аНТИВИРУсНОе ОБеЗЗаРаЖИВаНИе ПеРсОНаЛЬНыХ
advertisement
Угрозы и безопасность 37 (178) – 2012 УДК 004.492.4, 004.451.8 АНТИВИРУСНОЕ ОБЕЗЗАРАЖИВАНИЕ ПЕРСОНАЛЬНЫХ КОМПЬЮТЕРОВ С ПОМОЩЬЮ ПОДКЛЮЧЕНИЯ СТОРОННИХ ОПЕРАЦИОННЫХ СИСТЕМ А. М. ТЕРЕНТЬЕВ, кандидат технических наук, ведущий научный сотрудник E-mail: tam@cemi. rssi. ru Центральный экономико-математический институт РАН В статье затронуты вопросы задействования сторонних операционных систем для антивирусного излечения персональных компьютеров, оснащенных операционной средой Microsoft Windows. Освещена история использования внешних операционных сред. Рассмотрены основные современные лечащие антивирусные средства на основе Unix-систем, проведено их сравнение по характеристикам и удобству использования. Ключевые слова: информационная безопасность, антивирусные средства, персональный компьютер, операционная система, Лаборатория Касперского, Доктор Веб. Как известно, подавляющее большинство используемых до 2009 г. технологий лечения зараженных компьютерными вирусами персональных компьютеров (ПК) заключалось в запуске на пораженном компьютере антивирусных сканеров оперативного лечения. При этом факторами, влияющими на успешность лечения, являлись: • возможность запустить излечивающее антивирусное средство на пораженном компьютере; • наличие идентификационных признаков вируса в антивирусных базах, используемых сканером в момент лечения; • реальная возможность излечения вируса, поразившего ПК, без необратимой утраты существенных функций операционной системы. В основном успешность излечения определялась вторым из указанных факторов. Характеристи- ческие особенности большинства существовавших в тот период вирусов были направлены на съем конфиденциальной информации с зараженного ПК (с передачей ее на известные злоумышленнику адреса через сам пораженный ПК и интернет-соединение) либо на задействование части ресурсов пораженного ПК в целях использования его вычислительной мощи в интересах вирусописателей, например для рассылки спама или организации dDOS-атак (опять же через интернет-соединение). Во всех этих случаях разработчики вирусов были заинтересованы в сохранении работоспособности пораженного вирусом компьютера, поэтому успешность борьбы против вирусов определялась главным образом балансом между все усложнявшейся техникой противодействия вирусов антивирусным средствам и в ответ разрабатываемыми антивирусными rootkitтехнологиями. Бурное развитие SMS-услуг мобильной связи с автоматическим снятием денег со счета абонента по произвольным ценам при отправке сообщения на короткий номер спровоцировало совершенно новый класс компьютерных вирусов, получивших название WinLock, когда задачей вируса стали предъявление требования на отправку SMS и блокировка работы ПК до ввода специального кода. Ожидалось, что пользователь, отправив SMS, в ответ получит на свой мобильный телефон код разблокировки и введет его в «зависший» компьютер через специальное поле в окне, открытом вирусом. В этих условиях сохранение работоспособности всех функций опе- Национальные интересы: приоритеты и безопасность 45 Угрозы и безопасность рационной системы стало для вирусописателей уже необязательным; наоборот, с развитием технологий подобных вирусов предпринимались все более настойчивые попытки заблокировать большинство функций операционной системы. Так, если в декабре 2009 г. автору этих строк оказалось возможным выполнить ряд успешных излечений вручную, вообще без помощи каких-либо антивирусных средств, то уже к осени 2010 г. это стало невозможным. Сначала окно выдачи сообщений вируса «потеряло» рамку с косым крестом и стало неудаляемым с помощью «мыши», затем оно перестало удаляться с помощью стандартной клавиатурной комбинации закрытия окна Alt-F4, а современные варианты вируса не позволяют открыть ни Диспетчер задач через Ctrl-Alt-Del, ни Редактор реестра. Сначала запуски прочих программ не блокировались, затем стали блокироваться запуски ведущих антивирусных программ, а потом и всех программ вообще. Впоследствии запуск вируса при включении компьютера был добавлен также в защищенном (Safe