Inovatyvūs inžineriniai sprendimai naikinant virusus

Inovatyvūs inžineriniai sprendimai naikinant virusus

Kaunas, 2003

Turinys

Įvadas 3

1. Kas yra virusas? 5

1.1. Virusų evoliucija 6

1.2. Virusai ir į juos panašios programos 7

1.3. Kaip virusai veikia 8

1.4. Virusų tipai 9

1.5. Ką virusai gali? 10

1.6. Ko virusai negali? 11

1.7. Užkrėtimo virusu simptomai 12

1.8. Penkios taisyklės 13

2. CIH dienos pamokos 15

3. Antivirusinė programinė įranga 17

3.1. Antivirusinių programų testavimas 19

3.1.1. “AntiViral Toolkit Pro Platinum” 21

3.1.2. “InoculateIT” 22

3.1.3. “McAffee VirusScan” 23

3.1.4. “Norton Antivirus 2003” 24

3.1.5. “Panda Antivirus” 25

Išvados 27

Įvadas

Šiandien mes turime pripažinti žmogaus įėjimo į naują informacinėsvisuomenės epochą, faktą. Dar visai neseniai tai buvo prilyginama mokslineifantastikai, tačiau dabar tapo pakankamai apčiuopiama realybe, kaip irvieninga informacinė erdvė, kurioje vyksta informacijos cirkuliacija, joskaupimas, apdorojimas, analizavimas. Visi čia paminėti procesai verčianaudoti naujausias informacines technologijas, nes didėja informacijoskiekiai ir vyksta daugelio informacinių resursų susijungimas. Dabartiniumetu mes viena ar kita prasme esame priklausomi nuo kompiuterių. Jie valdocivilinių ir karinių lėktuvų skrydžius, reguliuoja geležinkelio transportosrautus, kontroliuoja elektros jėgainių technologinius procesus, jų pagalbayra tvarkomi finansinės operacijos ir t.t. Pasaulyje pastoviai didėja personalinių kompiuterių skaičius, kaipbeje ir globalinio Internet tinklo vartotojų, kas sąlygoja greitąkompiuterinių technologijų ir komunikacijos priemonių tobulėjimą. Tačiaukartu auga ir nusikaltimų, kuriuos įvykdant būna panaudojama skaičiavimotechnika, skaičius. Šio darbo tikslas yra išnagrinėti virusų esmę, jų pasekmes beiantivirusines programas. Kad pasiekti šį tikslą buvo iškelti papildomi uždaviniai: išnagrinėtivirusų evoliuciją, tipus, jų galimybes bei užkrėtimo simptomus, apžvelgtitrumpai vieno iš pavojingiausio viruso veiklos pasekmes bei išnagrinėtišiuo metu rinkoje pateiktus apsaugos nuo virusų produktus (antivirusinesprogramas), jų galimybes ir ypatumus. Suvokti, kaip veikia virusai, yra pirmasis žingsnis gynyboje nuo jų.Nusipirkę naują kompiuterį jo komplekte veikiausiai rasime ir antivirusinęprogramą. Šis faktas labiau nei koks kitas įrodo, kaip plačiai paplitovirusai ir kaip kompiuterių bendrovės pripažįsta apsaugos nuo jų būtinybę.Taigi virusai tapo kompiuterijos pasaulio dalimi. Egzistuoja tūkstančiai įvairių virusų, skirstomų į daug kategorijų,bet beveik visada jie apibrėžiami gan paprastai. Virusas yra tyčia sukurtakompiuterinė programa, skirta įsiskverbti į kitą programą taip, kadpaleidus pastarąją būtų paleidžiamas ir virusas, kuris savo ruožtu plintaužkrėsdamas ir kitas programas. Virusas prisijungia prie programos-nešėjosfailo, o kartais net pakeičia visą programą. Neretai kiti programų failaiužkrečiami jau pakitusia viruso forma. Užkrečiama programa gali būti irmakrokomandų failas arba disko pakrovimo (boot) sektorius – pirmojiprograma, paleidžiama diske su pakraunama operacine sistema. Pastebėkime žodžius “tyčia sukurta” viruso apibrėžime. Virusaineatsiranda šiaip sau. Juos kuria ir tobulina nemažų sugebėjimųprogramuotojai, vėliau randantys būdų užkrėsti virusais naivių vartotojųAK. Kuo galingesnės tampa antivirusinės programos, tuo labiau virusųautoriai stengiasi jas pergudrauti. Daugeliui virusų programuotojų tokiokodo kūrimas yra tiesiog iššūkis; o kitiems – galimybė pasismaginti AKvartotojų bėdų ir baimės sąskaita. Gaila, juk šie žmonės galėjo uždirbtikrūvą pinigų padėdami spręsti 2000 metų krizę. Virusai pelnytai turi kenksmingų programų reputaciją, tačiau tikrovėjedaugelis jų nieko bloga nedaro. Tiesa, kai kurie jų gadina failus ar kaipkitaip kenkia, bet didžioji dauguma tik erzina arba išvis yra vartotojuinematomi. Tam, kad programa būtų laikoma virusu, ji teturi automatiškaidaugintis; visa kita yra neprivalu. Žinoma, net “neskausmingi” virusai nėra visiškai nepavojingi. Jieužima atmintį, vietą diske, naudoja procesoriaus resursus ir todėl turiįtakos jūsų kompiuterio spartai ir našumui. Dar daugiau – antivirusinėsprogramos skirtos kovai su jais taip pat naudoja atminties ir procesoriausresursus; daug vartotojų tikina, kad jos lėtina kompiuterį daug labiau iryra gerokai įkyresnės už pačius virusus. Kitaip tariant, virusai turiįtakos mūsų darbui su kompiuteriu net tuomet, kai nieko kenksmingo nedaro.

1. Kas yra virusas?

Biologo požiūriu, virusas yra genetinės medžiagos fragmentas, kurissavo gyvavimui ir dauginimuisi turi infekuoti (užkrėsti) kokį norsorganizmą – nešėją. Kad virusas plistų tarp organizmų, jam paprastaibūdingos savybės, priverčiančios nešėją atlikti tam tikrus patologinius(liguistus) veiksmus, pvz., bakterijas, gyvūnus ir pan. Dalis virusų yrasunkių infekcijų susirgimų priežastis. Todėl nieko nuostabaus, kad įvairios kenkėjiškos kompiuterinėsprogramos (t.y. tokios, kurios, įvestos į sistemą, sutrikdo jos veikimą)pavadintos bendru, virusų, vardu. Taigi, programuotojo požiūriu, virusas –tai kompiuterinis kodas, kuris savo plėtimuisi turi infekuoti kurią norsprogramą-nešėją. Paprastai kompiuterinis virusas infekuoja kitas programasįjungdamas į jas programos-viruso kodą. Virusas projektuojamas tokiu būdu,kad jis po tam tikro laiko galėtų keisti savo formą ir tikslą. Be to, jisdauginasi ir prisijungia prie programų arba kitų failų ir, “pasislėpęs”ten, “keliauja” nuo vieno kompiuterio prie kito. Virusai programuojami,siekiant atlikti įvairius kenkėjiškus veiksmus: trinti kieto diskoinformaciją, modifikuoti ar naikinti tam tikrus failus ir kt. Pirmą kartą (1949 m.) programos – viruso, t.y. kompiuterinės

programos, galinčios daugintis, modelį pateikė Džonas fon Neimanas. Pirmasužregistruotas kompiuterinis virusas buvo žaidimas “KARAS OPERATYVIOJEATMINTYJE” (“Core War”), kurį 6 – ajame dešimtmetyje sukūrė kompanijos BellLaboratories darbuotojas M. Duglas Makilroi. Žaidimo tikslas buvo parašytiprogramą, kuri ištrintų priešininko informaciją ir blokuotų jo įrašusatmintyje. EGABTR – pirmas IBM PC virusas, atsiradęs 1985 m. liepos mėnesį.Šiuo metu pateikti visą esamų virusų sąrašą praktiškai neįmanoma, nes naujivirusai sukuriami beveik kiekvieną dieną. Be to, specialistai, kuriantysvirusus aptinkančias programas ir bandantys nustatyti, ar du virusai yra topaties, ar skirtingo tipo, dažnai naudoja skirtingus kriterijus. Vienispecialistai laiko virusus skirtingais, jei jų kodai skiriasi bent vienubitu. Kiti – grupuoja virusus į šeimas ir vienos šeimos virusų nelaikoskirtingais. Todėl, priklausomai nuo vertinimo kriterijų, šiuo metupasaulyje suskaičiuojama nuo 50 iki daugiau kaip 10000 skirtingų virusų.[1] Terminą “kompiuterinis virusas” pirmą kartą pavartojo amerikietismokslininkas Fredas Koenas 1984 m. 7 – oje informacijos saugumokonferencijoje (JAV). Jei kompiuterį palygintume su gyvu organizmu, oatskiras kompiuterines programas su ląstelėmis, gautume visišką analogiją.Kompiuterinis virusas pažeidžia informaciją, esančią programos kode. Jisperima kompiuterinės sistemos valdymą, pakeisdamas nedidelį programosfragmentą ir gali neribotai dauginti savo kodą. Visa tai sukelia“kompiuterio ligą”. [6]

