Inovatyvūs inžineriniai sprendimai naikinant virusus
5 (100%) 1 vote

Inovatyvūs inžineriniai sprendimai naikinant virusus



Inovatyvūs inžineriniai sprendimai

naikinant virusus

Kaunas, 2003

Turinys

Įvadas 3

1. Kas yra virusas? 5

1.1. Virusų evoliucija 6

1.2. Virusai ir į juos panašios programos 7

1.3. Kaip virusai veikia 8

1.4. Virusų tipai 9

1.5. Ką virusai gali? 10

1.6. Ko virusai negali? 11

1.7. Užkrėtimo virusu simptomai 12

1.8. Penkios taisyklės 13

2. CIH dienos pamokos 15

3. Antivirusinė programinė įranga 17

3.1. Antivirusinių programų testavimas 19

3.1.1. “AntiViral Toolkit Pro Platinum” 21

3.1.2. “InoculateIT” 22

3.1.3. “McAffee VirusScan” 23

3.1.4. “Norton Antivirus 2003” 24

3.1.5. “Panda Antivirus” 25

Išvados 27

Įvadas

Šiandien mes turime pripažinti žmogaus įėjimo į naują informacinės

visuomenės epochą, faktą. Dar visai neseniai tai buvo prilyginama mokslinei

fantastikai, tačiau dabar tapo pakankamai apčiuopiama realybe, kaip ir

vieninga informacinė erdvė, kurioje vyksta informacijos cirkuliacija, jos

kaupimas, apdorojimas, analizavimas. Visi čia paminėti procesai verčia

naudoti naujausias informacines technologijas, nes didėja informacijos

kiekiai ir vyksta daugelio informacinių resursų susijungimas. Dabartiniu

metu mes viena ar kita prasme esame priklausomi nuo kompiuterių. Jie valdo

civilinių ir karinių lėktuvų skrydžius, reguliuoja geležinkelio transporto

srautus, kontroliuoja elektros jėgainių technologinius procesus, jų pagalba

yra tvarkomi finansinės operacijos ir t.t.

Pasaulyje pastoviai didėja personalinių kompiuterių skaičius, kaip

beje ir globalinio Internet tinklo vartotojų, kas sąlygoja greitą

kompiuterinių technologijų ir komunikacijos priemonių tobulėjimą. Tačiau

kartu auga ir nusikaltimų, kuriuos įvykdant būna panaudojama skaičiavimo

technika, skaičius.

Šio darbo tikslas yra išnagrinėti virusų esmę, jų pasekmes bei

antivirusines programas.

Kad pasiekti šį tikslą buvo iškelti papildomi uždaviniai: išnagrinėti

virusų evoliuciją, tipus, jų galimybes bei užkrėtimo simptomus, apžvelgti

trumpai vieno iš pavojingiausio viruso veiklos pasekmes bei išnagrinėti

šiuo metu rinkoje pateiktus apsaugos nuo virusų produktus (antivirusines

programas), jų galimybes ir ypatumus.

Suvokti, kaip veikia virusai, yra pirmasis žingsnis gynyboje nuo jų.

Nusipirkę naują kompiuterį jo komplekte veikiausiai rasime ir antivirusinę

programą. Šis faktas labiau nei koks kitas įrodo, kaip plačiai paplito

virusai ir kaip kompiuterių bendrovės pripažįsta apsaugos nuo jų būtinybę.

Taigi virusai tapo kompiuterijos pasaulio dalimi.

Egzistuoja tūkstančiai įvairių virusų, skirstomų į daug kategorijų,

bet beveik visada jie apibrėžiami gan paprastai. Virusas yra tyčia sukurta

kompiuterinė programa, skirta įsiskverbti į kitą programą taip, kad

paleidus pastarąją būtų paleidžiamas ir virusas, kuris savo ruožtu plinta

užkrėsdamas ir kitas programas. Virusas prisijungia prie programos-nešėjos

failo, o kartais net pakeičia visą programą. Neretai kiti programų failai

užkrečiami jau pakitusia viruso forma. Užkrečiama programa gali būti ir

makrokomandų failas arba disko pakrovimo (boot) sektorius – pirmoji

programa, paleidžiama diske su pakraunama operacine sistema.

Pastebėkime žodžius “tyčia sukurta” viruso apibrėžime. Virusai

neatsiranda šiaip sau. Juos kuria ir tobulina nemažų sugebėjimų

programuotojai, vėliau randantys būdų užkrėsti virusais naivių vartotojų

AK. Kuo galingesnės tampa antivirusinės programos, tuo labiau virusų

autoriai stengiasi jas pergudrauti. Daugeliui virusų programuotojų tokio

kodo kūrimas yra tiesiog iššūkis; o kitiems – galimybė pasismaginti AK

vartotojų bėdų ir baimės sąskaita. Gaila, juk šie žmonės galėjo uždirbti

krūvą pinigų padėdami spręsti 2000 metų krizę.

Virusai pelnytai turi kenksmingų programų reputaciją, tačiau tikrovėje

daugelis jų nieko bloga nedaro. Tiesa, kai kurie jų gadina failus ar kaip

kitaip kenkia, bet didžioji dauguma tik erzina arba išvis yra vartotojui

nematomi. Tam, kad programa būtų laikoma virusu, ji teturi automatiškai

daugintis; visa kita yra neprivalu.

Žinoma, net “neskausmingi” virusai nėra visiškai nepavojingi. Jie

užima atmintį, vietą diske, naudoja procesoriaus resursus ir todėl turi

įtakos jūsų kompiuterio spartai ir našumui. Dar daugiau – antivirusinės

programos skirtos kovai su jais taip pat naudoja atminties ir procesoriaus

resursus; daug vartotojų tikina, kad jos lėtina kompiuterį daug labiau ir

yra gerokai įkyresnės už pačius virusus. Kitaip tariant, virusai turi

įtakos mūsų darbui su kompiuteriu net tuomet, kai nieko kenksmingo
nedaro.

1. Kas yra virusas?

Biologo požiūriu, virusas yra genetinės medžiagos fragmentas, kuris

savo gyvavimui ir dauginimuisi turi infekuoti (užkrėsti) kokį nors

organizmą – nešėją. Kad virusas plistų tarp organizmų, jam paprastai

būdingos savybės, priverčiančios nešėją atlikti tam tikrus patologinius

(liguistus) veiksmus, pvz., bakterijas, gyvūnus ir pan. Dalis virusų yra

sunkių infekcijų susirgimų priežastis.

Todėl nieko nuostabaus, kad įvairios kenkėjiškos kompiuterinės

programos (t.y. tokios, kurios, įvestos į sistemą, sutrikdo jos veikimą)

pavadintos bendru, virusų, vardu. Taigi, programuotojo požiūriu, virusas –

tai kompiuterinis kodas, kuris savo plėtimuisi turi infekuoti kurią nors

programą-nešėją. Paprastai kompiuterinis virusas infekuoja kitas programas

įjungdamas į jas programos-viruso kodą. Virusas projektuojamas tokiu būdu,

kad jis po tam tikro laiko galėtų keisti savo formą ir tikslą. Be to, jis

dauginasi ir prisijungia prie programų arba kitų failų ir, „pasislėpęs“

ten, „keliauja“ nuo vieno kompiuterio prie kito. Virusai programuojami,

siekiant atlikti įvairius kenkėjiškus veiksmus: trinti kieto disko

informaciją, modifikuoti ar naikinti tam tikrus failus ir kt.

Pirmą kartą (1949 m.) programos – viruso, t.y. kompiuterinės

programos, galinčios daugintis, modelį pateikė Džonas fon Neimanas. Pirmas

užregistruotas kompiuterinis virusas buvo žaidimas “KARAS OPERATYVIOJE

ATMINTYJE” (“Core War”), kurį 6 – ajame dešimtmetyje sukūrė kompanijos Bell

Laboratories darbuotojas M. Duglas Makilroi. Žaidimo tikslas buvo parašyti

programą, kuri ištrintų priešininko informaciją ir blokuotų jo įrašus

atmintyje. EGABTR – pirmas IBM PC virusas, atsiradęs 1985 m. liepos mėnesį.

