Переход российских пользователей на новую платформу, Windows 95, породил и новые проблемы с защитой от вирусов, создаваемых специально для этой среды. Кроме того, появилась новая разновидность инфекции — макро-вирусы, "вживляемые" в документы столь любимого в России текстового редактора Word for Windows. Какие же средства могут помочь нашему пользователю обезопасить свой PC от проникновения и разрушительного воздействия подобных бацилл? В этой статье рассказывается о современных антивирусах, созданных для Windows 95, но пока недостаточно известных в России.

Проверка компьютера на наличие вирусов давно уже перестала быть прерогативой программистов и "продвинутых" пользователей, перейдя в разряд необходимой будничной процедуры по предохранению файлов текущей документации, рабочих программ, баз данных и годами накапливаемых архивов. Между тем у большинства рядовых российских пользователей для борьбы с вирусами имеется, в лучшем случае, свежий комплект DSAV, разработанный АО "Диалог-Наука", которому в "Компьютерре" #16 была посвящена отдельная статья. И хотя база сигнатур версии этого пакета для среды DOS постоянно пополняется и сегодня достигла 1500-1700 известных авторам вирусов, а эвристический анализатор Dr. Web позволяет бороться и с незнакомыми ему вирусами, – несмотря на все это, пользователей, перешедших на Windows 95, пакет DSAV не спасает. Он ориентирован на старую операционную среду и в принципе не способен выявить и обезвредить вирусы, написанные специально для Windows 95 – такие, например, как Boza. Бесполезен он и в борьбе с новой разновидностью инфекций – макро-вирусами, встраивающимися в документы WinWord.

АО "ДиалогНаука" предлагает и другое средство для борьбы с инфекцией – программно-аппаратный комплекс Sheriff, предназначенный, как говорится в документации, "для полного антивирусного мониторинга и защиты". Однако Sheriff предполагает установку в ПК еще одной платы расширения, что, на наш взгляд, для рядового пользователя сложновато, и может работать только на серверах и рабочих станциях, оперирующих с большими объемами данных. Наконец, Sheriff также беспомощен перед Word Macro, которых становится все больше и больше, и вирусами типа Boza.

Более мощным подспорьем может оказаться антивирусный пакет Евгения Касперского Antiviral Toolkit Pro, сканер которого уже сейчас распознает по сигнатурам более 7 тысяч вирусов. Помимо того, авторы включили в пакет утилиту для борьбы с Word Macro, которая записывает в основную таблицу стилей макропрограммы, тестирующие на макро-вирусы открываемые текстовым редактором документы. Выявленный макровирус немедленно удаляется, и документ становится "чистым" и безопасным в работе. Наверное, пользователей заинтересует сообщение о выпуске к июлю текущего года версий Antiviral Toolkit Pro для Windows 3.хх и для Windows 95.

В свою очередь, компанией Microsoft, создававшей Windows 95 и рассчитывающей на ее широкое распространение, были приглашены к сотрудничеству многие фирмы-разработчики антивирусных программных продуктов – и очень скоро специальные антивирусы для новой 32-разрядной ОС увидели свет. Правда, до недавнего времени широкому кругу российских пользователей был известен только один такой пакет, распространяемый фирмами-дистрибьюторами, – Norton AntiVirus for Windows 95 компании Symantec, зарекомендовавший себя отличным помощником пользователей новой ОС. Эта программа способна выявлять и обезвреживать первый вирус для Windows 95 – Boza (псевдоним Bizatch), бороться с Word Macro и многими другими инфекциями. Его база сигнатур весьма солидна и включает более 7100 вирусов. А весной этого года компания начала бесплатно предлагать разработанный ею антивирусный сканер Norton AntiVirus Scanner для платформ Windows 95 и Windows NT.

С 5 марта Symantec объявила об открытии нового сервера Internet – Symantec Press Center (http://www.Symantec.com/PressCenter/), в котором наряду с обширной информацией о фирме и ее продуктах содержится раздел "Утилиты для настольных компьютеров" со специальной страницей "Антивирусы для пользователей любого уровня подготовки", откуда можно скачать распространяемые сканеры и файлы обновления баз вирусных сигнатур. В Интернете компанией создан специальный антивирусный центр (http://www. Symantec.com/avcenter/), где всем желающим предлагаются "учебники" по защите от вирусов, описание технологии Symantec по борьбе с компьютерной инфекцией, а также списки новых вирусов.

Казалось бы, пользователям Windows 95 беспокоиться не о чем – существует хороший продукт, защищающий настольные и сетевые системы как от давно известных инфекций, так и от вновь создаваемых бацилл. Тем не менее использовать один, даже проверенный продукт означает подвергать свой PC большому риску – он может попасть под атаку вируса, сигнатура которого пока неизвестна вашему "защитнику". Поэтому мы решили рассказать вам о нескольких не столь хорошо знакомых российским пользователям антивирусных пакетах для Windows 95, выпущенных иностранными фирмами (Некоторые фирмы-разработчики одновременно предлагают версии своих антивирусов для DOS и Windows 3.х.)

В число описываемых антивирусных программ включены AIIMicro AntiVirus for Windows 95, McAfee VirusScan95, Sophos SWEEP for Windows 95, ThunderBVTE AntiVirus Utilities и Dr Solomon's Anti-Virus Toolkit.

В России первые четыре пакета стали доступны через Интернет, в качестве freeware- или shareware-программ для индивидуальных пользователей Разумеется, при этом соблюдаются некоторые ограничения большинство фирм-разработчиков из имеющегося у них полного набора средств антивирусной защиты предоставляют свободное хождение не все, а преимущественно программы-сканеры, но и этого уже немало. За пакетом же Dr. Solomon's Anti-Virus Toolkit ходить в Интернет не нужно – он распространяется в России отечественной фирмой RPI.

Все указанные программы проводят антивирусный контроль путем сканирования памяти и дисков на предмет сигнатур вирусов в файлах заданного типа, некоторые из них требуют подключения специальных средств и утилит. Отдельные сканеры содержат алгоритмы эвристического анализа для распознавания новых типов вирусов, позволяют в процессе проверки лечить инфицированные файлы и диски, некоторые пакеты включают в себя программы-мониторы, осуществляющие постоянный фоновый контроль оперативной памяти и подключаемых дисков, а другие, подобно известному отечественному ревизору Adinf, с помощью специальных утилит создают и постоянно обновляют файловые таблицы, по которым проверяются контрольные суммы файлов.

При описании этих пакетов мы хотели ознакомить читателя не только с их функциональными возможностями, анонсируемыми в документации, но и с интерфейсом, набором предоставляемых компонентов, условиями инсталляции и обновления. А заодно и поделиться своими выводами об эффективности их работы.