Mode) режиме, а затем очень скоро все успешные «достижения» вирусописателей перенесены и в этот режим. Кульминацией этой борьбы явилась пришедшая кому-то в зловредную голову мысль о том, что даже высылать код разблокировки и реально восстанавливать работоспособность ПК уже вовсе необязательно: ведь деньги-то получены, чего же еще? В описанных условиях наступил, по сути, кризис антивирусных сканеров, который к середине 2010 г. проявился уже в полной мере: если запуск сканера невозможен вообще, то и говорить не о чем. Использование сторонних Windows-систем. К этому моменту следует отметить, что Антивирусная служба ЦЭМИ РАН была готова давно: операционная система Microsoft Windows’XP при определенных условиях позволяет в «горячем» режиме подсоединять к работающей системе жесткий диск (HDD) стороннего компьютера с корректным сохранением буквенных идентификаторов основного HDD даже после перезагрузки системы. Соответствующее устройство (Rack-Mount для HDD с возможностью hot swap) много лет было установлено на рабочем ПК автора данной работы, хотя использовалось до этого главным образом для Через подробный анализ реестра и блокирование запуска с последующей перезагрузкой. Выделенный вирус оказался новинкой, которой в Антивирусной лаборатории ���������� DrWeb����� присвоили имя Trojan��. ����������� Packed����� . 593. 46 37 (178) – 2012 переброски файлов большого объема еще до появления USB-HDD. Таким образом, еще до 2008 г. Антивирусной службой ЦЭМИ РАН был внедрен в практику метод лечения компьютеров, заключающийся в физическом изъятии HDD пораженного ПК, подключения его как дополнительного HDD на рабочей станции Антивирусной службы и запуска стандартного сканера с указанием проверить и лечить нужные тома второго HDD. Кстати сказать, описанный метод подключения второго HDD был опробован еще на Microsoft Windows’2000, хотя для этой операционной системы (ОС) метод имел весьма ограниченное применение ввиду невозможности подключения вторичного HDD с более чем единственным разделом (томом), иначе «сбивались» буквенные обозначения томов. Реально «горячее» подключение срабатывало на этой ОС весьма неустойчиво и зачастую приводило к блокировке работы системы. Следует отметить, что неприятности при подключении вторичного HDD случались порой и в Windows’XP, в которой в ряде случаев система выпадала в «синий экран смерти» (BSOD). Практические рекомендации: для большинства материнских плат при конфигурировании ПК с Rack-Mount на основе IDE-интерфейса жесткий диск должен быть подсоединен ко второму (IDE-1) каналу, причем подсоединяемый HDD должен иметь вариант Master; при этом допускается наличие ATAPI-устройств, подсоединенных к тому же IDE-1 в режиме Slave (обычно DVD-рекордер). Если после «горячего» подключения вторичный HDD автоматически не опознается, можно инициировать его подключение через Диспетчер устройств. Перед отключением вторичного HDD настоятельно рекомендуется исключить устройство из списка опять же через Диспетчер устройств. При использовании шины sATA (большинство устройств Rack-mount поддерживает Hot swap) следует присоединять носитель для внешнего HDD на больший номер, чем sATA основного HDD. Отличие же от IDE-интерфейса в том, что для отключения зачастую можно использовать значок отключения присоединяемых USB- и sATA-устройств на системном трее Панели задач. Заканчивая рассмотрение использования сторонних Windows-систем для лечения, ради полноты обзора стоит остановиться на нескольких вариантах, которые непредубежденному читателю могут показаться экзотическими, но все они в раз- Угрозы и безопасность 37 (178) – 2012 ное время были апробированы и имеют право на рассмотрение. Первым из таковых вариантов является наличие второй операционной системы на том же компьютере. Как известно, HDD может содержать несколько разделов; современные емкости HDD это вполне позволяют. Если ограничиваться операционными системами типа Microsoft Windows и отбросить все версии более ранние, чем Windows’2000, то загрузочные файлы вполне допускают наличие нескольких операционных систем на разных томах одного и того же HDD. Меню