Šiuo metu pateikti visą esamų virusų sąrašą praktiškai neįmanoma, nes nauji

virusai sukuriami beveik kiekvieną dieną. Be to, specialistai, kuriantys

virusus aptinkančias programas ir bandantys nustatyti, ar du virusai yra to

paties, ar skirtingo tipo, dažnai naudoja skirtingus kriterijus. Vieni

specialistai laiko virusus skirtingais, jei jų kodai skiriasi bent vienu

bitu. Kiti – grupuoja virusus į šeimas ir vienos šeimos virusų nelaiko

skirtingais. Todėl, priklausomai nuo vertinimo kriterijų, šiuo metu

pasaulyje suskaičiuojama nuo 50 iki daugiau kaip 10000 skirtingų virusų.

[1]

Terminą “kompiuterinis virusas” pirmą kartą pavartojo amerikietis

mokslininkas Fredas Koenas 1984 m. 7 – oje informacijos saugumo

konferencijoje (JAV). Jei kompiuterį palygintume su gyvu organizmu, o

atskiras kompiuterines programas su ląstelėmis, gautume visišką analogiją.

Kompiuterinis virusas pažeidžia informaciją, esančią programos kode. Jis

perima kompiuterinės sistemos valdymą, pakeisdamas nedidelį programos

fragmentą ir gali neribotai dauginti savo kodą. Visa tai sukelia

“kompiuterio ligą”. [6]

1.1. Virusų evoliucija

1987 m. pasirodė virusas „Brain“. Jis užkrečia 360K diskelių įkrovos

sektorius ir sugeba užmaskuoti, kad kompiuteris jo nepastebėtų. Tais

pačiais metais pasirodė virusas „Stoned“. Jis užkrečia kompiuterio MBR

(pagrindinį įkrovos sektorių), sistemos, neįmanoma įkrauti.

1988 m. programuotojas iš indonezijos parašė pirmąją antivirusinę

programą. Ji suranda ir pašalina „Brain“ virusą iš kompiuterio bei apsaugo

nuo būsimų šio viruso atakų.

Po internetą (tuo metu jis dar tik formavosi) pasklido „Internet Worm“

virusas, kuris sutrikdė maždaug 6000 kompiuterių darbą. 1989 m. atsirado

„Dark avenger“ virusas. Jis greitai užkrečia kompiuterį, bet kenkia lėtai,

todėl viruso ilgai nepavyksta aptikti. IBM kompanija išleido pirmąją

komercinę antivirusinę programą. Pradėtas intensyvus virusų tyrimas.

1990 m. pradėti kurti polimorfiniai ir daugialypiai virusai.

Polimorfiniai virusai keičiasi plisdami o daugialypiai užkrečia kelias

kompiuterio vietas iš karto. Viruso autoriai pradėjo keistis virusų

išeities tekstais naujienų grupėse.

1991 m. atsirado virusų konstravimo priemonės, kuriomis beveik

kiekvienas gali sukurti savo virusą. Metų pradžioje devyni procentai

bendrovių pranešė nukentėjusios nuo virusų, metų pabaigoje šis skaičius

išaugo iki 63 procentų.

1992 m. atsirado „Michelangelo“ virusas, kuris pirmasis atkreipė

žiniasklaidos dėmesį. Šis virusas kovo 6 dieną sugadino diskinio kaupiklio

turinį. Antivirusinių programų paklausa gerokai padidėjo, tačiau virusas

užkrečia palyginti nedaug kompiuterių.

1994 m. Anglijos policija sulaikė viruso „Pathogen“ autorių, ir jis

nuteisiamas aštuoniolikai mėnesių kalėti. Tai pirmas kartas, kai nubaustas

viruso autorius.

1995 m. parašytas pirmasis makrovirusas „Concept“. Jis parašytas

„WordBasic“ kalba ir gali veikti bet kuriame kompiuteryje, kuriame yra

„Word“ programa. Vėliau
makrovirusų, nes juos lengva parašyti

ir platinti.

1999 m. balandžio mėnesį išplinta „Chernobyl“ virusas, gadinantis

diskinio kaupiklio duomenis. Vien Kinija patyrė daugiau negu 291 mln. JAV

dolerių nuostolių. Nukentėjo Pietų Korėjos ir Turkijos kompiuterių

sistemos. „Melissa“ virusas užkrečia šimtus tūkstančių viso pasaulio

kompiuterių. Jis plinta išsiųsdamas savo kopijas penkiasdešimčiai adresatų

iš „Outlook“ pašto programos užrašų knygelės.

2000 m. „LoveLetter“ virusas, kilias iš Filipinų, per šešias valandas

nusiaubė Europą ir JAV. Jis užkrėtė nuo 2,5 iki 3 mln. kompiuterių ir

padarė 8,7 mlrd. dolerių nuostolių. Virusas „NewLove“, pasklidęs iš karto

po „LoveLetter“, buvo panašiausias į supervirusą. Jis netik greitai plito,

bet ir sugadindavo sistemines bylas, todėl kompiuteriu naudotis tapdavo

neįmanoma. Jeigu būtų veikęs tinkamai, virusas būtų padaręs labai daug

žalos. Tačiau jo autorius padarė klaidą: kompiuteris nustodavo veikęs

anksčiau, negu virusas spėdavo išsiųsti savo kopijas į kitus kompiuterius.

1.2. Virusai ir į juos panašios programos

Pateiktas virusų apibrėžimas iš tikrųjų yra gerokai siauresnis, nei

tai, ką mes paprastai laikome virusais. Kiti programų tipai tik iš dalies

atitinka apibrėžimą. Kaip ir virusai, tokios programos veikia be vartotojo

žinios ir kompiuteryje atlieka vienokius ar kitokius veiksmus, kuriems yra

sukurtos. Į tokį sąrašą galėtumėme įtraukti “kirminus” (worms), “Trojos

arklius” ir “metikus” (dropers). Visos jos kartu su virusais vadinamos

kenkėjiškomis (malware) programomis.

“Kirminas” gali daugintis per diskelius arba tinklais. Kartais

“kirminas” veikia naudodamasis tinklu kaip pagrindu. Tačiau kitų programų

jis niekada neužkrečia. Kai kurios “kirminų” rūšys naudojasi tinklu tik

tam, kad nukopijuotų save iš vieno kompiuterio į kitą, jie vadinami

“sistemos kirminais” (host worms), o kiti – “tinklo kirminai” – pasklinda

po visą tinklą ir juo naudojasi atskirų savo dalių funkcionavimui.

“Kirminai” gali daugintis ir neprijungtame prie tinklo kompiuteryje. Tuomet

jie kopijuoja save į skirtingas kietojo disko vietas.

“Trojos arklio” pavadinimas kilo iš graikų mito, kurį geriausia

paskaityti “Odisėjoje”. Pasak jo, graikai trojiečiams padovanojo medinį

arklį, kurio viduje slėpėsi kariai. Kai arklys buvo atgabentas į Troją,

graikų kariai iššoko lauk ir užgrobė miestą, taip užbaigdami ilgai trukusią

Trojos apsuptį. Panašiai veikia ir “Trojos arklys”, kuris paslepiamas iš

pažiūros visai nekaltoje programoje. Pastarąją paleidus ji pradeda tam

tikrus iš anksto numatytus veiksmus, – tuo gerokai nustebina nieko

neįtariantį vartotoją. Šio tipo programos pačios nesidaugina.

“Metikai” sukurti taip, kad antivirusinės programos nesugebėtų

atpažinti jų kodo, todėl jie lengvai prasiskverbia į AK. Pagrindinė jų

užduotis – atgabenti ir paleisti virusą. Stebėdami sistemą “metikai”

sulaukia tam tikro įvykio ir užkriečia kompiuterį savo virusu.

Panašiai veikia ir “bombos”. Įtaisytos kenkėjiškose programose jos

veikia kaip detonatoriai. Kitaip tariant, “sprogsta” atsiradus tam tikroms

sąlygoms. Kai kurios “bombos” reaguoja į sistemos laikrodį, kitos gali

Naujųjų metų proga ištrinti visus DOC tipo failus ar parodyti kokį nors

pranešimą per kokio nors garsaus žmogaus gimtadienį. Dar kitos sulaukia,

tarkime, dvidešimties tam tikros programos paleidimo kartų ir paskui

ištrina visus šios programos failų šablonus. Iš esmės “bomba” yra

piktavališkų veiksmų sekos aprašas ar planavimo programa.

