Istotnym elementem oprogramowania antywirusowego, pracującego na stacjach roboczych, jest monitor skanujący wszystkie otwierane i zapisywane pliki. Pozwala to sprawdzać komputer na bieżąco podczas jego pracy, a nie tylko przy przeprowadzaniu operacji skanowania dysku. Warto zwrócić uwagę, iż nie wszystkie programy mają taką opcję np. dla Windows NT (lub że może ona różnić się w działaniu). Przy tym warto sprawdzić, czy administrator może w danej aplikacji zablokować opcję wyłączenia monitora. Dzięki temu użytkownik nie będzie mógł nawet niechcący zrezygnować z ochrony antywirusowej.

Warto także zainteresować się, czy producent lub dystrybutor oprogramowania oferuje szkolenie w zakresie ochrony antywirusowej oraz konstruowania systemu zabezpieczeń z wykorzystaniem jego produktu. Niestety, w tej dziedzinie nasz rynek jest jeszcze bardzo niedojrzały, a ewentualne szkolenia pokrywają się zazwyczaj z tym, co można znaleźć w instrukcji obsługi pakietu.

W podanych kryteriach wyboru oprogramowania świadomie pominięto takie istotne punkty, jak częstotliwość dostarczania aktualizacji plików zawierających definicje i opisy sposobów usuwania wirusów, a także czas odpowiedzi producenta i opracowania odpowiedniej szczepionki w wyniku zgłoszenia nowego wirusa. Każda firma musi bowiem zdecydować sama, co jest dla niej najlepszym rozwiązaniem. Częste uaktualnienia, bez możliwości przeprowadzania tej operacji w sposób zdalny i scentralizowany, mogą być koszmarem.

Zaglądanie do poczty

Stacje robocze, choć ilościowo jest ich najwięcej w każdej sieci, stanowią tylko jeden z elementów, które powinny podlegać zabezpieczeniom antywirusowym. Równie istotne jest zabezpieczanie serwerów poczty elektronicznej, które pośredniczą w przekazywaniu przesyłek w ramach firmy i ze światem zewnętrznym, a także korporacyjnych "zapór ogniowych".

Oprogramowanie dla serwera pocztowego powinno umieć skanować nie tylko aktualnie przesyłaną korespondencję, lecz także listy zgromadzone już na serwerze, np. w przypadku serwera Microsoft Exchange powinno umieć przeszukiwać publiczne foldery, a - Lotus Notes - bazy danych z dokumentami. Pakiet taki powinien umieć zaglądać do środka spakowanych plików (np. ZIP) przesyłanych pocztą i wykrywać wirusy w zawartych w nich dokumentach i plikach wykonywalnych. Musi także umieć poinformować o ewentualnie odkrytym wirusie nadawcę listu, tak by mógł on podjąć działania mające na celu usunięcie przyczyn infekcji.

Pakiet współpracujący z firewallem powinien umieć blokować wirusy dołączone do plików ściąganych z Internetu, a także wykrywać niebezpieczne komponenty ActiveX i "konie trojańskie" pisane w Javie.

Walkę czas zacząć

Jeszcze przed instalacją oprogramowania należy sporządzić wykaz obiektów, które są przesyłane w sieci lub wymieniane między komputerami. Umożliwi on poprawne skonfigurowanie skanera antywirusowego. Fabryczna konfiguracja skanerów często nie jest najlepsza (jest ona wypadkową dla większości instalacji).

Jeśli pakiet jest wyposażony w możliwość skanowania heurystycznego (wyszukiwania fragmentów kodu, które mogą być uznane za wirusa), to na komputerach użytkowników sieci należy ją wyłączyć. Skanowanie heurystyczne ma to do siebie, że wykrywa nieznane wirusy (choć nie w każdym przypadku), ale powoduje też fałszywe alarmy. Zwykły użytkownik nie poradzi sobie z oceną, czy dany plik jest rzeczywiście zainfekowany. Z pewnością jednak może wywołać panikę. Oczywiście odpowiednich zachowań w takich sytuacjach użytkownik powinien być nauczony podczas szkolenia. Powinno się też przewidywać takie sytuacje, gdyż skanowanie heurystyczne nie jest jedynym źródłem fałszywych alarmów.

Następnym problemem, jaki powinno się uwzględniać przy ustalaniu polityki ochrony antywirusowej, jest procedura postępowania w przypadku wykrycia infekcji. Dobrze skonstruowana polityka powinna udostępniać narzędzia pozwalające na dotarcie do źródła infekcji oraz jak najszybszą jej eliminację. Niektórzy twierdzą, że nie warto szukać źródła, lecz od razu należy sprawdzać wszystkie komputery i na usunięciu wirusów całą operację zakończyć. W niektórych przypadkach może to być słuszne działanie, ponieważ nie każda instytucja dysponuje odpowiednimi środkami do przeprowadzenia akcji "tropienia" wirusa. Jednak nieustalenie źródła infekcji może być tragiczne w skutkach. Często nawracające ataki wirusów mogą być powodowane przez błędy w oprogramowaniu antywirusowym lub jego konfiguracji. Może to być także zemsta nieuczciwego pracownika lub skutek włamania do sieci. O tym, że takie rzeczy są możliwe, przekonał niedawno odkryty wirus Remote Explorer oraz narzędzia, takie jak BackOrifice, będące groźną bronią w rękach włamywaczy.

Po usunięciu wirusa często zapomina się o ostatnim etapie walki z wirusami - eliminowaniu skutków infekcji. Jest to najtrudniejsza część programu antywirusowego i nie ma jednej, skutecznej metody jej opracowania. Teoretycznie, po wykryciu wirusa i usunięciu go za pośrednictwem oprogramowania antywirusowego, należałoby jeszcze porównać wszystkie odwirusowane pliki z ich oryginałami znajdującymi się w kopiach bezpieczeństwa. Zdarza się bowiem, że procedura eliminująca wirusa modyfikuje plik, w którym był on zawarty. Niemniej przeprowadzenie takiej operacji jest często niewykonalne.

<hr size=1 noshade>Aleksander Czarnowski jest właścicielem i dyrektorem firmy AVET Antivirus and Data Protection.