Wirusy komputerowe są nadal dużym utrapieniem użytkowników komputerów osobistych. Łączenie tych komputerów w sieci umożliwia łatwiejsze rozprzestrzenianie tych złośliwych napastników. Programem zabezpieczającym przed działaniem wirusów jest opisany poniżej Dr Solomon's Anti-Virus Toolkit firmy S&S International. W redakcji przyjrzeliśmy się wersji dla systemu operacyjnego Windows NT.

Anti-Virus Toolkit (AVT) działa na wszystkich komputerach, na których daje się zainstalować Windows NT. Minimalne niezbędne wymagania to komputer z procesorem 486 DX 33 MHz i 8 MB pamięci RAM. Wymagania co do systemu operacyjnego to Windows NT w wersji 3.5 (stacja robocza lub serwer). Cały program po zainstalowaniu zajmuje około 3 MB powierzchni dyskowej.

Zapobieganie i leczenie

Oprogramowanie antywirusowe podzielić można zasadniczo na dwie grupy:

* skanery - służą do wyszukiwania wirusów. Jednak, aby wyszukiwały one wszystkie wirusy znajdujące się na rynku, konieczna jest ciągła aktualizacja tego typu oprogramowania

* weryfikatory sum kontrolnych - programy tego rodzaju sprawdzają tzw. sumy kontrolne plików - według określonego algorytmu liczą sumę wartości wszystkich bajtów. Następnie w specjalnej bazie danych zapisywane są wartości sum kontrolnych dla danych plików i co jakiś czas są one ponownie liczone. Negatywny wynik porównania z wartością z bazy danych daje podejrzenie, że do pliku wkradł się wirus.

Program AVT dla Windows NT oferuje oba rodzaje narzędzi antywirusowych. Pierwszym z nich jest FindVirus, a drugim ViVerify. Ponadto wraz z programem dostarczana jest encyklopedia wirusów, która zawiera opis kilkuset najważniejszych wirusów wykrywanych przez AVT.

Wyszukiwanie wirusów

Najpotężniejszym i najważniejszym narzędziem pakietu AVT jest program FindVirus. Został on przygotowany specjalnie dla Windows NT - pracuje na partycjach NTFS (NT File System), obsługuje długie nazwy plików i wywoływany może być z poziomu programu Scheduler, działającego jako usługa systemowa (Service). Oprócz wersji dla NT w pakiecie AVT zawarta jest także standardowa DOS'owa wersja FindVirusa. Dzieje się tak dlatego, iż bezpośrednio z poziomu Windows NT nie mogą być naprawiane sektory zawierające informacje o partycjonowaniu dysków oraz tzw. boot-sector.

Usuwanie znajdujących się na nich wirusów dokonywane jest po zrebootowaniu stacji roboczej lub serwera i uruchomieniu DOS'owej wersji AVT. Wszelkie pozostałe wirusy usuwane są podczas pracy systemu Windows NT i nie wymagają wykonywania jego restartu.

Dużą zaletą AVT jest możliwość pracy nie tylko lokalnej, ale także sieciowej. Jeśli program zainstalowany zostanie w publicznym katalogu, to użytkownicy zdalnie łączący się z komputerem mogą przeszukiwać lokalne dyski twarde oraz dostępne im dyski sieciowe. Administrator systemu może napisać prosty skrypt logujący dla użytkowników serwera, co spowoduje, że zawsze po zalogowaniu sprawdzane będą zarówno sieciowe jak i lokalne dyski dołączających się stacji.

Pomocny przy pisaniu tego rodzaju skryptów jest dosyć bogaty język poleceń programu WFIND32.EXE - programu FindVirus uruchamianego bezpośrednio z linii poleceń Windows NT. W ten sam sposób uruchamiany może być także ViVerify.

Przetrząsnąć zakamarki

FindVirus to program przeszukujący pod kątem wirusów wiele rodzajów plików. Szuka ich on w plikach o rozszerzeniach APP, BIN, CMD, COM, DEV, DLL, EXE, OV?, QLB, SYS, XTP, 001 oraz 002. Jednak jeśli posiadamy na dysku pliki wykonywalne o innych rozszerzeniach, to w opcjach programu należy ustawić parametr nakazujący przeglądanie także plików o tych rozszerzeniach.

Zaletą FindVirusa jest fakt, że oprócz standardowych plików wykonywalnych potrafi on także przeszukiwać te, które zostały już "spakowane" popularnymi programami do archiwizacji danych, takimi jak: PKLite, LZExe, PKZIP, ARJ, ICE, DIET i LZH.

W celu wykrycia wirusów w takich plikach następuje ich rozpakowanie bezpośrednio w pamięci komputera. Dzięki temu nie jest wymagana dodatkowa pamięć dyskowa, a dane nie są zapisywane na dysk, co mogłoby grozić ewentualnym rozprzestrzenieniem wirusa.

Program antywirusowy potrafi także przeszukiwać archiwa dostępne wyłącznie w formie samorozkompresowującej (z rozszerzeniem EXE), a także wielokrotne archiwa, np. pliki ARJ zawarte w archiwach ZIP. Jedynym rodzajem plików, z którymi nie radził sobie FindVirus podczas redakcyjnych testów, były archiwa zabezpieczone hasłami. Fakt odnalezienia na dysku takich plików "nie do ugryzienia" jest jednak odnotowywany w pliku raportowym z zapisem całego procesu wyszukiwania wirusów.

Przeszukać w porę

Jednym z najważniejszych zagadnień profilaktyki wirusowej jest regularne przeprowadzanie wyszukiwania wirusów oraz sprawdzanie sum kontrolnych wszystkich, szczególnie narażonych na działanie wirusów plików.

W pakiecie AVT zawarty jest program działający jako usługa systemowa Windows NT umożliwiający administratorowi systemu ustalenie, kiedy uruchamiane mają być programy FindVirus oraz ViVerify. Możliwe jest ustawienie zarówno stałych terminów (np. każdy poniedziałek, środa i piątek o godz. 18:00) lub jednorazowych, np. 23 marca. Pierwsza opcja umożliwia wykonywanie rutynowych badań, a druga wymuszenie kontroli antywirusowej, np. w dniach poprzedzających uaktywnianie najgroźniejszych wirusów.

Zabić na amen

W Anti-Virus Toolkit ciekawy jest także sam sposób usuwania wirusów. Poza standardowym kasowaniem kompletnie zniszczonych plików z dysku FindVirus może także wykonywać tzw. opcję Shred zapobiegającą możliwości przypadkowego odzyskania skasowanych, zawirusowanych plików. Program po wybraniu opcji Shred zapisuje przypadkowe ciągi bajtów w pliku o tej samej nazwie co zawirusowany plik i dopiero po wykonaniu tej operacji kasuje go. Dzięki temu, nawet gdy plik zostanie odzyskany, np. przez polecenie UnDelete, to znajdujący się w nim wcześniej wirus nie będzie już istniał.

Stosowanie opcji Shred przydaje się jednak wyłącznie na partycjach DOS'owych, gdyż Windows NT nie umożliwia wogóle wykonania polecenia UnDelete.