1.1. Virusų evoliucija

1987 m. pasirodė virusas „Brain“. Jis užkrečia 360K diskelių įkrovossektorius ir sugeba užmaskuoti, kad kompiuteris jo nepastebėtų. Taispačiais metais pasirodė virusas „Stoned“. Jis užkrečia kompiuterio MBR(pagrindinį įkrovos sektorių), sistemos, neįmanoma įkrauti.

1988 m. programuotojas iš indonezijos parašė pirmąją antivirusinęprogramą. Ji suranda ir pašalina „Brain“ virusą iš kompiuterio bei apsaugonuo būsimų šio viruso atakų. Po internetą (tuo metu jis dar tik formavosi) pasklido „Internet Worm“virusas, kuris sutrikdė maždaug 6000 kompiuterių darbą. 1989 m. atsirado„Dark avenger“ virusas. Jis greitai užkrečia kompiuterį, bet kenkia lėtai,todėl viruso ilgai nepavyksta aptikti. IBM kompanija išleido pirmąjąkomercinę antivirusinę programą. Pradėtas intensyvus virusų tyrimas. 1990 m. pradėti kurti polimorfiniai ir daugialypiai virusai.Polimorfiniai virusai keičiasi plisdami o daugialypiai užkrečia keliaskompiuterio vietas iš karto. Viruso autoriai pradėjo keistis virusųišeities tekstais naujienų grupėse. 1991 m. atsirado virusų konstravimo priemonės, kuriomis beveikkiekvienas gali sukurti savo virusą. Metų pradžioje devyni procentaibendrovių pranešė nukentėjusios nuo virusų, metų pabaigoje šis skaičiusišaugo iki 63 procentų. 1992 m. atsirado „Michelangelo“ virusas, kuris pirmasis atkreipėžiniasklaidos dėmesį. Šis virusas kovo 6 dieną sugadino diskinio kaupiklioturinį. Antivirusinių programų paklausa gerokai padidėjo, tačiau virusasužkrečia palyginti nedaug kompiuterių. 1994 m. Anglijos policija sulaikė viruso „Pathogen“ autorių, ir jisnuteisiamas aštuoniolikai mėnesių kalėti. Tai pirmas kartas, kai nubaustasviruso autorius. 1995 m. parašytas pirmasis makrovirusas „Concept“. Jis parašytas„WordBasic“ kalba ir gali veikti bet kuriame kompiuteryje, kuriame yra„Word“ programa. Vėliau atsiras daug makrovirusų, nes juos lengva parašytiir platinti. 1999 m. balandžio mėnesį išplinta „Chernobyl“ virusas, gadinantisdiskinio kaupiklio duomenis. Vien Kinija patyrė daugiau negu 291 mln. JAVdolerių nuostolių. Nukentėjo Pietų Korėjos ir Turkijos kompiuteriųsistemos. „Melissa“ virusas užkrečia šimtus tūkstančių viso pasauliokompiuterių. Jis plinta išsiųsdamas savo kopijas penkiasdešimčiai adresatųiš „Outlook“ pašto programos užrašų knygelės. 2000 m. „LoveLetter“ virusas, kilias iš Filipinų, per šešias valandasnusiaubė Europą ir JAV. Jis užkrėtė nuo 2,5 iki 3 mln. kompiuterių irpadarė 8,7 mlrd. dolerių nuostolių. Virusas „NewLove“, pasklidęs iš kartopo „LoveLetter“, buvo panašiausias į supervirusą. Jis netik greitai plito,bet ir sugadindavo sistemines bylas, todėl kompiuteriu naudotis tapdavoneįmanoma. Jeigu būtų veikęs tinkamai, virusas būtų padaręs labai daugžalos. Tačiau jo autorius padarė klaidą: kompiuteris nustodavo veikęsanksčiau, negu virusas spėdavo išsiųsti savo kopijas į kitus kompiuterius.

1.2. Virusai ir į juos panašios programos

Pateiktas virusų apibrėžimas iš tikrųjų yra gerokai siauresnis, neitai, ką mes paprastai laikome virusais. Kiti programų tipai tik iš daliesatitinka apibrėžimą. Kaip ir virusai, tokios programos veikia be vartotojožinios ir kompiuteryje atlieka vienokius ar kitokius veiksmus, kuriems yrasukurtos. Į tokį sąrašą galėtumėme įtraukti “kirminus” (worms), “Trojosarklius” ir “metikus” (dropers). Visos jos kartu su virusais vadinamoskenkėjiškomis (malware) programomis. “Kirminas” gali daugintis per diskelius arba tinklais. Kartais“kirminas” veikia naudodamasis tinklu kaip pagrindu. Tačiau kitų programųjis niekada neužkrečia. Kai kurios “kirminų” rūšys naudojasi tinklu tiktam, kad nukopijuotų save iš vieno kompiuterio į kitą, jie vadinami“sistemos kirminais” (host worms), o kiti – “tinklo kirminai” – pasklindapo visą tinklą ir juo naudojasi atskirų savo dalių funkcionavimui.“Kirminai” gali daugintis ir neprijungtame prie tinklo kompiuteryje. Tuometjie kopijuoja save į skirtingas kietojo disko vietas. “Trojos arklio” pavadinimas kilo iš graikų mito, kurį geriausiapaskaityti “Odisėjoje”. Pasak jo, graikai trojiečiams padovanojo medinįarklį, kurio viduje slėpėsi kariai. Kai arklys buvo atgabentas į Troją,graikų kariai iššoko lauk ir užgrobė miestą, taip užbaigdami ilgai trukusią

Trojos apsuptį. Panašiai veikia ir “Trojos arklys”, kuris paslepiamas išpažiūros visai nekaltoje programoje. Pastarąją paleidus ji pradeda tamtikrus iš anksto numatytus veiksmus, – tuo gerokai nustebina niekoneįtariantį vartotoją. Šio tipo programos pačios nesidaugina. “Metikai” sukurti taip, kad antivirusinės programos nesugebėtųatpažinti jų kodo, todėl jie lengvai prasiskverbia į AK. Pagrindinė jųužduotis – atgabenti ir paleisti virusą. Stebėdami sistemą “metikai”sulaukia tam tikro įvykio ir užkriečia kompiuterį savo virusu. Panašiai veikia ir “bombos”. Įtaisytos kenkėjiškose programose josveikia kaip detonatoriai. Kitaip tariant, “sprogsta” atsiradus tam tikromssąlygoms. Kai kurios “bombos” reaguoja į sistemos laikrodį, kitos galiNaujųjų metų proga ištrinti visus DOC tipo failus ar parodyti kokį norspranešimą per kokio nors garsaus žmogaus gimtadienį. Dar kitos sulaukia,tarkime, dvidešimties tam tikros programos paleidimo kartų ir paskuiištrina visus šios programos failų šablonus. Iš esmės “bomba” yrapiktavališkų veiksmų sekos aprašas ar planavimo programa. Dažnai pačiuose virusuose panaudojamos viena ar kelios kenkėjiškosprogramos. Virusai gali būti platinami per “metikus” (nors nebūtinai) arnaudotis “kirminų” principu kopijuoti pačius save. Nebūdami “Trojosarkliais” virusai gali atitikti “arkliams” keliamus reikalavimus: darytitai, ko nenori vartotojas, ir pasislėpę programose paversti jas “Trojosarkliais” (t.y. veikti joms pasileidus ir atlikti nepageidaujamusveiksmus).

