Vírusy
Prvé vírusy sa objavili začiatkom 70. rokov. Vírus je krátky program, ktorý sa sám nekontrolovateľne rozmnožuje do iných programov tým, že sa k nim pripojí a podľa určitých kritérií ( napr. dátum nar. autora vírusu, počet spustení infikovaného programu, .. ) sa aktivuje a škodí.
Ako počítačové vírusy označujeme manipulačné programy alebo prídavné inštrukcie, ktoré sa po vniknutí do systému skryto množia (kopírujú) a môžu neočakávane meniť činnosť programu - až po naprogramované „sebazničenie“ celých súborov s časovým oneskorením (tzv. časovaná bomba). Vírusy, ktoré prenikli do systému pomocou zdanlivo nevinných programov (tzv. trójske kone), môžu napríklad zničiť ochranu heslom. Ak je váš počítač zapojený do siete, je prístupný aj „hackerom“. Sú to amatéri majúci vysokú úroveň znalostí o počítačoch, ktorí sa zaoberajú prenikaním do cudzích počítačov a vyberaním informácií, najčastejšie iba pre vlastné potešenie. Umiestniť do počítača vírus ako znak ich úspechu je jeden z častých, nie však najšťastnejších trikov a spôsobov „sebarealizácie“.
Vírusy môžu krok za krokom infikovať všetky dátové súbory a urobiť ich nepoužiteľnými. Ich pôvod sa väčšinou nedá dodatočne rekonštruovať, a preto je sabotér len ťažko zistiteľný. Ak je na pevnom disku uložený jediný infikovaný program, sú ohrozené všetky súbory. V rámci siete sa bude vírus šíriť aj na iné počítače a skôr či neskôr bude ním zamorený celý systém. Vírusy sa nevyskytujú iba v súboroch EXE, COM a DBF, ale sú aj vírusy, ktoré napádajú zdrojové texty v jazykoch C, pascal a basic.
Všeobecné princípy fungovania počítačových vírusov
Formálna definícia: Počítačový vírus je formálne taký program, ktorý môže infikovať ostatné programy (alebo diskety) tak, že do napadnutého programu (diskety) zapisuje svoju (možno modifikovanú) kópiu, pričom tejto kópii je ponechaná možnosť ďalšieho množenia sa.
Pri infikovaní programov (diskiet) sa vírusy môžu šíriť tranzitívne, tzn. od jedného programu k druhému. Nakazené programy alebo ich kópie sa môžu šíriť prostredníctvom diskiet, prípadne počítačovými sieťami. Vzhľadom k spôsobu výmeny programov na disketách dosahuje počet nainfikovaných programov vysoké hodnoty a môže viesť až k „epidémiám“.
Proces infikácie súborov:
1. Kód nainfikovaného programu sa zmení tak, aby vírus získal riadenie ako prvý, pred hostiteľským programom, a to buď napr. pomocou zápisu skokovej inštrukcie na miesto prvej inštrukcie hostiteľského programu (u súborov typu COM v systéme MS DOS) alebo napr. zmenou informácií v hlavičke súboru (u súborov typu EXE). Teoreticky je možné, že vírus vyhľadáva určité miesto v programe, do ktorého vloží inštrukciu skoku. Nejde však o typickú infekciu, pretože je možné, že inštrukcia je vložená nesprávne, a preto vírus riadenie vôbec nedostane.
2. Po prebratí riadenia vyhľadáva vírus nový program a zapisuje svoju kópiu do tohto nenainfikovaného programu, a to väčšinou na koniec súboru, zriedka na jeho začiatok. Pokiaľ vírus zapisuje na koniec programu, koriguje vstupný kód nového hostiteľa tak, aby sám získal riadenie ako prvý, a pôvodný vstupný kód umiestňuje v svojom tele. Existujú však aj iné prípady, kedy sa vírus zapisuje do inej časti, napr. do oblasti zásobníka.
