Диалог “настройка AVP Updates”
Пункт “?”
Пункт меню “?” содержит следующие команды:
· Содержание - содержание помощи, представляющее собой стандартное окно помощи Windows 95 с древовидной структурой.
· О программе AVP - информация о версии AVP, разработчиках, регистрации и технической поддержке продукта.
Просмотр файла отчета
Файл отчета представляет собой текстовой файл и может быть просмотрен и распечатан в любом текстовом редакторе, работающем под Windows 95 (например, “Блокнот”, “Word Pad” и т.д.). Для удобства просмотра файла в программе “Блокнот” (“Notepad”) необходимо включить опцию “Перенос по словам” (“Word Wrap”).
Список сообщений окна просмотра “Объект - Результат”
: в порядке.
В файле или секторе не обнаружено вирусов и подозрительных последовательностей команд.
: обнаружен вирус VIRUS_NAME.
В файле или секторе обнаружен вирус “VIRUS_NAME”, где VIRUS_NAME - имя вируса (например, OneHalf.3544).
: вирус VIRUS_NAME успешно удален.
Вирус удален из файла/сектора или произведена дезактивация памяти в случае поражения резидентным вирусом. Если выдано сообщение о наличии вируса в памяти, то по окончании работы AVP желательно произвести перезагрузку компьютера для большей безопасности.
: объект с вирусом VIRUS_NAME уничтожен.
Инфицированный файл удален с диска.
: удаление вируса VIRUS_NAME невозможно.
Файл некорректно заражен вирусом, лечение может испортить файл; либо файл/сектор находится на защищенном от записи диске.
: похож на вариант вируса VIRUS_NAME .
Обнаружено сочетание команд, которое принадлежит вирусу “VIRUS_NAME”, но дальнейшая проверка показывает, что полный набор команд отличается от набора команд вируса “VIRUS_NAME” . Если таких сообщений много, то очень вероятно, что это новая модификация вируса “VIRUS_NAME”.
: подозрение на вирус типа TYPE .
Это сообщение выдает модуль Code Analyzer, если в файле и/или секторе обнаружена последовательность команд, похожая на вирус (подробно см. раздел Сообщения Code Analyzer).
: ошибка ввода/вывода.
Файл или сектор диска находится на защищенном от записи диске или имеет атрибут ReadOnly, а переключатель “Лечить ReadOnly” (“Cure ReadOnly”) в настройке не установлен.
: упакован PACK_NAME.
Это сообщение выдается при обработке упакованного или иммунизированного файла. Где “PACK_NAME” название программы упаковщика, которой был упакован объект.
: архив ARHIV_NAME.
Это сообщение выдается при обработке архивного файла. Где “ARHIV_NAME” -название программы архиватора, с помощью которой был создан архив.
: UNKNOWN_NAME неизвестный формат.
Это сообщение выдается в тех случаях, если Extracting или Unpacking Engine не в состоянии распаковать файл. Такая ситуация встречается при сканировании файлов, упакованных новыми версиями паковщиков, запаролированных или испорченных архивов.
В окне “Объект - Результат” Вы можете воспользоваться функцией поиска необходимого сообщения. Для этого необходимо вызвать окно поиска, нажав комбинацию клавиш <Ctrl> + <F> и в строку ввода ввести сообщение, которое необходимо найти. Для продолжения поиска необходимо нажать клавишу <F3> или воспользоваться кнопкой “Найти”. Если Вы хотите при поиске различать прописные и строчные буквы - поставьте флажок “Учитывать регистр”. Для выхода из окна поиска нажмите клавишу <Esc> или кнопку “Отмена”.
Сообщения Code Analyzer
Сообщения выдаются в формате:
: подозрение на вирус типа TYPE - подозрение на вирус, где "TYPE" является одной из строк:
Com - файл выглядит как зараженный неизвестным вирусом, поражающим COM файлы;
Exe - файл выглядит как зараженный неизвестным вирусом, поражающим EXE файлы;
ComExe - файл выглядит как зараженный неизвестным вирусом, поражающим файлы формата COM и EXE;
ComTSR, ExeTSR, ComExeTSR - файл выглядит как зараженный неизвестным резидентным вирусом, поражающим файлы формата COM, EXE, или COM и EXE файлы;
Boot - файл/сектор выглядит как зараженный неизвестным boot-вирусом или как инсталлятор boot-вируса;
Trojan - файл выглядит как троянская программа;
Анализатор кода (Code Analyzer)
Анализатор кода (эвристический сканер) проверяет коды файлов и секторов по разным ветвям алгоритма сканируемой программы на наличие вирусоподобных инструкций и выдает сообщение, если обнаружена комбинация команд, таких как открытие или запись в файл, перехват векторов прерываний и т.д.
