OCHRONA ANTYWIRUSOWA - PROGRAMY ANTYWIRUSOWE I SPOSOBY ICH DZIAŁANIA

f) ochrona antywirusowa - programy antywirusowe i sposoby ich działania

Nie ma zasad, gwarantujących bezwirusową pracę. Istnieją jednak reguły, pozwalające zminimalizować ryzyko zarażenia, a w razie infekcji zmniejszające skutki działań niszczących wirusa.

Co nie grozi zarażeniem?

Wbrew powszechnie panującej opinii, przeczytanie wiadomości e-mail nie może spowodować zarażenia. Może je spowodować dopiero otwarcie zawirusowanego pliku dołączonego do takiej wiadomości. Nie można się zarazić również poprzez przeglądanie stron w Internecie - jeśli nie ściągamy żadnych plików, to jedynymi danymi fizycznie zapisywanymi na dysku są tzw. cookies - dane o odwiedzanych stronach przeznaczone dla przeglądarki. Cookies nie mogą zawierać wirusów, nie jest więc możliwe zarażenie się w ten sposób. Jedyną możliwością "złapania" wirusa jest otwarcie zainfekowanego pliku lub próbo dostępu do zawirusowanego sektora dysku.

Jak się bronić?

Podstawową zasadą jest posiadanie dobrego pakietu antywirusowego. Piszę "pakietu", gdyż obecnie większość tego typu programów składa się z wielu modułów o różnych funkcjach. Przy wyborze oprogramowania antywirusowego należy zwracać uwagę, czy posiada ono następujące elementy:

1. Skaner użytkownika (tzw. "ręczny", On-demand scanner) - podstawowy moduł, występujący we wszystkich typach oprogramowania. Umożliwia skanowanie plików przez użytkownika w wybranym przez niego momencie. Standardem jest kontrola zbiorów skompresowanych.

2. Skaner rezydentny - skaner, który pracuje w tle przez cały czas. Do jego zadań należy bieżąca kontrola wszystkich uruchamianych plików, otwieranych dokumentów czy wkładanych dyskietek. Powinien posiadać funkcję skanowania plików ściąganych z Internetu.3. Terminarz - pozwala na zaprogramowanie pakietu tak, aby szukał wirusów o określonej porze, np. w nocy.

Dodatkowo oprogramowanie antywirusowe powinno umożliwiać generowanie raportów z bieżącej pracy. Bardzo ważne jest także, aby skaner wykorzystywał najnowsze metody wyszukiwania, takie jak np. heurystyczna metoda wykrywania wirusów (Chroni przed wirusami polimorficznymi, polega na analizie kodu pliku i symulacji jego wykonania. Pozwala na wykrycie operacji charakterystycznych dla wirusów, takich jak np. próba bezpośredniego dostępu do dysku.), czy sumy kontrolne.

Programy antywirusowe

Programy antywirusowe są najsilniejszym narzędziem, jakie powstało w celu walki z wirusami. Od momentu pojawienia się pierwszego wirusa powstał cały szereg różnorodnego oprogramowania. Istniejące i ciągle rozwijające się programy ułatwiają ochronę systemu przed inwazją.

Programy antywirusowe możemy podzielić na następujące grupy funkcjonalne:

1. Blokery - są to jedyne programy, próbujące przeciwdziałać inwazji. Zasadą ich działania jest monitorowanie poczynań uruchamianych programów i w przypadku odkrycia "podejrzanych" operacji alarmowanie użytkownika i pozostawianie mu decyzji o dalszym działaniu. Jest to znakomita metoda, ale jak każda posiada oczywiście swoje wady. Jedną z nich jest przede wszystkim mała skuteczność, gdyż nowe wirusy bardzo często posiadają mechanizmy uniemożliwiające wyodrębnienie z nich operacji "podejrzanych". Kolejną wadą jest zajmowanie części zasobów komputera - pamięci operacyjnej oraz obciążanie w jakimś stopniu procesora. Ostatnią wadą jest to, iż programy owe mają tendencję do częstego "mylenia się" co związane jest z "fałszywym alarmem".

2. Programy diagnostyczno-leczące - ta grupa programów opiera się na poszukiwaniu na dysku i w pamięci znanych już wirusów i w przypadku wykrycia (na podstawie charakterystycznych algorytmów zawartych w plikach) - usuwaniu skutków infekcji. Są to programy najczęściej stosowane i chyba najbardziej przydatne w profilaktyce. Niestety są nieskuteczne w przypadku zainfekowania nieznanym wirusem bądź wtedy, gdy wirus zadziała natychmiast po zainfekowaniu komputera i dokona nieodwracalnych zniszczeń. Do programów tego typu zaliczamy, już chyba legendę programów antywirusowych - Mks_Vir-a, autorstwa Marka Sella.