3. Takto prebiehajúca infekcia je charakteristická pre každý vírus napádajúci súbory. Vírusy však môžu okrem množiacich sa častí obsahovať časť deštruktívnu, označovanú ako trójsky kôň alebo vyššie spomínaná časovaná bomba. U osobných počítačov, napr. v operačnom systéme MS DOS, nachádzame aj druhú kategóriu vírusov, a to tzv. bootové vírusy, t.j. vírusy, ktoré napádajú zavádzacie oblasti na vonkajších magnetických médiách: disketách a pevných diskoch. Koncepcia takéhoto vírusu vychádza zo skutočnosti, že základný vstupno - výstupný systém (BIOS) vykonáva z týchto oblastí zavádzanie operačného systému do pamäti počítača. Ak obsahuje zavádzací sektor diskety alebo disku (bootsektor) resp. rozdeľovacia tabuľka pevného disku (partition table) vykonávateľný kód, je tento kód zavedený do pamäti. Ak obsahuje táto tabuľka kód vírusu, je do pamäti zavedený vírus, ktorý zostáva v pamäti rezidentne a tento vírus potom sám zavádza operačný systém. Infekcia sa potom väčšinou šíri nie pomocou súborov, ale nainfikovanými sektormi pružných diskov.
Väčšina vírusov infikuje bootsektor, ale niektoré infikujú rozdeľovaciu tabuľku a sú extrémne nebezpečné. Pôvodnú tabuľku zachovávajú nepresne, a tak je potom možné, že sa ľahko prepíše. V takomto prípade sa dá počítať prinajmenšom so stratou údajov; často však musíme vykonať tzv. low level alebo nízkoúrovňový formát pevného disku.
Funkčné prejavy počítačových vírusov
Bez ohľadu na použité mechanizmy šírenia, alebo druh maskovania, prípadne cieľa infekcie, počítačový vírus je naprogramovaný vždy na základe istej motivácie. Väčšinou je ňou snaha uškodiť užívateľovi, a preto pri klasifikácii vírusu je kľúčovou otázkou to, či je vírus deštruktívny, alebo nedeštruktívny. 1. Deštruktívne vírusy najčastejšie formátujú pevný disk, prepisujú náhodne vybrané sektory
(náhodnými dátami, menia obsah súborov, mažú súbory, zašifrujú dáta, atď.).
2. U nedeštruktívnych vírusov majú aktivačné rutiny najčastejšie charakter vizuálnych prejavov
- zobrazovanie rôznych textových správ, grafické prejavy nie sú časté) a akustických prejavov (drvivou väčšinou je nástrojom takéhoto prejavu zabudovaný reproduktor – PC -speaker).Každý z prejavov je vyvolaný podmienkou, čo väčšinou býva konkrétny časový moment, aktuálny dátum, prípadne vstup z klávesnice.
Delenie počítačových vírusov podľa umiestnenia v pamäti:
1. nerezidentné (tzv. víry priamej akcie, nezostávajú v pamäti počítača): po spustení infikovaného programu sa replikujú, najčastejšie do súborov v danom adresári, a predajú riadenie infikovanému programu
2. rezidentné ostávajú v operačnej pamäti počítača aj po ukončení vykonávania infikovaného programu použitím mechanizmu TSR (terminate and stay resident)
Delenie podľa cieľa infekcie
1. bootovacie: Infikujú partition table (tabuľku rozdelenia), alebo častejšie boot sector (zavádzací sektor), čím si zabezpečia spustenie ešte pred zavedením samotného operačného systému. Originálny boot sector (ktorý musí byť zachovaný pre korektné zavedenie operačného systému) ukladajú buď na niektorý voľný sektor na 0. stope pevného disku, alebo na ľubovoľný iný sektor z dátovej oblasti pevného disku, pričom ho označia za vadný, aby nedošlo k jeho prepísaniu. 2. súborové: Je to najrozšírenejšia skupina vírov. Infikujú EXE, COM, OVL, BIN, STS, OBJ, DLL súbory a niekedy aj keď sú uložené v komprimovaných archíve. Tieto súborové sa ďalej delia podľa spôsobu infekcie na:
predlžujúce - pripoja sa na koniec súboru a na začiatok pridajú inštrukciu skoku na telo vírusu.
prepisujúce - nenávratne prepíšu úvod súboru, ktorý sa potom ako program stáva nefunkčný. adresárové - na disku sú uložené len raz, infikujú prepísaním odkazov priamo vo FAT tabuľke, pričom vzniká tzv. cross - referencing (prekrývanie súborov), ktorý však zväčša maskujú. multipartitné: Častá skupina vírusov - infikujú boot sector a zároveň aj súbory.
