Antywirus po polsku

"Pan Bóg po to zesłał na ziemię wszy i inne robactwo, aby wymusić na człowieku zachowanie higieny" Janusz Korwin-Mikke

''Pan Bóg po to zesłał na ziemię wszy i inne robactwo, aby wymusić na człowieku zachowanie higieny'' Janusz Korwin-Mikke

Jeżeli spotkasz szczęśliwego użytkownika peceta, który powie Ci, że nie zetknął się z wirusem komputerowym, nie wierz mu. Albo w ogóle nie ma komputera albo kłamie Ci w żywe oczy.

Początek wirusom dały Wojny Rdzeniowe wymyślone w połowie lat 80. Były to programy maszynowe, których zadaniem było zniszczenie przeciwnika na wyimaginowanym obszarze, który stanowiła pamięć komputera. Pierwsze wirafinowane "okazy" wirusów, których obszar działania nie był już niczym ograniczony pojawiły się w 1986 r. dając od tego roku zajęcie i godziwe zarobki programistom piszącym programy antywirusowe. Można przypuszczać, że wojna nie ma się ku końcowi, chociaż jedni i drudzy osiągnęli szczyty możliwości programistycznych.

Rodzaje wirusów

Ze względu na obszar ataku współcześnie istniejące wirusy można podzielić na kilka typów z których najważniejsze to: dyskowe, plikowe, plikowo-dyskowe i systemowe. Każdy z nich może być poza tym polimorficzny lub też typu "stealth" Sporadycznie pojawiają się niegdyś bardzo popularne tzw. "konie trojańskie".

Wirusy dyskowe zarażają pierwszy sektor dyskietki lub dysku twardego zawierający program ładujący system operacyjny. Ochrona przed tego typu wirusami jest wyjątkowo prosta, a mimo to mnożą się one bardzo szybko, co źle świadczy o rozsądku użytkowników pecetów. Jedyną możliwością zarażania głównego dysku komputera wirusem dyskowym jest włożenie zainfekowanej dyskietki do stacji A: komputera i zresetowanie systemu. Tylko wtedy wirus może dostać się do pamięci operacyjnej i zarazić twardy dysk. I ru rada: pod żadnym pozorem nie resetuj komputera z dyskietką niewiadomego pochodzenia w stacji A:, jeśli nie chcesz nabawić się choroby. Bardziej zaawansowany użytkownik może się przed tym zabezpieczyć tak zmieniając setup swojego komputera, aby system zawsze startował z dysku C:, nigdy z A:.

Wirusy plikowe, mówiąc poglądowo, zarażają, przenoszą i rozmnażają się przez "doklejanie" własnego ciała do innych programów w taki sposób, że po uruchomieniu programu jako pierwszy uaktywnia się kod wirusa.

Wirusy plikowo-dyskowe łączą w sobie cechy wirusów dyskowych i plikowych przez co są jednymi z najskuteczniej infekujących pośród wszystkich wirusów komputerowych.

Wirusy systemowe modyfikują nie sam program, ale jego opis w katalogu dyskowym, w taki sposób, że próba uruchomienia programu powoduje uaktywnienie wirusa, znajdującego się w zupełnie innycm miejscu twardego dysku.

Cechą charakterystyczną wirusów polimorficznych jest to, że żadne dwie kopie tego samego wirusa powstałe w czasie rozmnażania nie są identyczne, co znacznie utrudnia z nimi walkę.

Wirusy "stealth" to nowa generacja wirusów "ukrywająca" swoją obecność przed programami antywirusowymi poprzez podkładanie fałszywych danych np. o długości pliku czy też o jego zawartości.

"Konie trojańskie" to programy użytkowe, w których dokonano nieznacznych modyfikacji w celu realizowania dodatkowych funkcji, niekoniecznie pożytecznych dla użytkowników. W swoim czasie takim koniem trojańskim okazała się "najnowsza" wersja archiwizatora Arj, która w czasie działania giełdy komputerowej na ul. Grzybowskiej w Warszawie (sobota i niedziela, godz. 9-15) zamieniał boot sector twardego dysku nic nie znaczącym komunikatem, uniemożliwiając sprzedawcom dostęp do niego, a tym samym demonstrację "pirackich" programów.

