Nalezen virus
Tato situace nastane, pokud byl b∞hem n∞kterΘho z kontrolnφch test∙
detekovßn objekt, napaden² virem. Programy AVG rozeznßvajφ n∞kolik zp∙sob∙
oznaΦenφ napadenΘho objektu û u₧ivatel by m∞l znßt v²znam jednotliv²ch
hlßÜenφ a jejich zßva₧nost.
Identifikovßn virus <jmΘno viru>
V tomto p°φpad∞, byl zjiÜt∞n konkrΘtnφ virus, byla provedena opakovanß
kontrola a potvrzenφ nßkazy (nap°. kontrolnφ souΦty CRC t∞la viru).
Pravd∞podobnost nßkazy je tΘm∞° 100%, jedinou mo₧nostφ faleÜnΘho poplachu
je p°φpad chybn∞ vylΘΦenΘho objektu û t∞lo viru v objektu z∙stalo, ale byl
opraven zaΦßtek hostitelskΘho programu, tak₧e virus je neaktivnφ û neÜφ°φ
se.
Jako souΦßst jmΘna viru m∙₧e b²t p°ipojeno jeÜt∞ dalÜφ rozliÜenφ. N∞kterß
z t∞chto rozliÜenφ jsou doporuΦenß tzv. "CARO konvencφ" (Germ, Dropper,
Killed), ostatnφ jsou pou₧φvßny pouze pro pot°eby systΘmu AVG.
Nalezen virus <jmΘno viru>
V tomto p°φpad∞ byl zjiÜt∞n znßm² virus, ale nebyla p°esn∞ urΦena jeho
identifikace. M∙₧e jφt o novou variantu, jejφ₧ p°esnou identifikaci
program AVG dosud neznß, ale tento p°edpoklad nenφ zcela jist².
Novß varianta viru
HlßÜenφ z v²znamem stejn²m jako u p°edchozφho bodu, nicmΘn∞ vÜechny
varianty zjiÜt∞nΘho viru jsou programu AVG natolik znßmy, ₧e se s
urΦitostφ jednß o zcela novou mutaci viru.
V p°φpad∞ tohoto hlßÜenφ dojde k exportu vzorku podez°elΘho objektu do
zvlßÜtnφho souboru GRISOFT.!!! Tento soubor by m∞l b²t urychlen∞ zaslßn
p°φmo na adresu v²robce tak, aby novß varianta viru mohla b²t p°esn∞
urΦena, popsßna a zahrnuta do aktualizacφ systΘmu AVG.
M∙₧e b²t napaden virem <jmΘno viru>
V tomto p°φpad∞ se jednß o typickΘ podez°enφ. P°i testu byl detekovßn
virus, obsa₧en² v internφ virovΘ databßzi, ale opakovanΘ kontroly jej ji₧
nepotvrdily.
Takto oznaΦen² objekt, by m∞l b²t urychlen∞ zaslßn p°φmo na adresu v²robce
tak, aby objekt s podez°enφm mohl b²t analyzovßn a p°φpadn² virus za°azen
do aktualizacφ systΘmu AVG.
Nalezen neznßm² virus <identifikace>
Toto hlßÜenφ vydßvß pouze heuristickß anal²za
(spuÜt∞nß samostatn∞, jako souΦßst
kompletnφho testu,
nebo v rßmci testu diskety).
Objekt byl
analyzovßn a byly zjiÜt∞ny takovΘ skuteΦnosti o k≤du, ₧e je vydßno hlßÜenφ
o nalezenφ viru. Proto₧e ₧ßdn² znßm² virus v objektu vÜak nebyl nalezen,
bylo pou₧ito oznaΦenφ NEZN┴M▌ virus.
Jako <identifikace> se pou₧φvß toto oznaΦenφ:
- COM û napadß soubory COM
- EXE û napadß soubory EXE
- TSR û je rezidentnφ v pam∞ti
- CRYPTED û je k≤dovan²
V p°φpad∞ tohoto hlßÜenφ dojde k exportu vzorku podez°elΘho objektu do
zvlßÜtnφho souboru GRISOFT.!!! Tento soubor by m∞l b²t urychlen∞ zaslßn
p°φmo na adresu v²robce tak, aby novß varianta viru mohla b²t p°esn∞
urΦena, popsßna a zahrnuta do aktualizacφ systΘmu AVG.
M∙₧e b²t napaden neznßm²m virem
Toto hlßÜenφ op∞t produkuje heuristickß anal²za.
D∙vody jsou obdobnΘ, jako
u p°edchozφho p°φpadu, nicmΘn∞ zjiÜt∞nΘ skuteΦnosti, p°φpadn∞ jejich
kombinace nejsou tak zßva₧nΘ. V tomto p°φpad∞ se opravdu m∙₧e jednat o
nov², neznßm² virus, nebo naopak o "typickΘ mylnΘ hlßÜenφ".