запуска операционной системы (файл boot. ini на загрузочном томе) также допускает выбор нужной ОС. Долгое время на основной рабочей станции автора, помимо MS-DOS, были 2 ОС: Windows’2000 в одном из «нижних» разделов диска и Windows’XP в «верхнем», свыше 120 Gb. Находясь в Windows’2000, которая не имеет доступа к разделам на HDD, начинающимся свыше 120 Gb, можно было быть уверенным, что никакие вирусы никогда не затронут Windows’XP. В то же время загрузка в заведомо чистой Windows’XP вполне позволяет проверять на вирусы все разделы HDD, включая «нижнюю» Windows’2000. К моменту написания данной статьи в тех же разделах находятся две одинаковые версии Windows’XP, и в одном из них готовится переход на Windows’7. В ситуации, когда необходимо обеспечить круглосуточную работу этой рабочей станции независимо от текущей ситуации при установке той или иной программы, наличие двух операционных систем при жестком соблюдении правил их использования является лучшим вариантом. Почтовые файлы при этом находятся в выделенном, а не стандартном, месте и используются идентичными копиями почтовых программ в разных ОС. Вторым из нестандартных вариантов использования сторонних операционных систем является наличие виртуальной машины (VM). Все работы, могущие повлечь за собой заражение, при этом следует исполнять на виртуальной машине, которая после отключения VM или всего компьютера автоматически исчезает, а несущая ОС всегда остается чистой. Эта возможность практически не используется на рабочей станции Антивирусной службы, поскольку этот ПК эксплуатируется в круглосуточном режиме. Третья возможность нестандартного использования операционной системы – постоянная загрузка со специального загрузочного диска Windows, содержащего все жизненно необходимые файлы и потому заведомо не содержащего вирусов. Эта возможность требует серьезных усилий по созданию адекватной среды и критична к регулярной установке нового программного обеспечения, поэтому в настоящее время автором не используется. Ради полноты описания следует сказать, что существует и четвертый вариант временной операционной системы, определяющейся в момент загрузки – сетевой, когда основные файлы операционной системы принимаются и подгружаются по локальной сети со специального сервера. Однако планировавшийся несколько лет назад в ЦЭМИ РАН подобный сервис по разным причинам не был доведен до практической реализации. Использование сторонних Unix-систем на CD. Откликаясь на вирусы группы Winlock, а заодно и на ряд других групп вирусов, ведущие отечественные вендоры антивирусных средств предложили принципиально новое решение: загрузка иной, не-Windows, внешней операционной системы со специально созданного загрузочного компакт-диска (Bootable CD), предназначенного именно для оперативного лечения Windows-систем. Следует сказать, что уже давно существовали загрузочные диски с «мини-Windows», позволявшие, к примеру, переустановить любой из паролей установленной на ПК ОС без указания действующего пароля (ERD-Commander). Можно было также исправить реестр пораженного ПК, внести изменения в область загрузки, а также запустить антивирусный сканер при условии, что он расположен на том же самом загрузочном CD с «миниWindows». Однако большого распространения такая технология не получила. Во-первых, при каждом обновлении сканера (а антивирусные базы ведуших вендоров обновляются каждый час) требовалось бы формировать новый CD, что неудобно. Во-вторых, означенная «мини-Windows» должна быть того же класса, что и пораженная; при фактическом использовании полудюжины версий ОС в ЦЭМИ РАН, например, постоянное формирование 6 новых версий CD было бы затруднительным. Решением явилось создание сканера, исполняемого в одной из Unix-образных сред и допускающего оперативное обновление через интернет-соединение. Разумеется, в такой комплект включены инициализирующие скрипты, автоматически монтирующие текущие тома HDD пользователя и выполняющие иные настройки (например, на ис- Национальные интересы: приоритеты и безопасность 47 Угрозы и безопасность пользуемую видеосистему, «мышь» и др.). Существенной