Еще раз про вирусы и антивирусы

Статья "Антивирусное многоборье" вызвала огромный резонанс со стороны читателей. Мой почтовый ящик просто "утонул" в ваших письмах. Приятно, что, кроме критики, материал получил немало похвальных отзывов, а также несколько ценных замечаний, которые невозможно не упомянуть. Ответы на многие однотипные вопросы я, как всегда, решил оформить в виде статьи, чтобы ответить всем и сразу.

В первую очередь хотелось бы выразить благодарность бдительному читателю NAGRIS'у, который предложил простой и удобный метод русификации интерфейса антивируса Panda Titanium 2005. Как выяснилось, Panda Titanium 2005 уже имеет встроенный производителем русский интерфейс, но покажет она его только если в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Antivirus Platinum\LANGUAGE установить значение 8. Также хочется ответить всем тем, кто ругает "Антивирус Касперского" за непомерную прожорливость в отношении оперативной памяти (см. статью нашего читателя "Антивирусное ПО: взгляд со стороны"). Хочется заметить, что нахождение вирусов по сигнатурам — это огромное количество чисто математических операций, под которые, соответственно, необходимо процессорное время и оперативная память. С другой стороны, пиковое выделение оперативной памяти для процесса kavsvc.exe (основной модуль антивируса) составляет 32 Мб, среднее — около 10-12 Мб. Да, для компьютера, у которого всего 128 Мб оперативки, Касперский слегка тяжеловат. Но зачем держать антивирусную защиту включенной постоянно? Ведь двумя щелчками по иконке в трее можно включить или выключить антивирусную защиту. Если антивирусная защита отключена, Касперский занимает в памяти всего 3 Мб. А выходя в Интернет постоянную защиту можно включить, причем в версиях 5.0.3хх это делается автоматически. Конечно, каждый сам выбирает, что ему важнее: надежная защита или быстрота, — но, как гласит мораль известной сказки, самые легкие и быстро построенные домики так же быстро и разваливаются при появлении настоящей угрозы:-).

Как выяснилось, многие пользователи сталкиваются с проблемой невозможности обновления антивирусных баз в старых версиях "Антивируса Касперского". Действительно, такая проблема имеет место во всех версиях до билда 5.0.227. Это связано с некоторыми изменениями в формате антивирусных баз, в результате чего более ранние версии сообщают о поврежденных файлах обновлений. Здесь хочется вспомнить высказывание службы технической поддержки одного известного программного продукта: "Прежде чем жаловаться, что у вас что-то не работает, давайте вы поставите самую последнюю версию нашего продукта. Скорее всего, ваша проблема уже давно устранена". Если ваш антивирус нашел упакованный файл, защищенный паролем, а что это за файл, и какой у него пароль, вы не знаете, рекомендую его просто пропустить при антивирусной проверке. А вдруг этот файл нужен кому-то из ваших знакомых, кого вы пустили поработать за своим компьютером? Конечно, встречаются концептуальные вирусы, которые упаковывают себя в архивы, защищенные паролями, а в письме, в которое вложен упакованный файл, приводится заманчивое предложение с паролем. Но современные антивирусы (к примеру, тот же Касперский) уже научились бороться с подобными трюками, так что попытки такого "хитрого" вируса проникнуть на ваш компьютер закончатся бесславно еще в процессе получения зараженного письма.

"ВирусБлокАда"

В связи с многочисленными просьбами я также решил протестировать по методике, описанной в "Антивирусном многоборье" (КГ №21, за 2005 г.), белорусский продукт "ВирусБлокАда" сайт . И результаты меня приятно удивили. "БлокАда" распознала запакованный вирус Sasser во всех тестах (UPX, ASProtect 1.2 и даже Armadillo), что указывает на хороший алгоритм работы с упакованными файлами. Тестовый вирус был также обнаружен в архивах RAR, ZIP и ACE. Кроме того, "БлокАда" распознала DOS'овский вирус ХРЕН, что демонстрирует внимание ее разработчиков к старым, но все еще опасным вирусам. WMV-эксплоит также был успешно опознан, но вылечить видеоролик "БлокАда", к сожалению, не смогла, предложив только удаление. С удалением макровируса Thus у нее также не возникло никаких проблем. Наиболее интересный результат был получен при использовании тестового трояна Optix Killer. При запуске "БлокАды" он умудрился довольно быстро завершить процесс антивируса, хотя тревожное окошко "БлокАда" выкинуть все же успела. Я уже хотел было засчитать белорусскому антивирусу поражение в этом тесте, но обнаружил, что подключиться к Optix Killer не могу. Как выяснилось, перед собственной "гибелью" "БлокАда" нанесла смертельный удар противнику — Optix Killer намертво завис.