V p°φpad∞ tohoto hlßÜenφ dojde k exportu vzorku podez°elΘho objektu do
zvlßÜtnφho souboru GRISOFT.!!! Tento soubor by m∞l b²t urychlen∞ zaslßn
p°φmo na adresu v²robce tak, aby novß varianta viru mohla b²t p°esn∞
urΦena, popsßna a zahrnuta do aktualizacφ systΘmu AVG.
Trojsk² k∙≥ <jmΘno>
Byl zjiÜt∞n tzv. Trojsk² k∙≥. Zde se nejednß o poΦφtaΦov² virus, ale o
program, kter² p°i svΘm spuÜt∞nφ m∙₧e provΘst (v zßvislosti na r∙zn²ch
podmφnkßch) destrukΦnφ akci.
Äertovn² program <jmΘno>
V tomto p°φpad∞ se nejednß o poΦφtaΦov² virus, ale o program (oznaΦovan²
jako joke û ₧ertovn²), kter² napodobuje projevy poΦφtaΦov²ch vir∙ (akce s
obrazovkou, klßvesnicφ, apod.)
Identifikovßn nesmysl <jmΘno>
Tento pon∞kud zvlßÜtnφ nßzev oznaΦuje soubory s nesmysln²m obsahem,
kterΘ se obΦas vyskytujφ v n∞kter²ch sbφrkßch poΦφtaΦov²ch vir∙.
Ostatnφ "nevirovß" hlßÜenφ
V souvislosti s hlßÜenφm o nalezenΘm viru, upozornφme takΘ na jinß
hlßÜenφ, kterΘ kontrolnφ testy programu AVG vydßvajφ. Podot²kßme, ₧e v
t∞chto p°φpadech se NEJEDN┴ o poΦφtaΦov² virus, ale o korektnφ programy,
kterΘ vÜak stojφ za u₧ivatelovu pozornost. V∞tÜinu nφ₧e uveden²ch hlßÜenφ
lze takΘ potlaΦit v ObecnΘm nastavenφ test∙.
Vadn² soubor û jednß se o poÜkozen²/zniΦen² soubor (nap°φklad soubor EXE
s nesmyslnou EXE hlaviΦkou).
Chrßn∞n² dokument û pokud je dokument (soubor DOC vytvo°en² programem
Microsoft Word) chrßn∞n heslem, nenφ mo₧nΘ jej zkontrolovat na p°φtomnost
makrovir∙. Toto hlßÜenφ bude vypsßno i v p°φpad∞ archφvu, chrßn∞nΘho
heslem. I v tomto p°φpad∞ nenφ mo₧nΘ obsah archφvu rozbalit a prov∞°it.
Internφ komprese û oznamuje, ₧e testovan² soubor je
intern∞ komprimovßn.
Detailnφ kontrolu intern∞ komprimovan²ch soubor∙ lze zapnout/vypnout
prost°ednictvφm nastavenφ jednotliv²ch test∙.
Archφv (ZIP, ARJ) û oznamuje, ₧e byl nalezen archφv
(p°φpadn∞ jeho samoûrozbalitelnß podoba û EXE tvar).
O tom, zda bude kontrolovßn obsah
archφv∙, rozhoduje nastavenφ parametr∙ jednotliv²ch test∙.
Soubor je chrßn∞n û oznamuje, ₧e testovan² soubor je upraven jin²mi
programy. Jednß se p°edevÜφm o nejr∙zn∞jÜφ protectûprogramy, imunizace
apod.
P°φtomnost maker û kontrolnφ testy budou upozor≥ovat, ₧e prßv∞
testovan² soubor typu DOC (textov² soubor Microsoft Word) obsahuje j
akßkoliv makra. Toto hlßÜenφ upozor≥uje opravdu pouze na existenci maker
a rozhodn∞ neznamenß detekci makroviru.
Co s nalezen²m virem
Vra¥me se vÜak k situaci, kdy byl b∞hem provßd∞nΘho testu zjiÜt∞n objekt,
napaden² poΦφtaΦov²m virem. U₧ivatel je na tuto skuteΦnost upozorn∞n a
m∙₧e vyu₧φt slu₧eb, urΦen²ch pro odstran∞nφ virovΘ nßkazy.
Nabφdka funkcφ vedoucφch k odstran∞nφ viru se liÜφ v zßvislosti na tom,
zda napaden²m objektem je soubor nebo systΘmovß oblast. Oba tyto objekty
je mo₧nΘ lΘΦit û odstranit virus.
SystΘmovou oblast vÜak, na rozdφl od
souboru, nelze samoz°ejm∞ ani p°ejmenovat ani smazat. Nabφzφ se pro ni
vÜak jinß mo₧nost û nahradit jejφ obsah (obsahujφcφ virus) zßlo₧nφ kopiφ
ze zßchrannΘ diskety, bylaûli tato disketa ovÜem vytvo°ena a jeûli k
dispozici.
