Защита от вирусов
                                                                        

            Компьютерные вирусы могут нанести большой ущерб вашей  сети.
       Особенно  это важно учитывать,  когда пользователи работают в ло-
       кальных сетях,  расположенных далеко от тома или в дороге на пор-
       тативных компьютерах. Вирусы могут переноситься через электронные
       "доски объявлений", общедоступные утилиты и демонстрационные дис-
       ки.  Поэтому важно иметь и использовать обнаруживающее компьютер-
       ные вирусы программное обеспечение, иначе можно поплатиться поте-
       рей программ и данных.

            Вирусы можно иногда обнаружить даже в программном обеспечен-
       ии, которое поставляется в виде готовых пакетов.  При  установке
       любого программного  обеспечения  и обновлении программ в системе
       нужно делать проверку на вирусы. Чтобы предотвратить доступ поль-
       зователей к выполняемым файлам в программных каталогах, можно ис-
       пользовать полномочия доступа. Сейчас существует множество антиви-
       русных программ,  а некоторые программные пакеты имеют встроенные
       средства защиты от вирусов.  Для защиты серверов NetWare  от  из-
       вестных и  неизвестных  вирусов  можно  использовать  Untouchable
       Network NLM фирмы Fifth Generation System. Это средство использу-
       ет идентификационный  процесс,  который позволяет распознать даже
       вирусы, которые изменяются при выполнении (так называемые самомо-
       дифицирующиеся или мутирующие вирусы).  Кроме того, это позволяет
       регулярно выполнять проверку на вирусы путем отслеживания измене-
       ний в выполняемых файлах.  Для самой себя и своей базы данных эта
       программа создает специальный защищенный раздел диска.

            Мутирующие вирусы - наиболее опасный и  труднораспознаваемый
       тип вирусов.  Генератор мутаций впервые появился в вирусе,  полу-
       чившим условное название Pogue.  Сам вирус может быть резидентным
       или нерезидентным и поражать только файлы .EXE или .COM, или те и
       другие. Что же представляет собой генератор мутаций?  Обычный ви-
       рус имеет всегда один и тот же код,  благодаря чему из этого кода
       можно выделить характерный фрагмент - маску вируса, после чего по
       наличию этой  маски  определять пораженные файлы и исправлять их.
       Именно так и работали антивирусные программы.

            Однако потом появились шифрованные вирусы, которые искать по
       маске стало невозможно. Два экземпляра одного вируса, зашифрован-
       ные с разными ключами,  не будут иметь практически ни одного сов-
       падающего  байта (кроме шифрующего фрагмента).  Такой вирус можно
       найти только по расшифровщику, что очень затруднилось с появлени-
       ем  очень коротких расшифровщиков и расшифровщиков,  состоящих из
       разных команд. Однако и здесь можно выделять отдельные биты.

            В генераторе мутаций идея постоянного изменения расшифровщи-
       ка доведена до совершенства.  Если в прежних расшифровщиках могли
       встречаться два десятка различных команд,  то  генератор  мутаций
       использует более половины всех команд процессора. Длина генериру-
       емого расшифровщика - от 0 до 512 байт.

            Расшифровщик расшифровывает вирус, который копирует свой код
       в оперативную  память.  Бороться с мутирующими вирусами очень тя-
       жело. Антивирусная программа,  которая  определяет  и  исправляет
       файлы, пораженные мутирующим вирусом, пытается найти в файле рас-
       шифровщик, а затем расшифровывает тело вируса и записывает его  в
       специальный массив.  Такая  процедура требует большого объема вы-
       числений и выполняется медленно. Когда пораженных программ много,
       "лечение" может занять несколько часов.

            До последнего  времени  против компьютерных вирусов применя-
       лись в основном программные средства.  Однако стали появляется  и
       аппаратные. Например,  существует  специальная антивирусная плата
       Thunderbyte (главный дистрибьютор этих плат - фирма  NOVIX).  Ос-
       новное преимущество антивирусных аппаратных средств в том,  что в
       отличие от программ антивирусов они начинают работать еще до заг-
       рузки операционной системы, а следовательно, способны отслеживать
       и обезвреживать в момент активизации даже загрузочные вирусы. Ан-
       тивирусная программа Thunderbyte записана в СППЗУ и не может быть
       модифицирована.  Она загружается в качестве  расширения  BIOS  до
       других программ и занимает 1К ОЗУ.  Плата устанавливается в вось-
       мибитовый разъем шины ISA,  EISA или MCA и  постоянно  следит  за
       специфической активностью, характерной для компьютерных вирусов.