Компьютерные вирусы разбушевались, как никогда, и снисходительности или расхлябанности сейчас не должно быть места. Сделайте своему компьютеру прививку одной из сильнодействующих вакцин.
Нас окружают если не джунгли, то по крайней мере весьма богатый зоопарк. Несмотря на популярность антивирусных программ, вирусы продолжают плодиться и множиться. В среднем в месяц появляется около 200 новых разновидностей, а всего на сегодня их известно почти 18 тыс. Интенсивный обмен информацией по каналам электронной почты и Internet увеличивает риск заражения для каждого из нас.
«Диких», т. е. реально циркулирующих вирусов насчитывается чуть больше 250, но многие из них способны причинить значительный финансовый ущерб и отнять уйму времени. По оценке экспертов ICSA (International Computer Security Association — международная ассоциация за компьютерную безопасность), у вас примерно один шанс из тридцати подцепить вирус; в фирме, где есть 100 компьютеров, как минимум три в течение следующего года заразятся.
Впрочем, нет причин паниковать: как показало проведенное нами тестирование, большинство антивирусных пакетов вполне эффективно защищают от нынешних штаммов и умеют распознавать заражение еще не известными видами. Но если все работают прекрасно, как выбрать лучший? Рассмотрев семь ведущих антивирусных программ, мы обнаружили, что, обладая примерно одинаковым талантом к вылавливанию вирусов, они существенно различаются по остальным показателям. Одни позволяют легко модифицировать сигнатуры (строки двоичного кода, идентифицирующие вирусы), а ведь регулярное обновление — лучший способ борьбы с новыми гнусными тварями. Другие могут похвастаться удачным интерфейсом, высокой скоростью работы, хорошо организованным сопровождением. А самые выдающиеся совершенны во всем: «Лучший выбор» — пакет Norton AntiVirus 5.0 — проверил диск объемом в 1 Гбайт менее чем за 13 мин, поймав там почти все вирусы, которые мы туда занесли, и одновременно продемонстрировал простоту использования и обновления.
Естественный отбор
Со времени выхода нашего прошлогоднего обзора (русский перевод см. «Мир ПК», № 4/98, с. 52, www.osp.ru/pcworld/1998/04/52.htm) антивирусные силы консолидировались. Компания Network General приобрела фирму Dr Solomon, а затем объединилась с McAfee. Образовавшаяся компания получила название Network Associates, но название пакета McAfee VirusScan было сохранено, хотя в его новые версии включались некоторые решения из Dr Solomon?s Anti-Virus (на настоящий момент два продукта существуют отдельно, но со временем Dr Solomon?s Anti-Virus исчезнет). Тем временем главный соперник McAfee — корпорация Symantec — приобрела антивирусную технологию IBM и включила ее в Norton AntiVirus. Пока мы выполняли тестирование для этой статьи, Symantec купила также компанию Quarterdeck, выпускавшую программу ViruSweep. К моменту публикации оставалось неясным, планирует ли Symantec продолжать распространение продукта Quarterdeck.
Пока еще, видимо, рано судить о том, что означают эти слияния. Но и после них в мире осталось 64 сертифицированных ICSA антивирусных пакета, выпускаемых 17 разными компаниями. Мы решили рассмотреть шесть антивирусов, участвовавших в прошлогоднем обзоре, — Command AntiVirus 4.52 (ранее F-Prot Professional), McAfee VirusScan 4.0, Norton AntiVirus 5.0, Panda Antivirus 6.005 Platinum, Sophos Anti-Virus 3.13 и предварительную версию пакета PC-cillin компании Trend, — а также новый продукт InDefense 2.10. Еще одна популярная программа, Inoculan Antivirus 5.0 для Windows 95, во время тестирования перерабатывалась и поэтому не попала в обзор.
Несмотря на сдвиги в антивирусной индустрии, сами программы за прошедший год изменились не очень сильно. Средняя их цена снизилась приблизительно с 50 до 40 долл. — исключение составляет пакет Sophos Anti-Virus, который продается за 99 долл., причем в эту сумму не входит стоимость обновлений. Большинство предлагают дополнительные возможности — какие-то из них действительно полезны, какие-то просто смехотворны. Некоторые компании пересмотрели интерфейс своих программ в сторону упрощения.