Najčastejšie koncepcie návrhu a prejavy chovania:
vírusy typu stealth: Názov pochádza z• mena známeho amerického bombardéra, ktorý sa stáva pre radary "neviditeľný". Vírus skrýva akúkoľvek zmenu komponentov systému, napr. dĺžku súborov,dátum a čas vytvorenia, zmena boot sectora. Vírus je schopný dezinfikovať programy on-the-fly ("za letu") najčastejšie monitorovaním prerušenia int 21h). V praxi po požiadavke na otvorenie súboru vírus prevezme kontrolu ako prvý, odvíri súbor, predá ho programu, ktorý oň žiadal a po požiadavke na uzavretie ho najprv polymorfné (meniace sa): Základnou•infikuje a až potom skutočne uloží. myšlienkou je, že žiadne z 2 kópií vírového tela nie sú
totožné. Vírus sa teda skladá z dekódovacej rutiny a zakódovaného tela. Ak je dekódovacia rutina statická (nemenná), ide o tzv. semi- polymorfné vírusy. Ak je dekódovacia rutina generovaná, ide o tzv. plne polymorfné vírusy.
tunelujúce: Tieto vírusy sa• "pretunelujú" reťazcami ovládačov zariadení, pripoja sa na koniec reťazca a ovládajú priamo napr. radič pevného disku. Pri ich detekcii kontrola vektorov prerušení neuspeje.
Ďalšie vírom podobné hrozby:
Trójsky kôň:(tento vírus• nepotrebuje hostiteľa, existuje ako samostatný súbor) Tento program najčastejšie okamžite po svojom spustení prevádza deštrukčnú rutinu. Častokrát trójske kone slúžia na vypustenie nového vírusu, alebo na “špionáž” vzdialeného počítača. Často majú trójske kone názvy antivírových programov (nap. SCAN)
Makro -• víry: Ide o programy naprogramované v jazyku na tvorbu makier v textovom procesore, alebo tabuľkovom kalkulátore a vložené do takého dokumentu (prvýkrát v roku 1989 v kalkulátore (Lotus 1-2-3). Väčšinou ide o makrá programu Microsoft Word, ktoré systém vykonáva pri každom otvorení dokumentu (tzv. auto makrá), AutoExec, AutoOpen, FileSaveAs, FilePrint, FileExit. Infikovaná je najčastejšie šablóna NORMAL.DOT. Kvalitný programovací jazyk im umožňuje replikáciu, ale je diskutabilné, či ich radiť medzi vírusy, pretože neobsahujú inštrukcie Červy - worms: Takýto program neinfikuje spustiteľné súbory, ale•procesora. rozširuje sa počítačovou sieťou. červ nepotrebuje hostiteľa.
Morrisov Bomby: Programy, ktoré po•červ v novembri 1988 nakazil 6000 počítačov UNIX. spustení čakajú na aktivačný podnet (tzv. rozbuška), zväčša kľúč z klávesnice, zmena nejakého súboru, aktuálny dátum, alebo čas, a prevedú deštrukčnú rutinu. Šírenie vírusov v počítači.
Vírus sa môže aktivovať:
1. spustením infikovaného programu
2. boot vírus sa môže aktivovať pri resete, ak je napadnutý boot sektor systémového disku, alebo ak sme pri resete zabudli napadnutú disketu v mechanike, vtedy sa vírus s boot sektoru uloží do OP a je tam stále počas behu počítača. V pamäti sa môže stať aj rezidentným a vtedy je veľmi nebezpečný, lebo môže infikovať programy a disky kedykoľvek - používaním príkazov OS, lebo aj systémové súbory bývajú často napadnuté
Vírusy vykonávajú behom svojho životného cyklu mnoho akcií (poradie býva u každého vírusu individuálne, nemusia byť použité všetky akcie):
a) prevziať kontrolu nad procesorom
b) skontrolovať aktuálny stav prostredia
c) nainštalovať sa do pamäti
d) presmerovať prerušenie
e) previesť test na podmienku spustenia škody (dátum, počet spustení...)