Napadena systΘmovß oblast
V p°φpad∞, ₧e byla virem napadena systΘmovß oblast, je nabφdka funkcφ
prostß û k dispozici je jedinß funkce - LΘΦit.
LΘΦenφ systΘmovΘ oblasti je komplexnφ proces, p°i kterΘm se analyzuje
virus a automaticky se volφ funkce, nejvhodn∞jÜφ pro jeho odstran∞nφ.
Pokud sel₧e pokus o obnovu oblasti z databßze, kterou si vytvß°φ rychl²
test a pokus o klasickΘ lΘΦenφ, je u₧ivateli navr₧ena mo₧nost
GenerickΘ obnovy systΘmovΘ oblasti.
Generickß obnova
Proces generickΘ obnovy systΘmovΘ oblasti spoΦφvß v nahrazenφ napadenΘho
k≤du obecn∞ platn²m k≤dem. Tato funkce je spolehlivß, pokud pou₧φvßte
standardnφ software a hardware. Pokud vÜak vyu₧φvßte slu₧eb nestandardnφch
program∙ û nap°. OnûTrack manager pevn²ch disk∙, nepovede k po₧adovanΘmu
v²sledku.
Obecn∞ lze °φci, ₧e platφ tato podmφnka:
Pokud vßÜ poΦφtaΦ (s napadenou systΘmovou oblastφ) mß po startu systΘmu ze
systΘmovΘ diskety p°φstupn² a Φiteln² pevn² disk, bude generickß metoda
lΘΦenφ ·sp∞Ünß. V opaΦnΘm p°φpad∞ zvolte p°i dotazu, zda se mß pou₧φt,
volbu Ne
.
Zp∞tnΘ informace
B∞hem lΘΦenφ se takΘ vytvß°φ soubor tzv. Zp∞tn²ch informacφ. Pokud je
lΘΦenφ ·sp∞ÜnΘ, jsou tyto informace pouze p°ipomφnkou virovΘ nßkazy.
Pokud vÜak dopadlo lΘΦenφ ne·sp∞Ün∞ a za°φzenφ je po lΘΦenφ nep°φstupnΘ,
je mo₧nΘ vyu₧φt t∞chto informacφ k obnov∞ systΘmovΘ oblasti (a tφm i
celΘho za°φzenφ) do p∙vodnφho stavu (stavu kdy systΘmovß oblast obsahuje
virus).
Zpracovßnφ Zp∞tn²ch informacφ provßdφ externφ program
AVG_RST.EXE, kter²
je souΦßstφ verze programu AVG pro DOS û viz p°φsluÜnß kapitola.
D∙le₧itΘ upozorn∞nφ:
Je nutnΘ p°ipomenout, ₧e pro zdßrn² ·sp∞ch lΘΦenφ napadenΘ oblasti je
vhodnΘ zajistit "viruprostΘ" prost°edφ. To lze uΦinit startem operaΦnφho
systΘmu z ΦistΘ systΘmovΘ diskety. V tomto p°φpad∞ vÜak bude mo₧nΘ pou₧φt
pouze program AVG pro MSûDOS. P°esto₧e funkci pro lΘΦenφ systΘmov²ch
oblastφ obsahujφ takΘ verze programu AVG pro WINDOWS, bude vhodn∞jÜφ pro
tento ·Φel pou₧φvat verzi pro MSûDOS.
Napaden soubor
Smazat soubor
U napaden²ch soubor∙ se nabφzφ samoz°ejm∞ mo₧nost napaden² soubor smazat.
Tento zp∙sob je oznaΦovßn jako nejspolehliv∞jÜφ metoda odstran∞nφ viru.
Je mo₧nΘ ji vÜak provΘst pouze p°i spln∞nφ podmφnky, ₧e mßme zßlo₧nφ kopii
napadenΘho souboru, p°φpadn∞ napaden² soubor m∙₧eme postrßdat. V opaΦnΘm
p°φpad∞ odstranφme virus, ale zp∙sobφme nefunkΦnost dotΦenΘho programovΘho
vybavenφ, se vÜemi negativnφmi d∙sledky. V ka₧dΘm p°φpad∞ je vÜak tato
situace lepÜφ, ne₧ funkΦnφ program s aktivnφm virem.
P°ejmenovat soubor
Druhou mo₧nostφ je napaden² soubor p°ejmenovat û pou₧ijeme p°φponu jinou
ne₧ EXE a COM. Toto °eÜenφ zajistφ bezpeΦnΘ zablokovßnφ viru v napadenΘm
souboru. Ten nelze spustit, virus se nem∙₧e dßle Üφ°it. Situace vÜak nenφ
v podstat∞ vy°eÜena û m∙₧e vÜak b²t °eÜena pozd∞ji.