Испытание огнем и водой
К тестированию пакетов мы привлекли эксперта по вирусам Джо Уэллса — автора ежемесячного электронного бюллетеня WildList (www.wildlist.org), в котором отслеживается циркуляция «диких» вирусов.
Уэллс проверил каждый продукт на всех 254 имеющих сейчас хождение «диких» вирусах (из них 80 загрузочных, 89 файловых и 85 макровирусов) и 10 606 образцах 7860 «лабораторных» вирусов. Загрузочный вирус тихо сидит в загрузочном секторе дискеты, пока вы не попытаетесь с нее загрузиться, а тогда проникает на жесткий диск. Файловый вирус поражает выполняемые файлы и распространяется при их запуске. Макровирусы поселяются в документах Microsoft Word или (несколько реже) в таблицах Excel.
Кроме того, проверялось, насколько хорошо пакеты удаляют из в остальном чистых файлов десять наиболее часто встречающихся вирусов разных типов и отдельно — семь самых распространенных макровирусов. Замерялось время, необходимое на сканирование 10 973 файлов, и проводились некоторые другие испытания.
Три антивируса — Command AntiVirus, McAfee VirusScan и Norton AntiVirus — распознали все «дикие» вирусы. Sophos пропустил один, а предварительная версия Trend — восемь, но статистически это неотличимо от стопроцентного распознавания. Panda не распознал 15 вирусов (все они были макровирусами), и сейчас фирма работает над исправлением программы. Ни один из пакетов не сумел обнаружить все «лабораторные» вирусы: для самых новых из них текущие версии еще не содержали детекторов. Command, McAfee, Norton, Sophos и Trend добились очень высоких показателей (от 97 до 99%); Panda нашел всего 78,4%, и фирма сейчас пытается усовершенствовать механизм обнаружения вирусов. У всех пакетов, за исключением McAfee, сканирование гигабайтного диска заняло менее 14 мин, а у McAfee длилось почти полчаса. (Пакет InDefense невозможно было тестировать описанными методами. Оценку его производительности см. во врезке «InDefense — антивирус, не похожий на другие».)
Антивирусы: сравнение возможностей
Продукт | Цена, долл. | Поддерживаемые платформы | Сканирование по расписанию | Автоматическое обновление базы сигнатур |
---|---|---|---|---|
Command AntiVirus 4.52 561/575-3200 www.commandcom.com | 40 | Windows 95/98, NT, 3.1; DOS; OS/2; NetWare | + | — |
McAfee VirusScan 4.0 800/338-8754 www.mcafee.com; российское представительство www.mcafee.ru | 49 | Windows 95/98, NT, 3.1; DOS; OS/2 | + | + |
* Norton AntiVirus 5.0 800/441-7234 www.symantec.com; российское представительство www.symantec.ru | 40 | Windows 95/98 1 | + | + |
Panda Antivirus 6.005 Platinum 800/603-4922 www.pandasoftware.com | 59 | Windows 95/98, NT, 3.1; DOS; OS/2 | + | + |
Sophos Anti-Virus 3.13 888/767-4679 www.sophos.com | 99 | Windows 95/98, NT, 3.1; DOS; OS/2; Netware | + | —2 |
Trend PC-cillin 63 800/228-5651 www.antivirus.com; в России распространяется компанией «Прикладная логистика» www.apl.ru | 403 | Windows 95/98 | + | + |
InDefense 2.10 877/472-3372 www.indefense.com | 50 | Windows 95/98, NT, 3.1; DOS | — | N/A4 |
+ Да ; — Нет
1. В состав пакета входит версия 4.0, поддерживающая также Windows 3.1, DOS и NT 3.51.
2. Версия, предусматривающая обновления в течение года, стоит 249 долл.
3. Цена версии на диске. При загрузке с Web-сервера программа стоит 30 долл.
4. Программа не нуждается в обновлении сигнатур.
