ПРЕДОХРАНЕНИЯ
(антивирус Касперского)
Маленький мальчик письмо получил,
Вложенный файл торопливо открыл…
|
Сначала думал дописать окончание страшилки, а потом передумал: что толку сотрясать воздух словами? Убежденные противники использования антивирусных программ только в очередной раз хмыкнут, а те, кто ни разу не сталкивался с проблемами, возникающими при вторжении вируса в систему, и дальше будут верить в свою неуязвимость. Кстати, можно приписать себе открытие нового жанра – страшилки компъютерные. Берите идею, не жалко.
И все-таки, а что будет дальше с легкомысленным юнцом ? А дальше, дружок, будет мальчонке хороший урок. Трудно предугадать с каким вирусом познакомится пользователь, получивший «в подарок» информацию о том, что отныне в его руках колоссальные возможности по зарабатыванию миллиона в неделю, или, к примеру, неограниченный доступ к десятку крутейших порносайтов. Вот оно, счастье, рядышком, только открой ма-а-ленький такой файл. «Гюльчатай, открой личико!». Судьба Петрухи всем известна…
Почитаешь сообщения в форумах и конференциях, и складывается такое ощущение, что поголовно все юзеры имеют на своих машинах самые продвинутые антивирусники. А в реальной жизни, увы, все наоборот. Да что далеко ходить, когда в прошлом году почтовый робот моего провайдера жестоко страдал от вируса «I-Worm Hybris», и пару раз в день означенный робот рассылал всем своим клиентам послания с аттачем в виде заразного ехе-файла. Зато теперь – благодать, приходит только короткое письмецо о том, что, дескать, шло к вам послание из дальних краёв, да так и померло на сервере по причине своей мерзкой сущности. А клиенты, которых автору статьи приходится подключать к Сети, перво-наперво озабочены адресами серверов халявной музыки и неодолимым желанием поскорее зайти в чат, но никоим образом не своей безопасностью.
Святая наивность думать, что гуляя в Интернете, вирус невозможно схватить по определению. Ниже мы рассмотрим и такой пример. Одним словом, если вы еще не обзавелись антивирусной программой, сделайте это немедленно, поскольку, последствия отсутствия наличия оного будут весьма печальными. Наверное, многие помнят о разрушительном воздействии на систему и железо вируса «Чернобыль». И кто знает, какой «сюрприз» сейчас пишет для нас какой-нибудь студент-программист из той же Малайзии?
Вряд ли в одной статье удастся описать все типы вирусов, которые буйствуют сейчас в компъютерной среде, но по определению вирусом называется программа, которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. А владелец ПК и знать ничего не знает.
МАЛЕНЬКИЙ ЛИКБЕЗ
По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные.
Сетевые вирусы распространяются по компьютерной сети (помните мальчика
в начале статьи?), файловые же разновидности внедряются в выполняемые
файлы, загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор,
содержащий системный загрузчик винчестера (Master Boot Record). Существуют
сочетания - например, файлово-загрузочные вирусы, заражающие как файлы,
так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно
сложный алгоритм работы и часто применяют оригинальные методы проникновения
в систему.
Способы заражения делятся на резидентный и нерезидентный. Резидентный
вирус, попав на компьютер жертвы, оставляет в оперативной памяти свою
резидентную часть, которая затем перехватывает обращение операционной
системы к объектам заражения и внедряется в них. Резидентные вирусы находятся
в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы не заражают память компьютера и являются активными
ограниченное время.
По деструктивным возможностям вирусы можно разделить на:
· безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения
свободной памяти на диске в результате своего распространения). Сидят
себе, и тихонько радуются, что живы доселе.
· неопасные, влияние которых ограничивается уменьшением свободной памяти
на диске и графическими, звуковыми и пр. эффектами. Попросят, к примеру:
«-Дай конфетку», и успокоятся.
· опасные вирусы, которые могут привести к серьезным сбоям в работе. Тут
делать нечего, придется прнимать меры.
· ну, просто очень опасные, которые могут привести к потере программ,
уничтожить данные, стереть необходимую для работы компьютера информацию,
записанную в системных областях памяти, а порой, как упомянутый «Чернобыль»,
вывести из строя часть железной начинки компъютера. Более чем грустно,
правда?
