Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:

· Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах

· Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Метод соответствия определению вирусов в словаре

Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:

· Удалить инфицированный файл.

· Заблокировать доступ к инфицированному файлу.

· Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).

· Попытаться восстановить файл, удалив сам вирус из тела файла.

· В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.

Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.

Метод обнаружения странного поведения программ

Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Другие названия: Проактивная защита , Поведенческий блокиратор , Host Intrusion Prevention System (HIPS) . В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe"n"Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.

Метод обнаружения при помощи эмуляции

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.

Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например, не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.

Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам незаражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.

Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы необнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.

Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.

Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.

• Специальная программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в файлах или системных областях на жёстком диске.
• Программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержание файла изменено, а время его модификации - нет.

• Программа-ревизор сообщает об изменении главной загрузочной записи жёсткого диска или загрузочной записи, а Вы не изменяем разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.
• Программа-сторож сообщает о том, что какая-то программа желает форматировать жёсткий диск, изменять системные облает жёсткого диска и т.д., а Вы не поручали никакой программе выполнять подобные действия.
• Программа-ревизор сообщила о наличии в памяти «невидимых » («стелс ») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении помощью прямых обращений к диску выдаётся разное содержимое.
• Вирус сам Вам представился, выведя соответствующее сообщение.

• Антивирусная программа сообщает об обнаружении неизвестного вируса.
• На экран или принтер начинают выводиться посторонние сообщения символы и т.д.
• Некоторые файлы оказываются испорченными.
• Некоторые программы перестают работать или начинают работать неправильно.
• Работа на компьютере существенно замедляется.

Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д.

Пять правил при заражении компьютера вирусом.

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил.

1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Как говориться, «семь раз отмерь, один раз отрежь »- непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера вирусом.

2. Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной загрузке компьютера с защищённой от записи «эталонной » дискеты с операционной системой. При этом следует использовать только программы, хранящиеся на защищённых от записи дискетах или флешках. Несоблюдение этого правила может привести к очень тяжёлым последствиям, поскольку при загрузке DOS или запуске программы с заражённого диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причинённых вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных, коллег.

5. Лечение компьютера от вируса - процесс творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более создатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устаревают...

Раннее обнаружение компьютерного вируса

Если Вы используете резидентную программу-сторожа для зашить вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус еще не успел активизироваться, заразить другие программы или диски и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на диске имеется загрузочный вирус, и предложить его удалить.

Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл.

Выяснение сведений о компьютерном вирусе вирусе

Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в её документации или встроенном справочнике сведения о данном типе вируса. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению.

Например, если компьютер оказался заражён неопасным загрузочным вирусом, то кроме удаления вируса с жёсткого диска и дискет, которыми Вы пользовались, делать ничего не надо. Устранение последствий действий вируса, изменяющим случайно выбранные участки диска, могут быть гораздо серьёзнее обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные с резервных копий.

Лабораторные методы при диагностике вирусных инфекций включают:

Выделение и идентификацию возбудителя;

Обнаружение и определение титров противовирусных AT;

Обнаружение Аг вирусов в образцах исследуемого материала;

Микроскопическое исследование препаратов исследуемого материала.

Забор материала. При заборе материала для исследований необходимо выполнять следующие условия:

Образцы следует отбирать как можно раньше либо с учётом ритма циркуляции возбудителя;

Материал следует отбирать в объёме, достаточном для всего комплекса исследований;

Образцы следует доставлять в лабораторию незамедлительно, при относительно кратковременной транспортировке (не более 5 сут) образцы сохраняют на льду, при более длительной - при температуре -50 °С.

Выделение и культивирование вирусов

Выделение и идентификация возбудителя - «золотой стандарт» в диагностике вирусных инфекций.

Культуры клеток

Вирусы размножаются только в живых клетках, и выделение возбудителя в заражённой культуре клеток - один из основных методов диагностики вирусных инфекций. Поскольку большинство патогенных вирусов отличает тканевая и типовая специфичность, то почти к каждому вирусу можно подобрать соответствующие клеточные или тканевые культуры, а также создать стандартные условия культивирования (наличие клеток одного типа). Размножение вируса обеспечивают чувствительные (пермиссивные) клетки. Поэтому при выделении неизвестного возбудителя проводят одномоментное заражение 3-4 культур клеток, предполагая, что одна из них может оказаться пермиссивной. Культуры клеток получают диспергированием соответствующих органов и тканей, но чаще используют эмбриональные ткани (человека и животных) либо трансформированные опухолевые клетки. При помещении на соответствующую плоскую поверхность клеточные культуры обычно растут в виде монослоя.

