"Шпионские штучки" и устройства для защиты объектов и информации
Шрифт:
Режим /D
Режим /D(Delete) — удаление файлов, корректное лечение которых невозможно. Данный режим работоспособен только вместе с ключом /F(лечение файлов). Режим необходим для того, чтобы без вывода запроса на разрешение удаления разрушенных или инфицированных файлов произвести автоматическое удаление всех файлов, лечение которых не представляется возможным.
Режим /S
Режим /S(эвристический
Ниже приводятся описания встречающихся терминов в названиях неизвестных вирусов:
COM— вирус, заражающий СОМ-файлы,
EXE— вирус, заражающий ЕХЕ-файлы,
TSR— резидентный вирус,
BOOT— вирус, заражающий загрузочные сектора дисков,
CRYPT— зашифрованный или полиморфный вирус.
Режим эвристического анализа позволяет определять неизвестные вирусы, даже, в сложношифруемых или полиморфных вирусах (уровней полиморфизма 1–5), код, которых от копии к копии, может не совпадать ни на один байт! Наличие строки "CRYPT" при определении неизвестного вируса говорит о наличии расшифровщика в вирусном коде, т. е. что данный вирус является зашифрованным.
В режиме эвристического анализа можно задавать 3 различных уровня анализа файлов: минимальный, оптимальный и "параноический". Без указания уровня анализа устанавливается режим оптимального уровня эвристического анализа (/S1)
Процент определения неизвестных вирусов, при практическом тестировании на коллекции вирусов, состоящей из 6500 различных экземпляров, для режимов работы эвристического анализатора составил следующие значения: минимальный 78 % оптимальный — 80 %, "параноик" — 85 %.
В "параноическом" режиме эвристического анализатора Dr. Web возможно появление сообщения о том, что объект "возможно инфицирован CRYPT.Virus" без указания некоторых вирусных признаков (COM, EXE, TSR). Это говорит о том, что Dr. Web не детектировал объект (файл или Boot-сектор) как инфицированный "явным" вирусным кодом, но программой Dr. Web было детектировано присутствие в данном объекте некоторого дескриптора, или расшифровщика. Практически, любая зашифрованная программа при тестировании в "параноическом" режиме может детектироваться как возможно инфицированная вирусом CRYPT.Virus. К счастью, таких программ не так уж и много, гораздо меньше, чем шифрованых и полиморфных вирусов.
Очень редко неисполняемые модули (текстовые файлы или файлы данных) также могут детектироваться, как CRYPT.Virus. Т. к. если рассматривать эти файлы, как программы, содержащие ассемблерные инструкции, то иногда в потоке совершенно бестолковых и хаотичных команд вдруг может получиться логически работоспособный, с точки зрения процессора, "расшифровщик", который якобы что-то "расшифровывает", но, естественно, ничего работоспособного произвести не может. Но в данном случае режим "параноика" эвристического анализатора зафиксирует наличие логического декриптора в таком файле и выведет сообщение о подозрении на CRYPT.Virus (рис. П4 2).
Рис. П4.2. Сообщение о подозрении на CRYPT Virus
Также в режиме "параноика" Dr Web дополнительно проверяет файлы на подозрительное время их создания. Некоторые вирусы при заражении файлов устанавливают время их создания на несуществующие значения как признак или идентификатор зараженности данных файлов. Например, для зараженных файлов секунды устанавливаются в значение 62 или их год создания может увеличиться аж на 100! лет.
Рис. П4.3. Сообщение о странном времени создания файлов
В режиме эвристического анализа возможны ЛОЖНЫЕ СРАБАТЫВАНИЯ! Причем процент ложных срабатываний увеличивается в соответствии с повышением "чувствительности" анализатора. Особенно высок процент ложных срабатываний для "параноического" режима работы. В настоящее время, для данной версии, ложные срабатывания обнаружены на следующих файлах (для минимального уровня эвристического анализатора):
MIRROR.COM, Central Point Software,
RK.COM, А.Страхов Academy Soft,
RCVFAX.COM, ZyXEL Communications Corp.,
MVT.COM, Martin Kupchs,
BOOT_B.EXE, Scott A. Numbers,
SNIPPER.COM, Ziff Communications Co.,
KILESAVE.EXE, Symantec…
Примечание:Данный режим эффективен при тестировании программного обеспечения, появившегося у вас впервые. Необходимо отнестись с осторожностью к программам, которые вы видите в первый раз и на которые эвристический анализатор программы Dr. Web среагировал, как возможно инфицированные.
Время тестирования объектов на указанных устройствах в данном режиме может быть больше в 3 раза, чем время тестирования без режима эвристического анализа. Не стоит впадать в панику, если при тестировании файлов с использованием эвристического анализатора, вы получите сообщение о возможном заражении 1–2 файлов. Как правило, ложные срабатывания эвристического анализатора возникают при сканировании программ, использующих в своей работе операции с файлами (открытие файлов, запись в них), особенно если данные программы являются резидентными.