Мы не стремились получить объективные оценки скорости работы пакетов, замеряя по таймеру время сканирования файловой системы, хотя некоторые из них сами указывают этот параметр в результате проверки. Мы преследовали совсем другую цель – дать нашим читателям возможность понять, насколько, по их мнению, успешно они смогут защитить свои компьютеры, установив тот или иной антивирусный пакет.

Итак, рассмотрим каждый из пяти упомянутых антивирусов.

AIIMicro AntiVirus for Windows 95

Попав на WWW-страницу с адресом http://www.allmicro.com/avi-rus html, вы сможете ознакомиться с тем набором средств антивирусной защиты, которые входят в созданный фирмой Panda Software Inc ашаифусный пакет AIIMicro's Anti-Virus Survival Kit. Из него вы, незарегистрированный пользователь (то есть не покупатель, отправивший по E-mail заполненную форму с указанием кода своей кредитной карты), сможете скачать на свой винчестер один из двух сканеров AIIMicro AntiVirus for Windows 95 версии 4.0 (версии программ постоянно изменяются, поэтому мы приводим номера тех версий, которые были доступны в апреле-мае 1996 года) и аналогичный продукт для DOS. Кроме этого, вам будет доступна утилита RESCUE для восстановления испорченных вирусом загрузочных секторов диска и файловых таблиц.

Перекачанный файл am95.zip (как правило, любой антивирусный пакет на WWW сайте находится в виде заархивированного ZIP-файла, причем в большинстве случаев вам предлагается и программа его распаковки PKUNZIP.EXE) следует разархивировать на отдельную дискету, создав таким образом дистрибутив искомого сканера. При запуске программы инсталляции SETUP EXE во весь экран открывается красочное окно, в котором пользователь должен только подтвердить необходимость создания фолдера /Amw95 на системном диске, куда устанавливается пакет.

Высветив пару ничего не значащих, но очень ярких заставок, AIIMicro AntiVirus открывает основное окно программы и сразу же предлагает проверить ваш компьютер память, загрузочные сектора винчестера и основные системные файлы.

Интерфейс программы не отличается изысканным дизайном, прост и не требует от пользователя никаких дополнительных знаний о продукте (в отличие от некоторых других подобных программ), – вам нужно просто нажать кнопку "Scan", после чего начнется проверка памяти, загрузочных секторов винчестера, а затем и всех дисков компьютера.

Подобная простота работы с AIIMicro AntiVirus не должна вас настораживать. Это один из самых мощных по числу распознаваемых вирусов пакет в его базе содержится более 8000 сигнатур, и он может проверять не только традиционные исполняемые файлы, но и архивы (ARJ, PKZIP, LHA), и новые типы файлов Windows 95. Сканере явном виде не проводит эвристического анализа проверяемых файлов на наличие неизвестных вирусов. Зато в его меню и панели управления содержится команда/Search, по которой поднаторевший в борьбе с инфекциями пользователь может задать строку условий для поиска известных ему, но не знакомых программе вирусов.

Также просты настройки сканера. По команде меню/Configure можно указать основные опции проверки автоматическое продолжение работы после нахождения вируса, поиск в подкаталогах, сохранение результатов, поиск в файлах-архивах. Здесь же указывается, нужно ли обезвреживать зараженные файлы или, если это невозможно, удалять их или переименовывать. Произведя нужные настройки, пользователь должен нажать кнопку с "галочкой", а затем в меню/Configure сохранить их. По умолчанию в состав проверяемых файлов включены только исполняемые, но этот список можно изменить простым дополнением или удалением соответствующих расширений.

При каждом запуске открывается окно, в котором перечислены все доступные для сканирования диски. Пользователь может отметить любые из них, подлежащие текущей проверке, или задать отдельные каталоги и файлы, а также переопределить условия настройки. При первоначальном запуске АН-Micro AntiVirus работает как ревизор создает служебный файл с описанием всей файловой системы компьютера. Это отнимает некоторое время, однако в последующие сеансы проверок список лишь обновляется, и продолжительность работы программы уменьшается.

В процессе сканирования вид окна программы изменяется: в его строках отображаются обрабатываемый диск, текущий каталог, сканируемый файл и цветная шкала индикатора, изменяющая свой цвет с синего на красный после первого выявленного вируса. Это весьма удобно: даже в случае когда в настройке сканера не указывалась необходимость лечения зараженных файлов, по окончании "медосмотра" пользователь сможет наглядно оценить его результаты.

Чтобы узнать, где таится незримая опасность, нужно всего лишь нажать кнопку Details: в открывшемся окне результатов сканирования будет указана продолжительность проверки и перечислены все инфицированные файлы с указанием их места на диске и типа вируса. Представленный отчет о результатах может быть сохранен в отдельном файле.

И хотя в нашем примере в перечне распознаваемых инфекций не были указаны макро-вирусы WinWord, сканер безошибочно определил Word Macro.Concept и, не имея встроенных средств борьбы с ним, переименовал файлы.

Как полноценное 32-разрядное приложение Windows 95, этот антивирус работает весьма быстро: проверка почти 10 тысяч файлов на диске заняла всего 113 секунд. Деинсталлируется AIIMicroAntiVirus стандартно, как и любое приложения Windows 95: в окне Add/Remove Program на панели управления нужно отметить строку AlIMicro AntiVirus for Windows 95, и система автоматически удалит все файлы пакета и его ключи из базы регистрации.

Фирмой созданы дополнительные резидентные утилиты Sentinel и Shield для постоянного мониторинга компьютера и предотвращения недопустимых действий исполняемых программ. Но это уже для зарегистрированных пользователей.

McAfee VirusScan for Windows 95 (VirusScan95)

Пакет VirusScan for Windows 95 фирмы McAfee Inc., по различным оценкам, в настоящее время является одним из лучших антивирусных продуктов на рынке. Распространяемый через Интернет (http://www.mcafee.com/a-v/pub/scan2.html) shareware-пакет состоит из трех модулей: монитора VShield (программа VSHWIN32.EXE), который, кстати, может быть перекачан отдельно, как продукт freeware, сканера под Windows 95 Vscan95 (SCAN95.EXE) и DOS-сканера VScan (утилита SCAN.EXE). После разархивирования на чистую дискету записывается единственный файл инсталляции SETUP.EXE.

При установке пакета пользователю предлагается выбрать, какой из трех модулей он будет инсталлировать (по умолчанию устанавливаются все три) и куда (предлагается создать новый подкаталог \MCAFEE в каталоге C:\PROGRAM FILES). После установки систему необходимо перезапустить.