Причем такая ситуация повторилась три раза подряд. Таким образом, "БлокАда" справилась со своей задачей на 75%: и пользователя предупредила, и работу троянца нарушила, хотя и сама не устояла. Для получения антивирусных баз трехнедельной давности мне пришлось немало походить по знакомым, но в результате искомые базы были найдены. И тут "БлокАду" ждало единственное серьезное поражение — Gaobot распознан не был, хотя с базами от 12.06.2005 эта версия вируса прекрасно опознается. Видимо, оперативность обновления антивирусных баз у "БлокАды" тоже неплохая, а вот эвристический модуль мог быть и получше. Таким образом, я бы поставил "БлокАду" на один уровень с Avast!, учитывая что белорусский антивирус хочет денег за свое использование. Впрочем, как показал тест, хочет не зря, а стоимость оказывается меньше, чем у того же Касперского. Да и белорусских разработчиков всегда приятно поддержать!

Письмо с очень интересным пожеланием пришло от читателя Alexа:
Хоть раз каждый пользователь сталкивался с вирусами. Возникает куча проблем и вопросов, как быть, с чего начинать и как с ними бороться. Будем исходить из того, что большинство юзеров — "чайники", да и более опытные пользователи иногда сами толком не знают, как бороться с появившимся вирусом. Вот и хотелось бы услышать на страницах рекомендации, можно даже пошаговые, экстренные меры и действия при появлении вирусов (заодно и признаки того, что словил вирус).

Что же, попытаюсь дать на это письмо развернутый ответ. Как определить, что ваш компьютер заражен вирусом? Первым и основным критерием должно стать следующее: выполняет ли компьютер какие-либо действия без вашего на то указания? Это может быть самопроизвольное выключение компьютера или перезагрузка, включение модема, изменение фоновой картинки рабочего стола, стартовой страницы браузера, вывод разнообразных сообщений и т.п. Еще одним признаком наличия скрытой "живности" может послужить резкое уменьшение скорости загрузки интернет-страниц или активная передача данных в те моменты, когда ни одно из ваших приложений сетевой активности проявлять не должно. Вирус может изменить файл hosts в папке WINDOWS\system32\drivers\etc, что приведет к невозможности открытия определенных сайтов или обновления антивируса. Если ваш антивирус вдруг перестал обновляться и говорит об ошибке соединения с Интернет, а вы уверены, что подключение успешно установлено, откройте файл hosts любым текстовым редактором и удалите строки и очистите его.

Если система выводит сообщение об ошибке, не мешает проверить, какое приложение его выводит на самом деле. Для этого можно воспользоваться бесплатной программой PROWISE Manager сайт, которая имеет множество преимуществ перед стандартным Диспетчером задач Windows. Открыв вкладку Окна, найдите там название окна с сообщением об ошибке, щелкните по нему правой кнопкой и выберите Свойства процесса. Если сообщение подлинное, то его посылают процессы alg.exe, explorer.exe, csrss.exe, lsass.exe, smss.exe, rundll32.exe, services.exe, svchost.exe, winlogon.exe, wdfmgr.exe. При этом обязательно проверьте, что для всех вышеуказанные файлы, кроме explorer.exe (он живет в самой папке WINDOWS), лежат в папке WINDOWS\System32. Производителем этих файлов должна быть Корпорация Майкрософт, или Microsoft Corporation, а дата их модификации не должна быть особенно недавней, если вы не осуществляли установку обновлений ОС. Еще имеется такой системный процесс System (без exe!), у которого свойств быть не должно. Если сообщение о системной ошибке выводится другим процессом, например, процессом winlogin из папки WINDOWS, то с 99% вероятностью можно утверждать, что это вирус.