Вирусологическая война
С чем же борются все эти продукты? С изменчивым миром вирусов, в котором полно и новых мерзких инфекций, и старых, досаждающих нам уже не один год. Такие «заслуженные» загрузочные вирусы, как Form и AntiEXE, процветают как и раньше, размножаясь в основном за счет обмена зараженными дисками. Файловые вирусы по-прежнему поражают машины неосторожных пользователей, хотя это случается реже, чем несколько лет назад. «Открытая» было теоретическая возможность существования HTML-вирусов, распространяющихся при просмотре инфицированных Web-страниц или чтении зараженной почты, была опровергнута в конце 1998 г. По-настоящему бурно размножались в прошедшем году макровирусы — ведь они передаются с любыми документами, включая почтовые вложения. По мнению экспертов ICSA, на долю макровирусов сейчас приходится 80% случаев заражения компьютеров.
А вот и отрадная весть. Возможно, вам приходилось слышать о ловушках в виде зловредных управляющих элементов ActiveX и Java-аплетов. Так вот, пока такие ловушки фантазия, а не реальность — отчасти из-за того, что писать стандартные файловые, загрузочные и в особенности макровирусы намного проще. Но поскольку возможность нападения сохраняется, некоторые производители антивирусных утилит, в том числе Norton и McAfee, предусмотрели в своих продуктах защиту Java и ActiveX.
Время срабатывания
Более важной характеристикой вируса, чем его тип, является степень разрушительности. Вирус, который сразу после внедрения причиняет значительный ущерб, фактически убивает пораженную машину, останавливая тем собственное распространение. Большинство существующих вирусов представляют собой вариации на небольшое число относительно простых тем, и вред от самых «популярных» либо очень незначительный, либо причиняется не сразу, а по прошествии нескольких дней, недель или даже месяцев после заражения компьютера. Примером вируса замедленного действия может служить CIH, активизирующийся 26 числа каждого месяца и способный уничтожать данные на жестком диске. Впрочем, до уничтожения дело пока доходило редко, не в последнюю очередь потому, что вирус хорошо известен.
Макровирусы с каждым годом делаются все зловреднее. Правда, по большей части они не портят данные в масштабах всего компьютера, но, например, вирусы, внедряющиеся в таблицы Excel, способны производить серьезные разрушения в зараженных файлах. Так, XM/Compat просматривает рабочий лист Excel в поисках незащищенных данных, а обнаружив их, вносит в произвольные места мелкие изменения, не меняя числа символов. И хотя современные антивирусные программы без труда распознают и удаляют XM/Compat, исправить нанесенный им ущерб можно, только восстановив данные с резервной копии — если она есть.
Возможно, вы время от времени получаете сообщения о новых вирусах — в основном по электронной почте. Однако многих из них в действительности не существует, а письмо с предупреждением само размножается, как вирус. Чтобы отличить реальную угрозу от мифической, можно навести справки на Web-узле ciac.llnl.gov/ciac, поддерживаемом Министерством энергетики США, или на независимом узле www.kumite.com/myths, специально посвященном компьютерным мифам.
Command AntiVirus 4.52
Достоинства: низкая цена, почти безупречное распознавание вирусов, простой интерфейс.Недостатки: сложная процедура обновления, некоторые проблемы с удалением «диких» вирусов.
Пакет Command AntiVirus (ранее F-Prot Professional) прост и недорог (40 долл.), делает свою работу без лишнего шума, однако обновляется с такими сложностями, что мы не можем его рекомендовать.
В тесте на обнаружение «диких» вирусов Command, так же как McAfee и Norton, распознал 100% вирусов, но в восстановлении файлов, пораженных файловыми и загрузочными вирусами, преуспел лишь отчасти. Неприятное впечатление произвело обращение утилиты с широко распространенным вирусом AntiEXE, который она не удалила автоматически из загрузочного сектора. Правда, пользователи смогут удалить вирус вручную, загрузившись с дискеты DOS и затем воспользовавшись аварийной дискетой Command, но Command, в отличие от других пакетов, не создает загрузочный аварийный диск при установке; это сильно усложняет положение в тех случаях, когда нужна быстрая помощь.