f) vykonať škodlivú činnosť
g) nájsť miesto pre vytvorenie svojej kópie
h) vložiť svoju kópiu
i) zakódovať napadnuté miesta
Spôsoby prenosu vírusov medzi počítačmi
Vírusy sa šíria v rámci jedného počítača a aj medzi počítačmi. Zvyčajne sa infikujú prenosovými médiami ako je disketa, vymeniteľné pevné disky a internetom. Zdrojom vírusov najčastejšie sú hry a nelegálne kopírovaný software, software ktorého pôvod nie je dôveryhodný (poslaný cez IRC nejakým anonymným užívateľom, software kopírovaný z BBS (je to server, kde akýkoľvek užívateľ môže umiestniť svoj software a ponúknuť ho ostatným na kopírovanie) , alebo najaktuálnejšie vírus môžete obdržať cez mail vo forme správy alebo attachmentu. Ochrana pred počítačovými vírusmi
softwarová•
hardwarová•
Softwarová ochrana je realizovaná antivírovými programami. Antivírusové programy majú rôzne metódy odhaľovanie vírusov. 1. Porovnávací test. Pri prvom spustení tohto testu si program zapíše dôležité informácie o súboroch (veľkosť, dátum, čas, atribúty a kontrolné súčty). Pri ďalších spusteniach porovnáva tieto informácie s aktuálnym stavom. Pokiaľ v týchto údajoch došlo k zmenám, je pravdepodobné, že počítač bol napadnutý vírusom. 2. Antivírový program AVG obsahuje i heuristickú analýzu.
Heuristická analýza podrobne analyzuje obsah súborov na pevnom disku a vyhľadáva v ňom rôzne podozrivé inštrukcie, priamy zápis na disk alebo prevzatie kontroly nad procesorom a pod. Heuristická analýza skúma programy a hľadiska ich algoritmu. Je nezávislá na databáze vírusov. 3. Test na súborové a rezidentné vírusy (tzv. udička) spočíva v tom, že program vygeneruje na disk súbory typu .com a .exe, potom ich kopíruje a prevádza s nimi rôzne operácie, pričom vždy kontroluje ich obsah. Pokiaľ sa pri manipulácií s nimi zmení ich obsah, je veľmi pravdepodobné, že sa na návnadu práve chytil vírus. Obdobný je program schopný vygenerovať na disketu prázdny zavádzací sektor a potom kontrolovať, či sa zmenil. Hardwarová ochrana je realizovaná pomocou rozširujúcej karty. Karta obsahuje pamäť ROM so špeciálnym softwarom, ktorý umožní použitie šifrovaného hesla pre prístup k počítaču, užívateľov umožňuje rozdeliť do skupín podľa prístupových práv, ktoré si sami navrhneme, umožňuje registráciu všetkých pokusov o zmenu týchto práv, autoamticky nastavená ochrana proti prepísaniu boot sektora .
Postup pri napadnutí počítača vírusom
- vypneme počítač. - zavedieme systém z čistej DOS diskety chránenej proti zápisu. - z diskety spustíme antivirový program. Niekedy môžeme spustiť antivirový program z napadnutého disku, najprv ho skopírujeme z diskety na pevný disk. Antivirový program spustený z pevného disku poskytuje väčšie možnosti pri liečenie, je rýchlejší. - ak sa jedná o súborový vírus, napadnuté súbory necháme "vyliečiť", pokiaľ máme súbory zálohované, je vhodnejšie napadnuté súbory zmazať a nainštalovať nové. Po vyliečení i lepším antivirovým programom nie vždy súbory pracujú korektne. - ak ide o boot vírus, necháme previesť obnovu boot sektorov antivírovým programom, alebo príkazom SYS si prevedieme obnovu sami (SYS spúšťame z diskety). - ak sa jedná o vírus v MBR, zálohujeme si najskôr všetky systémové oblasti a skontrolujeme funkčnosť záložných kópií. Antivírové programy občas poškodia pri odstraňovaní tohoto vírusu tabuľku partition, čím spôsobia stratu dát. Ak dokáže náš antivírový program vírus v MBR odstrániť, alebo dokáže sektor obnoviť z diskety, urobíme to. - skontrolujeme všetky diskety. - Informujeme o nákaze užívateľa, ktorý používal naše diskety.
