Zatočte s viry a červy

Počítačové viry jsou takovým věčným "strašákem" většiny majitelů PC a všech správců počítačových sítí. J...


Počítačové viry jsou takovým věčným "strašákem" většiny majitelů PC a všech
správců počítačových sítí. Je opravdu nutné koupit si a nainstalovat program,
který mě bude chránit před něčím, co mě v životě nemusí potkat? Jednoznačně
ano. Navíc v současné době existují profesionální antiviry, které jsou pro
osobní použití zdarma a mají pravidelné aktualizace. Takže už nemusíte
přemýšlet, zda mít, či nemít, ale stačí si vybrat. Přinášíme vám první sérii
recenzí na "desktopové" verze antivirovýcgh programů, později najdete srovnání
serverových verzí.

Tak jako se vyvíjely viry, tak se postupem doby musely měnit i jejich hlídací
psi v podobě antivirů. První viry byly z dnešního pohledu pouze hříčky, i když
na jejich vytvoření se podíleli lidé svým způsobem geniální. Postupem času
přicházeli stále dokonalejší záškodníci byli rezidentní, dokázali se různě
maskovat a schovávat v operačním systému, byli schopni měnit svoji podobu
(polymorfismus) a někteří dokonce uměli vyřadit z provozu konkrétní typ
antivirového programu.
Naprostá většina virů byla omezena na platformu Wintel a s příchodem Windows 95
to vypadalo, že počítačovým virům odzvonilo. Jejich reinkarnaci napomohl (kromě
autorů virů) Internet a MS Office. Vznikly první makroviry, které se pak za
pomoci uživatele šířily dál. Zatím poslední fází evoluce virů jsou červi. Jde o
viry, které jsou schopny se explozivně rozšířit po Internetu např.
prostřednictvím poštovních klientů i během několika málo hodin. I když dnes
existují i viry pro jiné operační systémy, virovým "rájem" stále zůstávají
Windows. Stejně dlouhou cestu jako viry urazili do dnešního dne i jejich
antiviroví protivníci. Od prvních pomůcek, určených k odstranění konkrétního
virům, se antiviry vyvinuly v komplexní produkty. Také jsou rezidentní, dokáží
odhalit "maskované" viry, brání se případnému napadení vlastních souborů,
kontrolují veškeré operace se soubory a disky a skenují e-maily i s přílohami.
Důležité jsou rozsáhlé databáze, které dokáží rozlišit a přesně identifikovat,
co je virus a co pouze špatně napsaný program. Tak lze předejít řadě planých
poplachů, které by děsily nezkušené uživatele. S rozvojem Internetu také
nastoupily časté a pohodlné aktualizace těchto databází, což přispělo k větší
bezpečnosti PC, o které se jejich uživatelé alespoň trošku starají a bojí.
Z pochopitelných důvodů jsme neprováděli skutečné testy, bohužel nemáme k
dispozici potřebné knihovny virů. Nakolik je každý program v objevování virů
úspěšný, se ale dočtete na adrese www.virusbtn.com. Webová adresa patří médiu
Virus Bulletin, uznávanému to "testeru" antivirových programů. Naleznete zde
například výsledky skenování (on-demand i on-access) na různých platformách
včetně Windows 2000 a Windows Me.

Slovníček pojmů
Infiltrace
Neoprávněný vstup do počítačového systému. Mezi infiltraci patří samozřejmě i
viry (připojují se k hostiteli, nejčastěji k souboru), popř. červi (worms šíří
se el. poštou, nejčastěji ve formě souboru, v příloze).
Skenování (scanning)
Proces, při kterém jsou prohlíženy soubory na určitém médiu (disk, cédéčko).
Skenováním lze samozřejmě odhalit i případnou infekci. Od tohoto slova je
odvozen i skener (scanner), tj. program, který provádí skenování.