Хорошо организованный простой в работе интерфейс Command обеспечивает доступ к ряду важных функций, включая несколько вариантов отчетов и настройку расписания автоматических полных проверок системы. Компания обеспечивает постоянное сопровождение по телефону и бесплатное обновление версий в течение года. Но, увы, обновление настолько сложно, что для большинства пользователей окажется невыполнимым. Пакет напоминает о том, что сигнатуры вирусов пора обновить, однако, чтобы забрать свежую версию с Web-узла, нужны имя пользователя и пароль, а по окончании загрузки приходится еще побороться с процедурой установки, описываемой только в файле README, который часто не читают.
McAfee VirusScan 4.0
Достоинства: великолепное распознавание и удаление вирусов, интерфейс, имитирующий дистанционное управление, простота использования.Недостатки: самое длительное время сканирования.
Компания McAfee — разработчик одного из старейших и популярнейших антивирусов, ее продукты заслуженно считаются эффективными и отражающими последние достижения компьютерной вирусологии. 49-долларовый пакет McAfee VirusScan 4.0 вполне соответствует этой репутации; в наших тестах он непосредственно следовал за «Лучшим выбором» — Norton AntiVirus.
Пакет распознал 100% «диких» вирусов (как Command и Norton), корректно удалил все предложенные вирусы (как Panda) и показал очень неплохие результаты на «лабораторных» вирусах. Единственным серьезным недостатком была скорость проверки: сканирование гигабайтного диска заняло у McAfee в два-три раза больше времени, чем у других пакетов. Если всегда проверять диск в часы, когда компьютер используется не очень интенсивно, это не страшно, но в периоды пиковой нагрузки долгое ожидание нежелательно.
Новый интерфейс под названием VirusScan Central имитирует пульт дистанционного управления и обеспечивает простой доступ к многочисленным функциям McAfee. Кнопки для выполнения обычных заданий вынесены вперед, другие кнопки, не так бросающиеся в глаза, обеспечивают более сложные или специальные функции. При каждом запуске VirusScan на экране появляется сообщение с напоминанием о необходимости выполнить какую-либо обычную (и тем не менее важную) рутинную процедуру типа обновления файла сигнатур. Имеется и утилита-мастер, которая проведет вас через множество параметров и вариантов настройки. Пакет активно сканирует перед открытием почтовые вложения и файлы, загруженные из Internet, и предусматривает также защиту от пресловутых элементов ActiveX и Java-аплетов; в его составе есть даже миниатюрный сетевой брандмауэр, позволяющий заблокировать доступ к нежелательным серверам, — полезная вещь для родителей. Обновление VirusScan автоматизировано и выполняется очень просто. Напоминание о необходимости его произвести появляется во всплывающем окне с кнопкой для установки связи непосредственно с Web-узлом McAfee. Можно также получать свежие файлы сигнатур по электронной почте — подобная услуга не предоставляется ни для какого другого пакета в этом обзоре. Согласно заявлению компании, обновления, если потребуется, будут производиться ежедневно и останутся бесплатными «в течение всего времени жизни продукта», т. е. до выхода следующей версии VirusScan, в которой формат файла сигнатур, возможно, будет другим.
Norton AntiVirus 5.0
Достоинства: великолепное распознавание и удаление вирусов, новые эффективные средства, такие как Quarantine, усовершенствованный интерфейс.Недостатки: через год обновление сигнатур становится платным.
«Лучший выбор» прошлогоднего и нынешнего обзора — пакет Norton AntiVirus — теперь вышел в версии 5.0. Он по-прежнему заметно опережает конкурирующие продукты за счет таких качеств, как безупречное распознавание, абсолютно дуракоупорный интерфейс, простая процедура обновления и множество действительно полезных дополнительных функций.
Подобно Command и McAfee, NAV распознал 100% «диких» вирусов; он обнаружил также более 99% «лабораторных» вирусов, опередив по этому показателю остальные рассматриваемые пакеты. При тестировании произошло одно ложное срабатывание (NAV сигнализировал о наличии вируса, которого в действительности не было на компьютере). Кроме того, сохранился дефект, отмеченный нами в прошлом году: когда мы заразили загрузочный сектор диска, пакет заблокировал машину, не выдав указаний по восстановлению. Пакет корректировки (мы его протестировали) можно найти на Web-узле Symantec.