По особенностям алгоритма можно выделить следующие группы вирусов:
Компаньон-вирусы (companion) - это вирусы, не изменяющие файлы.
Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов
файлы-спутники, имеющие то же самое имя, но с расширением .COM, например,
для файла SETUP.EXE создается файл SETUP.COM. Вирус записывается в COM-файл
и никак не изменяет исходный экзешник. При запуске такого файла DOS, разумеется,
первым обнаружит и выполнит COM-файл (читайте Сергея Трошина), т.е. вирус,
который затем запустит и EXE-файл.
Вирусы-«черви» (worm) - вирусы, которые распространяются в компьютерной
сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на
дисках. Они проникают в память компьютера из компьютерной сети, вычисляют
по адресной книге адреса других пользователей и рассылают по этим адресам
свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы,
но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной
памяти). Вот от такого червя и страдал почтовый робот моего провайдера.
«Вирусы-паразиты» - все вирусы, которые при распространении своих
копий обязательно изменяют содержимое дисковых секторов или файлов. В
эту группу относятся все вирусы, которые не являются «червями» или «компаньонами»
(ни фига себе, компаньон!).
«Студенческие» - крайне примитивные вирусы, коряво написанные и
содержащие массу ошибок. Доморощенными «кул-хацкерами» выдаются за супер-трояны
типа «Смерть ламера».
«Стелс»-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и этак ненавязчиво подставляют вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы.
«Полиморфные» - вирусы (самошифрующиеся, или вирусы-призраки,
polymorphic) - достаточно труднообнаруживаемые вирусы, не имеющие сигнатур,
т.е. не содержащие ни одного постоянного участка кода. Это достигается
шифрованием основного тела вируса и модификациями программы-расшифровщика.
«Макро-вирусы» - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые процессоры, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word. Являются в кошмарных снах бухгалтерам во время подготовки годового баланса.
Помните, как в свое время бывший президент призывал поддерживать отечественного производителя ? Вот и мы сегодня рассмотрим антивирусную программу от российской «Лаборатории Касперского» (http://www.kaspersky.ru/). На сегодняшний день доступной версией является программа «Антивирус Касперского™ 4.0» трех модификаций: «Lite», «Personal» и «Personal Pro». Поскольку производитель российский, то, разумеется, при желании можно выбрать нужный вариант программы и с русским интерфейсом.
На мой взгляд, оптимальным выбором для большинства пользователей будет «Антивирус Касперского Personal», поскольку «AVP Lite» способен работать только с ситемами Windows 9х/МЕ, а в «Антивирус Касперского Personal Pro» добавлены «MS 2000 Office Guard» и «Kaspersky Inspector», которые вряд ли окажутся востребованными рядовым юзером, и ко всему прочему, увеличивают стоимость программы на 19 американских тугриков. Цена же «Антивируса Касперского Personal», как всегда, классическая – 50 долларов со сроком действия лицензии на один год. Справедливости ради скажу, что купленная мной два года назад версия «AVP Gold 3.0.132.2» генерировала ключевой файл для работы на три года.
Демонстрационные версии программ доступны для свободного скачивания по адресу: http://www.kaspersky.ru/download.html?id=54 , но следует учесть, что никакого лечения и обновления антивирусных баз в триальных версиях вы не увидите. Дистрибутив программы весит 12 Мб, а в распакованном виде на диске затребует порядка 9-10 Мб в зависимости от типа установки – полная или выборочная. Вот что предлагается установить для полного, прости Господи, предохранения:
· AVP Центр Управления.
· Диски аварийного восттановления.
· AVP Монитор для Windows 95/98/2000/NT/XP.
· AVP Сканер для Windows 95/98/2000/NT/XP.
· AVP Mail Checker.
· AVP Script Checker.
· Автоматическое обновление.
Вот с первого компонента под названием AVP Центр Управления мы
и начнем знакомство с программой (рис.1) :
После установки программы он по умолчанию прописывается в трее, и выполняет следующие функции: может назначить какую-либо задачу, отменить задачу, показать статистику, а также может запустить любой компонент, приостановить или отменить его выполнение, да и настройку всех программ пакета удобнее производить, пользуясь одним интерфейсом на всех.