1.3. Kaip virusai veikia

Virusų yra daug ir jie veikia skirtingais būdais, todėl apžvelgtivisus yra ganėtinai sunku. Aš aprašysiu tik pagrindinį procesą. Iš pradžių virusai kokiais nors būdais atsiranda mūsų kompiuteryje.Dažniausiai taip įvyksta su užkrėstų programų (COM, EXE failų ar pakrovimosektoriaus) pagalba. Praeityje virusai buvo platinami išskirtinai peružkrėstus diskelius. Šiais laikais jie dažniausiai siunčiami tinklais (taippat ir “Internetu”) kaip bandomųjų programų failų, makrokomandų failų arprisegtų prie elektroninio pašto žinutės failų dalys. Elektroninio pašto žinutė savaime negali būti virusu. Virusas yraprograma, jis privalo būti paleistas. Elektroniniu paštu virusas atkeliaujaprisegtas prie žinutės kaip failas, todėl niekas negali įvykti tol, kol mesjo nepaleidžiame. Tai padaryti galime įvairiai, bet dažniausiai užkrėstifailai paleidžiami du kurtus spragtelėjus juos pelyte. Vienintelis būdasapsaugoti save nuo taip atkeliaujančių virusų – niekada neatidarinėtiprisegtų duomenų, kuriuose yra paleidimo failai (EXE ar COM) ar tokiųprogramų kaip “Office”, kurios leidžia rašyti makrokomandas, failai.Grafiniai, garso ar kitokie duomenų failai yra saugūs. Virusas mūsų kompiuteryje elgiasi visai taip, kaip ir “Trojos arklys”.Jis slepiasi kitoje programoje ar faile ir paleidžiamas kartu su juo. Kadtaip įvyktų, virusas pakeičia užkrėsto failo kodą. Jis duoda nurodymąprogramai aptikti virusą ir jį paleisti. Paprastai šis procesas vykstataip: programos vykdymas nutraukiamas, peršokama į užkrėstą dalį, įvykdomosviruso komandos ir sugrįžus į pradžią tęsiamas programos vykdymas. Nuo tadavirusas ima veikti ir užkrečia kitus failus. Virusai gali pradėti veikti iš karto – tokie virusai vadinamitiesioginio veikimo virusais – arba pasinaudoję operacinės sistemos leidimupasikrauti į atmintį ir ten tūnoti. Daugelis virusų priskiriami antrajaikategorijai. Tokie virusai vadinami “atminties virusais”. Pasilikdamiatmintyje jie įgyja daug laisvės – gali stebėti atsarginių kopijų darymoprocesą, sekti klaviatūros ar pelės veiklą ir daug kitų dalykų. Atmintyjeįsikūręs virusas gali daryti beveik viską, ką daro operacinė sistema.Naudodamas “bombas” virusas gali palaukti tam tikro įvykio ir tik paskuipradėti savo veiklą jūsų kompiuteryje. Virusas taip pat gali rasti mūsųkompiuterio diske (ar kur kitur tinkle) paleidžiamųjų failų ir juosužkrėsti. [4]

1.4. Virusų tipai

Virusų autoriai nuolat ieško naujų būdų užkrėsti kompiuterius, tačiautokių būdų iš tikrųjų yra labai nedaug. Virusai užkrečia disko paleidimosektorius, paleidimo failus ir makrokomandų failus. Yra begalė skirtingaibesivadinančių virusų, bet jų veikimo principas yra toks pat. Pradinio disko sektoriaus virusai ir užkrėtėjai įsirašo tam tikroje AKkietojo disko vietoje ir būna paleidžiami kraunant kompiuterį. Anksčiaupradinio sektoriaus virusai užkrėsdavo tiktai DOS pradinį sektorių, tačiauatskiras jų porūšis dabar užkrečia ir visą pagrindinį disko pradžios įrašą(master boot record – MBR). Abu šie sektoriai skaitomi kraunantiskompiuteriui. Tuo metu virusai ir kraunami į atmintį. Pakrauti sistemą iš užrakinto sistemos diskelio yra vienas geriausiųbūdų apsisaugoti nuo tokio tipo virusų. Žinoma, negali būti įsitikinęs, kaddiskelis nebuvo užkrėstas prieš sisteminių failų įrašymą, bet tai galimapatikrinti antivirusinėmis programomis. Failų užkrėtėjai, kitaip dar vadinami “parazitiniais virusais”, yraprogramos, kurios prisijungia prie paleidimo failo. Jos yra labiausiaipaplitusios ir geriausiai žinomos. Kaip dera tikram virusui, jos įsikuriaatmintyje ir laukia, kol vartotojas paleis kitą programą naudodamos taikaip signalą ją užkrėsti. Yra daugybė skirtingų failų užkrėtėjų tipų, bet

jie nedaug tesiskiria. Makrovirusai pasirodė ganėtinai neseniai. Savo tikslams jie naudojavidinę programavimo kalbą, kurią turi kai kurie programų rinkiniai.Makrokalba vartotojui leidžia susikurti pagalbines programėles, vadinamasmakrokomandomis, kurių dėka jis gali automatizuoti norimas užduotis. Tokiąkalbą, pavyzdžiui, turi “Microsoft Office”. Iš tikrųjų makrovirusas yrapaprasčiausia komandų seka. Pirmasis tokio tipo virusas buvo sukurtas“Microsoft Word” failams. Kai tik atidaromas dokumentas ar šablonas, turintis virusomakrokomandą, virusas pradeda savo kenkėjišką veiklą. Be to, makrokomandagali būti suprogramuota taip, kad nukopijuotų save į kitus dokumentus.Taigi toliau naudojant programą virusas vis labiau plinta. Ketvirto tipo virusai vadinami daugiaveiksmiais (multipartite). Jieužkrečia ir pradinius disko sektorius, ir failus.Išsamų virusų sąrašą ir jų aprašymus galime rasti “Symantec” kovos suvirusais centro virusų enciklopedijos tiklapiuosewww.symantec.com/avcenter/vinfodb.html

1.5. Ką virusai gali?

Nors virusai tėra programa, tačiau dažnai jie būna sukurti labaiišradingai ir klastingai. Kai kurie virusai gali:

1) Apgaudinėti rezidentines apsaugines programas, pavyzdžiui,užkrėsdami ir gadindami duomenis nesinaudodami operacinės sistemosfunkcijomis, o kreipdamiesi tiesiai į BIOS įvedimo ir išvedimo programas arnetgi diskinių ir diskelinių kaupiklių valdiklio prievadus;

2) Išlikti, pakartotinai įkrovus kompiuterį, tiek naudojant klavišųderinį Ctrl Alt Del, tiek iš “sterilaus” sisteminio diskelio, naudojantmygtuką “Reset” ar tiesiog, išjungus ir vėl įjungus kompiuterį;

3) Užkrėsti failų archyvus; 4) Užkrėsti failus tik jų patalpinimo į diskelius ar archyvus metu; 5) Kovoti su antivirusinėmis programomis; 6) Ilgą laiką neišsiduoti, t.y. tapti aktyviais tik praėjus keliomssavaitėms ar net mėnesiams nuo kompiuterio užkrėtimo; 7) Užšifruoti kaupiklių sisteminius sektorius ar kitus duomenis taip,kad kreiptis į juos būtų įmanoma tik turint kompiuterio atmintyje šįvirusą.

