Nalezen virus
Tato situace nastane, pokud byl během některého z kontrolních testů
detekován objekt, napadený virem. Programy AVG rozeznávají několik způsobů
označení napadeného objektu – uživatel by měl znát význam jednotlivých
hlášení a jejich závažnost.
Identifikován virus <jméno viru>
V tomto případě, byl zjištěn konkrétní virus, byla provedena opakovaná
kontrola a potvrzení nákazy (např. kontrolní součty CRC těla viru).
Pravděpodobnost nákazy je téměř 100%, jedinou možností falešného poplachu
je případ chybně vyléčeného objektu – tělo viru v objektu zůstalo, ale byl
opraven začátek hostitelského programu, takže virus je neaktivní – nešíří
se.
Jako součást jména viru může být připojeno ještě další rozlišení. Některá
z těchto rozlišení jsou doporučená tzv. "CARO konvencí" (Germ, Dropper,
Killed), ostatní jsou používány pouze pro potřeby systému AVG.
Nalezen virus <jméno viru>
V tomto případě byl zjištěn známý virus, ale nebyla přesně určena jeho
identifikace. Může jít o novou variantu, jejíž přesnou identifikaci
program AVG dosud nezná, ale tento předpoklad není zcela jistý.
Nová varianta viru
Hlášení z významem stejným jako u předchozího bodu, nicméně všechny
varianty zjištěného viru jsou programu AVG natolik známy, že se s
určitostí jedná o zcela novou mutaci viru.
V případě tohoto hlášení dojde k exportu vzorku podezřelého objektu do
zvláštního souboru GRISOFT.!!! Tento soubor by měl být urychleně zaslán
přímo na adresu výrobce tak, aby nová varianta viru mohla být přesně
určena, popsána a zahrnuta do aktualizací systému AVG.
Může být napaden virem <jméno viru>
V tomto případě se jedná o typické podezření. Při testu byl detekován
virus, obsažený v interní virové databázi, ale opakované kontroly jej již
nepotvrdily.
Takto označený objekt, by měl být urychleně zaslán přímo na adresu výrobce
tak, aby objekt s podezřením mohl být analyzován a případný virus zařazen
do aktualizací systému AVG.
Nalezen neznámý virus <identifikace>
Toto hlášení vydává pouze heuristická analýza
(spuštěná samostatně, jako součást
kompletního testu,
nebo v rámci testu diskety).
Objekt byl
analyzován a byly zjištěny takové skutečnosti o kódu, že je vydáno hlášení
o nalezení viru. Protože žádný známý virus v objektu však nebyl nalezen,
bylo použito označení NEZNÁMÝ virus.
Jako <identifikace> se používá toto označení:
- COM – napadá soubory COM
- EXE – napadá soubory EXE
- TSR – je rezidentní v paměti
- CRYPTED – je kódovaný
V případě tohoto hlášení dojde k exportu vzorku podezřelého objektu do
zvláštního souboru GRISOFT.!!! Tento soubor by měl být urychleně zaslán
přímo na adresu výrobce tak, aby nová varianta viru mohla být přesně
určena, popsána a zahrnuta do aktualizací systému AVG.
Může být napaden neznámým virem
Toto hlášení opět produkuje heuristická analýza.
Důvody jsou obdobné, jako
u předchozího případu, nicméně zjištěné skutečnosti, případně jejich
kombinace nejsou tak závažné. V tomto případě se opravdu může jednat o
nový, neznámý virus, nebo naopak o "typické mylné hlášení".
V případě tohoto hlášení dojde k exportu vzorku podezřelého objektu do
zvláštního souboru GRISOFT.!!! Tento soubor by měl být urychleně zaslán
přímo na adresu výrobce tak, aby nová varianta viru mohla být přesně
určena, popsána a zahrnuta do aktualizací systému AVG.
Trojský kůň <jméno>
Byl zjištěn tzv. Trojský kůň. Zde se nejedná o počítačový virus, ale o
program, který při svém spuštění může provést (v závislosti na různých
podmínkách) destrukční akci.
Žertovný program <jméno>
V tomto případě se nejedná o počítačový virus, ale o program (označovaný
jako joke – žertovný), který napodobuje projevy počítačových virů (akce s
obrazovkou, klávesnicí, apod.)
Identifikován nesmysl <jméno>
Tento poněkud zvláštní název označuje soubory s nesmyslným obsahem,
které se občas vyskytují v některých sbírkách počítačových virů.