Первично-трипсинизированные культуры. Суспензии клеток получают гомогенизированием соответствующих тканей, предварительно обработанных трипсином. Культуры часто представлены клетками смешанного типа и не подлежат повторному культивированию. Жизнеспособность таких культур составляет 2-3 нед.

Полуперевиваемые линии клеток представлены диплоидными клетками человека и животных. Культуры ограниченно пригодны к повторному диспергированию и росту (как правило, не более 20-30 пересевов), сохраняя при этом жизнеспособность и не подвергаясь спонтанной трансформации.

Перевиваемые линии клеток (гетероплоидные культуры) представлены клетками, подвергнутыми длительному культивированию и спонтанным трансформациям. Культуры способны к многократному диспергированию и перевиванию. Работа с ними менее трудоёмка по сравнению с приготовлениями первичных культур; перевиваемые клетки относительно одинаковы по своей морфологии и стабильны по свойствам.

Культуры органов

Не все виды клеток способны расти в виде монослоя, в некоторых случаях поддержание дифференцированных клеток возможно только в культуре органа. Обычно это суспензия ткани, обладающей специализированной функцией, также обозначаемая как культура переживающей ткани.

Куриные эмбрионы

Куриные эмбрионы - практически идеальные модели для культивирования некоторых вирусов (например, гриппа и кори). Замкнутая полость эмбриона препятствует проникновению микроорганизмов извне, а также развитию спонтанных вирусных инфекций. Эмбрионы применяют для первичного выделения вирусов из патологического материала; для пассирования и сохранения их, а также для получения необходимых количеств вируса. Некоторые возбудители (например, герпесвирусы) вызывают характерные изменения (по ним можно распознавать заболевание). Заражение проводят на хорион-аллантоисную оболочку, в амниотическую или аллантоисную полость либо в желточный мешок.

Заражение на хорион-аллантоисную мембрану. Обычно используют 10-12-суточные эмбрионы. Яйца просматривают в проходящем свете, отмечают локализацию воздушного мешка и выбирают область без сосудов. Осторожно удаляют фрагмент скорлупы, освобождают наружную оболочку и отслаивают её осторожным надавливанием. Затем делают отверстие у края воздушного мешка. При отсосе через это отверстие хорион-аллантоисная оболочка отслаивается от наружной оболочки. На неё наносят исследуемый материал, свободный от бактерий и простейших (пропущенный через бактериальные фильтры и обработанный бактерицидами).

Заражение в амниотическую полость. Обычно используют 7-14-суточные эмбрионы, у которых после отслоения хорион-аллантоисной оболочки (см. выше) расширяют отверстие, захватывают пинцетом амниотическую оболочку и выводят через хорион-аллантоисную оболочку. Через неё в амниотическую полость вводят исследуемый материал.

Заражение в аллантоисную по лость. 10-суточные эмбрионы заражают через отверстия, сделанные в скорлупе и подлежащих оболочках (см. выше).

Заражение в желточный мешок. Используют 3~8-суточные эмбрионы, у которых в этом возрасте желточный мешок занимает почти всю полость яйца. Заражение проводят через отверстие, сделанное в воздушном мешке

Наблюдение и учёт результатов. В качестве вируссодержащего материала можно использовать содержимое желточного мешка, аллантоисную и амниотическую жидкости либо весь эмбрион, нарезанный вместе с окружающими тканями на кусочки. Для выявления характерных поражений на хорион- развивающегося куриного эмбриона.

аллантоисной мембране удаляют скорлупу и наружную оболочку. Затем мембрану извлекают и помещают в стерильную воду. Характер поражений изучают на тёмном фоне.

Животные модели

При невозможности выделить и идентифицировать вирус стандартными методами in vitro инфекционный материал вводят чувствительным к возбудителю животным, и после развития типичного инфекционного процесса проводят повторное заражение чувствительных клеточных культур. Наиболее часто используют мышей, кроликов и обезьян; для выделения некоторых вирусов (например, вирусов Коксаки) заражают мышат-сосунков. Вследствие дороговизны и сложности содержания лабораторных животных, практически повсеместно их вытеснили клеточные культуры. Тем не менее, животные модели активно используют для изучения особенностей патогенеза и формирования иммунных реакций при вирусных инфекциях.