|Poveikis |Poveikio dydis, || |procentais ||Darbo efektyvumo sumažėjimas|70 ||Pažeisti failai |66 ||Negalima dirbti su PK |50 ||Nėra priėjimo prie duomenų |49 ||Sutrikimai dirbant su |44 ||failais | ||Prarasti duomenys |40 ||Pranešimai ekrane, |33 ||mirguliavimas | ||Vartotojo konfidencialumo |22 ||pažeidimas | ||Sutrikimai išsaugant |30 ||duomenis | ||Nestabilus programų darbas |14 ||Sutrikimai spausdinant |9 |

1.6. Ko virusai negali?

Kompiuteris bus užkrėstas virusu tik tada, jei bus nors kartą paleistavirusu užkrėsta programa, t.y.:

a) Paleistas užkrėstas vykdomasis failas ar įdiegtas užkrėstas tvarkiklis;b) Įvykdytas pradinis įkrovimas iš įkrovimo virusu užkrėsto diskelio;c) Iškvietus redagavimui užkrėstus programos WORD FOR WINDOWS dokumentus arprogramos EXCEL lenteles. Vadinasi, galima daryti išvadą, kad nėra pagrindo bijoti kompiuterioužkrėtimo virusu, jeigu:

~ Į kompiuterį perrašomi failai, neturintys programinių sudedamųjųdalių ir neskirti paversti programomis, pavyzdžiui, grafiniai failai,tekstiniai failai, Multi – Edit tipo tekstų redaktorių dokumentai ir t.t.;

~ Kompiuteriu vykdomas failų kopijavimas iš vieno diskelio į kitą arkiti veiksniai, nesusiję su “svetimų” programų paleidimu, pakartotiniuįkrovimu iš “svetimų” diskelių, arba “svetimų” WORD FOR WINDOWS dokumentųarba EXCEL elektroninių lentelių redagavimu.

Be to, virusai užkrečia tik programas, bet negali užkrėsti įrangos (klaviatūros, displėjaus ir t.t.). Virusas negali užkrėsti ar pakeisti duomenų, kurie yra nuo rašymo ar trynimo apsaugotuose diskuose, taip pat duomenų, esančių aparatiniu būdu (tarkime naudojant kompleksą SHERRIF) apsaugotuose loginiuose kaupikliuose. [5]

1.7. Užkrėtimo virusu simptomai

Galite būti tikri, kad jūsų kompiuteris užkrėstas virusu jeigu: • virusu paieškos programa praneša apie jai pažįstamo viruso suradimąoperatyviojoje atmintyje, failuose ar diskinio kaupiklio sisteminiuosesektoriuose; • tikrinanti programa praneša apie failu, kurie nebuvo keičiami,pakeitimus. Be to, tie pakeitimai dažnai vykdomi kokiu nors neįprastu būdu,pavyzdžiui, failo turinys pakeistas, o jo pakeitimo laikas – ne; • tikrinanti programa praneša apie pasikeitimus diskiniamekaupiklyje saugomoje įkrovimo programoje ( Master Boot, kurioje yraduomenys apie diskinio kaupiklio suskaidymų j loginius kaupiklius) arįkrovimo jraše (Boot record). Tačiau Jūs nekeitėte diskinio kaupikliosuskaidymo į loginius kaupiklius, neatnauįinote OŠ ir nedarėte nieko, kasbūtu galėję nulemti tuos pasikeitimus; • apsauginė programa praneša, kad kažkokia programa nori formuotidiskinį kaupiklį, keisti diskinio kaupiklio sisteminiu sektorių turinį ir1.1., o Jūs nepaleidote jokios programos, kuri turėtu tai daryti; • tikrinanti programa praneša apie „nematomus” virusus kompiuterioatmintyje. Tai pasireiškia tuo, kad skaitant kai kuriuos failus ar kaikuriuos diskinio kaupiklio sektorius DOS priemonėmis ten randama vienokiainformacija, o skaitant juos tiesiogiai – kitokia; • virusas pats „prisistato”, išvesdamas į ekraną atitinkamąpranešimą.

Galite įtarti, kad kompiuteris užkrėstas virusu, jeigu: • antivirusinė programa praneša apie jai nežinomo viruso suradimą; • į ekraną ar spausdintuvą pradedami išvesti pašaliniai pranešimai,simboliai ir t.t.; • kai kurie failai pasirodo esą sugadinti; • kai kuriuos programos nedirba ar dirba klaidingai; • žymiai sumažėja kompiuterio darbo sparta.Tarp kitko, panašius reiškinius gali sukelti ir klaidos programose,aparatūros gedimai ir t.t.

1.8. Penkios taisyklės

Jei žinote ar įtariate, kad Jūsų kompiuteris užkrėstas virusu, labaisvarbu laikytis šių penkių taisyklių: 1. Nereikia skubėti ir priimti neapgalvotą sprendimą. Kaip sakoma,

„septynis kartus pamatuok, viena kartą nupjauk“. Neapgalvoti veiksmai galine tik sunaikinti dalį duomenų, kuriuos buvo galima apsaugoti, bet irpakartotinai užkrėsti kompiuterį virusu. 2. Kita vertus, vieną dalyką reikia padaryti tuojau pat. Jei nesatetikri, kad virusą aptikote anksčiau, negu jis tapo aktyvus, išjunkitekompiuterį, kad virusas negalėtu tęsti savo žalingos veiklos. 3. Visus su viruso suradimu ir kompiuterio „gydymu“ susijusiusveiksmus reikia atlikti tik teisingai įkrovus kompiuterį iš nuo rašymo irtrynimo apsaugoto „etaloninio“ diskelio su sisteminiais failais. Be to,galima paleisti tik nuo rašymo ir trynimo apsaugotuose diskeliuose esančiusvykdomuosius failus. Nesilaikant šios taisyklės, virusas gali taptiaktyvus, nes tuo pat metu bus užkrečiamos ir programos ir kaupikliai. 4. Viruso pažeistos informacijos „gydymas“ paprastai nėrasudėtingas, tačiau kartais (kai viruso padaryta žala yra didelė) jis būnalabai keblus. Jei matote, kad Jums trūksta žinių ar patirties, verčiaukreiptis pagalbos į patyrusius kolegas. 5. Kompiuterio „gydymas“ yra kūrybinis procesas, todėl bet kokiepatarimai (tarp jų ir surašyti žemiau) neturėtų būti suprasti kaip dogmos.Juk virusu kūrėjai retkarčiais ima ir sugalvoja ką nors nauja. Dėl to kaikurie patarimai, kaip kovoti su virusais, pasensta…[5]

Dvidešimt virusų, labiausiai paplitusių 2003 m. Balandžio mėnesį

|Poz. |Virusas |Dažnumas ||1 |I-Worm.Klez |37.60% ||2 |I-Worm.Sobig |10.75% ||3 |I-Worm.Lentin |9.03% ||4 |I-Worm.Avron |3.30% ||5 |Macro.Word97.Thus |2.62% ||6 |I-Worm.Tanatos |1.38% ||7 |Macro.Word97.Marker |1.21% ||8 |Worm.Win32.Opasoft |1.13% ||9 |I-Worm.Hybris |1.04% ||10 |Win95.CIH |0.69% ||11 |Worm.Win32.Randon |0.58% ||12 |VBS.Redlof |0.57% ||13 |Backdoor.Death |0.51% ||14 |Win95.Spaces |0.51% ||15 |I-Worm.Roron |0.49% ||16 |Trojan.PSW.Gip |0.49% ||17 |Backdoor.NetDevil |0.48% ||18 |Win32.HLLP.Hantaner |0.45% ||19 |TrojanDropper.Win32.Delf |0.42% ||20 |TrojanDropper.Win32.Yabinder |0.41% |

[www.esecurity.lt]

[pic]