On-demand skener
Nejstarší část každého antivirového systému. Jde o to, že uživatel nadefinuje
oblasti (disky, adresáře), které pak budou po stisku "Start Scan" jednorázově
prohlédnuty. Často se využívají ve spojení s plánovačem úloh (scheduler), což
má za následek, že se on-demand skener spustí v určitou, předem definovanou
dobu. Všechny testované antiviry až na InoculateIT PE a NOD32 obsahovaly
plánovač.
On-access skener
Součást každého rozumného antivirového systému, která nepřetržitě sleduje
veškerou činnost, kterou provádí uživatel se soubory. Kontrolu provádí dříve,
než muže dojít k nejhoršímu (k aktivaci viru). Pokud je infekce nalezena,
uživatel je na tuto skutečnost upozorněn. Do jeho rozhodnutí není možné cokoliv
s podezřelým souborem provádět. On-access skener byl součástí všech testovaných
antivirů. Pouze AVG 6.0 vypisovalo upozornění do textového režimu, ostatní
zvolily vhodnější grafické prostředí.

AVG 6.0
První z tuzemských antivirů pochází od brněnské společnosti Grisoft software
(www.grisoft.cz) Ta už řadu let produkuje velice populární antivirus AVG. V
dnešní době lze pořídit verzi 6.0 (1 995 Kč s DPH) , která je již ve značně
"vyzrálém" stavu. AVG 6.0 obsahuje vše, co lze od antivirového systému
očekávat. Oba typy skenerů (on-demand, on--access) používají od verze 6.0
společné jádro, což zajišťuje totožné detekční schopnosti. Ty jsou vcelku
kvalitní, dobu však poněkud zaspala heuristická analýza. Výsledkem je, že
dokáže odhalit pouze některé neznámé viry pro operační systém MS-DOS. Na
infiltraci do Win32 (včetně makrovirů) prostě nereaguje. Velice zajímavý je
tzv. "Kompletní test". Jde o inteligentní spojení kontroly integrity s
on-demand skenerem, výsledkem je vysoká rychlost a spolehlivost celého testu.
Kontrolovat lze i elektronickou poštu (včetně Outlook Expressu), v případě
potřeby ji lze podepsat komentářem, který ujišťuje, že e-mail neobsahuje
žádného červíka. On-demand skener využívá funkci tzv. "inteligentní
procházení", díky které prohlíží i hlavičky souborů, a dokáže tak odhalit i
případnou infekci v souborech s nestandardní příponou. AVG 6.0 lze spustit ve
dvou režimech, podle zkušenosti uživatele. Mezi nadstandardní funkce patří
"virový trezor" (obvykle označován jako "karanténa"). V případě nouze přijde
vhod možnost vytvoření záchranných disket, ze kterých lze zavést OS a spustit
AVG 6.0 pro DOS. Na disketách nechybí ani záloha systémových oblastí pevného
disku (MBR, nultá stopa...). O aktualizaci prostřednictvím Internetu se zmiňuji
pouze z toho důvodu, že délka takové aktualizace je nepříjemná pro uživatele s
dial-up připojením, měří většinou přes 2 MB.o
AVAST32 3.0
Druhý antivirus tuzemské společnosti, produkuje Alwil Software (www.avast.cz)
AVAST32 ve verzi 3.0 (1 899 Kč s DPH) obsahuje řadu zajímavých funkcí, které
konkurence nenabízí. Hned po instalaci dojde k automatickému spuštění testu
integrity. AVAST32 3.0 si při této příležitosti nashromáždí informace o všech
souborech na pevných discích (délka, atributy, crc atd.). Získané údaje si
natrvalo uschová a při dalším použití kontroly integrity je využívá k porovnání
s aktuálním stavem na disku. Při správném nastavení AVASTu 3.0 lze docílit
toho, že získáme něco, co se značně podobá kompletnímu testu antiviru AVG 6.0
