Ранні ознаки зараження дуже важко виявити, але коли вірус переходить в активну  фазу, тоді легко помітити такі зміни :

1.4 Антивірусні програми. Типи антивірусних програм.

    Для захисту від вірусів розробляються  спеціальні антивірусні програми, що дозволяють виявляти віруси, лікувати заражені файли і диски, запобігати підозрілим діям. Залежно від виконуваних функцій антивірусні програми діляться на наступні типи.

• Програми-детектори. Ці програми діляться на детектори, які дозволяють виявляти і видаляти відомі віруси, і детектори, здатні боротися з ще не відомими (тобто новими) вірусами. До першої групи детекторів відноситься відома і популярна в колишні роки програма Aids test, розроблена Д.Н. Лозінськім. Детектори другої групи містять в своєму складі так званий евристичний аналізатор, здатний виявляти віруси, які ще не були відомі авторам детектора на момент його розробки і які можуть з'явитися згодом. Прикладом евристичного детектора є могутня антивірусна програма Dr.Web И.А. Данілова. Ця програма дозволяє також боротися з поліморфними вірусами.
• Програми-ревізори. Ці програми контролюють всі уразливі (для вірусної атаки) компоненти комп'ютера. Принцип їх дії полягає в тому, що вони запам'ятовують зведення про стан файлів і системних областей дисків, а при подальших запусках порівнюють їх стан з результатним.
• Програми-сторожа. Подібні програми резидентний розташовуються в пам'яті комп'ютера і автоматично перевіряють на наявність вірусів файли, що запускаються, і дискети, що вставляються в дисковод. При виявленні вірусу програма-сторож може видавати застережливе повідомлення, а також може запобігти тим діям вірусу, які можуть привести до розмноження вірусу або заподіяти шкоду системі.
• Вакцини. Використовуються для обробки файлів і завантажувальних секторів з метою попередження зараження відомими вірусами (в останній час цей метод використовується все частіше). Як відомо, ні один з даних типів антивірусів не забезпечує 100% захисту комп’ютера, і їх бажано використовувати в зв’язку з іншими пакетами. Вибір тільки одного, “найкращого” антивірусу вкрай помилковий.
• Антивірусні комплекси. Сучасні антивірусні програми є комплексами, які поєднують в собі функції детектора, ревізора і сторожа. До таких комплексів відноситься відома в світі програма Norton Antivirus, а також пакет Anti Viral Toolkit Pro (скорочено AVP). Останній створений в Росії в лабораторії Е. Касперського і найбільш популярний в країнах СНД.

1.5 Профілактичні заходи.

    З вірусами можна боротися не тільки після їх появи, але і певними профілактичними діями, що знижують вірогідність зараження або тяжкість наслідків від вірусної атаки. Перерахуємо основні профілактичні заходи, які слід застосовувати при роботі на комп'ютері.

• Перед використанням сторонніх дискет обов'язково перевіряйте їх на наявність вірусів. Не запускайте неперевірені файли, які отримані з мережі, по електронній пошті.
• Необхідно регулярно виконувати копіювання цінної інформації зовнішні носії. При копіюванні на гнучкі диски бажано мати дві резервні копії зважаючи на невисоку надійність цих носіїв.
• Завжди майте під рукою завантажувальну дискету із записаною на неї антивірусною програмою. Нагадаємо, що дискета повинна бути захищена від запису.
• Виконуйте періодичну перевірку всіх дисків вашого комп'ютера і пам'яті за допомогою свіжих версій антивірусних програм.
• Своєчасно оновлюйте свої антивірусні програми. Тільки при постійному оновленні версій антивірусних програм можна встигнути за «творцями» нових вірусів і бути упевненими, що ваші дані і диски не будуть уражені.

    Якщо, не дивлячись на прийняті заходи, ваш комп'ютер опинився заражений вірусами, ізолюйте його і скористайтеся якою-небудь антивірусною програмою.

      Тепер про деякі характеристики антивірусних пакетів. Перше, на що треба звернути увагу, це кількість розпізнаваючих сигнатур – послідовність символів, гарантовано виявляючих вірус. Слід зазначити, що виробники використовують різні системи підрахунку сигнатур: якщо в одних різні версії або близькі по характеристиках версії вірусів рахуються за одну сигнатуру, то другі підраховують всі варіації. Найкращі із пакетів розпізнають біля 10 тисяч вірусів, що трохи менше загального числа існуючих сьогодні шкідливих програм. Другий параметр – наявність евристичного аналізатора невідомих вірусів, його присутність дуже корисна, але суттєво уповільнює час роботи програми.

      Спробуємо розібратися з тими антивірусами, котрі зараз можна реально  знайти на українському ринку або  в INTERNET. Мова піде про комплексні антивірусні  пакети, які забезпечують максимальний рівень захисту вашої інформації.