2. CIH dienos pamokos

1999 metų balandžio 26-ąją prisimins daugelis. Tą saulėtą pirmadieniorytą kaip per baisiausią maro epidemiją visame pasaulyje vienas po kitogaišo kompiuteriai. Krito ne dešimtimis, o tūkstančiais… W95.CIH virusas pirmą kartą buvo pastebėtas Pietryčių Azijos regionepraeitą vasarą. Jau tuomet jis buvo pelnytai pavadintas vienu išpavojingiausių visų laikų virusų. Tai buvo vienas iš pirmųjų, sėkmingaibesidauginančių “Windows 95” terpėje, ir pirmasis, kurio padariniųpašalinimui galėjo tekti atidaryti kompiuterio korpusą. Jeigu virusuipasiseka, jis ne tik sunaikina kietajame diske saugomus duomenis, bet irištrina kompiuterio “Flash BIOS” mikroschemos turinį. Nuo pat pradžios buvožinoma ir tai, jog dauguma CIH viruso variantų savo juodą darbą pradedabalandžio 26-ąją, Černobylio atominio reaktoriaus sprogimo dieną. Dėl tojis turi ir antrą pavadinimą – Černobylio virusas. Visa tai buvo žinoma,bet niekas nemanė, jog CIH diena bus tokia įspūdinga. Vieni neteko visos įmonės buhalterinės apskaitos, kiti – penkeriusmetus rašyto mokslinio darbo, muitinės postas staiga prarado sugebėjimąįforminti deklaracijas, prokuratūros sekretorė nebesurado bylų, studentai –“valdiškame” kompiuteryje saugotų kursinių darbų. Kas sakė, kad Lietuvojenebūna uraganų?.. Vieni graužė nagus ir nežinojo, ką daryti, kiti, kuriųnamus nelaimė aplenkė, piktdžiugiškai kikeno ir džiaugėsi nauja atrakcija,o treti “darė biznį” – siūlė duomenų atkūrimo paslaugas ir skubėjopardavinėti antivirusines programas. Žodžiu, buvo linksma. Atslūgus pirmajam šokui pamąstykime: ir dėl ko visas tas cirkas? Argitaip sunku buvo išvengti šios tragikomedijos? CIH virusą, kaip ir keliasdešimt tūkstančių kitų, galėjo surasti irsunaikinti kiekviena naujesnė antivirusinė programa. Ar daug kas tokiąturi? Dabar akivaizdu, jog mažesnė pusė. O ir dauguma turinčių parsisiuntėją prieš kelis mėnesius, jei ne prieš metus, iš “Interneto” ir įsivaizduojaesą saugūs. Už jokį antivirusą senas antivirusas yra gal net blogesnis, nesjis suteikia pasitikėjimo paleidžiant nežinia kokias programas ar skaitantabejotinos kilmės dokumentus. Vienos darbo vietos apsauga paprastaikainuoja ne daugiau kaip 300 litų, o perkant naują kompiuterį – voskeliasdešimt. Už šiuos pinigus antivirusinės programos kūrėjai aprūpins musnaujausiomis versijomis ištisus metus ar net dvejus. Keli ar keliolika litųper mėnesį – argi mūsų kompiuteryje kaupiama informacija nėra to verta?.. Neįtikėtina, bet juodojo pirmadienio rytą kai kas prarado keliųmėnesių ar net metų darbo rezultatus. Tam juk nereikia ir “Černobylio”.Kompiuterio kietasis diskas ir pats savaime nėra amžinas mechanizmas. Neveltui sakoma, jog diskai būna dviejų rūšių: tie, kurie jau sugedo, ir tie,kurie dar suges. Kelios minutės laiko kartą per savaitę ir dėžutė diskeliųatsarginėms svarbiausių dokumentų kopijoms – argi tai yra per didelėšventos ramybės kaina?.. CIH parodė, jog elementariu saugumu visiškai nesirūpina ne tikdaugelis pavienių vartotojų, bet ir rimtos firmos bei įstaigos, valstybinėsorganizacijos ir institucijos. Universitetų, bibliotekų, ministerijų irnetgi bankų tinklai jungiami prie “Interneto” be jokių apsaugos priemoniųnuo galimų virusų, “Trojos arklių”, savaime besidauginančių “kirminų” irkitokių parazitų. Pinigai paprastai skiriami tik “geležiai”, pamirštantprograminę įrangą, o ką jau kalbėti apie kompleksinę tinklų, serverių irdarbo vietų apsaugą. Skęstančiųjų gelbėjimas – pačių skęstančiųjų reikalas?

Černobylio metinių šoko terapija daugelį privers rimčiau pažvelgti įkibernetinio amžiaus pavojus. Bet ar ilgam?..

3. Antivirusinė programinė įranga

Kovai su virusais pasitelkiamos specialios programų sistemos, kuriosdažniausiai vadinamos antivirusinėmis programomis. Pagal veikimo būdą iratliekamas funkcijas į antivirusinės sistemos sudėtį įeinančios programosgali būti skirstomos į tokias pagrindines grupes. Programos – detektoriai (skeneriai). Jos suteikia galimybę rastifailus, kurie užkrėsti kokiu nors žinomu(ais) virusu(ais). Detektoriai tikaptinka virusą, bet nuo jo neišgydo. Virusas gali būti randamas pagalparašą, t.y., kaip minėjome, pagal jam būdingų baitų kombinaciją. Todėlšiose programose yra virusinių parašų bankas. Banko sudėtis apsprendžiaaptinkamų virusų rūšis ir jų skaičių. Be to, kai kuriems virusams surastigali būti pasitelkiama vadinamoji euristinė analizė. Tai rinkiniotaisyklių, apibrėžiančių virusus, panaudojimas jiems lokalizuoti.Detektoriai gali tikrinti nurodytus diskus ar failus. Daugelis jų turiužkrėstų failų naikinimo priemones. Dirbant su programomis detektoriais,reikia jas reguliariai (bent kas 1-3 mėnesius) atnaujinti, t.y., dirbti sukonkrečios programos paskutine versija, galinčia aptikti ir naujaipasirodžiusius virusus. Taip veikiančios antivirusinės programos pavyzdžiu galėtų būti sistemaDoctor Web, naudojanti virusams rasti ir jų parašą, ir euristinę analizę.Jos virusinių parašų banke yra keli tūkstančiai parašų, o euristinėjeanalizėje galimi trys lygiai: minimalus, optimalus ir patikimiausias.Dokumentacijoje rašoma, kad testuojant nežinomus virusus Doctor Webefektyvumas yra 72% (patikimumo lygis, t.y., procentas aptiktų iš visųpateiktų testavimui virusų) minimaliu lygiu, 80% – optimaliu bei 82-90% –patikimiausiu. Tačiau bendras sistemos efektyvumas, specialistų teigimu,neviršija 50%. Maždaug kas mėnesį pateikiama nauja šios sistemos versija.Doctor Web vartotojai dažniausiai moka jos metinės prenumeratos mokestį(apie kelis šimtus litų). Dar vienas programos detektoriaus pavyzdys –programa FindVirus, naudojama sistemoje “Dr. Solomon’s Anti-Virus Toolkit”,sukurtoje bendrovėje “S&Software”; tai viena tobuliausių antivirusiniųpriemonių. Šia sistema galima aptikti per 10000 virusų; specialistai jaiteikia apie 97% patikimumo lygį. Sistema turi parašų banko atnaujinimopriemones (pvz., iš diskelių, platinamų per prenumeratą, Internetą). Be to,pakete yra virusų enciklopedija, kurioje aprašyti įvairūs virusai ir jųpoveikis kompiuteriui. Kasmetinis mokestis už sistemos atnaujinimą yra apie1000 litų. Programos – daktarai (fagai). Tai antivirusinės programos, ne tikaptinkančios virusus, bet ir išgydančios nuo jų, t.y. atliekančiospriešingus veiksmus nei atliko virusas, užkrėsdamas kompiuterį. Jos išužkrėstos programos ar disko “iškanda” (išmeta) virusą, t.y., grąžinaprogramą į tą būseną, kuri buvo prieš užsikrečiant. Failai, kuriųnepasiseka grąžinti, paprastai daromi neveikliais (nedarbingais) arbaišmetami. Programų – daktarų pagrindiniai trūkumai: gydant kai kuriuosvirusus, gali būti sugadinta programa ar palikti viruso fragmentai, kaikurie virusai gali būti klaidingai atpažinti ir tada blogai išgydoma.Programos – daktarai dažniausiai neišskiriamos į atskirą grupę.Traktuojama, kad tai yra programa – detektorius, turinti galimybę gydyti.Pavyzdžiui programa F-Prot, kuri naudojama antivirusinėje sistemoje F-ProtProfesssional, sukurtoje bendrovėje “Frisk Softvvare International”,identifikuoja per 7000 virusų ir apie 85% atvejų nuo jų išgydo.Specialistai šiai sistemai suteikia apie 94% patikimumo lygį. Programos – revizoriai. Jos naudojamos atliekant ankstyvąją virusodiagnostiką ir turi du darbo etapus. Pirmiausia revizoriai atsimenaduomenis apie programų ir diskų sisteminių sričių (kelties sektoriaus irsektoriaus su disko paskirstymo lentele) būklę (pvz., jų dydžius).Traktuojama, kad tuo momentu programos ir sisteminės diskų sritysneužkrėstos. Po to revizoriai gali kiekvienu momentu palyginti esamųjųbūklę su pradine. Jei randamas neatitikimas (“prikibęs” prie programosvirusas padidina ją standartiniu, jam budingu dydžiu), apie tai pranešama vartotojui. Tai suteikia galimybę nustatyti užsikrėtimąvirusu iki tol, kol jis dar nepadarė didelių nuostolių. Be to, programa -revizorius gali rasti viruso paveiktus failus. Norintpatikrinti, ar nepasikeitė failas, skaičiuojamas arba jo ilgis, arbakontrolinė suma – tai tam tikra speciali viso failo turinio funkcija (pvz.,bendras vienetų skaičius failo duomenyse). Jei pasikeitė ilgis arkontrolinė suma, tai aišku, kad pasikeitė ir failas. Pakeisti failą taip,kad nepakistų kontrolinė jo suma, praktiškai neįmanoma. Norint suskaičiuotikontrolinę sumą, būtina perskaityti visą failą, o tai santykinai ilgasprocesas. Kadangi tikrinti, ar kompiuteryje nėra virusų, reikiadažnai (geriausiai OŠ kiekvienos pradinės kelties metu), tai ilgas tikrinimo laikas nepageidautinas. Todėl paprastaikontrolinės sumos skaičiavimą ir pastovų jos tikrinimą tikslinga atliktitik itin svarbiem, dažniausiai vykdomiems failams (programoms) (pvz.,COMMAND.COM, IO.SYS, MSDOS.SYS ir pan.). O kitų failų gali būti tikrinamastik dydis. Taigi programos – revizoriai gali “išgaudyti” ir žinomus, irvisai nežinomus virusus. Programų – revizorių pavyzdžiai – tai ASP Integrity Toolkit, esantisistemos “Dr. Solomon’s Anti-Virus Toolkit” sudėtyje, Integrity Master irVDS, dirbančios DOS terpėje. Programos – filtrai. Jos dar vadinamos rezidentinėmis antivirusinėmisprogramomis arba bendrojo monitoringo (įspėjimo) programomis. Šiosprogramos talpinamos rezidentiškai kompiuterio operatyviojoje atmintyje ir