Dažnai pačiuose virusuose panaudojamos viena ar kelios kenkėjiškos

programos. Virusai gali būti platinami per “metikus” (nors nebūtinai) ar

naudotis “kirminų” principu kopijuoti pačius save. Nebūdami “Trojos

arkliais” virusai gali atitikti “arkliams” keliamus reikalavimus: daryti

tai, ko nenori vartotojas, ir pasislėpę programose paversti jas “Trojos

arkliais” (t.y. veikti joms pasileidus ir atlikti nepageidaujamus

veiksmus).

1.3. Kaip virusai veikia

Virusų yra daug ir jie veikia skirtingais būdais, todėl apžvelgti

visus yra ganėtinai sunku. Aš aprašysiu tik pagrindinį procesą.

Iš pradžių virusai kokiais nors būdais atsiranda mūsų kompiuteryje.

Dažniausiai taip įvyksta su užkrėstų programų (COM, EXE failų ar pakrovimo

sektoriaus) pagalba. Praeityje virusai buvo platinami išskirtinai per

užkrėstus diskelius. Šiais laikais jie dažniausiai siunčiami tinklais (taip

pat ir “Internetu”) kaip bandomųjų programų failų, makrokomandų failų ar

prisegtų prie elektroninio pašto žinutės failų dalys.

Elektroninio pašto žinutė savaime negali būti virusu. Virusas yra

programa, jis privalo būti paleistas. Elektroniniu paštu virusas atkeliauja

prisegtas prie žinutės kaip failas, todėl
negali įvykti tol, kol mes

jo nepaleidžiame. Tai padaryti galime įvairiai, bet dažniausiai užkrėsti

failai paleidžiami du kurtus spragtelėjus juos pelyte. Vienintelis būdas

apsaugoti save nuo taip atkeliaujančių virusų – niekada neatidarinėti

prisegtų duomenų, kuriuose yra paleidimo failai (EXE ar COM) ar tokių

programų kaip “Office”, kurios leidžia rašyti makrokomandas, failai.

Grafiniai, garso ar kitokie duomenų failai yra saugūs.

Virusas mūsų kompiuteryje elgiasi visai taip, kaip ir “Trojos arklys”.

Jis slepiasi kitoje programoje ar faile ir paleidžiamas kartu su juo. Kad

taip įvyktų, virusas pakeičia užkrėsto failo kodą. Jis duoda nurodymą

programai aptikti virusą ir jį paleisti. Paprastai šis procesas vyksta

taip: programos vykdymas nutraukiamas, peršokama į užkrėstą dalį, įvykdomos

viruso komandos ir sugrįžus į pradžią tęsiamas programos vykdymas. Nuo tada

virusas ima veikti ir užkrečia kitus failus.

Virusai gali pradėti veikti iš karto – tokie virusai vadinami

tiesioginio veikimo virusais – arba pasinaudoję operacinės sistemos leidimu

pasikrauti į atmintį ir ten tūnoti. Daugelis virusų priskiriami antrajai

kategorijai. Tokie virusai vadinami “atminties virusais”. Pasilikdami

atmintyje jie įgyja daug laisvės – gali stebėti atsarginių kopijų darymo

procesą, sekti klaviatūros ar pelės veiklą ir daug kitų dalykų. Atmintyje

įsikūręs virusas gali daryti beveik viską, ką daro operacinė sistema.

Naudodamas “bombas” virusas gali palaukti tam tikro įvykio ir tik paskui

pradėti savo veiklą jūsų kompiuteryje. Virusas taip pat gali rasti mūsų

kompiuterio diske (ar kur kitur tinkle) paleidžiamųjų failų ir juos

užkrėsti. [4]

1.4. Virusų tipai

Virusų autoriai nuolat ieško naujų būdų užkrėsti kompiuterius, tačiau

tokių būdų iš tikrųjų yra labai nedaug. Virusai užkrečia disko paleidimo

sektorius, paleidimo failus ir makrokomandų failus. Yra begalė skirtingai

besivadinančių virusų, bet jų veikimo principas yra toks pat.

Pradinio disko sektoriaus virusai ir užkrėtėjai įsirašo tam tikroje AK

kietojo disko vietoje ir būna paleidžiami kraunant kompiuterį. Anksčiau

pradinio sektoriaus virusai užkrėsdavo tiktai DOS pradinį sektorių, tačiau

atskiras jų porūšis dabar užkrečia ir visą pagrindinį disko pradžios įrašą

(master boot record – MBR). Abu šie sektoriai skaitomi kraunantis

kompiuteriui. Tuo metu virusai ir kraunami į atmintį.

Pakrauti sistemą iš užrakinto sistemos diskelio yra vienas geriausių

būdų apsisaugoti nuo tokio tipo virusų. Žinoma, negali būti įsitikinęs, kad

diskelis nebuvo užkrėstas prieš sisteminių failų įrašymą, bet tai galima

patikrinti antivirusinėmis programomis.

Failų užkrėtėjai, kitaip dar vadinami “parazitiniais virusais”, yra

programos, kurios prisijungia prie paleidimo failo. Jos yra labiausiai

paplitusios ir geriausiai žinomos. Kaip dera tikram virusui, jos įsikuria

atmintyje ir laukia, kol vartotojas paleis kitą programą naudodamos tai

kaip signalą ją užkrėsti. Yra daugybė skirtingų failų užkrėtėjų tipų, bet

jie nedaug tesiskiria.

Makrovirusai pasirodė ganėtinai neseniai. Savo tikslams jie naudoja

vidinę programavimo kalbą, kurią turi kai kurie programų rinkiniai.

Makrokalba vartotojui leidžia susikurti pagalbines programėles, vadinamas

makrokomandomis, kurių dėka jis gali automatizuoti norimas užduotis. Tokią

kalbą, pavyzdžiui, turi “Microsoft Office”. Iš tikrųjų makrovirusas yra

paprasčiausia komandų seka. Pirmasis tokio tipo virusas buvo sukurtas

“Microsoft Word” failams.

Kai tik atidaromas dokumentas ar šablonas, turintis viruso

makrokomandą, virusas pradeda savo kenkėjišką veiklą. Be to, makrokomanda

gali būti suprogramuota taip, kad nukopijuotų save į kitus dokumentus.

Taigi toliau naudojant programą virusas vis labiau plinta.

Ketvirto tipo virusai vadinami daugiaveiksmiais (multipartite). Jie

užkrečia ir pradinius disko sektorius, ir failus.

Išsamų virusų sąrašą ir jų aprašymus galime rasti “Symantec” kovos su

virusais centro virusų enciklopedijos tiklapiuose

www.symantec.com/avcenter/vinfodb.html

1.5. Ką virusai gali?

Nors virusai tėra programa, tačiau dažnai jie būna sukurti labai

išradingai ir klastingai. Kai kurie virusai gali:

1) Apgaudinėti rezidentines apsaugines programas, pavyzdžiui,

užkrėsdami ir gadindami duomenis nesinaudodami operacinės sistemos

funkcijomis, o kreipdamiesi tiesiai į BIOS įvedimo ir išvedimo programas ar

netgi diskinių ir diskelinių kaupiklių valdiklio prievadus;

2) Išlikti, pakartotinai įkrovus kompiuterį, tiek naudojant klavišų

derinį Ctrl Alt Del, tiek iš “sterilaus” sisteminio diskelio, naudojant

mygtuką “Reset” ar tiesiog, išjungus ir vėl įjungus kompiuterį;

3) Užkrėsti failų archyvus;

4) Užkrėsti failus tik jų patalpinimo į diskelius ar archyvus metu;

5)
Kovoti su antivirusinėmis programomis;

6) Ilgą laiką neišsiduoti, t.y. tapti aktyviais tik praėjus kelioms

savaitėms ar net mėnesiams nuo kompiuterio užkrėtimo;

7) Užšifruoti kaupiklių sisteminius sektorius ar kitus duomenis taip,

kad kreiptis į juos būtų įmanoma tik turint kompiuterio atmintyje šį

virusą.

|Poveikis |Poveikio dydis, |

| |procentais |

|Darbo efektyvumo sumažėjimas|70 |

|Pažeisti failai |66 |

|Negalima dirbti su PK |50 |

|Nėra priėjimo prie duomenų |49 |

|Sutrikimai dirbant su |44 |

|failais | |

|Prarasti duomenys |40 |

|Pranešimai ekrane, |33 |

|mirguliavimas | |

|Vartotojo konfidencialumo |22 |

|pažeidimas | |

|Sutrikimai išsaugant |30 |

|duomenis | |

|Nestabilus programų darbas |14 |

|Sutrikimai spausdinant |9 |

1.6. Ko virusai negali?

Kompiuteris bus užkrėstas virusu tik tada, jei bus nors kartą paleista

virusu užkrėsta programa, t.y.:

a) Paleistas užkrėstas vykdomasis failas ar įdiegtas užkrėstas tvarkiklis;

b) Įvykdytas pradinis įkrovimas iš įkrovimo virusu užkrėsto diskelio;

c) Iškvietus redagavimui užkrėstus programos WORD FOR WINDOWS dokumentus ar

programos EXCEL lenteles.