(tento však nedosahuje takové rychlosti). Údaje získané z kontroly integrity
jsou navíc jedinou šancí, jak z počítače odstranit případnou infekci bez mazání
infikovaných souborů. Ano, je to tak, AVAST32 3.0 dokáže "vyléčit" pouze
infikované dokumenty, sešity apod., které jsou produktem kancelářského balíku
Microsoft Office. Pro léčení ostatních souborů jsou nutné právě informace
získané z kontroly integrity. Zřejmé tedy je, že na úspěch můžeme myslet pouze
v případě, že AVAST32 3.0 byl instalován již v době průniku infiltrace. AVAST32
3.0 neobsahuje žádnou heuristickou analýzu, i tak je celkový dojem z detekce
obou skenerů (on-demand a on--access) velice dobrý. AVAST32 3.0 je jeden z
prvních antivirů, který obsahuje tzv. "nezávislý POP3 skener". Ten dokáže
kontrolovat příchozí poštu prakticky v libovolném poštovním klientu (včetně The
Bat!, Outlook Expressu...), jedinou podmínkou je právě POP3 protokol. Mezi
další speciality patří antivirový skener, který se zobrazuje v podobě
screensaveru. Během nečinnosti uživatele tak AVAST32 3.0 prohlíží pevné disky
počítače.o
Norton AntiVirus 2001
Antivirus společnosti Symantec (www.symantec.cz) je prvním zahraničním
antivirem v tomto přehledu. Norton AntiVirus 2001 (1 732 Kč vč. DPH) zapůsobil
jako nejkom plexnější antivirový systém. Celý antivirový systém je "zapuštěn"
do velice příjemného prostředí. Jednotlivé součásti lze ovládat z jednoho
místa. K dispozici jsou samozřejmě oba typy skenerů (on-demand i on-access). U
obou lze aktivovat heuristickou analýzu Bloodhound a překvapivě i SmartScan
(odhalí případnou infekci i v souborech s nestandardní příponou). Průběh
on-demand testu se mi jevil jako méně typický (možná i trochu nepraktický),
informace o případné infekci jsou zobrazeny až po úplném doběhnutí testu. Zcela
ojedinělá je však schopnost manipulovat se soubory v archivech! Pokud narazí
Norton na infikovaný soubor v archivu, žádný problém! Lze ho totiž bez problému
"vyléčit", smazat či přesunout do karantény. Formát RAR není podporován.
Možnosti on-access skeneru jsou velice bohaté, dokonce lze blokovat i některé
podezřelé činnosti (formátování disku, zápis do MBR apod.). Již přes zmiňovanou
propracovanou karanténu lze odesílat podezřelé soubory přímo výrobci. Pozornost
by si měl zasloužit i nezávislý POP3 skener, který podobně jako v případě
AVASTu dokáže testovat příchozí el. poštu prakticky ve všech případech. Disket
(Norton Rescue) pro tvorbu záchrany budeme potřebovat hned pět. Lze z nich
obnovit systémové oblasti pevného disku a spouštět AntiVirus 2001 pro DOS.o
NOD32 1.78
Antivirový systém NOD32 (2 730 Kč vč. DPH) je produktem našich východních
kolegů. Bratislavská společnost ESET (www.
eset.sk) vyvíjí tento produkt již řadu let. Od začátku vývoje si drží NOD32
jednoznačné prvenství v rychlosti skenování, ta je totiž fantastická a opravdu
velice těžko se hledá nějaká ta konkurence. Možnosti antivirového systému NOD32
jsou skromnější, ovšem nic jsem nepostrádal. K dispozici jsou opět dva typy
skenerů. Skvělé detekční schopnosti lze podpořit bezpečně nejlepší heuristickou
analýzou na světě. Ta dokáže odhalit zřejmě všechny typy virů (makroviry,
Win32, DOS, VBScripty...). Prohlížení archivů beru jako samozřejmost. Běžící
on-access skener (nazván Amon) signalizuje "pumpující" srdce s nápisem NOD.