Jak walczyć z wirusami?

Istnieją trzy programowe sposoby ochrony przed wirusami:

- rezydentna blokada

- stosowanie profilaktyki

- "polowanie"

Rezydentna blokada działania wirusów polega na dołączeniu do systemu operacyjnego programu śledzącego aktywność uruchamianych na komputerze programów. Istnieją dwie diametralnie różne techniki realizacji takiegi nadzoru. Pierwsza polega na blokowaniu uruchomienia programu w przypadku zlokalizowania w nim wirusa nie dopuszczając do rozprzestrzenienia infekcji (takim programem jest np. VSafe z DOS 6.0). Druga polega na obserwowaniu, czy któryś z plików wykonywalnych nie jest zmieniany w trakcie uruchamiania jakiegoś programu, i jeśli tak, na jego blokowaniu i informowaniu o tym użytkownika. W tym przypadku program nie musi wiedzieć, z jakim wirusem ma do czynienia (np. program Flushot).

Programy tego typu posiadają jednak wiele wad:

- niską skuteczność wykrywania wirusów dyskowych

- dołączając się do systemu wchodzą z nim w trudne do przewidzaenia interakcje, zmiejszają dostępną użytkownikowi część pamięci operacyjnej oraz spowalniają działanie komputera

- powodują "fałszywe" alarmy utrudniając użytkownikowi podjęcie właściwej decyzji (szczególnie z tej 2 grupy).

Dlatego też programy te rzadko są sprzedawane osobno. Z reguły dostarczane są z silniejszymi narzędziami pełniąc rolę "awangardy", której zadaniem jest wstępna selekcja wirusów. Takim programem jest np. "piesek" z pakietu "Pies na wirusy".

Stosowanie profilaktyki polega na obliczaniu i przechowywaniu w specjalnych zbiorach sum kontrolnych, będących wartościami specjalnych wielomianów potęgowych, wszystkich plików na dysku. W przypadku modyfikacji któregoś z nich zmienia się jego suma kontrolna, o czym program powiadamia użytkownika. Programy tego typu nie muszą znać wirusa, aby go wykryć oraz mogą wykryć uszkodzenia programów spowodowanych przez inne niż wirusy przyczyny. Są jednocześnie znacznie tańsze od innych programów antywirusowych, gdyż nie wymagają upgrade'ów. Nie ulega wątpliwości, że tego typu programu są najlepszą ochroną komputera przed inwazją pod warunkiem, że użytkownik systematycznie (co najmniej raz na tydzień) będzie porównywał sumy kontrolne zapisane na twardym dysku z sumami przechowywanymi na osobnej dyskietce.

Do ich wad należy zaliczyć:

- brak możliwości wykrycia wirusa, jeśli pojawił się on w programie przed przegraniem go na twardy dysk

- nieudolność w wykrywaniu wirusów "stealth", potrafiących ukryć przed nimi zmiany w kodzie programu

- zdolność wyłącznie wykrywania, a nie usuwania wirusów

- najnowsze wirusy potrafią odpowiednio modyfikować zbiory sum kontrolnych, zmniejszając ich skuteczność

- konieczność obliczenia sumy kontrolnej dla każdego nowo wgranego programu, co wymaga systematyczności od użytkownika.

Programy tego typu są bardzo popularne na Zachodzie (szczególnie wśród użytkowników Unixa), gdzie użytkownik oczekuje od programu antywirusowego przede wszystkim wykrycia wirusa, a niekoniecznie wyleczenia. Najskuteczniejszą bowiem metodą pozbycia się wirusa jest skasowanie zawierającego go programu i wgranie jego "nieskażonej" wersji z oryginalnej dyskietki. Z oczywistych powodów (piractwo) w Polsce i innych krajach "trzeciego świata komputerowego" programy te, niesłusznie, nie cieszą się dużą popularnością.