Vadinasi, galima daryti išvadą, kad nėra pagrindo bijoti kompiuterio

užkrėtimo virusu, jeigu:

~ Į kompiuterį perrašomi failai, neturintys programinių sudedamųjų

dalių ir neskirti paversti programomis, pavyzdžiui, grafiniai failai,

tekstiniai failai, Multi – Edit tipo tekstų redaktorių dokumentai ir t.t.;

~ Kompiuteriu vykdomas failų kopijavimas iš vieno diskelio į kitą ar

kiti veiksniai, nesusiję su “svetimų” programų paleidimu, pakartotiniu

įkrovimu iš “svetimų” diskelių, arba “svetimų” WORD FOR WINDOWS dokumentų

arba EXCEL elektroninių lentelių redagavimu.

Be to, virusai užkrečia tik programas, bet negali užkrėsti įrangos

(klaviatūros, displėjaus ir t.t.). Virusas negali užkrėsti ar pakeisti

duomenų, kurie yra nuo rašymo ar trynimo apsaugotuose diskuose, taip pat

duomenų, esančių aparatiniu būdu (tarkime naudojant kompleksą SHERRIF)

apsaugotuose loginiuose kaupikliuose. [5]

1.7. Užkrėtimo virusu simptomai

Galite būti tikri, kad jūsų kompiuteris užkrėstas virusu jeigu:

• virusu paieškos programa praneša apie jai pažįstamo viruso suradimą

operatyviojoje atmintyje, failuose ar diskinio kaupiklio sisteminiuose

sektoriuose;

• tikrinanti programa praneša apie failu, kurie nebuvo keičiami,

pakeitimus. Be to, tie pakeitimai dažnai vykdomi kokiu nors neįprastu būdu,

pavyzdžiui, failo turinys pakeistas, o jo pakeitimo laikas – ne;

• tikrinanti programa praneša apie pasikeitimus diskiniame

kaupiklyje saugomoje įkrovimo programoje ( Master Boot, kurioje yra

duomenys apie diskinio kaupiklio suskaidymų j loginius kaupiklius) ar

įkrovimo jraše (Boot record). Tačiau Jūs nekeitėte diskinio kaupiklio

suskaidymo į loginius kaupiklius, neatnauįinote OŠ ir nedarėte nieko, kas

būtu galėję nulemti tuos pasikeitimus;

• apsauginė programa praneša, kad kažkokia programa nori formuoti

diskinį kaupiklį, keisti diskinio kaupiklio sisteminiu sektorių turinį ir

1.1., o Jūs nepaleidote jokios programos, kuri turėtu tai daryti;

• tikrinanti programa praneša apie „nematomus“ virusus kompiuterio

atmintyje. Tai pasireiškia tuo, kad skaitant kai kuriuos failus ar kai

kuriuos diskinio kaupiklio sektorius DOS priemonėmis ten randama vienokia

informacija, o skaitant juos tiesiogiai – kitokia;

• virusas pats „prisistato“, išvesdamas į ekraną atitinkamą

pranešimą.

Galite įtarti, kad kompiuteris užkrėstas virusu, jeigu:

• antivirusinė programa praneša apie jai nežinomo viruso suradimą;

• į ekraną ar spausdintuvą pradedami išvesti pašaliniai pranešimai,

simboliai ir t.t.;

• kai kurie failai pasirodo esą sugadinti;

• kai kuriuos programos nedirba ar dirba klaidingai;

• žymiai sumažėja kompiuterio darbo sparta.

Tarp kitko, panašius reiškinius gali sukelti ir klaidos programose,

aparatūros gedimai ir t.t.

1.8. Penkios taisyklės

Jei žinote ar įtariate, kad Jūsų kompiuteris užkrėstas virusu, labai

svarbu laikytis šių penkių taisyklių:

1. Nereikia skubėti ir priimti neapgalvotą sprendimą. Kaip sakoma,

„septynis kartus pamatuok, viena kartą nupjauk“. Neapgalvoti veiksmai gali

ne tik sunaikinti dalį duomenų, kuriuos buvo galima apsaugoti, bet ir

pakartotinai užkrėsti kompiuterį virusu.

2. Kita vertus, vieną dalyką reikia padaryti tuojau pat. Jei nesate

tikri, kad virusą aptikote anksčiau, negu jis
tapo aktyvus, išjunkite

kompiuterį, kad virusas negalėtu tęsti savo žalingos veiklos.

3. Visus su viruso suradimu ir kompiuterio „gydymu“ susijusius

veiksmus reikia atlikti tik teisingai įkrovus kompiuterį iš nuo rašymo ir

trynimo apsaugoto „etaloninio“ diskelio su sisteminiais failais. Be to,

galima paleisti tik nuo rašymo ir trynimo apsaugotuose diskeliuose esančius

vykdomuosius failus. Nesilaikant šios taisyklės, virusas gali tapti

aktyvus, nes tuo pat metu bus užkrečiamos ir programos ir kaupikliai.

4. Viruso pažeistos informacijos „gydymas“ paprastai nėra

sudėtingas, tačiau kartais (kai viruso padaryta žala yra didelė) jis būna

labai keblus. Jei matote, kad Jums trūksta žinių ar patirties, verčiau

kreiptis pagalbos į patyrusius kolegas.

5. Kompiuterio „gydymas“ yra kūrybinis procesas, todėl bet kokie

patarimai (tarp jų ir surašyti žemiau) neturėtų būti suprasti kaip dogmos.

Juk virusu kūrėjai retkarčiais ima ir sugalvoja ką nors nauja. Dėl to kai

kurie patarimai, kaip kovoti su virusais, pasensta…[5]

Dvidešimt virusų, labiausiai paplitusių 2003 m. Balandžio mėnesį

|Poz. |Virusas |Dažnumas |

|1 |I-Worm.Klez |37.60% |

|2 |I-Worm.Sobig |10.75% |

|3 |I-Worm.Lentin |9.03% |

|4 |I-Worm.Avron |3.30% |

|5 |Macro.Word97.Thus |2.62% |

|6 |I-Worm.Tanatos |1.38% |

|7 |Macro.Word97.Marker |1.21% |

|8 |Worm.Win32.Opasoft |1.13% |

|9 |I-Worm.Hybris |1.04% |

|10 |Win95.CIH |0.69% |

|11 |Worm.Win32.Randon |0.58% |

|12 |VBS.Redlof |0.57% |

|13 |Backdoor.Death |0.51% |

|14 |Win95.Spaces |0.51% |

|15 |I-Worm.Roron |0.49% |

|16 |Trojan.PSW.Gip |0.49% |

|17 |Backdoor.NetDevil |0.48% |

|18 |Win32.HLLP.Hantaner |0.45% |

|19 |TrojanDropper.Win32.Delf |0.42% |

|20 |TrojanDropper.Win32.Yabinder |0.41% |

[www.esecurity.lt]

[pic]

2. CIH dienos pamokos

1999 metų balandžio 26-ąją prisimins daugelis. Tą saulėtą pirmadienio

rytą kaip per baisiausią maro epidemiją visame pasaulyje vienas po kito

gaišo kompiuteriai. Krito ne dešimtimis, o tūkstančiais…

W95.CIH virusas pirmą kartą buvo pastebėtas Pietryčių Azijos regione

praeitą vasarą. Jau tuomet jis buvo pelnytai pavadintas vienu iš

pavojingiausių visų laikų virusų. Tai buvo vienas iš pirmųjų, sėkmingai

besidauginančių “Windows 95” terpėje, ir pirmasis, kurio padarinių

pašalinimui galėjo tekti atidaryti kompiuterio korpusą. Jeigu virusui

pasiseka, jis ne tik sunaikina kietajame diske saugomus duomenis, bet ir

ištrina kompiuterio “Flash BIOS” mikroschemos turinį. Nuo pat pradžios buvo

žinoma ir tai, jog dauguma CIH viruso variantų savo juodą darbą pradeda

balandžio 26-ąją, Černobylio atominio reaktoriaus sprogimo dieną. Dėl to

jis turi ir antrą pavadinimą – Černobylio virusas. Visa tai buvo žinoma,

bet niekas nemanė, jog CIH diena bus tokia įspūdinga.