Во время повторного и всех последующих запусков Windows 95 обнаруживаются результаты работы компонентов этого антивируса. Первой срабатывает утилита Vscan; она запускается новой командной строкой, появившейся в результате коррекции системного файла AUTOEXEC.BAT:C:\PROGRAM FILES\MCAFEE\SCAN.EXE С:\

Так, каждый раз в процессе начальной загрузки проверяются память компьютера, загрузочные сектора системного диска и все файлы в корневом каталоге. Эта утилита работает в среде DOS и настраивается с помощью ключей: по своему усмотрению пользователь может дополнить начальную проверку сканированием всех каталогов и подкаталогов системного диска (ключ/SUB), сканированием всех локальных (/ADL) и сетевых дисков (/ADN), записать результаты проверки (в том числе замеры длин тестированных файлов /AF) в log-файл с заданным именем. Всего же может быть использовано 43 (!) ключа, что позволяет настроить Vscan на антивирусную проверку PC в полном соответствии с нуждами пользователя (лечение, удаление и даже перенос всех найденных инфицированных файлов в отдельную, заранее заданную папку – "вирусный зверинец").

Две другие программы пакета McAfee VShield и VScan созданы как полноценные 32-разрядные приложения Windows 95. Уже по названию можно догадаться, что Vshield (щит от вирусов) является дисковым и файловым монитором – "сторожем", обеспечивающим постоянное после загрузки Windows 95 слежение за вновь подключаемыми дисками (в том числе и флоппи-дисками), контроль исполняемых программ и копируемых файлов. Программа VScan вызывается для дополнительной проверки памяти, дисков и файлов.

Монитор Vshield выступает в компьютере этаким "недремлющим оком", освобождающим пользователя от необходимости помнить об обязательном сканировании каждого нового диска (локального или сетевого) или дискеты. Программа открывает доступ к диску, лишь убедившись в его "чистоте", и даже проверяет файлы, копируемые из Интернета.

Каждая из программ имеет простой и удобный интерфейс настройки. Для настройки монитора VShield нужно щелкнуть правой кнопкой мыши на его иконке на полосе TaskBar и выбрать строку Properties, которая откроет четырехстраничную панель.

На первой странице можно задать условия проверки файлов и дисков, выбрать и переопределить список проверяемых файлов и условия отображения и управления программой из TaskBar.

На второй странице панели указывается набор действий, которые программа выполнит при нахождении инфицированного файла или диска. На третьей странице задаются условия формирования и записи информации о произведенном мониторинге файловой системы в именованный log-файл, а на четвертой – исключаемые из мониторинга диски, папки и файлы (по умолчанию из проверки исключается папка "мусорной корзины" Recycle Bin). Все настройки этой программы автоматически сохраняются после закрытия панели.

Здесь уместно отметить, что если VShield в борьбе с обнаруженным вирусом сталкивается с проблемами (например, при попытке копирования файлов с дискеты), то включается утилита Vscan, которая пытается обезвредить обнаруженную инфекцию на уровне DOS. При этом на экране графический интерфейс Windows 95 заменяется текстовым окном DOS, где вые вается грозное предупреждение: "Внимание!!! Вирус!!!" и предлагается ряд действий: очистка файла, его уничтожение, переименование или продолжение работы.

Более скромно выглядит трехстраничное окно программы-сканера McAfee VScan95, которая может быть запущена из группы McAfee VirusScan95, в папке Programs стартового меню. Запуск программы приводит к автоматической проверке памяти, после чего можно настроить условия сканирования дисков. На первой странице окна с помощью кнопки "Browse" выбирается доступный диск (локальный, сетевой) или определенный каталог, задаются типы "обследуемых" файлов (все или исполняемые). На двух других страницах определяются действия при обнаружении зараженного файла и условия записи результатов проверки в log-файл (по умолчанию используется файл VSLOG.TXT в папке размещения программ пакета). Все заданные настройки должны быть сохранены командой меню /File/Save Settings.

На панели справа расположены кнопки запуска сканера,остановки и активации нового цикла проверки дисков, а в нижней – окно, где отображаются найденные инфицированные файлы. В статус-строке панели воспроизводится текущий сканируемый каталог, число проверенных и выявленных зараженных файлов.

Одно из удобств пакета – включение в контекстное меню файлов, фолдеров, дисков, выделенных в окне Explorer'a, и команды Scan for Viruses, по которой производится немедленное сканирование указанных объектов файловой системы компьютера.

При нахождении в файловой системе инфицированного файла открывается окно (в случае настройки сканера на вывод сообщения), в котором живописно отображается рука, схватившая многоногую заразу, с указанием имени файла и "подцепленного" вируса. В этом же окне содержится предложение о лечении или удалении файла, выполняемое нажатием одной из расположенных справа кнопок.

Как и положено приложению Windows 95, в пакет заложены возможности его деинсталляции, во время которой из установочного каталога удаляются все файлы, а из базы регистрации Registry – все записи о пакете. Для этого в составе пакета имеется программа UNINSTALLEXE, хотя удалить пакет можно и стандартным способом.

Как и предыдущий пакет McAfee, VirusScan95 умеет находить макро-вирусы в файлах WinWord. Да и запас "прочности" у программы весьма высок: VirusScan 95 создан для нахождения инфекции, внедрившейся на флоппи- и жесткие диски, CD-ROM и диски, компрессированные известными утилитами DriveSpace, DoubleSpace, Superstore и Stacker. Пакет может использоваться для сканирования и лечения файлов и дисков как локальных, так и сетевых компьютеров, а также сетевых серверов. К сожалению, McAfee VirusScan95 не занимается эвристическим анализом при поиске сигнатур вирусов, а значит, пользователю необходимо время от времени обновлять текущую версию пакета. Она появляется на WWW-сервере компании каждый месяц: только за март-май 1996 года вышло 3 shareware-версии этого продукта. В последней версии 2.03 фирмой анонсирована возможность лечения файлов WinWord путем встраивания в общую таблицу стилей текстового редактора программ, уничтожающих макро-вирусы при считывании инфицированных документов. Но зато скорость работы сканера VScan95заметно упала. Возможно, что в следующих версиях она снова возрастет до очень высокого уровня.

Одновременно фирма McAfee разработала и выставляет в Интернете для незарегистрированных пользователей большое число других антивирусных продуктов для Windows 3.x, DOS, сетей NetWare и Microsoft Network.