Programami profilaktycznymi polskiego pochodzenia są: "Pies na wirusy" oraz "Profilaktyka" z pakietu Cordat AntiVirus.

"Polowanie" polega na szybkim wyszukiwaniu wirusów ze zbioru znanych programowi wirusów i ewentualnym unieszkodliwieniu ich bez niszczenia programu. Do zalet programów tego typu należy zaliczyć możliwość sprawdzenia nowego oprogramowania przed jego uruchomieniem oraz to, że najlepiej nadają się dla użytkowników zapominających o regularnej kontroli swoich dysków.

Wadą tych programów jest: skuteczność tylko wobec znanych sobie wirusów zmuszająca użytkownika do systematycznego dokonywania kosztownych upgrade'ów. Programy tej kategorii wymagają od twórców największej wiedzy - stąd też ich brak w Public Domain. W Polsce międzynarodową klasę w tej kategorii prezentują: Mks_vir i V-find.

Przeprowadzona powyżej charakterystyka skłania ku refleksji, że żaden program antywirusowy nie zapewnia bezpieczeństwa w 100%. Najlepszym rozwiązaniem jest wobec tego nie ograniczanie się do jednego produktu, a zaopatrzenie się w przynajmniej dwa odmienne pod względem technik działania, bądź też w pakiet zawierający kilka różnorodnych narzędzi.

Polska, a programy antywirusowe

Na całym świecie rozprzestrzenianie się wirusów ma charakter wybitnie lokalny. Oznacza to, że prawdopodobieństwo złapania w Warszawie wirusa powstałego w USA jest 100 razy mniejsze niż wirusa powstałego w Polsce. Generalnie biorąc rozpowszechnianie wirusów w krajach zachodnich jest zabronione i w przypadku udowodnienia strat poniesionych przez firmę delikwent może być pociągnięty do odpowiedzialności prawnej. Fachowcy, poza nielicznymi "nawiedzonymi", przestali więc bawić się w wirusy. W Polsce robią je przede wszystkim amatorzy i są to często produkty żenująco niskiej jakości. Na ogólną liczbę ok. 3000 wirusów istniejących na świecie w Polsce pojawiło się ok. 300, z czego tak na prawdę ok. 200 "rozmnożyło" się na większą skalę.

Lokalność występowania wirusów powinna mieć istotny wpływ na wybór programu antywirusowego. Nawet najlepszy program antywirusowy z rynku amerykańskiego może okazać się niewystarczająco skuteczny w walce z "rodzimymi" wirusami. Najlepszym dowodem na to jest Central Point Anti-Virus dołączony pod nazwą MSAV (Microsoft Anti-Virus) do DOS 6.0. Testy opublikowane przez sierpniowy numer PC-Virus wykazały, że jego skuteczność jest zadziwiająco niska - na 221 występujących w Polsce wirusów plikowych rozpoznał zaledwie 114 (51%), a na 43 dyskowych - 27 (63%). Dlatego też nie z powodu lokalnego patriotyzmu, ale ze względu na największą użyteczność, należy popierać lokalne produkty.

Co wybrać?

"Pies na wirusy" jest świetnym uzupełnieniem programu mks_vir. Co prawda nie jest w stanie, ze względu na swoją naturę, poradzić sobie ze wszystkim typami wirusów, które rozpoznaje mks_vir, ale za to będzie bardziej skuteczny w przypadku wirusów, które dopiero co pojawiły się na rynku i których mks_vir jeszcze nie rozpoznaje.

Alternatywą dla tego rozwiązania jest niezwykle wszechstronny, ale jednorazowo bardziej kosztowny pakiet Cordat AntiVirus.