Вообще, если имя какого-нибудь процесса очень похоже на имя одного из системных, то лучше такой процесс сразу же убивать, ибо многие авторы вирусов играют на незнании пользователями точных имен системных процессов. Если вы устанавливаете новое программное обеспечение или драйверы устройств, которые должны работать постоянно (файрволл, антивирус, менеджер горячих клавиш и т.п.), не поленитесь записать названия их процессов, которые появились в системе, имя производителя, версию и время модификации файлов. Это простое действие поможет вам отделить полезные установленные вами приложения от "незваных гостей". Многие черви любят заявлять о своем появлении на компьютере знаменитым "окошком на 60 секунд", имитируя тем самым системную ошибку. Чтобы отловить такую заразу по горячим следам, быстро нажимаем комбинацию клавиш Win+R (аналогично Выполнить в меню "Пуск"), набираем cmd и жмем Enter (откроется командная строка), прописываем в командной строке "shutdown /a" (без кавычек) и еще раз нажимаем Enter. Теперь страшная угроза перезагрузки отошла на задний план, и можно спокойно изучить список процессов в поисках вируса. В PROWISE Manager имеется вкладка "Автозагрузка", которая позволяет наиболее полно узнать обо всех несистемных программах, которые запускаются автоматически. Тут правило простое: не знаю, что это за программа, значит, в автозагрузке ей делать нечего. Перед чисткой автозагрузки рекомендую завершить все процессы, кроме системных, ибо многие вирусы подновляют свои записи через определенные промежутки времени. У вируса есть еще один неплохой путь запускаться автоматически — попасть в список системных сервисов. Чтобы посмотреть список сервисов, открываем Выполнить, набираем services.msc и нажимаем Enter. Перед вами откроется список всех сервисов системы.

Сервисы, входящие в состав самой Windows, имеют подробные описания на русском языке (если у вас русская версия Windows) — по этому критерию их легко отличить. Все остальные сервисы (которые не имеют описаний или же имеют описания на английском языке) просматриваем очень внимательно. Тут действует принцип: не знаю — значит, выбираем Свойства и переводим тип запуска в состояние Отключено. При этом надо иметь определенную осторожность, ибо отключение, к примеру, сервиса драйвера видеокарты может привести к плачевным последствиям. Также с определенной осторожностью следует пройтись по файлам драйверов, что также можно сделать с помощью PROWISE Manager. Если вы даже нечаянно выключите критический драйвер, всегда можно нажать до загрузки ОС F8 и выбрать Загрузка последней удачной конфигурации (с работоспособными параметрами). Если злостный вирус не дает вам нормально войти в систему (вас выбрасывает сразу же после входа в нее), невозможно запустить ни одно приложение и т.п., необходимо загрузиться в безопасном режиме и уже тогда инспектировать списки сервисов, драйверов и автозагрузку.

Не хочется, конечно, повторять избитые истины, но наличие файрволла и антивируса со свежими (максимум недельной давности) базами уберегает от подавляющего большинства всякой гадости. А если при этом регулярно скачивать обновления (в момент написания этой статьи мой модем усердно тянет 6 свежих патчей для Windows XP) для своей операционной системы, то угроза заражения сведется к минимуму (при этом следует помнить, что многие патчи начинают защищать вас только после перезагрузки системы). Ведь от любой напасти всегда проще защититься, чем потом ее лечить. В отношении макровирусов могу дать только один совет: лучше их вообще отключить в настройках Microsoft Office'а. Для этого в меню Сервис Word и Excel выберите Параметры, затем — вкладку Безопасность и установите высокий уровень защиты от макросов. Отличным средством против любых вирусных напастей может стать программа Norton GoBack 4 сайт . Девиз Norton GoBack — "Отодвинь время назад!" Эта чудесная софтина осуществляет прозрачное для пользователя архивирование всех изменений файловой системы. При этом она практически не тормозит современный компьютер. Таким образом, словив вирус, вы спокойно перезагружаетесь и, увидев заставку Norton Go Back, которая появляется до загрузки ОС, нажимаете клавишу пробела. После этого можете выбрать диск, на котором необходимо отменить все изменения за указанный промежуток времени. Таким образом, даже если вирус серьезно нарушит работу операционной системы и даже загрузка в безопасном режиме не поможет, вы всегда сможете вернуть систему в работоспособное состояние. Norton GoBack умеет восстанавливать и отдельные удаленные файлы, так что, если вируса вы отловили сами, но пару файлов "живность" успела погубить, их всегда можно будет восстановить без общего отката.

Если же у вас все еще остались вопросы, пожелания и предложения по данной теме, напишите мне на e-mail.

Sanik, mowchana@list.ru


Компьютерная газета. Статья была опубликована в номере 23 за 2005 год в рубрике безопасность :: разное

©1997-2022 Компьютерная газета