perima tuos kreipinius į OŠ, kuriuos virusai naudoja dauginimuisi irkenkimui. Apie tai jos praneša vartotojui, kuris gali leisti atliktiatitinkamą operaciją ar ją uždrausti. Tokie “įtartini” kreipiniai(veiksmai) yra šie: vykdomųjų failų keitimas, failo atributo “tikskaitymui” panaikinimas, disko formatavimas, tiesioginis įrašymas (įrašymaspagal absoliutinį adresą) į diską, programos padarymas rezidentine.Kai tikyra kreipinys (į OŠ) atlikti “įtartiną” veiksmą, į ekraną išvedamaspranešimas apie tai, kokį veiksmą reikia atlikti ir kokia programa nori jįatlikti. Jei šis veiksmas realiai nereikalingas vykdant tą programą, jįreikia uždrausti, nes tai, matyt, yra viruso reikalaujamas veiksmas.Programų – filtrų naudojimo pagrindiniai trūkumai: 1) jos pastoviai užimatam tikrą operatyviosios atminties dalį ir kartu mažina atminties dalį, įkurią gali kreiptis kitos programos; 2) vartotojas turi atsakinėti įklausimus: leisti ar uždrausti konkrečius veiksmus kompiuteryje; jei šieklausimai dažni, vartotojui jie gali nusibosti; 3) jų užtikrinamo apsaugoslaipsnio nereikia pervertinti, nes daugelis virusų, norėdami plisti irkenkti, tiesiogiai kreipiasi į OŠ programas, nenaudodami šių programųstandartinio iškvietimo per pertraukimus būdo. O rezidentinės programosperima tik šiuos pertraukimus. Be to, jos nepadeda apsaugoti diską nuoužsikrėtimo virusais, kurie plinta per kelties sektorių – toks užsikrėtimasgali įvykti OŠ pradinės kelties metu, t.y., prieš bet kurių programųvykdymą ar tvarkyklių nustatymą. Pagrindinis programų filtrų privalumastas, kad jos gali nustatyti ankstyvos stadijos virusą, t.y., kol jis darnespėjo išplisti ir pakenkti. Tuo būdu, nuostolius dėl virusų galimasumažinti iki minimumo. [1]

3.1. Antivirusinių programų testavimas

Tarptautinės kompiuterių saugumo asociacijos (ICSA) duomenimis, yravienos dešimtosios tikimybė, kad per mėnesį susidursite su bent vienuvirusu. Ši tikimybė yra dvigubai didesnė negu pernai. Lietuvoje priešNaujuosius metus suaktyvėjo “Happy99” virusas, o pastaruoju metu dažnaipasitaiko “PrettyPark” virusas. Dažnai kalbama apie kenkėjiškus “ActiveX”ar “JavaScript” įskiepius, tačiau jų grėsmė kol kas daugiau teorinė. [pic] “Kompiuterijos” testavimų centre buvo išbandytos penkios antivirusinėsprogramos, kurias Lietuvoje galima įsigyti legaliai. Tai – bendrovės“Laineta” pristatytas “Kaspersky Labs” produktas “AVP Platinum”, bendrovės“CHS Baltic” pristatytas “Symantec” gaminys “Norton Antivirus 2000” bei“Computer Associates” programa “InoculateIT” (ją nemokamai galimaatsisiųsti internetu). Testavimų centre taip pat buvo išbandyta “BalticAmadeus” platinama “McAffee VirusScan” programa bei “Panda Software”sukurta “Panda Antivirus” programinė įranga, kurią platina bendrovė “Adis”. Nepaisant to, kad vienos programos pasirodė geriau, kitos prasčiau,praleido vieną kitą virusą ar buvo ne tokios sparčios, tikrairekomenduojame vieną jų išsirinkti ir įsigyti. Visos bandytos programosgali atnaujinti virusų “parašų” bazes per internetą, todėl būsite apsaugotinuo “naujausių” kenkėjų. Visuose programinės įrangos paketuose yranuolatinio skenavimo moduliai, apsaugosiantys nuo užkrėsto dokumentoatvertimo, programos aktyvavimo ar elektroninio laiško priedo įrašymo. Kadpasiruoštumėte blogiausiam, kiekviena programa sukurs sisteminį diskelį arjų komplektą, iš kurio, kai diskinis kaupiklis bus nepasiekiamas, galėsiteįkrauti, taisyti ir gydyti sistemą. Daugelis bendrovių (ar bent jau jųužsienio partneriai) per 24 val. išgydys jūsų aptiktą nežinomą virusą iratsiųs atitinkamą bazės pataisą.