Конечно, этот алгоритм может давать ложные срабатывания, как и любой из подобных эвристических алгоритмов, но он был протестирован на очень большом количестве файлов, и при этом не было получено ни одного действительно ложного срабатывания. Если Вы обнаружите ложные срабатывания на неинфицированных файлах, вышлите в антивирусный отдел ЗАО “ЛАБОРАТОРИЯ КАСПЕРСКОГО” экземпляры этих файлов для анализа.
При сканировании кода Code Analyzer проверяет много ветвей алгоритма программы (включая несколько подуровней). Вследствие этого AVP работает примерно на 20% медленнее при включенном Code Analyzer, чем при выключенном. Но данный механизм определяет около 80% вирусов (включая многие шифрованные) из нашей коллекции, и мы рассчитываем, что новые неизвестные вирусы будут определяться с такой же вероятностью.
Механизм распаковки исполняемых модулей (Unpacking Engine)
В настоящее время достаточно широко распространены утилиты упаковки исполняемых файлов. Они записывают упакованный файл на диск со специальным распаковщиком. При исполнении такого файла этот распаковщик распаковывает исполняемую программу в оперативную память и запускает ее.
Пораженные вирусом файлы могут быть компрессированы такими паковщиками так же, как и неинфицированные. При сканировании обычными антивирусными программами пораженные таким образом файлы будут определяться как неинфицированные, так как тело вируса упаковано вместе с кодом программы.
Unpacking Engine распаковывает файлы, созданные наиболее популярными утилитами упаковки: DIET, PKLITE, LZEXE и EXEPACK различных версий, во временный файл и передает его на повторную проверку. Если внутри упакованного файла обнаружен известный вирус, то, возможно, его удаление. При этом исходный файл замещается распакованным и вылеченным. Механизм распаковки корректно работает и с многократно упакованными файлами.
Модуль распаковки работает также с некоторыми версиями иммунизаторов (программы, защищающие выполняемые файлы от заражения путем присоединения к ним контролирующих блоков) файлов (CPAV и F-XLOCK) и шифрующих программ (CryptCOM).
Механизм распаковки из архивов (Extracting Engine)
Проблема поиска вирусов в архивированных файлах (ZIP, ARJ, LHA и RAR) становится в данный момент, пожалуй, одной из самых насущных. Инфицированный файл может затаиться на несколько месяцев и даже лет, и быстро распространиться при невнимательном обращении с такими архивами. Особую опасность представляют архивы, хранящиеся на BBS.
С такой ситуацией успешно справляется механизм распаковки из архивов Extracting Engine. При сканировании архивов Extracting Engine распаковывает файлы из архива по заданной маске во временный файл и передает его для проверки основному модулю. После проверки временный файл уничтожается.
ЗАМЕЧАНИЯ!
1. AVP не удаляет вирусы из архивов, а только детектирует их.
2. Extracting Engine не распаковывает архивы, защищенные паролем.
AVP детектирует зараженный файл, даже если он зашифрован утилитой CryptCOM, затем упакован PKLITE и записан в архив программой PKZIP.
Как уберечься от компьютерных вирусов
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных.
· Обязательно делайте регулярное резервное копирование.
· Покупайте дистрибутивные копии программного обеспечения у официальных продавцов.
· Создайте системную дискету. Запишите на нее антивирусные программы. Защитите дискету от записи.
· Периодически сохраняйте файлы, с которыми ведется работа, на внешний носитель, например, на дискеты.
· Проверяйте перед использованием все дискеты. Не запускайте непроверенные файлы, в том числе полученные по компьютерным сетям.
· Ограничьте круг лиц, допущенных к работе на конкретном компьютере.
· Периодически проверяйте компьютер на наличие вирусов. При этом пользуйтесь свежими версиями антивирусных программ.