Aplikace NOD32 Control Center se mimo jiné stará o aktualizaci prostřednictvím
Internetu. Proč se o tom zmiňuji? Velice mě totiž překvapila inteligence této
aktualizace. V případě připojení modemem (dial-up) se k aktualizacím "dobývá"
automaticky pouze během aktivního spojení s poskytovatelem. S NODem32 tak
nehrozí, aby při plánované aktualizaci náhle vyskočilo okno s nápisem
"Telefonické připojení", čekající na stisk tlačítka "Připojit". Pozornost si
jistě zaslouží i nezávislý POP3 skener, který lze opět uvést do provozu
prakticky s libovolným poštovním klientem. "Léčení" zabírá jen na
nejrozšířenější infiltraci. Zcela ojedinělá je manipulace s nedostupnými
soubory (které jsou právě otevřeny) a též schopnost odstraňovat zbytky virů/
červů přímo z registrů Windows! NOD32 je dostupný i v české jazykové mutaci.o
Kaspersky Anti-Virus (AVP)
Pokud se přesuneme ještě více na východ, narazíme na ruský Kaspersky Anti-Virus
(1 942 Kč vč. DPH, www.aec.cz) Funkčností nijak nepřekvapí, ale výkonem určitě
ano. Detekci zvládají oba typy skenerů na výbornou i co se "trójanů" a
"backdoorů" (další typy infiltrace) týče. Oba skenery využívají heuristickou
analýzu, u obou lze aktivovat i funkci "Smart", která se postará o případné
odhalení infekce v souboru s nestandardní příponou. Velice kvalitní je podpora
archivů a interně komprimovaných souborů. Člověk by ani nevěřil, že existuje
tolik formátů. Archivy dokáže překvapivě prohlížet i on-access skener (KAV
Monitor), v teorii je to skvělá vymoženost, ale v praxi je to nepoužitelné.
Pokud KAV Monitor narazí na větší archiv, rychlost celého operačního systému
rapidně klesá. Aplikace "KAV Central Control" umožňuje ovládat jednotlivé
součásti z jednoho místa. Nechybí i detailní plánovač úloh (scheduler). Zcela
unikátní je však KAV Rescue Set. Díky této funkci lze vytvořit záchranné
diskety, které jsou založeny na Linuxu(!). Kromě ochuzeného Linuxu na ně uloží
i KAV for Linux. Po zavedení systému z těchto disket dojde k automatickému
"přimountování" (připojení) všech pevných disků a spuštění antiviru KAV for
Linux. Hlavní sílu těchto záchranných disket lze poznat až při "léčení"
infikovaných souborů na souborovém systému NTFS (Windows NT/2000). Na tento
souborový systém se totiž s běžným nářadím nelze dostat! Schopnost "léčit"
patří u tohoto antiviru k naprosté špičce. KAV je dostupný i v české verzi.o
InoculateIT Personal Edition 5.2.9.0
Jde o jeden z mála antivirů pro Windows, který je pro domácí použití zcela
zadarmo. Vzhledem k tomu, že je zadarmo, nabízí vcelku velké možnosti. Součástí
jsou oba typy skenerů, přičemž oba využívají společného jádra. Díky tomu lze v
obou případech využít i heuristickou analýzu. Dialog, který se zobrazí při
nalezení infekce, nenabízí příliš mnoho, pouze provede předvolenou činnost v
nastavení antiviru. Detekční schopnosti jsou více než kvalitní, ani schopnost
"léčení" není k zahození. Co bych od antiviru zadarmo neočekával, je možnost
zapnout "léčení" i jinde, než v souborech. InoculateIT PE dokáže odstraňovat
zbytky infekce z registrů Windows a z INI souborů. Dokáže vypínat procesy
(pokud je to pro odstranění infekce nutné) a v případě potřeby i vyléčit
soubory po restartu počítače (tzv. "rebootable clean"). Jako za starých časů
stačí pro vytvoření záchrany pouze jedna disketa. Z diskety lze spustit
jednoduchý, ale plnohodnotný antivirus pro DOS, popřípadě obnovit systémové
oblasti pevného disku. Zde bych snad jen poznamenal, že InoculateIT PE na tuto
disketu nepřenese systém, to už je na vás. Samozřejmostí je i automatická
aktualizace z Internetu. Jedinou drobnou nevýhodou antiviru je skutečnost, že
po každé změně v nastavení on-access skeneru je potřeba restartovat Windows.
10713 / zaj









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.