OSOBNÉ POČÍTAČE A MS DOS
Operačný systém MS DOS je vzhľadom k svojej prakticky nulovej kontrole ideálnym prostredím pre vývoj a šírenie počítačových vírusov.Vírus ale nie je program, ktorý by využíval chyby v operačnom systéme. K činnosti vírusu stačí pomerne malá časť operácií, ktoré sú bežne a denne využívané na každom počítači - zápis a čítanie z disku, prehľadávanie obsahu adresára, využitie iných služieb operačného systému - napr. prerušenie TSR ( Terminate and Stay Resident).
Viacpoužívateľské operačné systémy a počítačové siete
Vo viacpoužívateľských operačných systémoch pre lokálne počítačové siete LAN (napr. Novell NetWare) je pozícia počítačového vírusu sťažená z hľadiska možnosti infikovať ostatné súbory. V týchto systémoch totiž existujú podstatne silnejšie prostriedky na ochranu údajov. Na druhej strane však veľmi výrazne klesá možnosť individuálnej kontroly. Naviac pri použití režimu supervizor je neúčinná aj ochrana zabezpečovaná prostriedkami operačného systému. Ak sa podarí vírusovému programu „pracovať“ v režime supervizor, predstavuje preň viacpoužívateľský operačný systém rovnako dokonalé prostredie, ako je MS DOS. V počítačových sieťach LAN, v ktorých sa používa aplikačné programové vybavenie rovnaké ako pod operačným systémom MS DOS, môže dochádzať k jednoduchým infikáciám tiež vtedy, keď sa spúšťajú rezidentné programy na systémovom serveri. Ak pracuje server ako pracovná stanica (tzn. nondedicated mod) a ak je na ňom infikovaný program, má tento vírus oveľa jednoduchšiu pozíciu ako vtedy, keď je spustený z normálnej používateľskej pracovnej stanice ( workstation).
Celá situácia je komplikovaná možným konfliktom medzi prerušeniami, ktoré sa uplatňujú v sieťovom operačnom systéme a vo víruse (napr. konflikt prerušení u vírusu Yankee Doodle a Novell NetWare).
Ani diaľkové siete (WAN) nie sú ušetrené od napadnutia počítačovými vírusmi.
Ako sa správa vírus
Počítačové vírusy zvyčajne škodia v dvoch fázach svojej činnosti. Ide o obdobie latencie, kedy sa vírus neprejavuje alebo sa množí, a o obdobie akcie, kedy spúšťa časovanú bombu. Toto rozlíšenie nie je striktné. Veľa vírusov sa už od začiatku aj rozmnožuje, aj podniká svoju akciu (napr. C648, Dark Avenger). Akcia nemusí byť vždy deštruktívna - napr. jeden z najrozšírenejších vírusov CR1701 pôsobí tak, že z obrazovky začínajú padať písmenká, Yankee Doodle zahrá o 17. hodine melódiu. Väčšina vírusov však v období akcie vykonáva činnosť veľmi nepríjemnú. Na PC môže dôjsť k deštrukcii FAT, zmazaniu súborov, označovaniu dobrých sektorov za chybné, modifikácii používateľských údajov , prepísaní bootsektoru a Master Boot Record, formátovaniu disku, či dokonca k zničeniu hardvéru. Napríklad ide o vysielanie signálu LF (posun o riadok) na tlačiareň. To je príčina krčenia a trhania papiera a možného odlomenia ihličky, rozkmitanie hlavičiek pevného disku, a dokonca ničenie grafickej karty vysielaním chybných signálov. Aj obdobie latencie sa môže prejavovať rôzne. Niektoré vírusy (napr. Dark Avanger, C648) sú nebezpečné hneď od začiatku a infikujú takmer všetko, čo im príde do cesty. Toto obdobie môže trvať rôzne dlho a obdobie akcie je potom viazané na istú situáciu - splnenie istej podmienky.