В версии 5.0 Norton AntiVirus обогатился несколькими полезными новыми функциями. Теперь программа может автоматически распознать (если встретит) агрессивный элемент ActiveX или Java-аплет. Функция Quarantine («карантин») перемещает зараженные файлы в защищенную область на то время, пока вы получите из Internet версию, умеющую бороться с данной разновидностью вируса, или свяжетесь со службой технического сопровождения Symantec. Функция Scan and Deliver кодирует предполагаемые вирусы для пересылки по почте и отправляет их прямо в антивирусный исследовательский центр Symantec. Пакет легко устанавливается, а обнаружив вирус, четко объясняет, что делать; в новом, лучше структурированном интерфейсе главные возможности вынесены на передний план, так что часто используемые функции всегда под рукой.
Обновление NAV организовано просто: подписки на новые версии нет, но программа будет автоматически загружать новые сигнатуры через Internet или напоминать вам, что пора это сделать. А самое удобное — это уникальная техника мини-обновлений, когда вы получаете не всю весьма объемистую базу сигнатур, а только изменения к ней. Одно небольшое нарекание: обновления, бесплатные в течение первого года, в дальнейшем стоят 4 долл. в год. Конечно, такая сумма вряд ли способна отяготить чей-либо кошелек, а через год вы, возможно, вообще захотите перейти на новую версию, но все же это какое-то крохоборство.
Panda Antivirus 6.005 Platinum
Достоинства: ясный пользовательский интерфейс, самая высокая скорость, простое обновление.Недостатки: проблемы с выявлением макровирусов, много ложных срабатываний.
В Европе Panda — один из лидирующих антивирусов, а на американском рынке он новичок, и в наших тестах местные пакеты его обошли. Последняя версия продукта (6.005 Platinum) нашла все «дикие» загрузочные, файловые и полиморфные вирусы, но обнаружила лишь 94,1% «диких» макровирусов, 81,3% «лабораторных» файловых вирусов и 75,5 «лабораторных» макровирусов — остальные пакеты распознали более 95% «лабораторных» вирусов (и почти 100% «диких» макровирусов). Вдобавок Panda Antivirus выдал 19 ложных срабатываний — больше, чем у других пакетов. По сообщению компании, она работает над повышением эффективности продукта в том, что касается ложных срабатываний и «лабораторных» макровирусов, и к тому времени, как вы прочтете эти строки, исправления будут помещены на Web-узле фирмы. Положительным свойством Panda является высокая скорость работы: сканирование диска заняло чуть больше семи минут, и это лучший результат в наших тестах.
В других отношениях Panda Antivirus тоже выделяется — где в лучшую, где в худшую сторону. Удачно спроектирован интерфейс, где большие и красочные экраны состояния постоянно держат вас в курсе происходящего. В отличие от прочих антивирусов Panda выполняет сканирование на уровне протоколов Internet, таких как POP и HTTP, что обеспечивает дополнительную защиту. Сопровождение круглосуточное и бесплатное, обновления бесплатны в течение всего срока жизни продукта и инициируются простым нажатием экранной кнопки. Но основной экран проверки несколько сбил нас с толку: мы далеко не сразу догадались, как запустить сканирование для определенных дисков.
Sophos Anti-Virus 3.13
Достоинства: отличное качество распознавания вирусов, гибкая настройка работы по расписанию, хорошо организованный интерфейс.Недостатки: дороговизна, проблемы с восстановлением пораженных файлов.