особенностью данной технологии является учет того, что обеззараживаемый ПК обеспечен интернет-подключением, через которое можно оперативно скачать обновления антивирусных баз, выпущенные с момента создания CD. Именно эта возможность обеспечивает реальную эффективность применения данной технологии. Среди отечественных вендоров два наиболее популярных предлагают в настоящее время собственные загрузочные системы на CD-ROM, позволяющие излечение от вирусов. ЗАО «Лаборатория Касперского» выпустило «Kaspersky Rescue Disk 10», ООО «Доктор Веб» выпустило «Dr. Web Live CD 6.0». Ниже рассматриваются оба этих продукта. Kaspersky Rescue Disk 10. Этот продукт при загрузке с CD (полезный объем 248 Мб) в графическом режиме высокого разрешения в течение 10 с предлагает нажать клавишу, иначе далее последует загрузка с HDD. Далее, система предлагает выбрать язык диалога из обширного списка, затем подтверждение лицензии, затем основную функцию – работу в графическом режиме, работу в текстовом режиме (через Midnight Commander), показ списка оборудования и др. После загрузки основного, графического режима, уже открыто приложение «Kaspersky Rescue Disk», собственно и выполняющее подгрузку антивирусных баз и оперативную проверку. Вызовом с рабочего стола доступны также Kaspersky Registry Editor, файловые папки по числу томов, веб-браузер. Через стартовую кнопку в меню запуска приложений доступны функции настройки сети, выполнение снимка с экрана в формате JPG, исполнение консольных команд через пункт «Терминал». Настройки сети по умолчанию установлены на получение всей информации через DHCP; однако можно прописать и реальные IP-адреса (собственный, гейта и DNS-серверов). Обновление баз в антивирусном сканере не начнется до явного приказа пользователя. Практически по каждому пункту приложения «Kaspersky Rescue Disk» имеется вызов контекстной справки на русском языке. Антивирусная проверка может включать сигнатурный и трехуровневый эвристический анализаторы; присутствует настройка, разрешающая не распаковывать файлы большого (по умолчанию, свыше 100 Мб) размера. Имеется карантин с функцией восстановления перемещенных файлов по желанию пользователя. 48 37 (178) – 2012 Для оперативных целей используется первый том на первом логическом диске пользователя. По завершении работы там остаются в зашифрованном виде подгруженные базы, отчет и служебная информация. Во время работы допускается оперативное подключение USB-носителей. Dr. Web Live CD 6.0. Этот продукт сделан на основе модификации Linux. При загрузке с CD (полезный объем – 175 Мб) в графическом режиме высокого разрешения в течение 10 с предлагается выбрать нужный пункт по меню, иначе далее последует автоматический старт Linux. Другие возможности: Старт с локального HDD, Тестирование памяти. После нажатия клавиши система осуществляет загрузку и настройку графического ядра (прогрессиндикатор, по давней излюбленной привычке компании «Доктор Веб», продвигается непропорционально по времени) и открывает первый из четырех возможных Рабочих столов, на котором уже открыт «Dr. Web Control Center», состоящий из блоков: Сканер, Карантин, Результаты, Updater (причем обновление антивирусных баз стартовало автоматически). На панели задач имеются приложения: Terminal, Internet, Mail; на рабочих столах присутствуют ярлыки FireFox 3.6.3, Mail, Terminal, Create LiveUSB, Midnight Commander 4.7.0.3. Через стартовую кнопку доступны также Настройки меню, Настройки сети, Настройки Openbox, Настройки Xorg и утилиты (Create LiveUSB, LeafPad, MC, Terminal). Все вышеуказанные заглавия и вся работа с приложениями сделаны на английском языке. Однако при выборе выхода на стартовой кнопке (Quit) неожиданно показывается меню Start Menu, включающее 13 пунктов, в том числе выбор языка. Именно в этот момент (!) можно сменить язык на русский и заново загрузить графическую оболочку (с исполнением новых настроек, новой подгрузкой антивирусных баз и т. д., но уже на русском языке). Настройки сети имеют заглавия «Хост», «Домен», «Шлюз», «Сервер имен», «IP-адрес» (при использовании прямых адресов или отсутствии DHCP следует