Идентификация вирусов

Качественное определение

Наличие и биологическую активность вирусов определяют по эффектам, наблюдаемым на животных моделях (повышение температуры тела, появление характерных клинических признаков, гибель и т.д.), куриных эмбрионах и на клетках (в культурах). Под воздействием конкретных вирусов возможно изменение морфологии, роста, репродукции клеток либо их разрушение. Факт размножения вирусов в чувствительных клетках in vitro определяют по цитопатическим эффектам (в том числе бляшкообразованию, тельцам включений), феномену гемадсорбции, «цветной реакции».

Цитопатические эффекты оценивают при микроскопии клеточных культур. По степени поражения клеток выделяют вирусы с высокой или умеренной цитопатогенностью. Размножение вирусов в культурах клеток сопровождается нарушениями морфологии клеток монослоя. Некоторые вирусы вызывают характерные цитопатические изменения, что (с учётом клинической картины заболевания) позволяет быстро поставить предварительный диагноз. Например, размножение парамиксовирусов (вирусы кори, паротита, PC-вирус) сопровождается появлением характерных гигантских многоядерных клеток; аденовирусы вызывают образование скоплений больших круглых клеток, а при репродукции герпесвирусов клетки округлой формы диффузно располагаются по всему монослою.

Бляшкообразование. «Бляшками» называют негативные колонии - участки разрушенных клеток, выглядящие как зоны просветления на монослоях клеток, покрытых слоем агара. В некоторых случаях дозу и цитопатогенность вируса выражают в бляшкообразующих единицах (БОЕ).

Тельца включений. Многие вирусы вызывают появление в заражённых клетках характерных образований - скоплений вирусных белков или частиц, видимых в световой микроскоп. Тельца включений могут располагаться как в цитоплазме (тельца Гварнери при оспе), так и в ядрах клеток (аденовирусы).

Отсутствие цитопатического эффекта. Некоторые вирусы (например, вирус краснухи) не проявляют цитопатического эффекта. Их можно выявлять по интерференции другого вируса, способного вызывать дегенерацию заражённых клеток.

Феномен гемадсорбции. Многие заражённые вирусами клетки приобретают способность сорбировать на своей поверхности различные эритроциты. Феномен гемадсорбции имеет общие механизмы с гемагглютинацией и проявляется на ранних сроках, до проявления цитопатического эффекта, при его отсутствии либо слабой выраженности.

«Цветная реакция». В культуральную среду, используемую для поддержания клеток, вносят индикатор. Рост клеток сопровождается накоплением метаболитов, сдвигом рН среды и изменением окраски индикатора. Заражение культур вирусом резко ингибирует клеточный метаболизм, и среда сохраняет первоначальный цвет.

Экспресс-диагностика. Для быстрой идентификации вирусной инфекции разработаны многочисленные методы экспресс-диагностики, основанные на обнаружении вирусных Аг. Например, для ранней диагностики ВИЧ-инфекции широко используют ИФА, выявляющий поверхностные Ar вируса.

Количественное определение

Количественное определение вирусов проводят двумя путями - изучением инфекционности и количественным определением вирусных Аг. Определение титра инфекционности вирусов в значительной степени зависит от метода количественного исследования; у бактериофагов отношение инфекционность-частица составляет приблизительно 1 (то есть каждая вирусная частица способна вызвать инфекцию), для вирусов животных данное отношение составляет 1:10 (иногда выше из-за вирусингибирующего действия факторов резистентности).

Определение инфекционности вирусов. Наиболее доступная форма количественного определения - подсчёт числа вирусных «бляшек». Прямые тесты на инфекционность применяют для установления инфекционной дозы (ID) или летальной дозы (LD) изучаемого вируса (обычно выражают в lg). ID 50 - разведение, инфицирующее 50% клеток; LD 50 - разведение, убивающее 50% поражённых клеток или животных.

Выявление вирусных Аг и вирусных частиц. Наиболее распространённый метод - реакция количественной гемагглютинации. Метод основан на способности вирусов сорбироваться на поверхности эритроцитов животных и человека. Количественную электронную микроскопию применяют для подсчёта общего числа вирусных (но не инфекционных) частиц в исследуемом обьекте (например, культуральной жидкости).

