbti kompiuterių tinkle.
Namų vartotojui skirtoje “AVP Gold” versijoje tinklinio darbo galimybių
beveik nėra, kitos programos dalys yra tokios pačios. Bendrovėje “Laineta”
programinis paketas “AVP Gold” kainuoja 200 litų, jį įsigijęs vartotojas
dvejus metus gauna virusų “parašų” bazės atnaujinimus bei konsultuojamas
įdiegimo klausimais.
3.1.2. “InoculateIT”
[pic]
“Computer Associates” sukurta programa “InoculateIT” patraukli tuo,
kad ji yra nemokama, t.y. programą galima atsisiųsti iš interneto ar
užsisakyti kompaktinį diską. Ją kurianti bendrovė uždirba pinigų siūlydama
antivirusinius sprendimus įmonėms bei organizacijoms. “InoculateIT”
svetainėje pateikiami nemokami virusų parašų bazės atnaujinimai.
Galbūt tai sutapimas, tačiau mažiausiai kainuojančios programos virusų
aptikimo charakteristikos buvo prasčiausios (nepaisant to, 96 proc. aptiktų
virusų yra labai geras rezultatas) bei neaptikti du “WildList” sąrašui
priklausantys “kenkėjai”.
Nuolatinį ššios programos modulį galima įvairiai derinti, pavyzdžiui,
nustatyti jį taip, kad bylos būtų tikrinamos jas nuskaitant, bet ne
įrašant. Modulį, kaip ir pagrindinę programą, galima vykdyti trimis darbo
režimais. Tikrinant programas trečiuoju, “Reviewer” režimu (jis
rekomenduojamas tada, kai įtariate, jog virusas sistemoje yra, tačiau
programa jo neaptinka), kai kurie įprastu režimu aptikti ir identifikuoti
virusai rodomi kaip “Unknown” (neatpažinti). Tačiau “Reviewer” kilus
įtarimui naudotis verta – paprastas modulis neaptiko savadarbio viruso, o
euristinės analizės būdu jis atpažintas.
Vienas šios programos privalumų – didelė darbo sparta. Apie 8000 bylų
“InoculateIT” peržiūrėjo mažiau nei per pusantros minutės.
3.1.3. “McAffee VirusScan”
[pic]
“McAffee VirusScan” yra bene išvaizdžiausia iš visų programų, nors
kartais atrodo, kad aplinkos kūrėjai truputį persistengė. Pagrindiniame
programos lange galima lengvai pasirinkti pagrindines funkcijas, pamatyti
aktualią informaciją. Taip pat pateikiama įspėjamojo pobūdžio informacija
apie programos būseną: neatliktą diskinio kaupiklio tikrinimą,
neatnaujintas “parašų” bazes.
“VirusScan” nuolatinio skenavimo modulis savo darbą atlieka gerai.
Pavyzdžiui, “Explorer” programoje atvertus katalogą, kuriame yra užkrėstų
programų, ir neatliekant jokių veiksmų su jo bylomis, “VirusScan” aptiks
infekciją. Modulį galima patogiai pritaikyti savo reikmėms bei nurodyti
daug iš pirmo žvilgsnio nereikšmingų smulkmenų. Pavyzdžiui, galima
nustatyti, kokią operaciją atliekant bus tikrinama byla, ar tikrinti
diskelius prieš baigiant darbą su “Windows” ir pan.
Nuolatinis skenavimo modulis turi dar vieną naudingą savybę – prieš jį
išjungiant (taip pat ir keičiant modulio nustatymus) galima
prašyti įvesti
slaptažodį. Ši funkcija gali apsaugoti kompiuterį nuo žalos, kurią gali
padaryti atsitiktinai prie jo prisėdęs kenkėjas.
“McAffee VirusScan” bene labiausiai parengta atakoms iš interneto.
Pakete yra “WebScanX” modulis, skirtas apsaugoti nuo kenkėjiškų elementų iš
tinklo galinčių pasirodyti – “Java” ir “ActiveX” įskiepių. Programa taip
pat gali blokuoti tam tikras “Web” svetaines ar IP adresus, kurie įtariami
bloga veikla. Tačiau ši apsauga tėvams nepadės apsaugoti savo vaikų nuo
nepadoraus turinio tinklalapių. Bandant prisijungti prie uždraustos
svetainės, pasirodo įspėjamasis langas, kuriame galima pasirinkti, ar tęsti
darbą toliau, ar nnutraukti puslapio siuntimą.
Diegiant programą galima nurodyti, kad būtų įvestas skenavimas
“dešiniuoju klavišu”, t.y. “Explorer” lange paspaudus dešiniuoju pelės
klavišu ant programos ar dokumento, pasirodžiusiame meniu bus galima
pasirinkti tos bylos tikrinimą. Aptikus elektroninio laiško ar bylos
virusą, apie tai gana dažnai bus pranešama net du kartus. Jei laiško
virusas aptiktas, galima grąžinti laišką siuntėjui ir perspėti apie
infekciją.