Компания Sophos славится антивирусными программами для больших сетей. Но в качестве однопользовательского продукта пакет Sophos Anti-Virus 3.13 зарекомендовал себя неважно. Несмотря на высокую цену (99 долл. — вдвое выше, чем у конкурентов), стоимость обновлений в нее не включается. Версия, предусматривающая обновления в течение года, стоит 249 долл. Пакет почти безупречно распознал и «дикие», и «лабораторные» вирусы, показав в этих тестах высочайший класс. Но в том, что касается восстановления пораженных файлов, результаты Sophos были не столь блестящими: разработчики полагают, что пользователям не следует пытаться восстановить программу, пораженную файловым вирусом (мнение, не очень распространенное среди компьютерных вирусологов). Поэтому пакет предлагает на выбор два варианта исправления — либо переименовать файл, либо удалить его. Да и восстановление загрузочного сектора, пораженного вирусом AntiEXE, было неуклюжим, медленным и в конечном счете неудачным. После 45 мин сложной и бестолковой суеты Sophos сообщил нам, что компьютер заражен, но не дал никаких дальнейших инструкций. По сообщению компании, эта проблема сейчас рассматривается.
Trend PC-cillin 6
Достоинства: замечательный интерфейс, мощные дополнительные функции, низкая цена.Недостатки: предварительная версия не справилась с удалением одного из загрузочных вирусов.
Даже предварительный вариант последней, шестой версии пакета PC-cillin произвел на нас сильное впечатление. Она может похвастаться ясным и удобным интерфейсом, полезными дополнительными функциями, более чем конкурентоспособной ценой (40 долл. при покупке пакета на жестком носителе, 30 долл. при получении из Internet) и почти безукоризненным распознаванием вирусов. Единственной проблемой, встретившейся нам при тестировании, были сложности с удалением вируса из загрузочного сектора: антивирусный монитор обнаружил этот вирус, но не предложил способа его удаления, а ручное сканирование вообще не нашло вируса. Компания прислала нам исправления, с которыми проблем не возникло. Окончательная версия, выпуск которой намечался на январь 1999 г., должна содержать эти исправления.
В PC-cillin множество полезных функций. Это единственный из рассмотренных пакетов, включающий мастера для настройки специальных заданий на сканирование, и единственный использующий Активный рабочий стол Explorer 4.0 для информации о вирусах. (Предусмотрено обновление по нажатию кнопок Update Now — обновить сейчас или Update Later — обновить позже, а также проверка Web-узла компании на предмет свежих версий в заданные моменты — например, через 10 мин после каждого включения компьютера.) PC-cillin, как и McAfee VirusScan, защищает машину от агрессивных аплетов и блокирует доступ к нежелательным Web-серверам; он, как Norton, содержит функцию «карантина», когда зараженные файлы помещаются в защищенную изолированную область, за пределы которой инфекция выйти не сможет. И учтите, что к тому же это еще и самый дешевый из рассмотренных пакетов.
Об авторе
Стэн Мястковски — редактор и автор журнала PC World. Тестирование проводилось Джо Уэллсом в фирме Wells Research.Отечественные антивирусы
М. СухановаИз пакетов, рассматриваемых в этом обзоре, далеко не все представлены на российском рынке, зато на нем значительное место занимают неизвестные американцам Doctor Web компании «ДиалогНаука» и AVP «Лаборатории Касперского». И не зря: по итогам тестирования, проведенного в марте весьма авторитетным английским журналом Virus Bulletin, версия AVP для Windows NT в очередной раз оказалась лучшей.
Пакет AVP для Windows 95/98 содержит антивирусный сканер и монитор; однопользовательская версия с годовой подпиской стоит 75, а с двухгодичной — 125 долл. (это вполне стандартная цена для России; для сравнения, Norton AntiVirus 5.0 продается компанией ACT за 71 долл.).
Компания «ДиалогНаука» — ветеран антивирусной борьбы, недавно она отметила свое десятилетие. В последнее время популярность ее продуктов несколько снизилась из-за того, что разработчики медлили с поддержкой Windows 95 и NT (антивирусы работали с этими системами, но оставались 16-разрядными программами). Однако все еще может перемениться: в июле 1997 г. «ДиалогНаука» выпустила 32-разрядные версии своего антивирусного сканера Doctor Web и ревизора ADinf (эта программа отслеживает подозрительные изменения на диске, похожие на результат деятельности вируса, и сигнализирует о них). Новый Doctor Web также принимал участие в мартовском тестировании Virus Bulletin и, хотя и отстал от AVP, но тоже показал очень неплохие, а в некоторых тестах просто блестящие результаты (в частности, распознал 100% полиморфных вирусов). В настоящее время 32-разрядные Doctor Web и ADinf доступны для открытого бета-тестирования; их можно получить на Web-сервере фирмы.
