Если программное изделие получено без сертификата, из сомнительного источника или не эксплуатировалось в том месте, откуда было получено, первые несколько дней его полезно эксплуатировать в карантинном режиме с использованием, если это возможно, ускоренного календаря. Это повышает вероятность обнаружения "троянской" компоненты, срабатывающей в определенное время. При работе со вновь поступившими программами целесообразно употребление специального имени пользователя. Для выбранного имени все остальные разделы должны быть либо невидимы, либо иметь статус READ ONLY. При этом для всех компонент операционной системы и некоторых утилит, используемых как "ловушки" для вируса, следует записать в соответствующий файл контрольные суммы, вычисленные соответствующей программой.

Основным средством защиты от вирусов служитархивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование необходимо делать ежедневно. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Для этой цели удобно использовать специально разработанные программы. Они дают возможность не только экономить место на специальных архивных дискетах, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов. Наиболее уязвимыми считаются таблицы размещения файлов (AT), главного каталога (MB) и бутсектор. Файлы, создаваемые этими утилитами, рекомендуется периодически копировать на специальную дискету. Их резервирование важно не только для защиты от вирусов, но и для страховки на случай аварийных ситуаций или чьих-то действий, в том числе собственных ошибок. В целях профилактики для защиты от вирусов рекомендуется:

? работа с дискетами, защищенными от записи;

? минимизация периодов доступности дискет для записи;

? разделение дискет между конкретными ответственными пользователями;

? разделение передаваемых и поступающих дискет;

? раздельное хранение вновь полученных программ и эксплуатировавшихся ранее;

? хранение программ на жестком диске в архивированном виде.

Вновь поступившие программные изделия должны подвергаться входному контролю - проверке соответствия длины и контрольных сумм в сертификате полученным длинам и контрольным суммам. Систематическое обнуление первых трех байтов сектора начальной загрузки на полученных дискетах до их использования поможет уничтожению "бутовых" вирусов.

Многие программисты и организации разрабатывают собственные или используют готовые программы для обнаружения и удаления вирусов на своих компьютерах и дисках. Обнаружение вируса основано на том, что каждая конкретная версия вируса, как любая программа, содержит присущие только ей комбинации байтов. Программы-фильтры проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Для обнаружения вирусов также используется специальная обработка файлов, дисков, каталогов - вакцинирование: запуск резидентных программ-вакцин, имитирующих сочетание условий, в которых заработает данный тип вируса и проявит себя.

Существуют также специальные программы удаления конкретного вируса в зараженных программах. Такие программы называются программами-фагами. С зараженными файлами программа-фаг выполняет (если это возможно) действия, обратные тем, которые производятся вирусом при заражении файла, т. е. делает попытку восстановления файла. Те файлы, которые не удалось восстановить, как правило, считаются неработоспособными и удаляются.

Следует подчеркнуть, что действия, которые надо предпринять для обнаружения и удаления вируса, индивидуальны для каждой версии вируса. Пока не существует универсальной программы, способной обнаружить любой вирус. Поэтому надо иметь в виду, что заражение вашего компьютера возможно и такой разновидностью вируса, которая не выявляется известными программами для их обнаружения.

В настоящее время трудно назвать более или менее точно количество типов вирусов, так как оно постоянно увеличивается. Соответственно увеличивается, но с некоторым запаздыванием, и число программ для их обнаружения.

Проблему защиты информации и программных продуктов от вирусов необходимо рассматривать в общем контексте проблемы защиты от несанкционированного доступа. Основной принцип, который должен быть положен в основу методологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты, включающей приведенные выше средства. Наличие нескольких уровней позволяет компенсировать недостатки одних средств защиты достоинствами других. Если вирус обойдет один вид защиты, то может быть остановлен другим. Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать прежде всего следующие меры:

? не переписывать программное обеспечение с других компьютеров. Если это необходимо, то следует принять перечисленные выше меры;

? не допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими дискетами;

? не пользоваться посторонними дискетами, особенно с компьютерными играми.

1.3.4 Использование нескольких антивирусных программ

Использование одного антивируса может обеспечить надежную защиту, но здравый смысл подсказывает, что несколько подобных программ значительно повысят безопасность вашей системы. Именно так и предлагают поступать руководству отделов информатизации антивирусные форумы в CIS, AOL а также различные группы новостей (например, comp.vims). Отметим, что при использовании нескольких программ, каждая из которых имеет свои особенности (в том числе и недокументированные), путаные или конфликтующие Друг с другом отчеты не являются большой редкостью. Именно поэтому многим пользователям приходит в голову мысль, что применение более чем одного антивируса является плохой идеей. Но это не так! Несмотря ни на что, преимущества использования нескольких антивирусных программ от различных разработчиков перевешивают последствия недостаточной защиты. Наиболее очевидное из них состоит в том, что вы используете более мелкую сеть (или, если угодно, сложную двойную сеть), через которую не сможет проникнуть большинство компьютерных вирусов.

Это следует предпринять, если антивирусное ПО обнаружило проникновение в вашу систему компьютерного вируса. Легко понять, что почти все вирусные инциденты происходят приблизительно одинаково. Если инфекция является реальной, то следует провести курс лечения. Если вы обнаружите что вирус не может быть обезврежен одним антивирусом, то вполне вероятно, что тревога оказалась ложной. Для проверки наличия этого предполагаемого вируса воспользуйтесь другой программой. Если и дальнейшая диагностика даст подобные результаты, то более чем вероятно, что у вас вирус. Найдите способ лечения или замены зараженных участков.

Однако в некоторых случаях даже с помощью двух антивирусов совсем не просто выполнить диагностику. Что вы подумаете, если станете, например, свидетелем следующих событий: продукт Х обнаруживает вирус и не может излечить зараженные файлы, продукт Y подтверждает сообщение о найденном вирусе, но также не может удалить его из системы, а продукт L не видит ничего. Кто попадает в подобные неприятные ситуации, имеет достаточно веские доказательства наличия компьютерного вируса в системе, но не располагает механизмами проверки, которые позволили бы быть в этом абсолютно уверенными.