3.1.1. “AntiViral Toolkit Pro Platinum”

[pic]

Senesni kompiuterių vartotojai turbūt prisimins bene pirmąsiasantivirusines programas “Aidstest” bei “Kaspersky”. Jos pasirodžiusiosbeveik prieš dešimt metų, “gaudydavo” vos tūkstantį virusų. Dabar viena šiųproduktų kūrėjų “Kaspersky Labs” išaugo į nemažą bendrovę. Vienaspagrindinių jos produktų yra antivirusinių programų paketas “AntiViralToolkit Pro”. Norint naudotis visomis šios programos galimybėmis, reikia šiek tiekdaugiau nei pradedantysis išmanyti apie kompiuterį. Tačiau programąperpratus, ji tampa galingu įrankiu. Programos įdiegimas yra palyginti paprastas, jo pabaigoje perspėjamaapie būtinybę atnaujinti programos duomenų bazes. Taip pat pasiūlomaatnaujinti skenavimo variklį (engine). Nustatyti, kada atnaujinti AVP,galima bene lanksčiausiai, palyginti su kitomis bandytomis programomis.Atnaujinti galima kas valandą ar mėnesį, susidarius tam tikroms sąlygoms(pvz., jei diskų tikrinimas buvo nesėkmingas) arba įvykus kokiam norsįvykiui (pvz., įsijungus ekrano užsklandai). Nuolatinio skenavimo modulį galima suderinti taip, kad būtųskenuojamos tik potencialiai pavojingos bylos (programos, funkcijųbibliotekos ir pan.), supakuotos bylos ar pašto duomenų bazės (tokiu atvejuapie užkrėstą laišką bus pranešta net nebaigus jo siųsti). Nuolatinismodulis užima labai mažai operatyviosios atmintinės – tik 8 KB, yraneblogai paslėptas (“Ctrl+Alt+Del” iškviečiamame programų sąraše jonematyti). Tiek pagrindiniame (juo atliekamas skenavimas vartotojui patogiumetu), tiek nuolatiniame modulyje galima pasirinkti euristinę disko bylųanalizę (“Code Analyzer”). Tačiau, tikrinant diską tokiu režimu, procesastrunka dukart ilgiau negu paprastai. Viena iš neįprastų, tačiau naudingų programos savybių buvo ta, kad jiinformavo ne tik apie užkrėstas bylas, bet ir apie sugadintas programas beidokumentus. Bandytas “AVP Platinum” komplektas skirtas dirbti kompiuterių tinkle.Namų vartotojui skirtoje “AVP Gold” versijoje tinklinio darbo galimybiųbeveik nėra, kitos programos dalys yra tokios pačios. Bendrovėje “Laineta”programinis paketas “AVP Gold” kainuoja 200 litų, jį įsigijęs vartotojas

dvejus metus gauna virusų “parašų” bazės atnaujinimus bei konsultuojamasįdiegimo klausimais.

3.1.2. “InoculateIT”

[pic] “Computer Associates” sukurta programa “InoculateIT” patraukli tuo,kad ji yra nemokama, t.y. programą galima atsisiųsti iš interneto aružsisakyti kompaktinį diską. Ją kurianti bendrovė uždirba pinigų siūlydamaantivirusinius sprendimus įmonėms bei organizacijoms. “InoculateIT”svetainėje pateikiami nemokami virusų parašų bazės atnaujinimai. Galbūt tai sutapimas, tačiau mažiausiai kainuojančios programos virusųaptikimo charakteristikos buvo prasčiausios (nepaisant to, 96 proc. aptiktųvirusų yra labai geras rezultatas) bei neaptikti du “WildList” sąrašuipriklausantys “kenkėjai”. Nuolatinį šios programos modulį galima įvairiai derinti, pavyzdžiui,nustatyti jį taip, kad bylos būtų tikrinamos jas nuskaitant, bet neįrašant. Modulį, kaip ir pagrindinę programą, galima vykdyti trimis darborežimais. Tikrinant programas trečiuoju, “Reviewer” režimu (jisrekomenduojamas tada, kai įtariate, jog virusas sistemoje yra, tačiauprograma jo neaptinka), kai kurie įprastu režimu aptikti ir identifikuotivirusai rodomi kaip “Unknown” (neatpažinti). Tačiau “Reviewer” kilusįtarimui naudotis verta – paprastas modulis neaptiko savadarbio viruso, oeuristinės analizės būdu jis atpažintas. Vienas šios programos privalumų – didelė darbo sparta. Apie 8000 bylų“InoculateIT” peržiūrėjo mažiau nei per pusantros minutės.

3.1.3. “McAffee VirusScan”

[pic]

“McAffee VirusScan” yra bene išvaizdžiausia iš visų programų, norskartais atrodo, kad aplinkos kūrėjai truputį persistengė. Pagrindiniameprogramos lange galima lengvai pasirinkti pagrindines funkcijas, pamatytiaktualią informaciją. Taip pat pateikiama įspėjamojo pobūdžio informacijaapie programos būseną: neatliktą diskinio kaupiklio tikrinimą,neatnaujintas “parašų” bazes. “VirusScan” nuolatinio skenavimo modulis savo darbą atlieka gerai.Pavyzdžiui, “Explorer” programoje atvertus katalogą, kuriame yra užkrėstųprogramų, ir neatliekant jokių veiksmų su jo bylomis, “VirusScan” aptiksinfekciją. Modulį galima patogiai pritaikyti savo reikmėms bei nurodytidaug iš pirmo žvilgsnio nereikšmingų smulkmenų. Pavyzdžiui, galimanustatyti, kokią operaciją atliekant bus tikrinama byla, ar tikrintidiskelius prieš baigiant darbą su “Windows” ir pan. Nuolatinis skenavimo modulis turi dar vieną naudingą savybę – prieš jįišjungiant (taip pat ir keičiant modulio nustatymus) galima prašyti įvestislaptažodį. Ši funkcija gali apsaugoti kompiuterį nuo žalos, kurią galipadaryti atsitiktinai prie jo prisėdęs kenkėjas. “McAffee VirusScan” bene labiausiai parengta atakoms iš interneto.Pakete yra “WebScanX” modulis, skirtas apsaugoti nuo kenkėjiškų elementų ištinklo galinčių pasirodyti – “Java” ir “ActiveX” įskiepių. Programa taippat gali blokuoti tam tikras “Web” svetaines ar IP adresus, kurie įtariamibloga veikla. Tačiau ši apsauga tėvams nepadės apsaugoti savo vaikų nuonepadoraus turinio tinklalapių. Bandant prisijungti prie uždraustossvetainės, pasirodo įspėjamasis langas, kuriame galima pasirinkti, ar tęstidarbą toliau, ar nutraukti puslapio siuntimą. Diegiant programą galima nurodyti, kad būtų įvestas skenavimas“dešiniuoju klavišu”, t.y. “Explorer” lange paspaudus dešiniuoju pelėsklavišu ant programos ar dokumento, pasirodžiusiame meniu bus galimapasirinkti tos bylos tikrinimą. Aptikus elektroninio laiško ar bylosvirusą, apie tai gana dažnai bus pranešama net du kartus. Jei laiškovirusas aptiktas, galima grąžinti laišką siuntėjui ir perspėti apieinfekciją. “McAffee VirusScan” turi ir keletą ne itin svarbių, tačiau pastebimųtrūkumų. Pavyzdžiui, paketas diskiniame kaupiklyje užima beveik 30 MB.Žinoma, palyginti su “Microsoft” programomis, tai yra niekis, tačiau kitosantivirusinės programos disko vietos užima mažiau. Be to, programa negalitikrinti kelių archyvų lygių, t.y. į vieną archyvą įtraukus kitą,pastarajame virusas nebus aptiktas. Vartotojai, už 236 litus įsigiję “VirusScan” programinę įrangą, galinemokamai atnaujinti virusų duomenų bazes, 30 dienų gauti programosversijos atnaujinimus bei nemokamą pagalbą telefonu.