В нынешнем феврале вирусологи столкнулись с новой формой компьютерной инфекции: «народные умельцы» (по-видимому, из наших краев) создали вирус, способный заражать файлы справки Windows; он получил условное название Win95.SK. Первой программой, обнаружившей Win95.SK, был Doctor Web, но не прошло и недели, как в «Лаборатории Касперского» также научились его распознавать и обезвреживать. Так что, как видим, оперативность отечественных разработчиков выше всяких похвал.
«ДиалогНаука»,
тел.: (095)135-62-53, 137-01-50, www.dials.ru
«Лаборатория Касперского»,
тел.:
(095) 948-43-31, 948-83-50, 913-50-87, www.kasperskylab.ru
Вирусный словарь
В мире компьютерных вирусов есть свой тарабарский жаргон. Для тех, кого смущают такого рода термины, приводим краткое истолкование наболее распространенных.
- Загрузочный вирус - Поражает область дискеты или жесткого диска, в которой хранится информация операционной и файловой систем. Каждый запуск машины с оставленной в дисководе зараженной дискетой может привести к попаданию туда вируса.
- Файловый вирус - Внедряется в программные (exe- и com-) файлы. После этого копирует себя при каждом выполнении зараженной программы.
- «Дикий» вирус - Тот, который реально циркулирует. На сегодня насчитывается около 250 «диких» вирусов.
- «Лабораторный» вирус - Обитает в основном в стенах исследовательских лабораторий, не сумев включиться в общую циркуляцию. К настоящему времени известно около 18 000 «лабораторных» вирусов.
- Макровирус - Наиболее распространенный тип вирусов; на долю макровирусов сейчас приходится около 80% всех случаев заражения компьютеров. Макрокоманды Microsoft Word и Excel могут автоматически выполнять определенную последовательность действий при открытии документа. Такая макрокоманда, зараженная вирусом, способна повредить любому документу Word или Excel, который вы откроете.
- Многосторонний вирус - Использует несколько механизмов распространения; наиболее распространенный вариант — комбинация файлового и загрузочного вирусов (файлово-загрузочный вирус).
- Полиморфный вирус - Меняет себя всякий раз, когда размножается. Из-за того, что сигнатуры таких вирусов меняются (в ряде случаев произвольным образом), традиционная техника определения вируса по сигнатуре часто не позволяет их выявить; для поиска полиморфных вирусов антивирусные утилиты должны использовать эвристику.
- Сигнатура вируса - Характерный фрагмент двоичного кода, позволяющий опознать большинство вирусов (исключением являются полиморфные). Новые вирусы определяются по новым сигнатурам; именно поэтому необходимо пользоваться актуальными файлами сигнатур.
- Стелс-вирус - Использует специальные приемы, чтобы скрыться от антивирусных программ. По большей части стелс-вирусы действуют в DOS.
- Эвристика - Широко используемая антивирусная технология, заключающаяся в поиске признаков деятельности вирусов, таких как подозрительный код или неожиданные изменения в файлах.
Народное средство
Джо Уэллс, эксперт по компьютерным вирусам и составитель ежемесячного бюллетеня Wild List, дает советы на основе своего богатого опыта.
- Чтобы полностью избежать вирусов, пользуйтесь пишущей машинкой.
- Важнейший момент: поддерживать актуальность списка сигнатур.
- Имейте в виду, что вас могут разыграть.
- Нельзя недооценивать опасность, исходящую от «старомодных» вирусов, известных уже не один год. Они широко распространены и часто очень разрушительны.
- Не берите из Internet «живые» вирусы, чтобы с ними «поэкспериментировать».
- Необходимо учитывать возможность встречи с новым вирусом и понимать, как распространяется инфекция.