Морфология вирусов

Изучение морфологии вирусов возможно лишь при помощи электронной микроскопии, однако чаще всего этот метод недоступен из-за отсутствия столь дорогого и сложного прибора. Более того, многие возбудители морфологически сходны, что снижает ценность этого метода. Наиболее распространён метод микроскопии содержимого везикул и тканевых экстрактов, обработанных красителями (негативное контрастирование), с последующим подсчётом ДНК- или РHK-содержащих вирусов. Электронная микроскопия позволяет быстро обнаружить орто- и парамиксовирусы в отделяемом дыхательных путей, герпесвирусы в жидкости везикул и ротавирусы в фекалиях.

Серологические методы идентификации

При большинстве вирусных инфекций развиваются иммунные реакции, применяемые для диагностики. Клеточные реакции обычно оценивают в тестах цитотоксичности лимфоцитов в отношении инфекционных агентов или заражённых ими клеток-мишеней либо определяют способность лимфоцитов отвечать на различные Аг и митогены. В работе практических лабораторий выраженность клеточных реакций определяют редко. Большее распространение нашли методы идентификации противовирусных AT.

РН основана на подавлении цитопатогенного эффекта после смешивания вируса со специфичными AT. Неизвестный вирус смешивают с известными коммерческими антисыворотками и после соответствующей инкубации вносят в монослой клеток. Отсутствие гибели клеток указывает на несоответствие инфекционного агента и известных AT.

Торможение гемагглютинации. РТГА применяют для идентификации вирусов, способных агглютинировать различные эритроциты. Для этого смешивают культуральную среду, содержащую возбудитель, с известной коммерческой антисывороткой и вносят в культуру клеток. После инкубации определяют способность культуры к гемагглютинации и при её отсутствии делают заключение о несоответствии вируса антисыворотке.

Торможение цитопатического эффекта интерференцией вирусов. Реакцию торможения цитопатического эффекта за счёт интерференции вирусов применяют для идентификации возбудителя, интерферирующего с известным цитопатогенным вирусом в культуре чувствительных клеток. Для этого в культуральную среду, содержащую изучаемый вирус, вносят коммерческую сыворотку (например, к вирусу краснухи при подозрении на неё), инкубируют и заражают вторую культуру; через 1-2 дня в неё вносят известный цитопатогенный вирус (например, любой ЕСНО-вирус). При наличии цитопатогенного эффекта делают вывод о том, что первая культура была заражена вирусом, соответствовавшим применённым AT.

Прямая иммунофлюоресценция. Среди прочих тестов наибольшее распространение нашла реакция прямой иммунофлюоресценции (наиболее быстрая, чувствительная и воспроизводимая). Например, идентификация ЦМВ по цитопатогенному эффекту требует не менее 2-3 нед, а при использовании меченых моноклональных AT идентификация возможна уже через 24 ч. Имея набор подобных реагентов, их можно вносить в культуры, заражённые вирусом, инкубировать, отмывать не связавшийся реагент и исследовать с помощью люминесцентной микроскопии (позволяет выявить наличие флюоресценции заражённых клеток).

Иммуноэлектронная микроскопия (аналог предыдущего метода) позволяет идентифицировать различные виды вирусов, выявленные электронной микроскопией (например, различные виды герпесвирусов), что невозможно сделать, основываясь на морфологических особенностях. Вместо антисывороток для идентификации используют помеченные разными способами AT, но сложность и дороговизна метода ограничивают его применение.

Выявление противовирусных AT в сыворотке

Более простой и доступный подход - выявление противовирусных AT в сыворотке. Образцы крови необходимо отбирать дважды: немедленно после появления клинических признаков и через 2-3 нед. Чрезвычайно важно исследовать именно два образца сыворотки. Результаты однократного исследования нельзя считать окончательными из-за невозможности связать появление AT с настоящим случаем. Вполне возможно, что эти AT циркулируют после предшествующей инфекции. В подобной ситуации роль исследования сыворотки, полученной в период реконвалесценции, трудно переоценить. На наличие заболевания в период отбора первой пробы указывает не менее чем четырёхкратное увеличение титра AT, выявленное при исследовании второй пробы.

Перечисленные ниже методы не позволяют дифференцировать AT, образующиеся во время болезни и циркулирующие после выздоровления (продолжительность этого периода вариабельна для различных инфекций). Поскольку для адекватной диагностики необходимо подтвердить достоверное увеличение титров AT в двух пробах, то первую пробу исследуют в острой фазе, а вторую - в период выздоровления (через 2-3 нед). Полученные результаты носят ретрос пективный характер и более пригодны для проведения эпидемиологических обследований.