“McAffee VirusScan” turi ir keletą ne itin svarbių, tačiau pastebimų
trūkumų. Pavyzdžiui, paketas diskiniame kaupiklyje užima beveik 30 MB.
Žinoma, palyginti su “Microsoft” programomis, tai yra niekis, tačiau kitos
antivirusinės pprogramos disko vietos užima mažiau. Be to, programa negali
tikrinti kelių archyvų lygių, t.y. į vieną archyvą įtraukus kitą,
pastarajame virusas nebus aptiktas.
Vartotojai, už 236 litus įsigiję “VirusScan” programinę įrangą, gali
nemokamai atnaujinti virusų duomenų bazes, 30 dienų gauti programos
versijos atnaujinimus bei nnemokamą pagalbą telefonu.
3.1.4. “Norton Antivirus 2003”
[pic]
Programinio paketo “Norton Antivirus” kūrėjai stengėsi, kad vartotojas
už sumokėtus pinigus gautų kuo daugiau naudos. Pavyzdžiui, įsigytame
kompaktiniame diske yra ne tik “Norton Antivirus” programinis paketas, bet
ir keli mokomieji vaizdo klipai bei keturios bandomosios “Symantec”
programų versijos.
Kaip ir daugelis bandytų programų, įdiegus “Norton Antivirus” pasiūlo
atnaujinti virusų duomenų bazes bei pačią programą. Visi atnaujinimai
atliekami programa “LiveUpdate”, kuri, kaip ir “Antivirus2003”, yra “Norton
System Works” paketo dalis.
“Norton Antivirus” nuolatinis modulis konfigūruojamas taip pat labai
lanksčiai. Jame galima nustatyti, kokius “įtartinus” veiksmus (rašymas į
kitas programas, disko žymėjimas) leisti atlikti programoms ar toleruoti
aptiktus virusus. Galima reikalauti slaptažodžio programos parametrams
keisti, o prieš “gydant bylą” ją perkelti į karantino katalogą.
Elektroniniu paštu ir iš testinės interneto svetainės siunčiamus virusus
programa aptiko nepriekaištingai. Apie uužkrėstą laišką buvo pranešta dar jį
siunčiant. Nepaisant visų gerų “Auto-Protection” modulio savybių, ši
programa buvo vienintelė, kurios įtaka kompiuterio veikimo spartai buvo
jaučiama.
Ir nuolatiniam moduliui, ir paprastam skenavimui yra taikoma euristinė
“Bloodhound” technologija, kurią galima nustatyti trimis lygiais. Tačiau
bandymai parodė, kad virusams aptikti tai reikšmės neturi.
Pagrindiniame programos lange yra laukelis, kuriame pateikiama svarbi
informacija – paskutinio sistemos bandymo bei atnaujinimo data, kompiuterio
patikrinimo rezultatai. Keičiant pagrindinės programos nuostatas, kartu
keičiami ir “Auto-Protection” modulio parametrai.
Programa, kurią galima įsigyti “Sonex” ir kitų “CHS Baltic” partnerių
parduotuvėse, kainuoja 198 litus. Ją įsigijęs vartotojas virusų
atnaujinimus gaus neribotą laiką, taip pat vienerius metus galės atnaujinti
turimą programos versiją.
3.1.5. “Panda Antivirus”
[pic]
Paketo “Panda Antivirus” diegimas skiriasi nuo kitų programų. Iš
pradžių pasirinkus punktą “Wise Setup” (“Gudrus įdiegimas”), vartotojui
pateikiama keletas klausimų apie jo darbo kompiuteriu pobūdį. Pagal tai,
kokius veiksmus vartotojas atlieka, įdiegiamos tam tikros sistemos dalys.
Bandytoje programos versijoje yra du nuolatiniai moduliai: “Internet
Sentinel”, skirtas internetu perduodamai informacijai tikrinti, ir
“Sentinel VXD”, tikrinantis darbą su kompiuterio disku. Naujausioje “Panda
Antivirus” versijoje šie moduliai sudėti į vieną. Interneto apsaugoje
galima nustatyti daugybę tikrinimo parametrų: laiškais siunčiamų laiškų
tikrinimą, nurodyti, per kuriuos prievadus užmezgamas ryšys su tinklu,
kuriuos prievadus blokuoti. Taip pat galima uždrausti tam tikrų protokolų
prievadus (FTP, SMTP, IRC, telnet).
Tai, kaip programa reaguoja į aptiktą virusą darbo metu (bandant
kopijuoti ar vykdyti programą ir pan.), silpnesnės sveikatos žmogus gali
patirti infarktą matydamas kaip programa perjungia ekraną tekstiniu režimu,
įjungiamas garso signalas, sustabdomas sistemos darbas. Toliau darbą galima
tęsti tik pasirinkus siūlomus veiksmus “Clean” (“Išvalyti”) arba “Abort”
(“Ignoruoti”).