Майкл Брозович, агент по недвижимости из Арканзаса, не верит в антивирусы. Он считает, что их производители «используют тактику запугивания, чтобы продавать программы», и его раздражают «постоянные обновления, потенциальные конфликты с другими программами и потери производительности», сопровождающие антивирусные пакеты. Брозович признает, что избежать вирусов ему до сих пор помогало везение. Вот его «золотые правила».
- Не принимайте диски от друзей. Даже с самыми лучшими намерениями люди иногда разносят компьютерную заразу.
- Не загружайте файлы из Internet, особенно из телеконференций. Если все же приходится это делать, лучше обратиться на большой коммерческий сервер, где файл с большей вероятностью проверят на вирусы перед тем, как сделать общедоступным.
- Не открывайте выполняемые файлы, присоединенные к электронным письмам. Просто удаляйте такие сообщения.
Бизнесмен Дэвид Эллисон, большой любитель покопаться в компьютере и «штатный компьютерный гуру» торговой палаты г. Петл (шт. Миссисипи), утверждает, что испробовал практически все главные антивирусные программы. «Я, — говорит он, — видел, во что обходятся вирусы, и не хочу платить эту цену». Вот его простой подход.
- Руководствуйтесь здравым смыслом. Не следует быть беспечным только потому, что беспечны другие.
- Если вы не знаете отправителя письма с вложением, не открывайте вложение, а сразу удалите его.
- Немедленно после полной проверки машины на вирусы выполните резервное копирование.
- Всегда проверяйте дискеты, как только вставите их в дисковод. Обнаружив вирус, сообщите о нем человеку, давшему вам дискету.
- Будьте особенно осторожны с файлами, полученными из телеконференций.
InDefense: антивирус, не похожий на другие
Поскольку InDefense компании Tegam International — уникальное животное в антивирусном зверинце, его невозможно было проверять так же, как другие пакеты. В обновлении сигнатур InDefense вообще не нуждается, но даже при этом мы не можем рекомендовать его в качестве единственной линии обороны.
Пакет построен на старой технике антивирусной защиты. Первым делом он «прививает» все исполняемые файлы на компьютере, делая «моментальный снимок» элементов файла. Эта система особенно хороша для выявления файловых вирусов: поскольку исполняемые файлы не должны меняться, всякая модификация с большой вероятностью означает, что файл был заражен. Кроме того, InDefense ищет признаки деятельности вируса — попыток программы воспроизвести себя.
Однако этот метод содержит ловушку. Предполагается, что пакет устанавливается на «чистую» машину, где нет ни одного вируса, а это далеко не всегда так даже в случае нового ПК. Компьютер, в «чистоте» которого вы не уверены, перед установкой InDefense надо будет просканировать другой антивирусной утилитой.
Осторожно: живые вирусыПоскольку InDefense — не сканер, мы не могли подвергнуть его тем же тестам, что остальные пакеты. Для тестирования мы установили InDefense, активизировали комплект живых вирусов и запустили утилиту. Все 15 «диких» вирусов трех типов были обезврежены. Но в отличие от других антивирусов этот пакет предполагает довольно высокую техническую грамотность пользователя и часто просит вас определить, есть ли здесь проблема или нет. Например, в процессе испытаний он выдал сообщение следующего содержания: если вы знаете, что загрузочный сектор вашего жесткого диска изменился по естественным причинам (например, произошла замена операционной системы), нажмите клавишу [A], если же это вирус, нажмите [R]. Что касается макровирусов, то InDefense считает, что все «несертифицированные» макрокоманды завирусованы, а все сертифицированные, наоборот, чисты, а это не всегда так. (Вы можете сертифицировать определенные макрокоманды, которые сами создали, и такие, в безопасности которых полностью уверены; такие компании, как Microsoft, тоже сертифицируют макрокоманды.) Хотя интерфейс InDefense довольно четкий, через его диалоговые окна и руководство пробиться почти невозможно; они написаны на смеси технического и маркетингового жаргона и вдобавок с грамматическими ошибками.
Это не решениеМы готовы признать, что современные антивирусы, основанные на сканировании, несовершенны и нуждаются в бесконечных периодических обновлениях. И все же нас не удалось убедить в том, что InDefense обеспечивает достаточную защиту на типовом однопользовательском компьютере.