РТГА выявляет AT, синтезируемые против гемагглютининов вирусов (например, вируса гриппа). Метод позволяет легко выявлять подобные AT в сыворотке больного.

РСК - основной метод серодиагностики вирусных инфекций (среди доступных). Реакция выявляет комплементсвязывающие IgM и IgG, но не дифференцирует их; для оптимизации получаемых результатов постановка реакции требует определённых навыков персонала.

РИФ. При возможности получить биоптат инфицированной ткани и доступности коммерческих наборов AT, меченных флюоресцеином, диагноз может подтвердить реакция прямой иммунофлюоресценции. Постановка реакции включает инкубацию исследуемой ткани с AT, их последующее удаление и люминесцентную микроскопию образца.

Иммуносорбционные методы (например, ИФА и РИА) более информативны, поскольку выявляют IgM и IgG по отдельности, что позволяет делать определённые выводы о динамике инфекционного процесса или состоянии реконвалесценции. Для выявления AT известный Аг сорбируют на твёрдом субстрате (например, на стенках пробирок, пластиковых микропланшетах, чашках Петри) и вносят различные разведения сыворотки пациента. После соответствующей инкубации не связавшиеся AT удаляют, вносят антисыворотку к lg человека, меченную ферментом, повторяют процедуру инкубирования и отмывания несвязанных AT и вносят какой-либо хромогенный субстрат (чувствительный к действию фермента). Поскольку изменение окраски пропорционально содержанию специфических AT, то вполне возможно определение их титра спектрофотометрическим способом. В диагностике ВИЧ-инфекции наибольшее распространение нашёл метод иммуноблотинга.

Выявление вирусных Аг

ИФА. В настоящее время уже появились коммерческие наборы для выявления Аг некоторых возбудителей, позволяющие их идентифицировать в течение 5-10 мин. Для выявления Аг на твёрдой фазе сорбируют известные AT и добавляют сыворотку, содержащую Аг; после инкубирования несвязанный Аг декантируют, систему промывают и вносят меченые AT, специфичные к сорбированным AT. Повторяют процедуру инкубирования и отмывания, вносят хромогенный субстрат, положительный результат фиксируют при изменении окраски системы.

Гибридизация ДНК - высокоспецифичный метод, позволяющий идентифицировать геном вируса после его гибридизации комплементарными молекулами ДНК. В качестве маркёра применяют ферменты и изотопы. Метод определяет способность вирусной ДНК гибридизироваться с меченой комплементарной ДНК; специфичность метода прямо пропорциональна длине I комплементарной цепочки. Перспективен метод гибридизации нуклеиновых кислот in situ. Для постановки реакции меченую ДНК наносят на биоптаты тканей (в том числе на фиксированные формалином или заключённые в парафиновые блоки) и регистрируют взаимодействие с комплементарной ДНК. Метод используют для выявления вирусов простого герпеса, папилломы человека, Эпстайна-Барр и др.

ПЦР. Метод значительно увеличивает чувствительность метода гибридизации, повышая содержание вирусной ДНК в материале, полученном от больного, а также ускоряет время получения результата.



Методы и технологии борьбы с компьютерными вирусами

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач :

* обнаружение вирусов в КС;

* блокирование работы программ-вирусов;

* устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

* удаление вирусов;

* восстановление (при необходимости) файлов, областей памяти.

Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредительских действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами : методы обнаружения вирусов и методы удаления вирусов.

Известны следующие методы обнаружения вирусов:

1. Сканирование - один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером , которая просматривает файлы в поисках опознавательной части вируса - сигнатуры . Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами .

Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.

Метод обнаружения изменений базируется на использовании программ-ревизоров . Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролироваться также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Совершенные программы-ревизоры обнаруживают даже «стелс»-вирусы.

Имеются у этого метода и недостатки . С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе. Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы очень часто изменяются.

2. Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.

3. Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ.

Технологический процесс их применения осуществляется в следующей последовательности: в случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т. п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки «подозрительных» программ, а также для контроля всех поступающих извне файлов (со сменных дисков, по сети).

Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.

4. Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.

5. Самым надежным методом защиты от вирусов является использование аппаратно-программных антивирусных средств . В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе.

В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.

Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:

* работают постоянно;

* обнаруживают все вирусы, независимо от механизма их действия;

* блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один - зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости замены контроллера.

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, достигают астрономических величин в сотни миллионов долларов ежегодно. Антивирусные программы, технические и аппаратные способы не дают полной гарантии защиты от вирусов. Способы противодействия компьютерным вирусам можно разделить на следующие группы:

Профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;

Использование антивирусных программ, обезвреживающих и удаляющих известные вирусы;

Применение способов обнаружения и удаления неизвестного вируса.

Одним из основных методов борьбы с вирусами является своевременная компьютерная профилактика, которая предполагает соблюдение небольшого числа правил, позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных. Чтобы избежать или снизить ве­роятность заражения вирусом, следует применять следу­ющие профилактические меры:

Использовать дистрибутивные копии программного обеспечения;

Использовать при работе на компьютере программу антивирусный монитор, который должен резидентно находиться в памяти компьютера;

Использовать по-возможности программы-фильтры, программы-ревизоры, программы-доктора;

При работе в сети на сервере администраторам сетей следует активно использовать стандартные возможности защиты сети: ограничение прав пользователей; установку атрибутов «только на чтение » или «только на запуск » для всех выполняемых файлов;

Если нет необходимости грузить систему с дискеты, то рекомендуется поставить в BIOS Setup порядок загрузки «сначала - С:, потом - A: », что надежно защитит компьютер от загрузочных вирусов;

На дискеты с файлами, которые не нужно изме­нять, установить защиту от записи;

Проверять вновь полученные программные продукты и дискеты, используемые на других компьютерах;

Перед открытием проверять документы Word/Excel , полученные из локальной сети, из глобальной сети Internet или по электронной почте, антивирусными программами;

Периодически обновлять и систематически приме­нять свои антивирусные программы;

Периодически копировать информацию, создавать копию файлов и системных областей дисков; файлы рекомендуется архивировать, т.к. к архивным файлам, вирус не приписывается;

Ограничить круг лиц, допущенных к работе на компьютере;

Использовать утилиты проверки целостности информации, они сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.);

Периодически сравнивать информацию, хранящуюся в базе данных, с реальным содержимым жесткого диска, так как любое несоответствие может служить сигналом о появлении вируса;

Хотя предотвратить заражение вирусами компьютер, включенный в локальную и глобальную компьютерную сеть, достаточно трудно, однако, применяя различные способы защиты информации, можно значительно сни­зить вероятность заражения вирусом и эффективно его «вы­лечить». При заражении вирусом рекомендуется: если имеются архивные файлы, то можно уничто­жить все зараженные или подозреваемые в заражении файлы, при невозможности применить эти меры целесо­образно осуществить следующие действия:

Выключить ПЭВМ и отключить все коммуника­ции;

Установить защиту от записи на все носители ин­формации ПЭВМ;

Создать загрузочную дискету, т.е. отформатировать ее и записать на нее системные файлы;

Записать на нее антивирусные программы и драйвер клавиатуры keyrus.com .

Защитить дискету от записи;

Перезагрузить операционную систему с эталонной и защищенной от записи дискеты;

Запустить антивирусную программу-фильтр (иначе, запустить последовательно драйвер клавиатуры и антивирусную программу, записанную на дискету);

Скопировать зараженные файлы или всю информацию на новый магнитный носитель;

Новый носитель использовать для обнаружения и уничтожения вируса с помощью программ-детек­торов и докторов;

Если тип вируса распознан на новом носителе, то необходимые антивирусные программы при­менить для уничтожения вируса на рабочем но­сителе;

Если вирус не найден, нужно обратиться к специ­алистам.

Можно попытаться вылечить зараженные файлы и без переноса информации на другой носитель, т.е. установив режим «Лечение » в антивирусной программе. К сожалению, не существует антивирусной программы, которая обеспечила бы 100% защиту компьютера. Только хорошо подобранный набор антивирусных средств и регулярная профилактика сведет к минимуму возможные потери информации.