Другими словами, вы можете приказать Центру управления запускать сканнер для проверки дисков в каждый день после обеда, или, к примеру, обновлять содержимое антивирусных баз с утра по четным пятницам. Все манипуляции с задачами можно производить из контекстного меню правой кнопки мыши, предварительно щелкнув на названии задачи (рис.2) :
В конечном итоге о необходимости этого приложения судить вам, а безболезненно удалить «Центр управления» можно из Панели управления – Удаление и установка программ. В меню деинсталляции из трех пунктов нужно будет выбрать опцию Изменить, и в списке приложений уничтожить ненужное.
Диски аварийного восстановления. Думается, нет нужды объяснять назначение этого приложения. При вызове этой опции запустится мастер-визард, который создаст загрузочный диск с системными файлами Linux-а (возрадуйтесь, Линуксоиды), а также диски с исполняемыми файлами AVP и набором антивирусных баз. Если вирус завалит систему, можно попробовать восстановить нажитое непосильным интеллектуальным трудом, загрузившись с дискет и применив всю мощь антивируса. Но по советам службы технической поддержки «Лаборатории Касперского», делать это нужно только в самом крайнем случае. Вот так-то. Как удалять ненужные приложения AVP – см.выше.
AVP Монитор для Windows 95/98/2000/NT/XP (далее – просто Монитор). Вещь, крайне нужная, которая обезопасит пользователя от контакта с зараженным файлом, который давно лежит на диске, или только что скачался из Сети. Интересная деталь: при выборочной установке без «Центра управления», Монитор прописывает себя в Автозагрузку, и запускается свернутым в трей при каждой загрузке системы в виде этакого черного мониторчика с красным восклицательным знаком (рис.3) :
Некоторые шибко «продвинутые» пользователи просто выбрасывают ярлык Монитора из Автозгрузки, за что нередко расплачиваются. Представим себе такую ситуацию: утром, чуть проснувшись, радостный юзер бежит к машине, грузит систему и проверяет почту, спросонья забыв включить Монитор. А в письме – см.эпиграф. Вот здесь-то и может помочь рассмотренный Центр Управления: будучи включенным, он хранит таких пользователей от подобных ошибок, запуская Монитор при старте системы.
Принцип работы Монитора не сложен для понимания: постоянно находясь в памяти, приложение отслеживает все обращения к файлам, и если обнаружит что-либо, содержащее вирус, тут же запретит доступ к заразе, выдав при этом вот такое сообщение (рис.4) :
В данном случае с компакт-диска копировалась папка с маленькой игрушкой. Сама папка скопировалась, а зараженный ехе-файл так и остался горевать на CD.
Но чтобы Монитор не прошляпил врага, и не ввел вас в искушение, необходимо должным образом настроить параметры приложения. Двойным щелчком мыши по значку Монитора в трее вызывается окно нашего бдительного сторожа (рис.5) :
Выбираем режим Эксперт, и после нажатия кнопки Объекты выбираем диски, за которыми Монитор должен надзирать, а также в опции Действия в случае обнаружения вируса выбираем себе нужные параметры. Что же делать с инфицированным объектом ? В случае, если очень хочется, или же если файл представляет определенную ценность, можно попытаться его вылечить, пометив точкой соответствующий параметр. Если же лечение невозможно, о чем монитор честно предупредит, то с зараженным файлом лучше расстаться без сожаления. А можно приказать Монитору сразу уничтожать зараженные объекты – кому как нравится. В опции Сканировать файлы следующих типов лучше всего отметить параметр Все файлы, что могут быть заражены.
Если же перестраховаться, и отметить параметр Все файлы, то Монитор будет усиленно проверять и картинки, и звуковые файлы, которые не могут нести в себе заразу по определению (хотя, время от времени появляются слухи о возможности инфицирования МР3-файлов). А вот в опции Сканировать составные файлы, наверное, есть смысл выбрать все параметры: архивы, вложенные объекты, почтовые базы данных и т.д. Кто его знает, в каком виде вирус постучится к нам на постой ?
Также настоятельно рекомендуется отметить опцию Использовать эвристический анализ, поскольку «Антивирус Касперского» снабжен возможностью тонко анализировать начинку файла, и в случае, если что-то покажется Монитору подозрительным, но в антивирусных базах не найдется нужной информации, объект будет классифицирован как подозрительный, о чем пользователя также известят. Следует учесть, что при этом работа системы в целом замедляется порой весьма ощутимо.