      Серед російських розробників найбільш відомими є комплект від “ДіалогНауки”  і AntiViral Toolkit Pro by Eugene Kaspersky від НТЦ КАМІ. Почнемо з продуктів “ДіалогНауки”, оскільки ці програми вже стали деяким стандартом, і переважна більшість комп’ютерів в нашій країні укомплектовано саме їх антивірусами.

      На  початку 90-х достатньо було мати в себе цю програму і думати, що комп’ютер  в повній безпеці: питання було лише в постійному її обновленні. Але  часи змінюються, і тепер, крім Aidstest, не завадило б мати ще якісь програми.

      Aidstest являється поліфагом. Це значить,  що він може знаходити і  знищувати відомі йому віруси. Програма розпізнає приблизно  2 тисячі вірусів. Оскільки він  використовує сигнатурний пошук,  то не може справлятися з  поліморфними вірусами. Він не може також перевіряти упаковані файли і файли захищені вакциною, не має евристичного аналізу. “ДіалогНаука” включає Aidstest в свій антивірусний комплект, як безкоштовний додаток.

      Антивірус – ревізор диску (Advanced Diskinfoscope) дозволяє знайти, як звичайні, стелс (stealth) – і поліморфні віруси, як вже відомі, так і зовсім свіжі. Антивірус має в своєму розпорядженні лікуючий блок ревізору Adinf – Adinf Cure Module – може знешкодити до 97% всіх вірусів. Цю цифру приводить “ДіалогНаука”, виходячи з результатів тестування, котре відбувалося на колекціях вірусів двох визнаних авторитетів в цій області – Д.Н.Лозонського і фірми Dr.Solomon’s (Великобританія). Adinf запускається автоматично з початку робочого дня і контролює завантажувальний сектор і файли на диску (Дата і час створення, довжина, контрольна сума), виводячи повідомлення про їх зміни. Дякуючи тому, що Adinf читає диск, обходячи ОС – напряму звертаючись до функцій BIOS, досягаються не тільки можливості знаходження активних стелс–вірусів на рівні перерви Int13h, але і висока швидкість перевірки диску, Adinf дозволяє робити перевірку під час завантаженні ОС, з HDD, а не тільки з дискет. Якщо вірус знайдений, то є два способи вирішення проблеми. Перший : якщо цей вірус завантажувальний, то Adinf просто відновить попередній завантажувальний сектор, котрий зберігається в його таблиці. Другий спосіб : якщо вірус є файловим, то тут вам на допомогу прийде лікуючий блок Adinf Cure Module. Метою його роботи є те, що ревізор Adinf передає модулю звіти про заражені файли, і той, зіставляє маючи в таблиці інформацію про старі характеристики файлу з новими, відновлюючи старий стан файлу, а не знищує тіло віруса, як це роблять поліфаги.

      Цей антивірус за популярністю не набагато поступається комплекту від “ДіалогНаука”. AVP являється поліфагом і в процесі роботи перевіряє ОЗП, файли, в тому числі упаковані і архівні, а також системні сектори (Master Boot Record), завантажувальний сектор (Boot – сектор) і Partition Table. На відміну від Dr.Web і Aidstest, AVP розпізнає біля 10000 вірусів, серед них поліморфні, stealth – і макровіруси, а також “Троянські програми”. Така різниця пояснюється тим, що “ДіалогНаука” незначні варіації одного вірусу приймає за одну сигнатуру, а КАМІ – різними вірусами. Програма має евристичний сканер, котрий, за затвердженням розробників антивірусу із КАМІ, знаходить біля 80% всіх вірусів. Нові бази антивірусів до AVP з’являються приблизно один раз в тиждень.

    Сканування  за допомогою програми Dr.Web

      Популярна антивірусна програма Dr.Web має могутній евристичний аналізатор коду, завдяки якому вдається надійно виявляти нові віруси, ще не відомі антивірусній програмі. Сильний антивірус з сильним алгоритмом знаходження вірусів. Він також, як і Aidstest, є поліфагом, однак, Dr.Web може “читати” упаковані файли і архіви, файли даних в форматах Word і Excel, роззброює поліморфні віруси, котрі в останній час, отримують все більше простору. Достатньо сказати, що епідемію дуже небезпечного віруса OneHalf зупинив саме Dr.Web. Евристичний аналізатор Dr.Web, що досліджує програми в пошуку ділянок коду, характерних для вірусів, дозволяє знайти біля 90% невідомих вірусів. При завантаженні програми по-перше Dr.Web перевіряє самого себе на цілісність, після чого тестує ОЗП – в залежності від настройки, 640Kb або 1024Kb (включаючи HMA). Бажано перевіряти всю пам’ять – в цьому випадку процес перевірки триває більше, але справа в тому, що вже давно існують віруси спроможні завантажуватись в верхню пам’ять. Алгоритм роботи цього антивірусу полягають в тому, що він емулює процесор (створює програмну модель комп’ютера). Нові версії з’являються нечасто. По висновку останнього тестування журналом “Virus Bulletin” Dr.Web вперше зайняв 3 місце серед 24 антивірусів.