ThunderBYTE AntiVirus (TBAV)

ThunderBYTE, компания с большим стажем работы в области антивирусной защиты, в начале этого года выпустила на рынок версию 7.0 своего пакета TBAV (ThunderBYTE AntiVirus). Данная версия ориентирована для работы в среде DOS, Windows 3.x, а также Novell DOS и других операционных системах, что заставило нас отнестись к пакету достаточно серьезно По оценкам независимых экспертов, это один из лучших продуктов для антивирусной защиты сетевых компьютерных систем, а его новая версия 7.01 для Windows 95 позволяет успешно бороться и с грозным вирусом Boza. Утилиты пакета позволяют проводить все виды антивирусного контроля, а также лечить инфицированные файлы, в том числе и в архивах.

Фирма объявила пакет ThunderBYTE AntiVirus for Windows 95 как freeware, а посему он может быть свободно скачан на локальный компьютер с сервера (ftp://204.101.252.29/pub/thunder) или WWW-сайта (http://www.thunder-byte.com). Скопированный архив tbw95701.zip раскрывается в дистрибутивный набор утилит ThunderBYTE AntiVirus for Windows 95 Professional Edition.

Первоначально пакет назывался ThunderBYTE AntiVirus Utilities, и в версиях для DOS и Windows 3.x существовал действительно в виде набора утилит. В текущей версии 7.01 для Windows 95 пакет предстает в виде полноценного 32-разрядного приложения, включающего лишь программы начального запуска TBW95RUN.EXE и основной модуль TBAVWIN.EXE, а упоминание об утилитах в справке help осталось, скорее, как дань традиции.

При установке TBAV на экране возникает красочная заставка, на фоне которой последовательно появляются окна задания условий инсталляции пакета: обновление или установка в первый раз, задание фолдера для размещения программ. Затем утилита TbSetup производит первоочередное сканирование всей файловой системы и в случае отсутствия вирусов переходит к формированию в каждом каталоге системных файлов ревизии Anti-Vir.DAT. В них заносится информация обо всех исполняемых файлах: размеры, контрольные суммы, системные флаги, которые задают условия выполнения программ, а следовательно, и условия последующего контроля за производимыми ими действиями и очистки от вирусов в случае их заражения. Например, установка флага 0001 запрещает выполнение эвристического анализа данной программы, а флаг 0020 указывает на выполнение операций прямого доступа к диску.

Затем пользователю предлагается подтвердить необходимость создания программной группы, в которой автоматически формируется набор заданий для быстрой проверки подключенных дисков: гибких, жестких локальных и сетевых, CD-ROM. В число новинок пакета входит возможность вызова сканера TbScan для проверки каталогов и дисков, выделяемых в окнах Explorer'a Windows 95, с помощью контекстного меню (возможность, предоставляемая также McAfee VirusScan95). Инсталляцию пакета завершает запись соответствующих ключей в базе регистрации Windows 95.

Функции антивирусного контроля утилит TBAV for Windows 95 сводятся к трем группам. Во-первых, утилита File I/O Monitoring выполняет функции мониторинга над всеми вновь подключаемыми дисками, копируемыми, модифицируемыми, перекачиваемыми файлами – "на лету", без остановки выполняемых операций. Во-вторых, утилита TbScan позволяет сканировать файлы на любых доступных дисках, используя разнообразные методы контроля и, что самое важное, развитый аппарат эвристического анализа программ.

Хотя в окне проверки дисков указано, что версия 7.01 пакета может распознавать свыше 3349 основных сигнатур (без модификаций) вирусов, используемая эвристика намного увеличивает возможности выявления и распознавания вирусов. Так, проверяя ряд файлов, TbScan обнаружила, что контролируемые программы "содержат инструкции, которые, похоже, генерируются не ассемблером, а некоторыми генераторами кода, как это делают полиморфные вирусы", но к счастью, тревога была напрасной Как отмечают разработчики, такое "ложное срабатывание" может произойти в случае, когда в настройках сканера установлен слишком высокий уровень эвристического анализа.

В-третьих, возможно задание режима фонового сканирования, при котором файловые системы определенных пользователем дисков проверяются через установленные интервалы времени автоматически.

Все утилиты настраиваются в окне основного модуля TbScan вызовом команд меню и заданием опций настройки. В частности, впункте Options пользователь может сконфигурировать условия отображения загруженного пакета на экране монитора, задать условия работы утилит в фоновом режиме, в режиме мониторинга файлов и сканирования дисков при перезагрузке системы.

В левом окне панели TBAV for Windows 95 содержится список псевдонимов заданий для быстрой проверки дисков. Пользователь может этот список изменить, указывая конкретный псевдоним и удаляя или дополняя новыми дисками, файлами и фолдерами целевой набор в правом окошке. Аналогично могут формироваться новые псевдонимы заданий, которые затем могут использоваться в системной настройке утилит. Проверка конкретного диска или каталога может быть выполнена и простым его выделением в файловой системе и запуском сканера.

В пунктах TbScan и TbSetup задаются условия выполнения проверки файлов, в том числе "проверять только программы" или "проверять все", выполнять "быструю проверку" (сканировать только исполняемые программы) или "полную". Кроме того, может быть изменен уровень эвристического анализа – от "низкого" до "высокого", который разработчики, во избежание ложных тревог, рекомендуют включать лишь при сильном подозрении на наличие в компьютере вирусов.

В настройках можно указать свой собственный перечень расширений файлов – хотя, судя по документации, встроенный перечень и так охватывает практически все основные типы программ. Наряду с "исполняемыми" файлами могут проверяться и "неисполняемые" Но последнее рекомендуется только после проверки всех программ.

Настроек в TBAV for Windows 95 так много, что мы рекомендуем перед началом их выполнения обратиться к help'y, в котором подробно рассказано об их значениях.

Сканер TbScan в работе демонстрирует высокую скорость. Если на создание утилитой TbSetup в 258 каталогах файловой системы файлов ревизии Anti-Vir DAT ушло чуть более 5 минут, то быстрое сканирование почти 10 тысяч файлов на компьютере заняло всего 109 секунд при установке высокого уровня эвристики. Конечно, время сканирования увеличивается при проверке всех файлов подряд – но, как верно замечают разработчики, если файл относится к категории "неисполняемых", то даже наличие в его структуре кода вируса не может активировать последний, а значит, и проверять его нет резона.

В то же время даже в help'e отмечается целесообразность проверки файлов с расширениями DOC и DOT (они проверяются по умолчанию), являющихся документами WinWord. Согласно документации к пакету, в перечень сигнатур вирусов в данной версии включены сигнатуры одиннадцати Word Macro.

А чтобы пользователь мог ознакомиться с опасностью, таящейся в заражении компьютера вирусом, в левой части окна TbScan наряду с кнопками запуска сканера и его переустановки содержится кнопка Virus Info, открывающая окно базы сигнатур с описаниями действий представленных вирусов. Правда, фирма ThunderBYTE решила не слишком "баловать" пользователей и дала возможность изучать таким образом лишь малую толику зашитых в базу описаний. Но будьте уверены, при нахождении у вас на компьютере вируса его описание мгновенно появится в окне эвристического анализатора.