Įprastas skenavimo modulis su aptiktais virusais elgiasi ramiau.
Programos nustatymo metu galima nurodyti, kokių “gydymo” variantų, aptikęs
virusą, galės imtis vartotojas. Kaip ir daugelyje bandytų programų, “Panda
Antivirus” yra euristinės analizės funkcija. Jos parametrus taip pat galima
keisti, pavyzdžiui, nurodyti, kad būtų pranešama apie neteisingą bylų datą
ar laiką, supakuotas bbylas ar vakcinuotas programas.
Programos trūkumas – po keleto atnaujinimų atsiranda programos
nestabilumas.
Vartotojas, už 223 litus įsigijęs “Panda Antivirus” paketą, gali
neribotai internetu atsisiųsti virusų duomenų bazės atnaujinimus, naujausią
programos versiją, taip pat, išsiuntęs įtartiną programą, per 24 val. gauti
antiviruso versiją, galinčią panaikinti virusą.
Bandymams programas pateikė:
➢ “AVP Platinum” – “Laineta”, Respublikos g. 62-504, Panevėžys, tel. (8-
25) 51 00 81.
➢ “InoculateIT” ir “Norton Antivirus 2000 – “CHS Baltics” partneriai
Lietuvoje.
➢ “McAffee VirusScan” – “Baltic Amadeus”, Akademijos g. 4, Vilnius,
tel. (8-22) 72 99 09.
➢ “Panda Antivirus” – “Adis”, P.Vileišio g. 18, Vilnius,
tel. (8-22) 70 90 61.
Išvados:
Kompiuterių pasaulyje atsiranda vis naujų gudriai sukurtų virusų, tad
šis “katės ir pelės” žaidimas tarp virusų kūrėjų ir antivirusinių programų
gamintojų tęsiasi. Virusų autoriai yra itin išradingi. Jie nuolat randa
naujų būdų sukliudyti antivirusinėms programoms, tad tikriausiai virusų
taip greit neatsikratysime.
Ką gi reikia daryti, norint netapti virusų auka? Žinoma, jeigu negalima
pataisyti visuomenės ir padaryti jos idealia, tai bent jau reikėtų
pasirūpinti savo informacinių sistemų apsauga. Norint apsisaugoti nuo
virusų, patartina imtis šių veiksmų:
➢ apsaugoti nuo įrašymo tuos diskelius, iš kurių informacija tik
skaitoma;
➢ standžiajame diske reikėtų sukurti tokį apsaugotą nuo įrašymo loginį
diską, kuriame laikysite nekeičiamą informaciją (programas ir
duomenis);
➢ vengti pperrašinėti informaciją iš kitų kompiuterių, nes ji gali būti
užkrėsta;
➢ prieš perkeliant bet kokią informaciją iš diskelio, jį būtina
patikrinti antivirusine programa;
➢ visą gautą programinę įrangą (ypač demonstracinę ar nemokamą) prieš
įkeliant būtina patikrinti antivirusine programa;
➢ vengti leisti naudotis kompiuteriu kitiems asmenims (ypač
pašaliniams);
➢ reguliariai atnaujinti turimas ir įsigyti naujas antivirusines
programas;
➢ visada atsargai turėkite sisteminį diskelį su svarbiausiomis
operacinės sistemos komandomis
Gaila, tačiau visos paminėtos priemonės negali 100 procentų garantuoti
jūsų duomenų saugumo, tačiau protingai ir racionaliai taikomos, jos padės
išvengti bereikalingos rizikos ir tuo pačiu apsaugos ne tiktai informaciją,
bet kai kuriais atvejais netgi žmonių sveikatą ir gyvybę.
Naudota literatūra:
1. J. Adomavičius ir kiti. Informatika. Kaunas: Technologija, 2000;
2. B. Starkus. Personalinis kompiuteris. Kaunas: 1994;
3. V. Dagys. Darbo asmeniniais kompiuteriais pagrindai. Vilnius: 2001;
4. Naujoji komunikacija (vasario 11 – 25 d. Nr. 3 (40)) Vilnius: 1999;
5. V. E. Figurnovas. IBM PK vartotojui. Kaunas: 1998;
6. A. Žilinskas ir kiti. Informatika. Vilnius: 2000;
7. D. Vitkutė.
8. Personalinių kompiuterių operacinės sistemos. Vilnius: 1995;
9. www.delfi.lt;
10. www.sociumas.lt;
11. www.gamezone.lt;
12. www.labas.com;
13. www.infobalt.lt;
14. www.quake.lt;
15. www.maf.vu.lt;
16. www.stebetojas.hypermart.net;
17. www.elnet.lt;
18. www.fmmc.lt;
19. www.ebiz.lt;
20. www.rtn.lt;
21. www.smm.lt;
22. www.forum.lt;
23. www.ada.lt;
24. www.spauda.lt;
25. www.ada.lt;
26. www.atzalynas.su.lt;
27. www.pss.lt;
28. www.elnet.lt.