      Програма  може працювати у діалоговому  режимі, має дуже зручний інтерфейс, який можна настроювати.

    Для виявлення вірусів Dr.Web використовує емулятор мікропроцесора, тобто програмний варіант процесора. Будь-який файл за допомогою емулятора можна перевірити на вірусоподібні дії без загрози  заразити безпосередньо комп'ютер.

    Версія Dr.Web для MS-DOS компактна і уміщається на завантажувальній дискеті. Це робить даний «антивірус» незамінним в  аварійних ситуаціях. В даний  час розробниками програми Doctor Web (фірма «Діалог Наука», м. Москва) випускається 32-розрядна версія антивірусного сканера для Windows 95/98/ME/NT/2000, звана Dr.Web32W.

      Для запуску програми необхідно ввести у командний рядок DOS команду:

      Диск\Шлях\drweb.exe

    Також можна для запуску Dr.Web потрібно двічі  клацнути по піктограмі файлу Drweb32w.exe. Ярлик цієї програми ви можете наперед покласти на Робочий стіл або вивести відповідну піктограму на панель інструментів або в головне меню. Після завантаження програми з'являється вікно.

    У цьому вікні виділите об'єкти, що підлягають скануванню. Щоб виділити диск для перевірки, потрібно клацнути мишею по піктограмі диска в правій частині вікна Dr.Web. На піктограмі виділеного об'єкту з'явиться червона кулька. Щоб задати папку для сканування, клацніть по значку «+» поряд з піктограмою відповідного диска і знайдіть потрібну папку, аналогічно тому, як це робиться у вікні Провідника. Папка, як і диск, виділяється клацанням миші.

    Після виділення об'єктів, які необхідно  перевірити, можете відразу натиснути  кнопку Start/stop scanning (Начать/остановить сканування), розташовану в правому нижньому кутку вікна програми. При цьому почнеться сканування і лікування об'єктів згідно установкам за умовчанням. Процес сканування відображатиметься в рядку полягання в нижній частині вікна.

    Після закінчення сканування ви можете вивести звіт про знайдені віруси, якщо клацніть по кнопці Report list (Звіт) на панелі інструментів. Повний звіт про роботу в поточному сеансі (кількість перевірених, інфікованих, вилікуваних об'єктів) виводиться клацанням по кнопці Statistics (Статистика). Повернутися до колишнього виду вікна можна клацанням по кнопці Scan tree (Дерево сканування).

    Настройка програми Dr.Web

    Для настройки антивірусної програми Dr.Web натисніть кнопку Settings (Установки) на панелі інструментів, або виберіть команду меню Options – Change settings, або натисніть клавішу F9. У діалозі, що відкрився, складається з восьми вкладок, ви можете виконати, зокрема, наступні настройки.

• На вкладці Scan (Сканування) встановлюються прапорці, що відповідають евристичному аналізу (Heuristic analysis), перевірці пам'яті (Scan memory), завантажувальних секторів (Scan boot sectors), піддиректорій (Scan subdirectories). Можливо також завдання відображення файлів на дереві каталогів у вікні програми (прапорець Show files in scan tree).
• Вкладка File types (Типи файлів) дозволяє задати формат файлів, що перевіряються, встановити перевірку архівних (Archives), архівних виконуваних файлів (Packet executables) і поштових файлів (E-mail).
• Вкладка File types (Типи файлів) дозволяє задати формат файлів, що перевіряються, встановити перевірку архівних (Archives), архівних виконуваних файлів (Packet executables) і поштових файлів (E-mail).

    Вкладка Log file (Log-файл) дозволяє встановити параметри Log-файлу, що містить інформацію про заражені, вилікувані та інші об'єкти. У текстовому полі можна ввести ім'я Log-файлу, а в групі Log mode (Log-режим) слід вказати, чи дописуватимуться результати чергової перевірки у файл (перемикач Append) або записуватимуться поверх попередніх результатів (перемикач Overwrite). Решта елементів вкладки служить для визначення кодування Log-файлу, обмеження на розмір файлу і т.д.

1. Якщо ви хочете використовувати встановлені настройки в подальших сеансах роботи з Dr.Web, відкрийте вкладку General (Загальні) і клацніть по прапорцю Autosave settings on exit (Автозбереження установок при виході).