3. Programy sprawdzające sumy kontrolne plików - istotą tej grupy programów jest zakładanie bazy danych, zwierających pewne cechy zbiorów dyskowych i newralgicznych obszarów dysków. Te programy, przez systematycznym stosowaniu, umożliwiają wykrycie źródła infekcji, a czasem odzyskanie pozornie bezpowrotnie straconych informacji.

Brak rzetelnych informacji na temat wirusów prowadzi do częstych wybuchów paniki, czego przykładem są np. dwudniowy paraliż światowych systemów informatycznych na wieść o nieistniejącym wirusie Michaelangelo czy obiegające świat ostrzeżenia o rzekomych wirusach w e-mailach zatytułowanych "PENPAL GREETINGS", czy "JOIN THE CREW". Moim zdaniem należy zwalczać takie wiadomości, choćby poprzez odpowiednią edukację użytkowników komputerów, prowadzoną za pomocą czasopism o tematyce informatycznej. Dobrym przykładem magazynu starającego się od dłuższego czasu zwalczać różne fałszywe poglądy na tematy związane z komputerami, jest PC WORLD KOMPUTER. Myślę, że gdyby więcej czasopism podjęło działania w tym kierunku, użytkownicy komputerów przeżywaliby znacznie mniej stresów spowodowanych swoją niewiedzą.

Programy antywirusowe sprawdzają programy i dane na dysku oraz na dyskietkach i jeśli znajdą wirusy, starają się je zniszczyć. Aby zwalczyć nowo powstałe wirusy, programy antywirusowe muszą być często uaktualniane. W Polsce najbardziej rozpowszechniony jest program antywirusowy Marka Sella - MkS-Vir, wciąż uaktualniany.

Okno dialogowe programu MkS-VIR

Ze względu na sposoby działania programy antywirusowe można podzielić na następujące rodzaje:

• Programy monitorujące, czyli programy śledzące aktywność uruchamianych na komputerze programów (kontrolujące one tylko programy załadowane do pamięci operacyjnej)

• Programy obliczające sumy kontrolne wszystkich programów zapisanych w plikach na dyskach twardych

• Programy skanujące, czyli programy polujące na określone wirusy i potrafiące je unieszkodliwiać bez zniszczenia programu będącego nosicielem wirusa.

Jednym z lepszych polskich programów z pakietów antywirusowych, który ma w sobie wszystkie trzy rodzaje wyżej wymienione programów to MKS_VIR dla Windows 95/98. Po wykryciu wirusa program antywirusowy zwykle proponuje usunięcie wirusa i całkowite wyleczenie systemu z danego wirusa. Wtedy jesteśmy szczęśliwi, bo możemy usunąć wirusa całkowicie. Gdy z jakiś powodów nie może dokonać całkowitego leczenia, program antywirusowy proponuje zamrożenie wirusa. Zamrożenie to polega na tym, że wirus nadal jest w systemie, lecz traci właściwość rozmnażania się. Gorzej przedstawia się sytuacja, gdy program nie może sobie poradzić z wirusem i proponuje całkowite usunięcie zarażonego pliku. Trzeba wtedy zastanowić się jak zdobyć poprzednią wersję pliku i oczywiście nie zarażoną.

Czasy, gdy cały program złożony był z jednego pliku EXE, jak np. chyba najpopularniejszy w Polsce MkS_Vir, mamy już dawno za sobą. Nowoczesny pakiet antywirusowy składa się z zestawu narzędzi zapewniających kompleksowy system ochrony. Nadal podstawą jest skaner, który na żądanie przegląda pliki wykonywalne oraz dokumenty zawierające makra i sektor startowy dysku w poszukiwaniu sygnatur wirusów. Standardem jest kontrola zbiorów skompresowanych. W niektórych przypadkach użytkownik może utworzyć i zapisać skrypt zadania (np. kontrola katalogów C:\WINDOWS i C:\MOJE DOKUMENTY razem z podkatalogami), aby uwolnić się od konieczności każdorazowego wskazywania skanerowi tych samych obiektów. Drugim nieodzownym programem jest rezydentny monitor. Najlepsze monitory zajmują na tyle mało pamięci i mocy obliczeniowej procesora, że ich obecność jest niezauważalna. Niektóre jednak spowalniają system, co prowokuje do ich wyłączenia. Tak czy inaczej, warto mieć działający w tle monitor, który sam pamięta o sprawdzeniu każdego uruchamianego pliku czy otwieranego dokumentu i ostrzega w przypadku wykrycia infekcji.

4

---