Ostatní "nevirová" hlášení
V souvislosti s hlášením o nalezeném viru, upozorníme také na jiná
hlášení, které kontrolní testy programu AVG vydávají. Podotýkáme, že v
těchto případech se NEJEDNÁ o počítačový virus, ale o korektní programy,
které však stojí za uživatelovu pozornost. Většinu níže uvedených hlášení
lze také potlačit v Obecném nastavení testů.
Vadný soubor – jedná se o poškozený/zničený soubor (například soubor EXE
s nesmyslnou EXE hlavičkou).
Chráněný dokument – pokud je dokument (soubor DOC vytvořený programem
Microsoft Word) chráněn heslem, není možné jej zkontrolovat na přítomnost
makrovirů. Toto hlášení bude vypsáno i v případě archívu, chráněného
heslem. I v tomto případě není možné obsah archívu rozbalit a prověřit.
Interní komprese – oznamuje, že testovaný soubor je
interně komprimován.
Detailní kontrolu interně komprimovaných souborů lze zapnout/vypnout
prostřednictvím nastavení jednotlivých testů.
Archív (ZIP, ARJ) – oznamuje, že byl nalezen archív
(případně jeho samo–rozbalitelná podoba – EXE tvar).
O tom, zda bude kontrolován obsah
archívů, rozhoduje nastavení parametrů jednotlivých testů.
Soubor je chráněn – oznamuje, že testovaný soubor je upraven jinými
programy. Jedná se především o nejrůznější protect–programy, imunizace
apod.
Přítomnost maker – kontrolní testy budou upozorňovat, že právě
testovaný soubor typu DOC (textový soubor Microsoft Word) obsahuje j
akákoliv makra. Toto hlášení upozorňuje opravdu pouze na existenci maker
a rozhodně neznamená detekci makroviru.
Co s nalezeným virem
Vraťme se však k situaci, kdy byl během prováděného testu zjištěn objekt,
napadený počítačovým virem. Uživatel je na tuto skutečnost upozorněn a
může využít služeb, určených pro odstranění virové nákazy.
Nabídka funkcí vedoucích k odstranění viru se liší v závislosti na tom,
zda napadeným objektem je soubor nebo systémová oblast. Oba tyto objekty
je možné léčit – odstranit virus.
Systémovou oblast však, na rozdíl od
souboru, nelze samozřejmě ani přejmenovat ani smazat. Nabízí se pro ni
však jiná možnost – nahradit její obsah (obsahující virus) záložní kopií
ze záchranné diskety, byla–li tato disketa ovšem vytvořena a je–li k
dispozici.
Napadena systémová oblast
V případě, že byla virem napadena systémová oblast, je nabídka funkcí
prostá – k dispozici je jediná funkce - Léčit.
Léčení systémové oblasti je komplexní proces, při kterém se analyzuje
virus a automaticky se volí funkce, nejvhodnější pro jeho odstranění.
Pokud selže pokus o obnovu oblasti z databáze, kterou si vytváří rychlý
test a pokus o klasické léčení, je uživateli navržena možnost
Generické obnovy systémové oblasti.
Generická obnova
Proces generické obnovy systémové oblasti spočívá v nahrazení napadeného
kódu obecně platným kódem. Tato funkce je spolehlivá, pokud používáte
standardní software a hardware. Pokud však využíváte služeb nestandardních
programů – např. On–Track manager pevných disků, nepovede k požadovanému
výsledku.
Obecně lze říci, že platí tato podmínka:
Pokud váš počítač (s napadenou systémovou oblastí) má po startu systému ze
systémové diskety přístupný a čitelný pevný disk, bude generická metoda
léčení úspěšná. V opačném případě zvolte při dotazu, zda se má použít,
volbu Ne
.
Zpětné informace
Během léčení se také vytváří soubor tzv. Zpětných informací. Pokud je
léčení úspěšné, jsou tyto informace pouze připomínkou virové nákazy.
Pokud však dopadlo léčení neúspěšně a zařízení je po léčení nepřístupné,
je možné využít těchto informací k obnově systémové oblasti (a tím i
celého zařízení) do původního stavu (stavu kdy systémová oblast obsahuje
virus).
Zpracování Zpětných informací provádí externí program
AVG_RST.EXE, který
je součástí verze programu AVG pro DOS – viz příslušná kapitola.