Из тех многочисленных возможностей, которые включает данный антивирусный пакет, некоторые функции для незарегистрированных пользователей недоступны поддержка секретности доступа к настройкам, которую могут использовать сетевые администраторы, возможность автоматического обновления пакета и возможность лечения инфицированных файлов путем вычленения и удаления сигнатур вирусов. Так что если на диске скачанный из Internet сканер обнаружит зараженный файл, то пользователю остается его удалить или переименовать. Разработчики советуют при этом перезагрузить с чистой системной дискеты компьютер и переустановить поврежденные файлы прикладной программы. А обновляемый не реже чем раз в два месяца пакет необходимо вновь "перекачивать" с сервера фирмы.

Как продукт, созданный для Windows 95, пакет включает в себя программу деинсталляции, бесследно удаляющую все кому ты из системы, что фирма-разработчик отмечает как "новинку" TBAV for Windows 95.

Информация для читателя

Здесь мы хотим представить выдержку из обращения к пользователям пакета TBAV самой фирмы ThunderBYTE (файл NO.VSUM DOC, распространявшийся вместе с дистрибутивом пакета TBAV for Windows 95) – думаем, что читателям будет небезынтересно с ней ознакомиться

Но сначала дадим два пояснения Во-первых, за рубежом давно проходят всевозможные конкурсы и тестовые испытания антивирусных пакетов и программ. Одни из таких конкурсов является тестирование, более известное как "Тесты VSUM", возглавляемое Патрисией Хоффман (Patricia Hoffman), которая упорно отказывается включать программы фирмы ThunderBYTE в состав испытуемых продуктов.

Во-вторых, в приводимом тексте разработчики разъясняют механизм работы сканера TbScan Итак, слово фирме ThunderBYTE.

"Многие спрашивают нас, почему TBAV не внесен в список тестирования антивирусных продуктов VSUM Патрисии Хоффман. Причина в том, что мы не согласны с ее требованиями к условиям тестирования нашего сканера.

Патрисия Хоффман заявляет, что мы должны полностью отключить в нашем сканере эвристический анализ Иначе она отказывается проверять TbScan. Она считает несправедливым, что TbScan обнаруживает вирусы, используя эвристический анализ, в то время как другие программы должны выполнять проверку без эвристики. Она также сообщила нам, что хочет засчитывать только те результаты тестирования, которые были получены продуктами, использующими метод поиска сигнатур.

У нас иной взгляд По нашему мнению, выбор метода для поиска вирусов – исключительная привилегия разработчика программы Использует ли он поиск сигнатур, выявляет ли алгоритмы или анализирует код – просто не ваше и не ее дело. Но Патрисия Хоффман требует, чтобы мы сознательно ухудшили характеристики нашего сканера, исключив эвристику. Для вас, конечного пользователя, возможного исключения способа обнаружения чего-либо, что, скорее всего, является вирусом, не имеет смысла вообще.

TbScan использует четыре метода выявления вирусов, не считая проверки контрольных сумм:

 – поиск сигнатур (для "стандартных" вирусов),

 – специфическое алгоритмическое детектирование (для сложных полиморфных вирусов),

 – обобщенное алгоритмическое обнаружение(для групп "тривиальных" вирусов),

 – эвристический анализ (для нахождения тривиальных и неизвестных вирусов).

Существует пятый метод, который мы НЕ ИСПОЛЬЗУЕМ в сканере TbScan – это выявление новых вирусов на основе поиска некоторых весьма обобщенных сигнатур, – и который, вообще говоря, также относится к эвристике. По мнению Патрисии Хоффман, использовать его можно – ведь он основан на поиске сигнатур. Мы, конечно, можем объяснить Патрисии Хоффман, что наша эвристика фактически также является поиском многих однобайтовых сигнатур, но это просто не ее дело, а мы не хотим объяснять что-то и защищать наш продукт только для того, чтобы любым способом получить ее разрешение на тестирование.

И нам совсем неясно, почему первый, второй и третий методы дозволяются, а четвертый нужно исключить. Или это потому, что мы имеем уникальную программу, которая использует некоторую степень эвристики по умолчанию? А как быть с тем, кто первым использовал специфическое алго-ритмическое детектирование, чтобы обнаружить вирусы группы "Washburn"? Он ведь также должен был отключать эту опцию, так как это было бы справедливо по отношению к другим разработчикам, которые еще не были готовы использовать алгоритмическое детектирование?

Во всяком случае, мы не можем убедить Патрисию Хоффман в том, что продукты должны тестироваться "как они есть". Если вы хотите видеть наш сканер в составе антивирусных продуктов на "Тестах VSUM", не постесняйтесь послать жалобу Патрисии Хоффман".

Из приводимого текста видно, какое большое значение фирма-разработчик придает используемому в ее антивирусе эвристическому анализу. Но это – мнение тех, кто борется за чистоту компьютеров и сетей. А вот мнение одного из российских хакеров, на счету которого уже несколько написанных вирусов – один из которых был нам преподнесен для проверки надежности описываемых антивирусных средств.

Спасет ли эвристический поиск?

"Как однажды удачно пошутила на КВН команда ВМиК, "лучшее средство от компьютерных вирусов – "одноразовые" компьютеры".

Вряд ли можно назвать современные антивирусные средства эффективными. Самая ценная служба – компьютерная "скорая помощь". Лишь она может защитить от наиболее коварных вирусов, написанных "на заказ" либо с целью кому-либо персонально насолить.

Человеку, хотя бы слегка знакомому с современным программированием, трудно поверить в действенность тех же самых "эвристических анализаторов". В ближайшие пять лет они будут защищать разве что от студенческих вариаций на тему "Хижняка-775" (публикация исходного текста этого "шедевра" вдохновила многих наполеонов из вирусописательской среды).

Это легко обосновать. Принцип работы анализаторов – поиск "подозрительных" процедур. Давайте предположим, что существует некоторая процедура, необходимая вирусу и не встречающаяся в других программах, которая реализуется единственным способом. В этом идеальном случае отловить вирус предельно легко. Но стоит разнести процедуру на большое количество кусков, а переходы оформить в виде:

MovAX.addr

Push AX

Push AX

AddSP,2

RetN

 – или еще сложнее, как единственным способом ее обнаружения становится детальная трассировка кода с анализом выполняемых действий, что при использовании дополнительных приемов, затрудняющих трассировку, совершенно нереально при современной производительности компьютеров.

Цель действий анализаторов -выявить новый вирус – гораздо эффективнее достигается мониторами: новый вирус (только что переписанный, например, у вашего соседа) попытается заразить по крайней мере еще один файл, а отследить попытку заражения достаточно легко.