Vieni neteko visos įmonės buhalterinės apskaitos, kiti – penkerius

metus rašyto mokslinio darbo, muitinės postas staiga prarado sugebėjimą

įforminti deklaracijas, prokuratūros sekretorė nebesurado bylų, studentai –

“valdiškame” kompiuteryje saugotų kursinių darbų. Kas sakė, kad Lietuvoje

nebūna uraganų?.. Vieni graužė nagus ir nežinojo, ką daryti, kiti, kurių

namus nelaimė aplenkė, piktdžiugiškai kikeno ir džiaugėsi nauja atrakcija,

o treti “darė biznį” – siūlė duomenų atkūrimo paslaugas ir skubėjo

pardavinėti antivirusines programas. Žodžiu, buvo linksma.

Atslūgus pirmajam šokui pamąstykime: ir dėl ko visas tas cirkas? Argi

taip sunku buvo išvengti šios tragikomedijos?

CIH virusą, kaip ir keliasdešimt tūkstančių kitų, galėjo surasti ir

sunaikinti kiekviena naujesnė antivirusinė programa. Ar daug kas tokią

turi? Dabar akivaizdu, jog mažesnė pusė. O ir dauguma turinčių parsisiuntė

ją prieš kelis mėnesius, jei ne prieš metus, iš “Interneto” ir įsivaizduoja

esą saugūs. Už jokį antivirusą senas antivirusas yra gal net blogesnis, nes

jis suteikia pasitikėjimo paleidžiant nežinia kokias programas ar skaitant

abejotinos kilmės dokumentus. Vienos darbo vietos apsauga paprastai

kainuoja ne daugiau kaip 300 litų, o perkant naują kompiuterį – vos

keliasdešimt. Už šiuos pinigus antivirusinės programos kūrėjai aprūpins mus

naujausiomis
ištisus metus ar net dvejus. Keli ar keliolika litų

per mėnesį – argi mūsų kompiuteryje kaupiama informacija nėra to verta?..

Neįtikėtina, bet juodojo pirmadienio rytą kai kas prarado kelių

mėnesių ar net metų darbo rezultatus. Tam juk nereikia ir “Černobylio”.

Kompiuterio kietasis diskas ir pats savaime nėra amžinas mechanizmas. Ne

veltui sakoma, jog diskai būna dviejų rūšių: tie, kurie jau sugedo, ir tie,

kurie dar suges. Kelios minutės laiko kartą per savaitę ir dėžutė diskelių

atsarginėms svarbiausių dokumentų kopijoms – argi tai yra per didelė

šventos ramybės kaina?..

CIH parodė, jog elementariu saugumu visiškai nesirūpina ne tik

daugelis pavienių vartotojų, bet ir rimtos firmos bei įstaigos, valstybinės

organizacijos ir institucijos. Universitetų, bibliotekų, ministerijų ir

netgi bankų tinklai jungiami prie “Interneto” be jokių apsaugos priemonių

nuo galimų virusų, “Trojos arklių”, savaime besidauginančių “kirminų” ir

kitokių parazitų. Pinigai paprastai skiriami tik “geležiai”, pamirštant

programinę įrangą, o ką jau kalbėti apie kompleksinę tinklų, serverių ir

darbo vietų apsaugą. Skęstančiųjų gelbėjimas – pačių skęstančiųjų reikalas?

Černobylio metinių šoko terapija daugelį privers rimčiau pažvelgti į

kibernetinio amžiaus pavojus. Bet ar ilgam?..

3. Antivirusinė programinė įranga

Kovai su virusais pasitelkiamos specialios programų sistemos, kurios

dažniausiai vadinamos antivirusinėmis programomis. Pagal veikimo būdą ir

atliekamas funkcijas į antivirusinės sistemos sudėtį įeinančios programos

gali būti skirstomos į tokias pagrindines grupes.

Programos – detektoriai (skeneriai). Jos suteikia galimybę rasti

failus, kurie užkrėsti kokiu nors žinomu(ais) virusu(ais). Detektoriai tik

aptinka virusą, bet nuo jo neišgydo. Virusas gali būti randamas pagal

parašą, t.y., kaip minėjome, pagal jam būdingų baitų kombinaciją. Todėl

šiose programose yra virusinių parašų bankas. Banko sudėtis apsprendžia

aptinkamų virusų rūšis ir jų skaičių. Be to, kai kuriems virusams surasti

gali būti pasitelkiama vadinamoji euristinė analizė. Tai rinkinio

taisyklių, apibrėžiančių virusus, panaudojimas jiems lokalizuoti.

Detektoriai gali tikrinti nurodytus diskus ar failus. Daugelis jų turi

užkrėstų failų naikinimo priemones. Dirbant su programomis detektoriais,

reikia jas reguliariai (bent kas 1-3 mėnesius) atnaujinti, t.y., dirbti su

konkrečios programos paskutine versija, galinčia aptikti ir naujai

pasirodžiusius virusus.

Taip veikiančios antivirusinės programos pavyzdžiu galėtų būti sistema

Doctor Web, naudojanti virusams rasti ir jų parašą, ir euristinę analizę.

Jos virusinių parašų banke yra keli tūkstančiai parašų, o euristinėje

analizėje galimi trys lygiai: minimalus, optimalus ir patikimiausias.

Dokumentacijoje rašoma, kad testuojant nežinomus virusus Doctor Web

efektyvumas yra 72% (patikimumo lygis, t.y., procentas aptiktų iš visų

pateiktų testavimui virusų) minimaliu lygiu, 80% – optimaliu bei 82-90% –

patikimiausiu. Tačiau bendras sistemos efektyvumas, specialistų teigimu,

neviršija 50%. Maždaug kas mėnesį pateikiama nauja šios sistemos versija.

Doctor Web vartotojai dažniausiai moka jos metinės prenumeratos mokestį

(apie kelis šimtus litų). Dar vienas programos detektoriaus pavyzdys –

programa FindVirus, naudojama sistemoje „Dr. Solomon’s Anti-Virus Toolkit“,

sukurtoje bendrovėje „S&Software“; tai viena tobuliausių antivirusinių

priemonių. Šia sistema galima aptikti per 10000 virusų; specialistai jai

teikia apie 97% patikimumo lygį. Sistema turi parašų banko atnaujinimo

priemones (pvz., iš diskelių, platinamų per prenumeratą, Internetą). Be to,

pakete yra virusų enciklopedija, kurioje aprašyti įvairūs virusai ir jų

poveikis kompiuteriui. Kasmetinis mokestis už sistemos atnaujinimą yra apie

1000 litų.

Programos – daktarai (fagai). Tai antivirusinės programos, ne tik

aptinkančios virusus, bet ir išgydančios nuo jų, t.y. atliekančios

priešingus veiksmus nei atliko virusas, užkrėsdamas kompiuterį. Jos iš

užkrėstos programos ar disko „iškanda“ (išmeta) virusą, t.y., grąžina

programą į tą būseną, kuri buvo prieš užsikrečiant. Failai, kurių

nepasiseka grąžinti, paprastai daromi neveikliais (nedarbingais) arba

išmetami. Programų – daktarų pagrindiniai trūkumai: gydant kai kuriuos

virusus, gali būti sugadinta programa ar palikti viruso fragmentai, kai

kurie virusai gali būti klaidingai atpažinti ir tada blogai išgydoma.

Programos – daktarai dažniausiai neišskiriamos į atskirą grupę.