3.1.4. “Norton Antivirus 2003”

[pic]

Programinio paketo “Norton Antivirus” kūrėjai stengėsi, kad vartotojasuž sumokėtus pinigus gautų kuo daugiau naudos. Pavyzdžiui, įsigytamekompaktiniame diske yra ne tik “Norton Antivirus” programinis paketas, betir keli mokomieji vaizdo klipai bei keturios bandomosios “Symantec”programų versijos. Kaip ir daugelis bandytų programų, įdiegus “Norton Antivirus” pasiūloatnaujinti virusų duomenų bazes bei pačią programą. Visi atnaujinimaiatliekami programa “LiveUpdate”, kuri, kaip ir “Antivirus2003”, yra “NortonSystem Works” paketo dalis. “Norton Antivirus” nuolatinis modulis konfigūruojamas taip pat labailanksčiai. Jame galima nustatyti, kokius “įtartinus” veiksmus (rašymas įkitas programas, disko žymėjimas) leisti atlikti programoms ar toleruotiaptiktus virusus. Galima reikalauti slaptažodžio programos parametramskeisti, o prieš “gydant bylą” ją perkelti į karantino katalogą.Elektroniniu paštu ir iš testinės interneto svetainės siunčiamus virususprograma aptiko nepriekaištingai. Apie užkrėstą laišką buvo pranešta dar jįsiunčiant. Nepaisant visų gerų “Auto-Protection” modulio savybių, šiprograma buvo vienintelė, kurios įtaka kompiuterio veikimo spartai buvojaučiama.

Ir nuolatiniam moduliui, ir paprastam skenavimui yra taikoma euristinė“Bloodhound” technologija, kurią galima nustatyti trimis lygiais. Tačiaubandymai parodė, kad virusams aptikti tai reikšmės neturi. Pagrindiniame programos lange yra laukelis, kuriame pateikiama svarbiinformacija – paskutinio sistemos bandymo bei atnaujinimo data, kompiuteriopatikrinimo rezultatai. Keičiant pagrindinės programos nuostatas, kartu

keičiami ir “Auto-Protection” modulio parametrai. Programa, kurią galima įsigyti “Sonex” ir kitų “CHS Baltic” partneriųparduotuvėse, kainuoja 198 litus. Ją įsigijęs vartotojas virusųatnaujinimus gaus neribotą laiką, taip pat vienerius metus galės atnaujintiturimą programos versiją.

3.1.5. “Panda Antivirus”

[pic]

Paketo “Panda Antivirus” diegimas skiriasi nuo kitų programų. Išpradžių pasirinkus punktą “Wise Setup” (“Gudrus įdiegimas”), vartotojuipateikiama keletas klausimų apie jo darbo kompiuteriu pobūdį. Pagal tai,kokius veiksmus vartotojas atlieka, įdiegiamos tam tikros sistemos dalys. Bandytoje programos versijoje yra du nuolatiniai moduliai: “InternetSentinel”, skirtas internetu perduodamai informacijai tikrinti, ir“Sentinel VXD”, tikrinantis darbą su kompiuterio disku. Naujausioje “PandaAntivirus” versijoje šie moduliai sudėti į vieną. Interneto apsaugojegalima nustatyti daugybę tikrinimo parametrų: laiškais siunčiamų laiškųtikrinimą, nurodyti, per kuriuos prievadus užmezgamas ryšys su tinklu,kuriuos prievadus blokuoti. Taip pat galima uždrausti tam tikrų protokolųprievadus (FTP, SMTP, IRC, telnet). Tai, kaip programa reaguoja į aptiktą virusą darbo metu (bandantkopijuoti ar vykdyti programą ir pan.), silpnesnės sveikatos žmogus galipatirti infarktą matydamas kaip programa perjungia ekraną tekstiniu režimu,įjungiamas garso signalas, sustabdomas sistemos darbas. Toliau darbą galimatęsti tik pasirinkus siūlomus veiksmus “Clean” (“Išvalyti”) arba “Abort”(“Ignoruoti”). Įprastas skenavimo modulis su aptiktais virusais elgiasi ramiau.Programos nustatymo metu galima nurodyti, kokių “gydymo” variantų, aptikęsvirusą, galės imtis vartotojas. Kaip ir daugelyje bandytų programų, “PandaAntivirus” yra euristinės analizės funkcija. Jos parametrus taip pat galimakeisti, pavyzdžiui, nurodyti, kad būtų pranešama apie neteisingą bylų datąar laiką, supakuotas bylas ar vakcinuotas programas. Programos trūkumas – po keleto atnaujinimų atsiranda programosnestabilumas. Vartotojas, už 223 litus įsigijęs “Panda Antivirus” paketą, galineribotai internetu atsisiųsti virusų duomenų bazės atnaujinimus, naujausiąprogramos versiją, taip pat, išsiuntęs įtartiną programą, per 24 val. gautiantiviruso versiją, galinčią panaikinti virusą.

Bandymams programas pateikė: ➢ “AVP Platinum” – “Laineta”, Respublikos g. 62-504, Panevėžys, tel. (8- 25) 51 00 81. ➢ “InoculateIT” ir “Norton Antivirus 2000 – “CHS Baltics” partneriai Lietuvoje. ➢ “McAffee VirusScan” – “Baltic Amadeus”, Akademijos g. 4, Vilnius, tel. (8-22) 72 99 09. ➢ “Panda Antivirus” – “Adis”, P.Vileišio g. 18, Vilnius, tel. (8-22) 70 90 61.

Išvados:

Kompiuterių pasaulyje atsiranda vis naujų gudriai sukurtų virusų, tadšis “katės ir pelės” žaidimas tarp virusų kūrėjų ir antivirusinių programųgamintojų tęsiasi. Virusų autoriai yra itin išradingi. Jie nuolat randanaujų būdų sukliudyti antivirusinėms programoms, tad tikriausiai virusųtaip greit neatsikratysime. Ką gi reikia daryti, norint netapti virusų auka? Žinoma, jeigu negalimapataisyti visuomenės ir padaryti jos idealia, tai bent jau reikėtųpasirūpinti savo informacinių sistemų apsauga. Norint apsisaugoti nuovirusų, patartina imtis šių veiksmų:

➢ apsaugoti nuo įrašymo tuos diskelius, iš kurių informacija tik skaitoma; ➢ standžiajame diske reikėtų sukurti tokį apsaugotą nuo įrašymo loginį diską, kuriame laikysite nekeičiamą informaciją (programas ir duomenis); ➢ vengti perrašinėti informaciją iš kitų kompiuterių, nes ji gali būti užkrėsta; ➢ prieš perkeliant bet kokią informaciją iš diskelio, jį būtina patikrinti antivirusine programa; ➢ visą gautą programinę įrangą (ypač demonstracinę ar nemokamą) prieš įkeliant būtina patikrinti antivirusine programa; ➢ vengti leisti naudotis kompiuteriu kitiems asmenims (ypač pašaliniams); ➢ reguliariai atnaujinti turimas ir įsigyti naujas antivirusines programas; ➢ visada atsargai turėkite sisteminį diskelį su svarbiausiomis operacinės sistemos komandomis Gaila, tačiau visos paminėtos priemonės negali 100 procentų garantuotijūsų duomenų saugumo, tačiau protingai ir racionaliai taikomos, jos padėsišvengti bereikalingos rizikos ir tuo pačiu apsaugos ne tiktai informaciją,bet kai kuriais atvejais netgi žmonių sveikatą ir gyvybę.

Naudota literatūra: 1. J. Adomavičius ir kiti. Informatika. Kaunas: Technologija, 2000; 2. B. Starkus. Personalinis kompiuteris. Kaunas: 1994; 3. V. Dagys. Darbo asmeniniais kompiuteriais pagrindai. Vilnius: 2001; 4. Naujoji komunikacija (vasario 11 – 25 d. Nr. 3 (40)) Vilnius: 1999; 5. V. E. Figurnovas. IBM PK vartotojui. Kaunas: 1998; 6. A. Žilinskas ir kiti. Informatika. Vilnius: 2000; 7. D. Vitkutė. 8. Personalinių kompiuterių operacinės sistemos. Vilnius: 1995; 9. www.delfi.lt; 10. www.sociumas.lt; 11. www.gamezone.lt; 12. www.labas.com; 13. www.infobalt.lt; 14. www.quake.lt; 15. www.maf.vu.lt; 16. www.stebetojas.hypermart.net; 17. www.elnet.lt; 18. www.fmmc.lt; 19. www.ebiz.lt; 20. www.rtn.lt; 21. www.smm.lt; 22. www.forum.lt; 23. www.ada.lt; 24. www.spauda.lt; 25. www.ada.lt; 26. www.atzalynas.su.lt; 27. www.pss.lt; 28. www.elnet.lt.