INFIKOVANIE A MNOŽENIE
Vírusy sa zvyčajne rozmnožujú tak, že infikujú program prepisom jeho začiatku na skok na vlastné telo vírusu, ktoré sa potom zapisuje na koniec hostiteľského programu. Toto tvrdenie platí pre takmer 80% známych vírusov poškodzujúcich súbory. Niektoré vírusy prepisujú úplne kód hostiteľského súboru a likvidujú jeho pôvodnú funkciu (napr. vírus 405), prípadne prepisujú svojím telom začiatok programu a kód hostiteľa zapisujú na koniec, alebo sa umiestňujú do zásobníka.
U bootových vírusov je situácia iná. Tieto vírusy väčšinou prepisujú bootsektor a jeho originálnu časť zapisujú do sektoru, ktorý spravidla označia za chybný, existujú však aj iné možnosti uchovania originálneho boot-sektoru, a to napríklad na nevyužívanú štyridsiatu stopu.
Pri infikácii súboru vírus zvyčajne do nakazeného programu alebo do záznamu v adresári umiestňuje svoj identifikátor, ktorým si „zapamätáva“ infikovanie súboru, a to preto, aby sa vyhol prípadnému nakazeniu tohto súboru druhýkrát (napr. C648 mení čas modifikácie na 62. sekundu, Yankee Doodle zapisuje identifikáciu priamo do súboru). Skutočnosť, že program obsahuje identifikátor vírusu, nezabezpečuje ochranu proti iným vírusom.
KDE HĽADAŤ VÍRUS
Prostredie, v ktorom vírusy môžu trvalo existovať a vykonávať svoju činnosť, je samozrejme obmedzené na tieto oblasti a typy súborov:
a Master Boot Record - oblasť na disku, v ktorej je umiestnená rozdeľovacia tabuľka (partition table)
a boot-sektor disku, resp. diskety
a ovladač zariadenia ( driver)
a súbory typu COM
a súbory typu EXE
a prekryvné časti segmentovaných programov (súbory OVL)
a súbory typu BAT
a zdrojové texty programov (ak sú skompilované)
Tieto miesta je potrebné systematicky kontrolovať. Svoje telo však môžu vírusy schovávať aj mimo týchto oblastí - záleží na nápaditosti autora. Zatiaľ sa dajú vytipovať tieto oblasti:
a oblasť zásobníka systémového programu (C346 Lehigh)
a začiatok , koniec alebo stred iného programu - voľné bloky v systémových tabuľkách, ako je napr. FAT
a sektory označené ako chybné
a zvláštny súbor s atribútom HIDDEN (skrytý)
KLASIFIKÁCIA POČÍTAČOVÝCH VÍRUSOV
Koncepcia klasifikácie počítačových vírusov nie je zatiaľ ešte stále ujasnená. Zrejmé však je , že označovanie vírusu menom (aj keď sa vzťahuje ku konkrétnemu prejavu daného vírusu - napr. Letterfall, t.j. padanie písmen) môže byť síce pochopiteľné pre expertov, nič však nepovie normálnemu používateľovi počítača. Veľmi prehľadným spôsobom klasifikácie je tabuľka, ktorú navrhol J. McAffee vo svojich dokumentačných súboroch k antivírusovým programom SCAN a CLEAN. Obsahuje ju dokument VIRLIST.TXT.
ANTIVÍROVÁ OCHRANA
Aby sme zamedzili prístupu vírusov do počítača, musíme ho pred takouto nežiadanou návštevou chrániť. Vhodnou kombináciou dvoch aspektou (aktívna antivírová obrana a prevencia) môžeme výrazne znížiť riziko vírovej nákazy. Tu je všeobecne zhrnutý odporúčaný návod na bezpečnú prácu s PC:
1) Vykonávajte pravidelný update svojho antivírusoveho programu!
2) Nikdy neotvárajte e-mailovu prílohu, ktorú ste si nevyžiadali! (vírus IloveYou, ktory v máji 2000 spôsobil nemalé ekonomické škody (odhadujú sa asi na 8.7 miliardy USD). Programovanie týchto vírusov je pomerne jednoduché a ich efekt je rozsiahly.)