Traktuojama, kad tai yra programa – detektorius, turinti galimybę gydyti.

Pavyzdžiui programa F-Prot, kuri naudojama antivirusinėje sistemoje F-Prot

Professsional, sukurtoje bendrovėje „Frisk Softvvare International“,

identifikuoja per 7000 virusų ir apie 85% atvejų nuo jų išgydo.

Specialistai šiai
suteikia apie 94% patikimumo lygį.

Programos – revizoriai. Jos naudojamos atliekant ankstyvąją viruso

diagnostiką ir turi du darbo etapus. Pirmiausia revizoriai atsimena

duomenis apie programų ir diskų sisteminių sričių (kelties sektoriaus ir

sektoriaus su disko paskirstymo lentele) būklę (pvz., jų dydžius).

Traktuojama, kad tuo momentu programos ir sisteminės diskų sritys

neužkrėstos. Po to revizoriai gali kiekvienu momentu palyginti esamųjų

būklę su pradine. Jei randamas neatitikimas („prikibęs“ prie programos

virusas padidina ją standartiniu, jam budingu dydžiu), apie

tai pranešama vartotojui. Tai suteikia galimybę nustatyti užsikrėtimą

virusu iki tol, kol jis dar nepadarė didelių nuostolių. Be to, programa

-revizorius gali rasti viruso paveiktus failus. Norint

patikrinti, ar nepasikeitė failas, skaičiuojamas arba jo ilgis, arba

kontrolinė suma – tai tam tikra speciali viso failo turinio funkcija (pvz.,

bendras vienetų skaičius failo duomenyse). Jei pasikeitė ilgis ar

kontrolinė suma, tai aišku, kad pasikeitė ir failas. Pakeisti failą taip,

kad nepakistų kontrolinė jo suma, praktiškai neįmanoma. Norint suskaičiuoti

kontrolinę sumą, būtina perskaityti visą failą, o tai santykinai ilgas

procesas. Kadangi tikrinti, ar kompiuteryje nėra virusų, reikia

dažnai (geriausiai OŠ kiekvienos pradinės kelties metu), tai

ilgas tikrinimo laikas nepageidautinas. Todėl paprastai

kontrolinės sumos skaičiavimą ir pastovų jos tikrinimą tikslinga atlikti

tik itin svarbiem, dažniausiai vykdomiems failams (programoms) (pvz.,

COMMAND.COM, IO.SYS, MSDOS.SYS ir pan.). O kitų failų gali būti tikrinamas

tik dydis. Taigi programos – revizoriai gali „išgaudyti“ ir žinomus, ir

visai nežinomus virusus.

Programų – revizorių pavyzdžiai – tai ASP Integrity Toolkit, esanti

sistemos „Dr. Solomon’s Anti-Virus Toolkit“ sudėtyje, Integrity Master ir

VDS, dirbančios DOS terpėje.

Programos – filtrai. Jos dar vadinamos rezidentinėmis antivirusinėmis

programomis arba bendrojo monitoringo (įspėjimo) programomis. Šios

programos talpinamos rezidentiškai kompiuterio operatyviojoje atmintyje ir

perima tuos kreipinius į OŠ, kuriuos virusai naudoja dauginimuisi ir

kenkimui. Apie tai jos praneša vartotojui, kuris gali leisti atlikti

atitinkamą operaciją ar ją uždrausti. Tokie „įtartini“ kreipiniai

(veiksmai) yra šie: vykdomųjų failų keitimas, failo atributo „tik

skaitymui“ panaikinimas, disko formatavimas, tiesioginis įrašymas (įrašymas

pagal absoliutinį adresą) į diską, programos padarymas rezidentine.Kai tik

yra kreipinys (į OŠ) atlikti „įtartiną“ veiksmą, į ekraną išvedamas

pranešimas apie tai, kokį veiksmą reikia atlikti ir kokia programa nori jį

atlikti. Jei šis veiksmas realiai nereikalingas vykdant tą programą, jį

reikia uždrausti, nes tai, matyt, yra viruso reikalaujamas veiksmas.

Programų – filtrų naudojimo pagrindiniai trūkumai: 1) jos pastoviai užima

tam tikrą operatyviosios atminties dalį ir kartu mažina atminties dalį, į

kurią gali kreiptis kitos programos; 2) vartotojas turi atsakinėti į

klausimus: leisti ar uždrausti konkrečius veiksmus kompiuteryje; jei šie

klausimai dažni, vartotojui jie gali nusibosti; 3) jų užtikrinamo apsaugos

laipsnio nereikia pervertinti, nes daugelis virusų, norėdami plisti ir

kenkti, tiesiogiai kreipiasi į OŠ programas, nenaudodami šių programų

standartinio iškvietimo per pertraukimus būdo. O rezidentinės programos

perima tik šiuos pertraukimus. Be to, jos nepadeda apsaugoti diską nuo

užsikrėtimo virusais, kurie plinta per kelties sektorių – toks užsikrėtimas

gali įvykti OŠ pradinės kelties metu, t.y., prieš bet kurių programų

vykdymą ar tvarkyklių nustatymą. Pagrindinis programų filtrų privalumas

tas, kad jos gali nustatyti ankstyvos stadijos virusą, t.y., kol jis dar

nespėjo išplisti ir pakenkti. Tuo būdu, nuostolius dėl virusų galima

sumažinti iki minimumo. [1]

3.1. Antivirusinių programų testavimas

Tarptautinės kompiuterių saugumo asociacijos (ICSA) duomenimis, yra

vienos dešimtosios tikimybė, kad per mėnesį susidursite su bent vienu

virusu. Ši tikimybė yra dvigubai didesnė negu pernai. Lietuvoje prieš

Naujuosius metus suaktyvėjo “Happy99” virusas, o pastaruoju metu dažnai

pasitaiko “PrettyPark” virusas. Dažnai kalbama apie kenkėjiškus “ActiveX”

ar “JavaScript” įskiepius, tačiau jų grėsmė kol kas daugiau teorinė.

[pic]

“Kompiuterijos” testavimų centre buvo išbandytos penkios antivirusinės

programos, kurias Lietuvoje galima įsigyti legaliai. Tai – bendrovės

“Laineta” pristatytas “Kaspersky Labs” produktas “AVP Platinum”, bendrovės

“CHS Baltic” pristatytas “Symantec” gaminys “Norton Antivirus 2000” bei

“Computer Associates” programa “InoculateIT” (ją nemokamai galima

atsisiųsti
internetu). Testavimų centre taip pat buvo išbandyta “Baltic

Amadeus” platinama “McAffee VirusScan” programa bei “Panda Software”

sukurta “Panda Antivirus” programinė įranga, kurią platina bendrovė “Adis”.

Nepaisant to, kad vienos programos pasirodė geriau, kitos prasčiau,

praleido vieną kitą virusą ar buvo ne tokios sparčios, tikrai

rekomenduojame vieną jų išsirinkti ir įsigyti. Visos bandytos programos

gali atnaujinti virusų “parašų” bazes per internetą, todėl būsite apsaugoti

nuo “naujausių” kenkėjų. Visuose programinės įrangos paketuose yra

nuolatinio skenavimo moduliai, apsaugosiantys nuo užkrėsto dokumento

atvertimo, programos aktyvavimo ar elektroninio laiško priedo įrašymo. Kad

pasiruoštumėte blogiausiam, kiekviena programa sukurs sisteminį diskelį ar

jų komplektą, iš kurio, kai diskinis kaupiklis bus nepasiekiamas, galėsite

įkrauti, taisyti ir gydyti sistemą. Daugelis bendrovių (ar bent jau jų

užsienio partneriai) per 24 val. išgydys jūsų aptiktą nežinomą virusą ir

atsiųs atitinkamą bazės pataisą.

3.1.1. “AntiViral Toolkit Pro Platinum”

[pic]

Senesni kompiuterių vartotojai turbūt prisimins bene pirmąsias

antivirusines programas “Aidstest” bei “Kaspersky”. Jos pasirodžiusios

beveik prieš dešimt metų, “gaudydavo” vos tūkstantį virusų. Dabar viena šių

produktų kūrėjų “Kaspersky Labs” išaugo į nemažą bendrovę. Vienas

pagrindinių jos produktų yra antivirusinių programų paketas “AntiViral

Toolkit Pro”.