Кто пишет вирусы? И почему это такая проблема – не заразиться?

Вирусы можно условно поделить на студенческие (дилетантские кальки со старых вирусов типа "Янки Дудля"), хакерские (типа "А я, разве я хуже собаки?" – Карлсон к. ж. на кр.) и "заказные", написанные с целью мести или для наказания вора. От последней категории вирусов спасет только мощный программно-аппаратный комплекс с искусственным интеллектом, да и то вряд ли. Для сетей же больше всего несчастий доставляет первая группа вирусов. Но причина больших потерь – плохая защита от несанкционированного доступа, а не недостаточное качество именно антивирусного барьера.

Обыватель, бегающий вокруг "мертвого" компьютера, выкрикивая угрозы в адрес авторов "троянского коня", вызывает сочувствия не больше, чем проклинающий "ночных бабочек" любитель эротики, заболевший известной болезнью после посещения публичного дома. Наверное, было бы даже полезно разрешить свободное распространение наименее разрушительных вариантов "троянских коней", – ну в самом деле, почему в нашей стране до сих пор совершенно нормальным считается "обмен" программным обеспечением, авторские права на которое защищает закон?

В идеальном случае антивирусным службам достаточно обслуживать ВВS'ки с shareware-продуктами. Тогда законопослушному пользователю будут грозить только заражение вирусами типа Word'oвских макросов, а их появление можно предотвращать более продуманной системой расширений. При этом необходимо, чтобы пользователь покупал программные продукты, а не одалживал их у соседа, – что плохо согласуется с русским характером".

Теперь вам, российские пользователи, ясно, почему имеет прямой смысл приобретать программы цивилизованным путем?

После этого небольшого отступления продолжим обзор антивирусных пакетов, которые предлагаются для использования на серверах Internet.

Sophos SWEEP for Windows95

Еще одна компания Sophos Pic., штаб-квартира которой находится в английском Оксфорде и которая сравнительно недавно, с 1985 года, начала заниматься защитой данных, а ныне стала одним из лидеров в разработке средств защиты и антивирусного контроля, предложила в Internet свою новую разработку SWEEP Virus Detection for Windows 95.

Хотя эта фирма в России не столь известна, как Symantec, у нее отменный послужной список. Вот неполный перечень антивирусных средств, которые наряду с версией для Windows 95 разработаны и предлагаются фирмой Sophos:

 – SWEEP в версиях для MS-DOS, Windows 3.x, Windows NT (для PC, серверов и рабочих станций Alpha фирмы DEC), для платформ на базе Novell NetWare NLM, OS/2, OpenVMS (VAX и Alpha); существует даже тестовый вариант для локальной сети Banyan Vines;

 – пакет InterCheck для рабочих станций систем,построенных в архитектуре "клиент-сервер";

 – программа подсчета контрольных сумм файлов для независимого выявления вирусов VACCINE;

 – резидентная программа-монитор D-FENCE для контроля за подключаемыми к компьютеру дисками;

 – EDS, пакет криптографического шифрования файлов.

Из Internet очередную версию SWEEP for Windows 95 можно скачать со страницы компании (адрес – http://www.sophos.com/sweep/), пакет распространяется как shareware. Как утверждает фирма Sophos, специально разработанный язык Virus Description Language (VDL), использованный в SWEEP, придает этому сканеру высокие функциональные качества в борьбе с компьютерной инфекцией.

Как и большинство продуктов, "загружаемых" из Internet, этот антивирус предстает в виде архива SWEEP95.ZIP. Инсталляция пакета производится после раскрытия архива и запуска программы установки SETUP.EXE. В появляющемся окне нужно указать тип компьютера, на котором устанавливается пакет – рабочая станция или сетевой сервер, задать фолдер для размещения файлов программы (по умолчанию это каталог C:\Program Files\Sophos Sweep) и нажать кнопку "Finish", после чего программные файлы копируются в заданный каталог. А затем нужно ответить на вопрос: "Хотите ли вы запустить программу SWEEP for Windows 95 немедленно?" При подтверждении перед глазами изумленного юзера возникает огромный экран локатора этого "чистильщика", вращающийся луч которого немедленно высвечивает кучки вирусов, заселивших ваш компьютер.

Но не пугайтесь, так как это только заставка, которая быстро исчезает, уступая место двухстраничной панели настройки и запуска этого пакета. В центральном окне отображается структура подключенных локальных и сетевых дисков, которые могут быть сразу протестированы на наличие вирусов. Любой из дисков может быть отключен или удален простым щелчком мыши, но можно добавить новые диски (например, сетевые), нажав соответствующие кнопки в правой части панели. Кроме того, из проверки можно исключить или, наоборот, добавить отдельные каталоги.

С помощью меню или кнопок на панели можно произвести настройку программы и тут же начать ее исполнение. В качестве параметров настройки задается проверка всех файлов или только "исполняемых", состав которых пользователь может переопределить, задавая определенные расширения. Можно задать метод сканирования – полный, когда выявление сигнатур вирусов производится побайтовым сравнением, и быстрый, когда используются алгоритмы поиска VDL. Последний способ оказывается в два раза быстрее, хотя и в этом случае SWEEP уступает другим сканерам в скорости – так, на проверку 2140 файлов ему потребовалось 5,5 минут.

В системе настройки можно задать набор действий при обнаружении вирусов – уничтожение файла, его копирование, переименование или "превращение в окрошку" (shred – действие, которое, как показал опыт, приводит к бесследному исчезновению инфицированного файла). Включение функции извлечения сигнатур и "излечения" инфицированных файлов в SWEEP не предусмотрено, такое действие выполняется сканером автоматически по умолчанию лишь для определенных групп вирусов.

Все выполненные программой действия записываются в именованный log-журнал, находящийся в ее каталоге. Кроме того, результаты проверки в целом или по каждому найденному зараженному файлу будут обязательно отображены в окне на нижней части панели.

Так как SWEEP for Windows 95 – только полиморфный сканер, то его нужно запускать всякий раз, когда вы хотите проверить ваш компьютер и подключенные к нему диски В состав пакета не включены средства мониторинга компьютера, и потому, если нужно, чтобы антивирусная проверка памяти и дисков выполнялась без вашего участия, то на второй странице панели можно составить расписание, по которому сканер SWEEP будет периодически проверять ваш компьютер в фоновом режиме.

К основным достоинствам программы создатели относят широко рекламируемую возможность отыскивать и обезвреживать макро-вирусы в документальных файлах WinWord, что, оказывается, становится все более актуальной задачей. После появления Word.Macro.Concept, поразившего многие компьютеры, нашлось немало любителей сотворить гадость ближнему – последние "произведения датируются мартом текущего года.