LΘΦit soubor
Nejv²hodn∞jÜφm zp∙sobem odstran∞nφ viru je proces tzv. lΘΦenφ. Ten
spoΦφvß v odstran∞nφ viru z napadenΘho objektu tak, aby byla zachovßna
p∙vodnφ funkΦnost tohoto objektu. Funkce lΘΦenφ s sebou nese °adu
problΘm∙ û n∞kterΘ viry nelze odstranit bez zniΦenφ napadenΘho hostitele.
Z n∞kter²ch lze virus odstranit, avÜak p°esto hrozφ nebezpeΦφ zniΦenφ
hostitelskΘho programu.
Programy systΘmu AVG disponujφ funkcφ, oznaΦovanou jako lΘΦenφ. Jde o
kombinaci n∞kolika funkcφ û program sßm, na zßklad∞ zjiÜt∞n²ch
skuteΦnostφ o viru a napadenΘm hostiteli, vybere nejvhodn∞jÜφ zp∙sob lΘΦby.
D∙le₧itΘ upozorn∞nφ:
Pro zdßrn² pr∙b∞h lΘΦenφ napadenΘho objektu je nutnΘ zajistit viruprostΘ
prost°edφ. NejjednoduÜÜφ a takΘ nejspolehliv∞jÜφ cestou jak toho dosßhnout,
je provΘst nata₧enφ operaΦnφho systΘmu z "ΦistΘ" systΘmovΘ diskety. Pokud
takovou disketu nemßte, je nezbytn∞ nutnΘ ji vytvo°it. Nevytvß°ejte ji
vÜak zßsadn∞ na zavirovanΘm poΦφtaΦi.
Ov∞°enφ lΘΦenφ
Po provedenΘm lΘΦenφ nßsleduje ov∞°enφ v²sledku funkce. Pokud existuje
databßze kompletnφho testu
a tato databßze obsahuje informace o napadenΘm
objektu z doby, kdy byl viruprost², porovnß se vylΘΦen² objekt se sv²m
obrazem v tΘto databßzi. Pokud je shodn², bylo lΘΦenφ 100% ·sp∞ÜnΘ. Pokud
jsou zjiÜt∞ny rozdφly, m∙₧e se jednat o rozdφly nepodstatnΘ (nesouhlas
dΘlky o n∞kolik Byte, nesouhlas mΘn∞ d∙le₧it²ch ·daj∙, apod.) nebo opravdu
o rozdφly zp∙sobenΘ zniΦenφm lΘΦenΘho hostitelskΘho objektu.
V p°φpad∞ zjiÜt∞nΘho rozdφlu se program AVG dotazuje u₧ivatele, zda se mß
soubor pova₧ovat za vylΘΦen² Φi nikoliv. Pokud preferujete pouze 100%
lΘΦenφ a mßte kopie v∞tÜiny pou₧φvan²ch program∙, lze jakΘkoliv rozdφly po
lΘΦenφ odmφtnout. V takovΘm p°φpad∞ se napaden² soubor vrßtφ zp∞t do svΘ
p∙vodnφ podoby (napadenΘ virem).
Pokud neexistuje kopie p∙vodnφho viruprostΘho programu, lze p°ijmout
lΘΦenφ se zjiÜt∞n²m rozdφlem (pozd∞ji bude nutnΘ provΘst test funkΦnosti
vylΘΦenΘho objektu). M∙₧ete takΘ nastavit konfiguraΦnφ polo₧ku, kterß
urΦuje, jak se bude naklßdat s vylΘΦen²mi objekty se zjiÜt∞n²m rozdφlem û
bez interaktivnφho dotazu na u₧ivatele.
Jak je z°ejmΘ z v²Üe uvedenΘho textu, lΘΦenφ napaden²ch objekt∙ je v₧dy
rizikovß operace, a¥ je antivirov² program sebevφce kvalitnφ. V ka₧dΘm
p°φpad∞ doporuΦujeme vyu₧φt bezpeΦnostnφ funkce, kterß v₧dy vytvo°φ
zßlo₧nφ kopii lΘΦenΘho souboru (napaden² soubor se nejprve zkopφruje do
zßlo₧nφho souboru s p°φponou EX! nebo CO!).
LΘΦenφ v archφvu
LΘΦenφ nenφ mo₧nΘ v p°φpad∞, ₧e virus byl zjiÜt∞n v objektu v
archφvu
(ZIP, ARJ) nebo byl zjiÜt∞n uvnit°
intern∞ komprimovanΘho programu.
V obou
t∞chto p°φpadech nutnΘ je p°ed vlastnφm po₧adavkem na lΘΦenφ dekomprimovat
napaden² objekt a teprve pak jej vylΘΦit.