Методика використання антивірусних програм.

Перед використанням антивірусних програм вкрай бажано завантажитися з резервної копіїDOS, що розміщена на заздалегідь чистій від вірусів захищеній від запису дискеті. Це необхідно для того, щоб застрахувати від присутності резидентного вірусу, бо він може блокувати роботу антивірусу або використати його роботу для інфікування файлів, що перевіряються. Перевантаження комп'ютера повинна бути холодним, оскільки деякі віруси “виживають” при теплому перевантаженні.

Бажано, щоб антивірусні програми, що використовуються для перевірки, були самих останніх версій. Бажано також, щоб хоча б одна з них була вітчизняного виробництва, оскільки процеси міграції вірусів в інші країни і міграція антивірусних програм займає досить великий час. Тому найбільш оперативно на появу нового вірусу реагують тільки вітчизняні антивірусні програми.

Якщо виявлені заражені файли, то слід: надрукувати їх список; якщо для цих файлів немає BACKUP-копії, те зберегти їх на дискеті; якщо відновлення файлів відбулося не цілком коректно, то їх слід знищити і переписати з BACKUP-копій; якщо ж копій немає, то відновити заражені файли з дискет і намагатися дезактивувати їх за допомогою іншого антивірусу.

Слід зазначити, що якість відновлення файлів багатьма антивірусними програмами залишає бажати кращого. Багато популярних антивірусів частенько необоротно псують файли замість їхнього лікування. Тому, якщо втрата файлів небажана, те виконувати перераховані вище пункти слід в повному обсязі.

Необхідно звертати особливу увагу на чистоту модулів, стислих утилітами типу LZEXE, PKLETE або DIET, файлів в архівах (ZIP, ARC, ICE, ARJ і т.д.) і даних в файлах, які розпаковуються самі, створених утилітами типу ZIP або EXE. Якщо випадково упакувати файл, заражений вірусом, то відкриття і вилучення такого вірусу без розпаковки файлу практично неможливо. В даному випадку типовою буде ситуація, при якій всі антивірусні програми повідомлять про те, що від вірусів очищені всі диски, але через деякий час вірус з'явиться знов.

Штами вірусу можуть проникнути і в BACKUP-копії програмного забезпечення при поновленні цих копій. Причому архіви та BACKUP-копії є основними постачальниками давно відомих вірусів. Вірус може роками “сидіти” в дистрибутивній копії якого-небудь програмного продукту і раптово з'явитися при установці програм на новому комп'ютері інформаційної системи.

Ніхто не може гарантувати повного знищення всіх копій комп'ютерного вірусу, оскільки файловий вірус може вразити не тільки файли, що виконуються, але і оверлайні модулі з розширенням імені, що відрізняються від COM або EXE. Завантажувальний вірус може залишитися на будь-якій дискеті і зненацька виявитися при випадковій спробі перевантажити з неї. Тому доцільно деякий час після вилучення вірусу постійно користуватися резидентним антивірусним монітором типу утиліти D. COM, що входить в комплекс <<Доктор >> Касперський". За допомогою резидентного монітору можна перехопити момент появи переважної більшості вірусів. Якщо вірус не резидентний, то монітор перехоплює звернення до файлів типу COM або EXE. Якщо вірус резидентний, то відслідковують зміни в блоках пам'яті і в таблиці векторів переривань. При цьому слід з'ясувати, як резидентний вірус виглядить на карті оперативної пам'яті, і після дезактивації вірусу переглянути карту пам'яті на предмет виявлення цього вірусу.