Чтобы как-то убедиться в верности рекламных заявлений, мы заглянули в библиотеку опознаваемых вирусов программы SWEEP for Windows 95 и нашли там не только Word.Macro.Concept, но и Winword

CcWrs, DMV, Formate, Hot, Ompost, Nuclear и еще с пяток макро-вирусов SWEEP не производит эвристического анализа, он вылавливает только известные вирусы, и наличие в базе сигнатур этих "макро" позволяет относиться более серьезно к этому сканеру.

Библиотека сигнатур вирусов SWEEP достаточно полна. В апрельской версии насчитывалось более 7000 сигнатур; в описаниях известных вирусов содержатся не только данные о времени их появления, псевдонимах, размерах и характерных действиях, но и даются рекомендации по их обезвреживанию. В частности, в справке по вирусу Word.Macro.Concept указано, что этот вирус, впервые зарегистрированный в августе 1995 года, имеет уже множество модификаций – это может не позволить имеющейся в вашем распоряжении антивирусной программе его "вырезать и выбросить", хотя он и будет ею опознан. Приводится описание того, как после обнаружения Concept'a и безуспешной попытки "излечить" инфицированный документ антивирусными средствами должен действовать пользователь, чтобы вручную обезвредить документ.

Фирма открыла две специальные страницы на сервере в Internet, где регулярно помещается самая свежая информация обо всех новых макро-вирусах Wmword'a.

В библиотеке можно найти и просмотреть описания вирусов, для которых известны какие-либо характеристики. Последние можно использовать в качестве критериев поиска – они указываются на специальной странице, открываемой кнопкой Find.

Нельзя доверять утверждениям некоторых специалистов о том, что только продукты, созданные в России, на родине большинства современных компьютерных вирусов, могут успешно с ними бороться: в библиотеке сигнатур SWEEP for Windows 95 вы найдете все от простой "ЗАРАЗЫ" и "Магнитогорска" до "ХРЕНА-5856" и "Тулы". Каждый месяц фирма Sophos выпускает в свет новую версию этого пакета с расширенной базой сигнатур, что дает возможность постоянно обновлять сканер и поддерживать надлежащий уровень антивирусной защиты.

При всей своей внешней простоте использования и настройки "чистильщик" вполне может конкурировать с уже описанными антивирусными пакетами В нем также предусмотрены возможности простой стандартной деинсталляции

Dr Solomon's AntiVirus Toolkit

Этот пакет антивирусной защиты, разработанный компанией S&S International PLC и известный раньше в основном по публикациям в прессе, стал теперь доступен в России благодаря отечественной фирме RPI, заключившей в апреле 1996 года дистрибьюторский договор с финской компанией LAN Vision Oy, бизнес-партнером S&S.

Пакет для защиты локальных компьютеров включает в себя версии под DOS, Windows 3.x и Windows 95. Существует также множество разных версий Dr Solomon, продающихся по отдельности для каждой платформы – для DOS, Windows 3.x, Windows 95, Windows NT, OS/2, Macintosh, SCO UNIX и NetWare.

Пакет Dr Solomon's AntiVirus Toolkit for Windows 95 включает в себя:

 – управляющую программу Anti-Virus Toolkit (AVT), осуществляющую с помощью вызываемых утилит проверку и поиск вирусов в файловой системе компьютера и подключаемых сетевых дисков, а также лечение файлов и дисков. Поиск вирусов выполняется на основе сигнатур, по контрольным суммам и с использованием эвристического анализа;

 – монитор WinGuard, в обязанности которого входит контроль за подключением внешних дисков, выполнением операций с файлами и поведением исполняемых файлов;

 – планировщик Dr. Solomon's Scheduler, с помощью которого можно обеспечить контроль событий: запуск антивирусной проверки дисков либо в определенное время, либо после отработки конкретных исполняемых программ или пересылки (получения) сообщений. Планировщик дает возможность заранее определить условия, по которым производится сканирование дисков: задается набор контролируемых дисков, набор тестируемых типов файлов, частота сканирования и т.д.

В открывающемся окне программы AVT отображаются все доступные для проверки диски и кнопки управления – "Find", запускающая процесс сканирования файловой системы, и "Repair", вызывающая программу лечения дисков и файлов. Интерфейс программы предельно прост и не требует специальных настроек.

Монитор WinGuard, отображаемый на полосе taskbar'a фигуркой солдатика при пушке, так же, как и сканер, легко настраивается. Для постоянного контроля за компьютером в его панели указываются за какими именно дисками должна следить программа, подлежат ли проверке все файлы или только исполняемые, и нужно ли сканировать или нет файлы при записи.

Нужно отметить достаточно высокую скорость антивирусной проверки – на сканирование почти 5 тысяч файлов сканер AVT затратил около 110 секунд. Если во время проверки обнаруживается вирус, то по окончании тестирования на экране появляется окошко с рисунком, который напоминает о смертельной опасности, нависшей над компьютером из-за наличия инфекции в его файловой системе. Для ликвидации вируса программа рекомендует сразу обратиться к справке-help'y, в которой подробно объясняется нужная последовательность действий и подсказывается каким инструментом можно при этом воспользоваться.

Вместо кнопки "Find" пользователь может использовать меню программы, обратившись к пункту Scan. В нем, кроме команды запуска сканера, содержится еще команда Check for changes, которая первоначально инициирует ревизор, составляющий таблицы размеров файлов, а в последующие сеансы осуществляет контроль за изменениями в файловой системе.

В пункте меню Repair содержатся команды вызова утилит для "лечения" инфицированных файлов и дисков – вычленения в структуре файла сигнатуры вируса и замещения ее последовательностью нулей. Если вирус оказывается невозможно удалить из файла, то программа предложит либо уничтожить файл, либо переименовать его. В дополнение к этому в пункте File меню программы содержится команда Shred, которая, как указано в справочнике, производит замещение файла нулями, что предотвращает любую попытку его восстановления.

По мнению представителей фирмы RPI, отечественного дистрибьютора этого продукта, антивирусный пакет Dr Solomon AVT скорее ориентирован не на рядовых пользователей локальных PC, а на пользователей корпоративных систем, где в штате обслуживающих специалистов обязательно есть один-два программиста, знакомых со всеми тонкостями антивирусной защиты. Конечный пользователь локального компьютера все-таки стремится к тому, чтобы получить программу, которая могла бы автоматически без его участия и просканировать диски, и "вылечить" инфицированные файлы.