6.17. Антивирусные программы. Классификация
антивирусных программ

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы, хотя они и не гарантируют стопроцентную защиту от вирусов. Существует несколько типов антивирусных программ:

1.Программы-детекторы обнаруживают файлы, зараженные вирусами. К этому классу относятся следующие программы:

- Aids Test Д. Лозинского, программа обновляется 2-3 раза в месяц, номер версии программы соответствует числу обнаруживаемых вирусов;

- AVSP А. Борисова, программа обновляется раз в полгода, имеет способность обучаться распознаванию новых вирусов;

- -V Е. Касперского, программа обновляется ежемесячно;

- Vir Scan (фирма IBM ) и Scan (фирма MCAffe Associates );

2.Программы - полифаги (доктора) – программы, которые обнаруживают фиксированный набор известных им вирусов и в большинстве случаев обезвреживают их. Примеры: DR.Web (Doctor Web) И.А. Данилова; AntiViral Toolkit Pro Евгения Касперского; Aids Test Д. Лозинского.

3.Резидентные антивирусы (сторожа) – это программы, которые находятся постоянно в оперативной памяти компьютера и контролируют операции, проводимые с диском и памятью. При подозрении на вирус сообщают об этом пользователю, например, AntiViral Toolkit Pro Monitor .

4.Программы-ревизоры – программы, запоминающие сведения о состоянии файлов и системных областей дисков (длину, контрольную сумму и др.). При работе программы сравнивают рабочие характеристики файлов с исходными характеристиками и делают вывод о возможном заражении файлов. Некоторые программы-ревизоры (например, A Dinf ) позволяют восстановить при необходимости исходное состояние системных областей и контролируемых файлов. Примеры: A Dinf Д. Мостового, фирма «Диалог-Наука»; A Dinf Cure Module Д. Мостового, В. Ладыгина, Д. Зуева, фирма «Диалог-Наука»; LOOKCMD ; FSP .

5.Программы-фильтры - программы, которые располагаются резидентно в оперативной памяти и перехватывают обращение к операционной системе, которые вирусы используют для размножения и нанесения вреда. К таким программам относятся: Disk Monitor ; FSP , Vaccine ; Anti 4 us .

Самыми популярными и эффективными антивирусными программами являются:

Антивирусные сканеры (другие названия: фаги, полифаги);

- CRC -сканеры (также: ревизор, checksumer , integrity checker );

Блокировщики;

Иммунизаторы.

Часто антивирусные сканеры и CRC -сканеры объединяют в одну универсальную антивирусную программу, что значительно повышает ее мощность.

Антивирусные сканеры . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, на поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются маски - некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы, например: алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения: «возможно заражен» или «не заражен» для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний. Различают следующие категории сканеров:

Универсальные сканеры - сканеры, рассчитанные на поиск и обезвреживание всех типов вирусов;

Специализированные сканеры - сканеры, предназначеные для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов, являются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel ;

Резидентные (мониторы) сканеры - сканеры, которые перед тем как разрешить доступ к объекту, производят его сканирование на наличие вируса;

Нерезидентные сканеры - сканеры, которые обеспечивают проверку системы по запросу.

Резидентные сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска. Достоинство сканеров всех типов - их универсальность. Недостатки: большие размеры антивирусных баз, небольшая скорость поиска вирусов.

CRC-сканеры . Принцип работы CRC -сканеров основан на подсчете CRC -сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. CRC -суммы, длина файлов, дата их последней модификации и т.д. сохраняются в базе данных антивируса. При последующем запуске CRC -сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC -сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC -сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления. Однако у этого типа антивирусов есть недостатки, которые заметно снижают их эффективность. CRC -сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC -сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» и заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми.

Блокировщики . Антивирусные блокировщики – это резидентные программы, перехватывающие вирусо-опасные ситуации и сообщающие об этом пользователю. К вирусо-опасным ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в boot -сектора дисков, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Антивирусные блокировщики подразделяются на: программные блокировщики и блокировщики, выполненные в виде аппаратных компонентов компьютера.

Наиболее распространенной является встроенная в BIOS защита от записи. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS -утилиты FDISK немедленно вызывает ложное срабатывание защиты. Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики непопулярными на фоне остальных типов антивирусной защиты.

Достоинство блокировщиков - способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. Недостатки блокировщиков: существование путей обхода защиты блокировщиков, большое количество ложных срабатываний. Вышеуказанные недостатки являются причиной для отказа пользователей от антивирусных блокировщиков.

Иммунизаторы . Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении объектов и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первый тип иммунизаторов обычно записывается в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяет его на изменение. Недостаток: абсолютная неспособность сообщить о заражении стелс-вирусом . Поэтому в настоящее время такие иммунизаторы, как и блокировщики, практически не используются.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 72 секунды, а другие - 70 секунд. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.