Norint naudotis visomis šios programos galimybėmis, reikia šiek tiek

daugiau nei pradedantysis išmanyti apie kompiuterį. Tačiau programą

perpratus, ji tampa galingu įrankiu.

Programos įdiegimas yra palyginti paprastas, jo pabaigoje perspėjama

apie būtinybę atnaujinti programos duomenų bazes. Taip pat pasiūloma

atnaujinti skenavimo variklį (engine). Nustatyti, kada atnaujinti AVP,

galima bene lanksčiausiai, palyginti su kitomis bandytomis programomis.

Atnaujinti galima kas valandą ar mėnesį, susidarius tam tikroms sąlygoms

(pvz., jei diskų tikrinimas buvo nesėkmingas) arba įvykus kokiam nors

įvykiui (pvz., įsijungus ekrano užsklandai).

Nuolatinio skenavimo modulį galima suderinti taip, kad būtų

skenuojamos tik potencialiai pavojingos bylos (programos, funkcijų

bibliotekos ir pan.), supakuotos bylos ar pašto duomenų bazės (tokiu atveju

apie užkrėstą laišką bus pranešta net nebaigus jo siųsti). Nuolatinis

modulis užima labai mažai operatyviosios atmintinės – tik 8 KB, yra

neblogai paslėptas (“Ctrl+Alt+Del” iškviečiamame programų sąraše jo

nematyti).

Tiek pagrindiniame (juo atliekamas skenavimas vartotojui patogiu

metu), tiek nuolatiniame modulyje galima pasirinkti euristinę disko bylų

analizę (“Code Analyzer”). Tačiau, tikrinant diską tokiu režimu, procesas

trunka dukart ilgiau negu paprastai.

Viena iš neįprastų, tačiau naudingų programos savybių buvo ta, kad ji

informavo ne tik apie užkrėstas bylas, bet ir apie sugadintas programas bei

dokumentus.

Bandytas “AVP Platinum” komplektas skirtas dirbti kompiuterių tinkle.

Namų vartotojui skirtoje “AVP Gold” versijoje tinklinio darbo galimybių

beveik nėra, kitos programos dalys yra tokios pačios. Bendrovėje “Laineta”

programinis paketas “AVP Gold” kainuoja 200 litų, jį įsigijęs vartotojas

dvejus metus gauna virusų “parašų” bazės atnaujinimus bei konsultuojamas

įdiegimo klausimais.

3.1.2. “InoculateIT”

[pic]

“Computer Associates” sukurta programa “InoculateIT” patraukli tuo,

kad ji yra nemokama, t.y. programą galima atsisiųsti iš interneto ar

užsisakyti kompaktinį diską. Ją kurianti bendrovė uždirba pinigų siūlydama

antivirusinius sprendimus įmonėms bei organizacijoms. “InoculateIT”

svetainėje pateikiami nemokami virusų parašų bazės atnaujinimai.

Galbūt tai sutapimas, tačiau mažiausiai kainuojančios programos virusų

aptikimo charakteristikos buvo prasčiausios (nepaisant to, 96 proc. aptiktų

virusų yra labai geras rezultatas) bei neaptikti du “WildList” sąrašui

priklausantys “kenkėjai”.

Nuolatinį šios programos modulį galima įvairiai derinti, pavyzdžiui,

nustatyti jį taip, kad bylos būtų tikrinamos jas nuskaitant, bet ne

įrašant. Modulį, kaip ir pagrindinę programą, galima vykdyti trimis darbo

režimais. Tikrinant programas trečiuoju, “Reviewer” režimu (jis

rekomenduojamas tada, kai įtariate, jog virusas sistemoje yra, tačiau

programa jo neaptinka), kai kurie įprastu režimu aptikti ir identifikuoti

virusai rodomi kaip “Unknown” (neatpažinti). Tačiau “Reviewer” kilus

įtarimui naudotis verta – paprastas modulis neaptiko savadarbio viruso, o

euristinės analizės būdu jis atpažintas.

Vienas šios programos privalumų – didelė darbo sparta. Apie 8000
bylų

“InoculateIT” peržiūrėjo mažiau nei per pusantros minutės.

3.1.3. “McAffee VirusScan”

[pic]

“McAffee VirusScan” yra bene išvaizdžiausia iš visų programų, nors

kartais atrodo, kad aplinkos kūrėjai truputį persistengė. Pagrindiniame

programos lange galima lengvai pasirinkti pagrindines funkcijas, pamatyti

aktualią informaciją. Taip pat pateikiama įspėjamojo pobūdžio informacija

apie programos būseną: neatliktą diskinio kaupiklio tikrinimą,

neatnaujintas “parašų” bazes.

“VirusScan” nuolatinio skenavimo modulis savo darbą atlieka gerai.

Pavyzdžiui, “Explorer” programoje atvertus katalogą, kuriame yra užkrėstų

programų, ir neatliekant jokių veiksmų su jo bylomis, “VirusScan” aptiks

infekciją. Modulį galima patogiai pritaikyti savo reikmėms bei nurodyti

daug iš pirmo žvilgsnio nereikšmingų smulkmenų. Pavyzdžiui, galima

nustatyti, kokią operaciją atliekant bus tikrinama byla, ar tikrinti

diskelius prieš baigiant darbą su “Windows” ir pan.

Nuolatinis skenavimo modulis turi dar vieną naudingą savybę – prieš jį

išjungiant (taip pat ir keičiant modulio nustatymus) galima prašyti įvesti

slaptažodį. Ši funkcija gali apsaugoti kompiuterį nuo žalos, kurią gali

padaryti atsitiktinai prie jo prisėdęs kenkėjas.

“McAffee VirusScan” bene labiausiai parengta atakoms iš interneto.

Pakete yra “WebScanX” modulis, skirtas apsaugoti nuo kenkėjiškų elementų iš

tinklo galinčių pasirodyti – “Java” ir “ActiveX” įskiepių. Programa taip

pat gali blokuoti tam tikras “Web” svetaines ar IP adresus, kurie įtariami

bloga veikla. Tačiau ši apsauga tėvams nepadės apsaugoti savo vaikų nuo

nepadoraus turinio tinklalapių. Bandant prisijungti prie uždraustos

svetainės, pasirodo įspėjamasis langas, kuriame galima pasirinkti, ar tęsti

darbą toliau, ar nutraukti puslapio siuntimą.

Diegiant programą galima nurodyti, kad būtų įvestas skenavimas

“dešiniuoju klavišu”, t.y. “Explorer” lange paspaudus dešiniuoju pelės

klavišu ant programos ar dokumento, pasirodžiusiame meniu bus galima

pasirinkti tos bylos tikrinimą. Aptikus elektroninio laiško ar bylos

virusą, apie tai gana dažnai bus pranešama net du kartus. Jei laiško

virusas aptiktas, galima grąžinti laišką siuntėjui ir perspėti apie

infekciją.

“McAffee VirusScan” turi ir keletą ne itin svarbių, tačiau pastebimų

trūkumų. Pavyzdžiui, paketas diskiniame kaupiklyje užima beveik 30 MB.

Žinoma, palyginti su “Microsoft” programomis, tai yra niekis, tačiau kitos

antivirusinės programos disko vietos užima mažiau. Be to, programa negali

tikrinti kelių archyvų lygių, t.y. į vieną archyvą įtraukus kitą,

pastarajame virusas nebus aptiktas.

Vartotojai, už 236 litus įsigiję “VirusScan” programinę įrangą, gali

nemokamai atnaujinti virusų duomenų bazes, 30 dienų gauti programos

versijos atnaujinimus bei nemokamą pagalbą telefonu.

3.1.4. “Norton Antivirus 2003”

[pic]

Programinio paketo “Norton Antivirus” kūrėjai stengėsi, kad vartotojas

už sumokėtus pinigus gautų kuo daugiau naudos. Pavyzdžiui, įsigytame

kompaktiniame diske yra ne tik “Norton Antivirus” programinis paketas, bet

ir keli mokomieji vaizdo klipai bei keturios bandomosios “Symantec”

programų versijos.

Kaip ir daugelis bandytų programų, įdiegus “Norton Antivirus” pasiūlo

atnaujinti virusų duomenų bazes bei pačią programą. Visi atnaujinimai

atliekami programa “LiveUpdate”, kuri, kaip ir “Antivirus2003”, yra “Norton

System Works” paketo dalis.