Důležité upozornění:
Je nutné připomenout, že pro zdárný úspěch léčení napadené oblasti je
vhodné zajistit "viruprosté" prostředí. To lze učinit startem operačního
systému z čisté systémové diskety. V tomto případě však bude možné použít
pouze program AVG pro MS–DOS. Přestože funkci pro léčení systémových
oblastí obsahují také verze programu AVG pro WINDOWS, bude vhodnější pro
tento účel používat verzi pro MS–DOS.
Napaden soubor
Smazat soubor
U napadených souborů se nabízí samozřejmě možnost napadený soubor smazat.
Tento způsob je označován jako nejspolehlivější metoda odstranění viru.
Je možné ji však provést pouze při splnění podmínky, že máme záložní kopii
napadeného souboru, případně napadený soubor můžeme postrádat. V opačném
případě odstraníme virus, ale způsobíme nefunkčnost dotčeného programového
vybavení, se všemi negativními důsledky. V každém případě je však tato
situace lepší, než funkční program s aktivním virem.
Přejmenovat soubor
Druhou možností je napadený soubor přejmenovat – použijeme příponu jinou
než EXE a COM. Toto řešení zajistí bezpečné zablokování viru v napadeném
souboru. Ten nelze spustit, virus se nemůže dále šířit. Situace však není
v podstatě vyřešena – může však být řešena později.
Léčit soubor
Nejvýhodnějším způsobem odstranění viru je proces tzv. léčení. Ten
spočívá v odstranění viru z napadeného objektu tak, aby byla zachována
původní funkčnost tohoto objektu. Funkce léčení s sebou nese řadu
problémů – některé viry nelze odstranit bez zničení napadeného hostitele.
Z některých lze virus odstranit, avšak přesto hrozí nebezpečí zničení
hostitelského programu.
Programy systému AVG disponují funkcí, označovanou jako léčení. Jde o
kombinaci několika funkcí – program sám, na základě zjištěných
skutečností o viru a napadeném hostiteli, vybere nejvhodnější způsob léčby.
Důležité upozornění:
Pro zdárný průběh léčení napadeného objektu je nutné zajistit viruprosté
prostředí. Nejjednodušší a také nejspolehlivější cestou jak toho dosáhnout,
je provést natažení operačního systému z "čisté" systémové diskety. Pokud
takovou disketu nemáte, je nezbytně nutné ji vytvořit. Nevytvářejte ji
však zásadně na zavirovaném počítači.
Ověření léčení
Po provedeném léčení následuje ověření výsledku funkce. Pokud existuje
databáze kompletního testu
a tato databáze obsahuje informace o napadeném
objektu z doby, kdy byl viruprostý, porovná se vyléčený objekt se svým
obrazem v této databázi. Pokud je shodný, bylo léčení 100% úspěšné. Pokud
jsou zjištěny rozdíly, může se jednat o rozdíly nepodstatné (nesouhlas
délky o několik Byte, nesouhlas méně důležitých údajů, apod.) nebo opravdu
o rozdíly způsobené zničením léčeného hostitelského objektu.
V případě zjištěného rozdílu se program AVG dotazuje uživatele, zda se má
soubor považovat za vyléčený či nikoliv. Pokud preferujete pouze 100%
léčení a máte kopie většiny používaných programů, lze jakékoliv rozdíly po
léčení odmítnout. V takovém případě se napadený soubor vrátí zpět do své
původní podoby (napadené virem).
Pokud neexistuje kopie původního viruprostého programu, lze přijmout
léčení se zjištěným rozdílem (později bude nutné provést test funkčnosti
vyléčeného objektu). Můžete také nastavit konfigurační položku, která
určuje, jak se bude nakládat s vyléčenými objekty se zjištěným rozdílem –
bez interaktivního dotazu na uživatele.
Jak je zřejmé z výše uvedeného textu, léčení napadených objektů je vždy
riziková operace, ať je antivirový program sebevíce kvalitní. V každém
případě doporučujeme využít bezpečnostní funkce, která vždy vytvoří
záložní kopii léčeného souboru (napadený soubor se nejprve zkopíruje do
záložního souboru s příponou EX! nebo CO!).
Léčení v archívu
Léčení není možné v případě, že virus byl zjištěn v objektu v
archívu
(ZIP, ARJ) nebo byl zjištěn uvnitř
interně komprimovaného programu.
V obou
těchto případech nutné je před vlastním požadavkem na léčení dekomprimovat
napadený objekt a teprve pak jej vyléčit.