Кнопка Параметры. Можно приказать программе сохранять копии инфицированных
объектов в соответствующей папке (как правило, это папка Infected),
а также можно позволить себе создание отчета и ограничение размера сканируемых
файлов. Последнее, на мой взгляд, вещь довольно опасная.
Кнопка Настройка. Совсем просто: назначение звуковых эффектов (довольно
мерзкий звук при обнаружении вируса), разрешение на вывод предупреждения
(обязательно!) и проверка необходимости обновления антивирусных баз.
Под кнопкой Статистика скрывается тривиальный отчет о проделанной
Монитором работе и ее результатах.
Все сделанные настройки Монитора сохраняются при нажатии на кнопку Применить.
Только не следует думать, что при обнаружении вируса вы легко сможете
с ним расстаться: Монитор бдит, и запрещает какой-бы то ни было доступ
к зараженному объекту, если вы заранее не приказали программе автоматически
удалять вражину.
Метод выбрасывания зараженного файла прост: правой кнопкой мыши щелкаем
по значку монитора в трее, и выбираем опцию Отключить мониторинг.
Именно – Отключить мониторинг, а не Выгрузить Kaspersky AVP Monitor,
поскольку в последнем случае монитор все равно останется загруженным в
память. Кстати, из меню правой кнопки мыши доступна команда на обновление
антивирусных баз, но об этом чуть позже.
AVP Сканер для Windows 95/98/2000/NT/XP. Программа для сканирования
дисков на предмет обнаружения вирусов по запросу пользователя, и безжалостного
уничтожения означенных в случае их обнаружения. В процессе работы антивирусный
сканер (далее – просто Сканнер) выполняет следующие функции:
· Обнаруживает и удаляет вирусы всех типов в файлах на указанных для проверки
дисках, в загрузочных секторах и оперативной памяти.
· Обнаруживает и удаляет вирусы из файлов, упакованных PKLITE, LZEXE,
DIET, COM2EXE и другими утилитами сжатия.
· Обнаруживает вирусы в архивированных файлах всех наиболее распространенных
форматов (ZIP, ARJ, LHA, RAR и др.).
· Обнаруживает вирусы в локальных почтовых ящиках наиболее распространенных
почтовых систем.
· Использует усовершенствованный эвристический механизм поиска неизвестных
вирусов с эффективностью до 92% (по заверению Лаборатории Касперского,
разумеется).
Запускается из одноименного меню и имеет окно, очень похожее на окно
Монитора (рис.6) :
На скриншоте изображен процесс сканирования одного из жестких дисков. Практически те же кнопки и настройки, но добавлено несколько дополнительных объектов для более тщательного сканирования: сектора, память. Кнопкой Настройка можно задать вывод окна статистики процесса сканирования (сколько и чего было просканировано, сколько вирусов обнаружено и т.д.) и окошка предупреждения, в случае, если сканнер запеленгует врага (рис.7) :
В этом «боевом листке» можно вынести нужный приговор для вируса – сразу уничтожить, или, к примеру, пусть помучается в папке Infected.
AVP Mail Checker. Опция, на описание которой пойдет минимум информации. Kaspersky Anti-Virus Mail Checker предназначен для обеспечения антивирусной защиты пользователя, использующего для отправки и получения
сообщений Microsoft Outlook 97/98/2000, а также проверяет на присутствие вирусов все входящие и исходящие сообщения непосредственно в момент их поступления или отправки, причем ищет вирусы как в самих сообщениях, так и в присоединенных к ним файлах. Также программа сумеет легко и изящно просканировать почтовые сообщения, которые находились в почтовом ящике до установки программы Kaspersky Anti-Virus Mail Checker.
В зависимости от выполненных настроек программа сможет пытается вылечить инфицированные почтовые сообщения, а в случае, если лечение невозможно, - удалит. Также будет сформировано и отправлено уведомление о зараженных сообщениях администратору, отправителю и получателю инфицированного сообщения.
Но если вам по душе другой почтовый клиент и вы не используете какую-либо из версий Microsoft Outlook, то AVP Mail Checker можно смело не устанавливать, поскольку с другими почтовыми программами он работать не будет.