Użytkownik musi przeliczyć pieniądze, jakie jest gotów wyłożyć na ochronę antywirusową i zadecydować - tani "Pies na wirusy", bez trudu radzący sobie z większością prymitywnych wirusów, obecnych na naszym rynku czy też znacznie droższy (jeśli uwzględnić upgrade'y) mks_vir mający ustaloną w kraju renomę, czy też najdroższy (ale zapewniający bezpłatne upgrade'y przez 1/2 roku) profesjonalny pakiet firmy Cordat adresowany do fachowców, odpowiedzialnych za bezpieczeństwo danych w sieciach. Ja osobiście używam wszystkich trzech i zapomniałem już na czym polega problem z wirusem. Ale nie byłbym tak ostrożny, gdyby Flip nie "zjadł" mi kiedyś całego dysku - i nawet się nie zakrztusił.

Mks_vir

Był pierwszym programem antywirusowym, który pojawił się w Polsce i dlatego wiedzie w Polsce prymat pod względem popularności. Jego autorem jest Marek Sell, informatyk, który od 1988r. niczym innym nie zajmuje się tylko ulepszaniem programu, serwisem świadczonym dla użytkowników oraz współwydawani em na dyskietkach pisma poświęconego wirusom PC_Virus. Z doświadczeń autora wynika, że tylko 15% szkód w komputerze jest spowodowanych przez wirusy - reszta to błędy w sztuce użytkowników, wady sprzętu itp. W związku z tym program jest maksymalnie prosty w obsłudze, a z niezbędnymi czynnościami profilaktycznymi można zapoznać się z przystępnie napisanej instrukcji obsługi. Autor uważa jednak, że użytkownik rzadko kiedy bywa rozsądny i dlatego program starał się dopasować do jego wiedzy i zainteresowania.

Myliłby się jednak ten, kto przypuszcza, że program nie ulegał rozwojowi. Program nie jest typowym skanerem, chociaż taką funkcję ma także wbudowaną. Działa na zasadzie inteligentnego algorytmu poszukującego w określonych miejscach badanych programów cech charakterystycznych dla rozpoznawanego przez siebie zbioru wirusów. Przeszukiwanie za pomocą skaningu jest także możliwe, ale jest to metoda bardziej prymitywna, gdyż polega na dopasowywaniu kodów charakterystycznych wirusów do kolejnych komórek pamięci. Na przestrzeni kilku lat algorytmy przeszukiwania zostały znacznie ulepszone i najnowsza wersja 4.x działa co najmniej 2 razy szybciej niż 3.x. Dwa razy w miesiącu ukazują się upgrade'y z ulepszoną wersją programu, co ma niebagatelne znaczenie wobec faktu, że najbardziej niebezpieczne dla użytkownika są ostatnio powstałe wirusy. Jednocześnie na dyskietce instalacyjnej rozprowadzana jest jako shareware wersja demo, wyszukującą wszystkie i usuwającą nieco mniejszą liczbę wirusów niż wersja komercyjna.

O popularności programu świadczy sprzedaż ok. 15 tys. licencji oraz średnio po 2 upgrade'y. O tym, że jest doceniany niech świadczy fakt, że co piąty wirus stworzony przez polskiego "autora" unika zarażenia programu mks_vir, jeśli go napotka na twardym dysku, nie chcąc zbyt szybko stać się pożywką dla skutecznej szczepionki i w ten sposób przedłużyć swój żywot. Program był wyróżniony na ostatnim Softargu nagrodą specjalną. Aktualnie rozpoczęto sprzedaż wersji czeskiej. Trwają też prace nad wersją w języku angielskim dla Singapuru.

Nazwa: mks_vir

Autor: Marek Sell

Dystrybutor: "Apexim", sp. z o. o.

Adres: ul. Zielna 39, Warszawa

Tel.: 242-579

Serwis: w godz. pracy sklepu, a z autorem programu w godz. 15-16 (tylko dla licencjonowanych użytkowników)

Cena: 760 tys. dla firm, 380 tys. dla prywatnych użytkowników

Upgrade: 190 tys. (jeden); 525 tys. (6 co miesiąc); 1050 tys. (12 co miesiąc)

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200