3) Majte kontrolu nad svojim počítačom a nad tým, kto ho používa!
4) Inštalujte včas všetky záplaty(patch) na používaný softvér!
5) Vždy preverujte diskety a CD média predtým, ako ho použijete a s každým novým súborom nakladajte s najvačšou opatrnosťou!
6) Nenechávajte diskety v mechanike!
7) Využívajte viac ako len jeden spôsob antivírusovej ochrany!
8) Vytvorte si zaručene čistú bootovaciu disketu a starostlivo ju uložte na bezpečné miesto!
9) Pravidelne zálohujte!
10) Nepodliehajte panike!
Antivírové programy:
Je to program, ktorý slúži na lokalizáciu, následné odstránenie vírusu a maximálne napravenie škody ním spôsobené.
ANTIVÍROVÉ PROSTRIEDKY A MECHANIZMY PREVENCIE A LIEČBY VÍRUSOV
Scanner: Scanner zisťuje prítomnosť víru v pamäti, alebo na disku pomocou vírových identifikačných reťazcov. Vírový identifikačný reťazec je jednoznačne definovaná postupnosť bytov reprezentujúcich daný vírus. Na zvýšenie účinnosti sa používa viac reťazcov na jeden vírus naraz (F-PROT používa dva), prípadne kombinácia nájdenia reťazca s jusov je chúlostivé hlavne preto, že môže dôjsť k poškodeniu súboru. Toto riziko sa zvyšuje u mutácií vírusov, t.j. vírusov, ktoré boli odvodené z niektorého zo známych vírusov. V prípade nesprávnej identifikácie vírusu nebude tento dôkladne odstránený a môže sa poškodiť funkčnosť pôvodného programu. Čiastočné riešenie prináša tzv. univerzálny clean (prvýkrát u systému AVAST!), ktorý si uchováva pôvodný dátum, dĺžku, atribúty, čas súboru a hlavičku EXE súboru, resp. úvodné inštrukcie u COM súboru. Rezidentný štít: Rezidentný štít je program, ktorý beží v reálnom čase. Najčastejšie je to program typu scanner, ktorý prevádza antivírovú kontrolu práve spracovávaných dát. Môže tak zakázať skopírovanie zavírených súborov z diskety na pevný disk, či zakázať spustenie infikovaného programu a pod. Monitor diskových zmien: Monitor sa zameriava na sledovanie zmien stavu v počítači, najmä spustiteľných súborov. Uchováva databázu popisov základných vlastností súborov, najmä dĺžku, dátum a čas poslednej aktualizácie a hlavne kontrolný súčet (CRC). Slabinou je prípad vírusov zameraných na zmazanie kontrolnej databáze.
Najbežnejšie a najviac používané antivírové programy:
AVG - Jednou z hlavných funkcií programu AVG pre Windows je vyvolávať testy, zisťujúce vírusovú nákazu Vášho počítača. Tieto testy kontrolujú disky a adresáre Vášho počítača a hľadajú počítačové vírusy, nájdené vírusy potom odstraňujú metódou liečenia alebo presunutím do vírusového trezoru.
NOD32 – Antivírusový systém NOD32 ponúka dobre vyváženú, vynikajúcu ochranu proti hrozbám ohrozujúcim váš osobný počítač a firemné systémy, pracujúce na rôznych platformách od Microsoft až po Microsoft Exchange Server, Lotus Domino a iné poštové servery.
Vírusy, červy, trójske kone a iný škodlivý software budú zachytené v bezpečnej vzdialenosti od vašich cenných údajov. Zdokonalené metódy detekcie využité v programovom vybavení dokonca ponúkajú ochranu aj proti budúcim útokom väčšiny nových červov a vírusov.
Štvrtá generácia Antivírusového systému NOD32 predstavuje plne integrovaný programový balík charakterizovaný dosiaľ neprekonanou dlhodobo úspešnou detekciou, najrýchlejším tempom testovania a extrémne nízkou spotrebou systémových zdrojov.