НЕ ХОДИТЕ, МАЛЬЧИКИ, К ДЕВОЧКАМ ГУЛЯТЬ
Для начала крик о помощи из одного форума: «Что делать ?! Зашел на сайт
http://…..ru , и после этого никак не могу избавиться от порнушной стартовой
страницы. Поможите, плззз!». А нечего было шляться по девкам. Установил
бы антивирус с приложением, о котором речь пойдет ниже, и не знал бы проблем.
Хорошо еще, что дело ограничилось только навязчивой рекламой при запуске
браузера. Помочь нам избавиться от заразы при серфинге поможет AVP
Script Checker. Впервые появился в программе AVP Gold, начиная с версии
3.5.1.6, и с тех пор обеспечивает защиту компьютера от проникновения скрипт-вирусов
и интернет-червей, которые выполняются непосредственно в памяти компьютера.
В процессе установки программного пакета Kaspersky Anti-Virus Script Checker
автоматически встраивается в операционную систему и затем не требует запуска
вручную, а будет постоянно бдить, не проникнет ли к нам зараза из Сети.
Работает Скрипт-Чеккер следующим образом: различные программы, использующие
Microsoft Windows Script Host (такие как Microsoft Internet Explorer,
Microsoft Outlook и др.), передают в Script Hosting для обработки и последующего
выполнения скрипты (такие, как VB Script и Java Script). Перед исполнением
этих скрипт-файлов Script Checker передает их на проверку Антивирусному
Монитору (если он установлен и запущен) и, если Монитор не обнаружил вирус,
то начинается проводение эвристического анализа кода скрипт-файла. В случае
подозрения на вирусы Script Checker выдает соответствующее предупреждение
и запрещает выполнение этого скрипта.
А если Монитор усмотрел в ниформации, переданной ему Script Checker-ом
какой-либо «криминал», то немедленно появится вот такое предупреждение
(рис.8) :
Как раз та страница, о которой упоминал страдалец в форуме. Кстати, автор зашел на этот сайт исключительно для того, чтобы сделать скриншот. Нет, правда, честное слово.
AVP Автоматическое обновление. Очень полезная и приятная штука.
Поскольку фантазия вирусописателей неистощима, всевозможные гадости для
нашей системы появляются на свет почти ежедневно. Чтобы антивирусная программа
была в курсе, против кого ей предстоит дружить, авторы софтины пишут всевозможные
контр-штуки, а проще говоря, вирусные базы, в которых и содержатся описания
известных на сегодняшний день вирусов. Кстати, антивирус Касперского знает
порядка 55000 всевозможных вредоносных примочек.
Достаточно кликнуть правой кнопкой мыши по значку монитора и выбрать опцию
Обновить антивирусные базы. То же самое можно сделать при помощи
меню Сервис Монитора или Сканнера. Запустится приложение, в котором
можно выбрать адреса загрузки (всего их пять), нажать на кнопку Далее,
и процесс автоматически скачает и установит самые последние описания вирусов
(рис.9) :
При этом обязательно должны быть запущены либо Монитор, либо Сканнер, чтобы новые антиврусные базы смогли прописаться в системе.
На сайте программы (http://www.kaspersky.ru/updates.html) доступны для скачивания ежедневные, еженедельные и т.н. «кумулятивные» обновления в виде zip-архивов, содержимое которых достаточно распаковать в папку Х:\Program Files\Common Files\KAV Shared Files\Bases. Удобно для тех, у кого нет доступа к Сети – идем к друзьям, скачиваем архив, и на дискетке несем домой.
Полезная информация для владельцев ранних версий антивируса Касперского: ключевой файл, сгенерированный старой программой, вполне подходит и для новой версии. Чтобы сделать работоспособной скачанную демо-версию, просто поместите ключевой файл с расширением *key в папку Х:\Program Files\Common Files\KAV Shared Files.
Помните, друзья мои, что очень многие неприятности как в реальной жизни, так и в компъютерной области имеют одну причину – случайные связи и категорическое нежелание элементарно предохраняться. В итоге, жизнь покажет, что выбирает новое поколение. PS : все вышеизложенное никоим образом не является рекламой фирмы г.Касперского. Кстати, уважаемый тезка может прислать мне деньги за бесплатную рекламу в любое удобное для него время.
PS: как всегда, этот выпуск рассылки вы сможете найти, скачать и прочитать в офф-лайне
 |
 |
| 223 кб | 570 кб |
|
|