Метафора выполнения последовательно операций сканирования, автоматического и ручного удаления вирусов рассчитана прежде всего на специалистов антивирусной защиты. Именно для них в меню программы AVT предусмотрены две команды из пункта Repair – Inspect File и Inspect Disk, – обращение к которым позволяет препарировать указанные пользователем файл или диск и представить их содержимое в виде текста или шестнадцатиричного кода в окнах инспекции.

Неспециалист вряд ли сможет разобраться в том, например, с какого места вписан в документальный файл WinWord'a вирус Macro Concept, чтобы успешно "вырезать" его из текста, не повредив структуру файла. Тем более трудно ожидать, что рядовой "юзер" поймет, что ему нужно сделать с нарушенными вирусом загрузочными секторами системного диска, сформированными Windows 95.

Вообще говоря, Dr Solomon's AVT заставляет вспомнить призыв Гиппократа "Больной, вылечи себя сам!" Судя по содержимому справочников пакета – а их у него четыре общим объемом 260 Кбайт, – пользователь должен хорошо представлять себе, к каким последствиям могут привести действия определенных вирусов и какие методы борьбы с ними существуют. Если пользователю не хватает его компьютерно-вирусовой грамотности для успешной борьбы с компьютерной инфекцией, он может по help'aм пакета быстро ликвидировать свои пробелы.

Простота использования, достаточно высокая скорость работы, поиск вирусов на основе нескольких методов их обнаружения, наличие инструментов восстановления поврежденных вирусами файлов и дисков – бесспорные достоинства пакета. Однако при этом пакет, объявленный как приложение для Windows 95, не имеет никаких средств деинсталляции. Более того, если рядовой пользователь, недостаточно изучивший все тонкости системной настройки этой операционной системы, решит удалить пакет у него возникнет масса проблем.

Дело в том, что Dr Solomon's AVT при инсталляции не только создает собственный каталог, который необходимо удалять вручную, но и производит коррекцию системных файлов AUTOEXEC BAT, WIN INI, SYSTEM INI. Но, даже удалив из них введенные "доктором" команды и записи, пользователь не сможет заставить нормально загружаться саму Windows 95 – требуется еще найти и исключить из базы регистрации системы целый набор ключей, в том числе ключ замены.

Некоторые рекомендации создателей антивирусных пакетов по профилактике компьютеров от вирусов:

 – никогда на используйте странствующие дискеты;

 – избегайте перезагрузки компьютера с дискет через дисковод А;

 – пользуйтесь только программами фирм с проверен ной репутацией;

 – проверяйте все принесенные вашими друзьями дискеты и все подключаемые к вашему компьютеру сетевые диски одного из системных драйверов, без которого Windows 95 отказывается работать.

Это обстоятельство позволяет еще раз констатировать антивирусный пакет Dr Solomon's AVT не рассчитан на рядового российского пользователя.

Немного о схватках с вирусами

Сразу оговоримся не обладая возможностями настоящей тестовой лаборатории, имеющей в распоряжении хотя бы один компьютер, который не жалко "заразить" мириадами вирусов, мы ограничились лишь тем, что посмотрели, как справляются с вирусами все перечисленные выше антивирусные пакеты Для этого мы попробовали скопировать на три рабочих компьютера несколько файлов, про которые было известно, что они инфицированы тремя вирусами – Tai-Pan 438a (пример стандартного вируса, внесенного в базы сигнатур всех пакетов), Word Macro Concept (первый быстро распространившийся ?????о-вирус) и "свеженьким" Louse, написанным тем самым хакером, который скептически относится к эвристическому анализу (пример неизвестного вируса).

Из всех описанных сканеров только двум – McAfee Vscan95 и Sophos SWEEP – удалось обнаружить макро-вирусы в текстовых файлах WmWord'a Остальные сканеры, несмотря на анонсированные возможности успешной борьбы с Word Macro, не смогли их обнаружить. Возможно, что, как указано в документации к SWEEP, присутствовавший в испытуемых файлах вариант макро-вируса Word Macro Concept был новой разновидностью вируса, и это не позволило его выявить сканеру TBAV.

Обнаруженные инфицированные текстовые файлы были из-за невозможности лечения сканером SWEEP переименованы, а многократные попытки McAfee Vscan95 очистить файлы от вируса ни к чему не приводили – при повторном сканировании вирус все равно детектировался.

Ни один из мониторов указанных пакетов не смог обнаружить присутствие этого макро-вируса при подключении диска. И лишь монитор McAfee VShield при любой попытке копирования или модификации инфицированных текстовых файлов мгновенно реагировал на скрывавшийся в них макро-вирус предупреждением.

Вирус Tai-Pan 438a был выявлен всеми без исключения сканерами AIIMicro AntiVirus, McAfee Vscan95 и Dr Solomon успешно "вылечили" зараженные программы, a TBAV и SWEEP их переименовали (как было указано выше, функция "лечения" возможна в TBAV только после регистрации пакета, a SWEEP этот вирус удалить пока не способен).

Аналогично было действие мониторов McAfee VShield и Dr Solomon WmGuard излечили инфицированные файлы, a File I/O Monitoring TBAV предложил их переименовать или удалить.

Вирус Louse был предложен его создателем для моделирования авторами статьи ситуации попадания в систему неизвестного вируса, обнаружение которого возможно только путем контроля длин файлов или эвристического анализа.

После инфицирования единственного исполняемого ехе-файла был запущен сканер TbScan, который сразу выявил наличие вирусоподобных последовательностей кода в инфицированном файле, выдав соответствующее сообщение в окне эвристического анализатора. После перезагрузки и повторной проверки зараженными оказались практически все ехе-файлы на винчестере – это было связано со способностью инфицировать файлы при открытии "на чтение", что и было проделано во время проверки TbScan. В итоге компьютер отказался перезагружаться, была нарушена работа менеджера памяти QEMM, испорчен файл mscdex.exe, заражены практически все DOS-утилиты.

Уровень эвристического анализа у сканера Dr Solomon оказался недостаточным для выявления вируса Louse. Тем более перед этим вирусом оказались бессильны остальные сканеры, у которых эвристика не заложена программно как метод распознавания вирусов.

Результат проверки показывает для надежной защиты компьютера от вирусной атаки необходимо, чтобы на нем были установлены средства, обеспечивающие как постоянный мониторинг системы, так и сканирование файловой системы с использованием разнообразных методов обнаружения вирусов – обязательного эвристического анализа, метод штаммов на основе базы сигнатур, методы контрольных сумм и замеров длин файлов. Обеспечить выполнение таких условий можно лишь в одном случае – когда на компьютере установлен не один, а несколько антивирусных пакетов, настроенных так, что, не мешая друг другу и не сокращая функциональности системы, они препятствуют проникновению в нее известных и новых вирусов.