“Norton Antivirus” nuolatinis modulis konfigūruojamas taip pat labai

lanksčiai. Jame galima nustatyti, kokius “įtartinus” veiksmus (rašymas į

kitas programas, disko žymėjimas) leisti atlikti programoms ar toleruoti

aptiktus virusus. Galima reikalauti slaptažodžio programos parametrams

keisti, o prieš “gydant bylą” ją perkelti į karantino katalogą.

Elektroniniu paštu ir iš testinės interneto svetainės siunčiamus virusus

programa aptiko nepriekaištingai. Apie užkrėstą laišką buvo pranešta dar jį

siunčiant. Nepaisant visų gerų “Auto-Protection” modulio savybių, ši

programa buvo vienintelė, kurios įtaka kompiuterio veikimo spartai buvo

jaučiama.

Ir nuolatiniam moduliui, ir paprastam skenavimui yra taikoma euristinė

“Bloodhound” technologija, kurią galima nustatyti trimis lygiais. Tačiau

bandymai parodė, kad virusams aptikti tai reikšmės neturi.

Pagrindiniame programos lange yra laukelis, kuriame pateikiama svarbi

informacija – paskutinio sistemos bandymo bei atnaujinimo data, kompiuterio

patikrinimo rezultatai. Keičiant pagrindinės programos nuostatas, kartu

keičiami ir “Auto-Protection” modulio parametrai.

Programa, kurią galima įsigyti “Sonex” ir kitų “CHS Baltic” partnerių

parduotuvėse, kainuoja 198 litus. Ją
vartotojas virusų

atnaujinimus gaus neribotą laiką, taip pat vienerius metus galės atnaujinti

turimą programos versiją.

3.1.5. “Panda Antivirus”

[pic]

Paketo “Panda Antivirus” diegimas skiriasi nuo kitų programų. Iš

pradžių pasirinkus punktą “Wise Setup” (“Gudrus įdiegimas”), vartotojui

pateikiama keletas klausimų apie jo darbo kompiuteriu pobūdį. Pagal tai,

kokius veiksmus vartotojas atlieka, įdiegiamos tam tikros sistemos dalys.

Bandytoje programos versijoje yra du nuolatiniai moduliai: “Internet

Sentinel”, skirtas internetu perduodamai informacijai tikrinti, ir

“Sentinel VXD”, tikrinantis darbą su kompiuterio disku. Naujausioje “Panda

Antivirus” versijoje šie moduliai sudėti į vieną. Interneto apsaugoje

galima nustatyti daugybę tikrinimo parametrų: laiškais siunčiamų laiškų

tikrinimą, nurodyti, per kuriuos prievadus užmezgamas ryšys su tinklu,

kuriuos prievadus blokuoti. Taip pat galima uždrausti tam tikrų protokolų

prievadus (FTP, SMTP, IRC, telnet).

Tai, kaip programa reaguoja į aptiktą virusą darbo metu (bandant

kopijuoti ar vykdyti programą ir pan.), silpnesnės sveikatos žmogus gali

patirti infarktą matydamas kaip programa perjungia ekraną tekstiniu režimu,

įjungiamas garso signalas, sustabdomas sistemos darbas. Toliau darbą galima

tęsti tik pasirinkus siūlomus veiksmus “Clean” (“Išvalyti”) arba “Abort”

(“Ignoruoti”).

Įprastas skenavimo modulis su aptiktais virusais elgiasi ramiau.

Programos nustatymo metu galima nurodyti, kokių “gydymo” variantų, aptikęs

virusą, galės imtis vartotojas. Kaip ir daugelyje bandytų programų, “Panda

Antivirus” yra euristinės analizės funkcija. Jos parametrus taip pat galima

keisti, pavyzdžiui, nurodyti, kad būtų pranešama apie neteisingą bylų datą

ar laiką, supakuotas bylas ar vakcinuotas programas.

Programos trūkumas – po keleto atnaujinimų atsiranda programos

nestabilumas.

Vartotojas, už 223 litus įsigijęs “Panda Antivirus” paketą, gali

neribotai internetu atsisiųsti virusų duomenų bazės atnaujinimus, naujausią

programos versiją, taip pat, išsiuntęs įtartiną programą, per 24 val. gauti

antiviruso versiją, galinčią panaikinti virusą.

Bandymams programas pateikė:

➢ “AVP Platinum” – “Laineta”, Respublikos g. 62-504, Panevėžys, tel. (8-

25) 51 00 81.

➢ “InoculateIT” ir “Norton Antivirus 2000 – “CHS Baltics” partneriai

Lietuvoje.

➢ “McAffee VirusScan” – “Baltic Amadeus”, Akademijos g. 4, Vilnius,

tel. (8-22) 72 99 09.

➢ “Panda Antivirus” – “Adis”, P.Vileišio g. 18, Vilnius,

tel. (8-22) 70 90 61.

Išvados:

Kompiuterių pasaulyje atsiranda vis naujų gudriai sukurtų virusų, tad

šis “katės ir pelės” žaidimas tarp virusų kūrėjų ir antivirusinių programų

gamintojų tęsiasi. Virusų autoriai yra itin išradingi. Jie nuolat randa

naujų būdų sukliudyti antivirusinėms programoms, tad tikriausiai virusų

taip greit neatsikratysime.

Ką gi reikia daryti, norint netapti virusų auka? Žinoma, jeigu negalima

pataisyti visuomenės ir padaryti jos idealia, tai bent jau reikėtų

pasirūpinti savo informacinių sistemų apsauga. Norint apsisaugoti nuo

virusų, patartina imtis šių veiksmų:

➢ apsaugoti nuo įrašymo tuos diskelius, iš kurių informacija tik

skaitoma;

➢ standžiajame diske reikėtų sukurti tokį apsaugotą nuo įrašymo loginį

diską, kuriame laikysite nekeičiamą informaciją (programas ir

duomenis);

➢ vengti perrašinėti informaciją iš kitų kompiuterių, nes ji gali būti

užkrėsta;

➢ prieš perkeliant bet kokią informaciją iš diskelio, jį būtina

patikrinti antivirusine programa;

➢ visą gautą programinę įrangą (ypač demonstracinę ar nemokamą) prieš

įkeliant būtina patikrinti antivirusine programa;

➢ vengti leisti naudotis kompiuteriu kitiems asmenims (ypač

pašaliniams);

➢ reguliariai atnaujinti turimas ir įsigyti naujas antivirusines

programas;

➢ visada atsargai turėkite sisteminį diskelį su svarbiausiomis

operacinės sistemos komandomis

Gaila, tačiau visos paminėtos priemonės negali 100 procentų garantuoti

jūsų duomenų saugumo, tačiau protingai ir racionaliai taikomos, jos padės

išvengti bereikalingos rizikos ir tuo pačiu apsaugos ne tiktai informaciją,

bet kai kuriais atvejais netgi žmonių sveikatą ir gyvybę.

Naudota literatūra:

1. J. Adomavičius ir kiti. Informatika. Kaunas: Technologija, 2000;

2. B. Starkus. Personalinis kompiuteris. Kaunas: 1994;

3. V. Dagys. Darbo asmeniniais kompiuteriais pagrindai. Vilnius: 2001;

4. Naujoji komunikacija (vasario 11 – 25 d. Nr. 3 (40)) Vilnius: 1999;

5. V. E. Figurnovas. IBM PK vartotojui. Kaunas: 1998;

6. A. Žilinskas ir kiti. Informatika. Vilnius: 2000;

7. D. Vitkutė.

8. Personalinių kompiuterių operacinės sistemos. Vilnius: 1995;

9. www.delfi.lt;

10. www.sociumas.lt;

11. www.gamezone.lt;

12. www.labas.com;

13. www.infobalt.lt;

14. www.quake.lt;

15. www.maf.vu.lt;

16. www.stebetojas.hypermart.net;

17. www.elnet.lt;

18. www.fmmc.lt;

19. www.ebiz.lt;

20. www.rtn.lt;

21. www.smm.lt;

22. www.forum.lt;

23. www.ada.lt;

24. www.spauda.lt;

25. www.ada.lt;

26. www.atzalynas.su.lt;

27. www.pss.lt;

28. www.elnet.lt.