заполнить 3 последних пункта). Автоматическое монтирование томов исполняется с иными буквами, чем в Windows; присутствуют буквы подключенных до старта с CD USB-устройств. Динамическое монтирование подключаемых в момент уже загруженной системы USB-устройств, к сожалению, не исполняется. Угрозы и безопасность 37 (178) – 2012 Рабочая область выделяется при инициализации системы на последнем томе с именем REMOVE_THIS_FILE. livecd. swap объемом в 500 Мб. После перезагрузки в Windows содержимое этой области недоступно, в том числе при желании сохранить какую-либо информацию после лечения (например протокол работы сканера) соответствующие файлы следует переписать с помощью Midnight Commander’а до перезагрузки системы в нужное место (например на заранее подключенную USB-флэшку). Настройки сканера стандартны для сканеров Dr. Web: нельзя задать глубину эвристического анализатора (но можно его отключить вообще), нельзя исключать файлы слишком большого объема, по умолчанию завирусованные файлы перемещаются в карантин (не сохраняемый после выхода из системы). Встроенная контекстная справка отсутствует. Редактор реестра, в традициях Dr. Web, также отсутствует. Снимок с экрана невозможен. Заслуживают внимания такие функции, как тестирование оперативной памяти и присутствие четырех рабочих столов. Результаты сравнения двух систем. Целью данной статьи не является сравнение полноты удаления вирусов и качества излечения; в задачу автора входило проанализировать возможности предложенных средств и определить удобство их использования. Исходным положением сравнения были легкодоступность и понятность работы с излечивающим средством обычного системного администратора, не знакомого в целом с Unix-образными системами. Задачами излечения представляются следующие: • легкость загрузки системы и подготовки ее к излечению; • исполнение полного антивирусного излечения; • сохранение отчета об излечении компьютера; • возможное сохранение в отдельном месте зараженных файлов для последующей отправки их в антивирусные лаборатории или собственного исследования. Анализировались также функциональная полнота предложенных средств и удобство использования. Сводные данные представлены в табл. 1. Одним из самых важных различий представляется различное наименование дисковых томов в рассмотренных средствах оперативного лечения. Фактическое распределение дискового пространства рабочей станции автора и буквенные имена разделов в MS-DOS, Windows’XP и обеих лечащих дисковых системах представлены в табл. 2. Представляется, что Kaspersky Rescue Disk 10 дает более адекватное представление по буквенным именам устройств. Вторым по важности существенным различием двух рассмотренных систем автор считает возможность сохранения текстового отчета об излечении. Здесь явное преимущество имеет Dr. Web Live CD 6.0, в нем возможен простой перенос текстового отчета из области формирования на любой раздел HDD или заранее вставленное USB-устройство, что сохраняет отчет в читабельном виде. Третьим по важности представляется отсутствие встроенного редактора реестра в лечащем диске ООО «Доктор Веб». Давняя традиция ООО «Доктор Веб» – при антивирусном обеззараживании не удалять ветви реестра, имеющие отношение к Таблица 1 Основные параметры сравнения двух загрузочных лечащих CD-дисков Описание возможности Проверка оперативной памяти Определение состава устройств Русский язык Обновление антивирусных баз Настройка на прямые ��������� IP������� -адреса Монтирование заранее подключенных ���� USB� Оперативное подключение USB���������� -устройств Соответствие букв устройств Windows Возможность нескольких рабочих столов Редактор реестра Возможность сохранения отчета в текстовом виде Доступ к карантину после выхода из *��� nix Файловый������������������� ������������������ менеджер���������� Midnight Commander Браузер Встроенная контекстная функция Помощи Отключение эвристического анализатора Удобство перезагрузки с ���� HDD� после лечения Удобство удаления рабочих файлов Национальные интересы: приоритеты и безопасность Kaspersky DrWeb – + + – + + По Автомаприказу тически + + + + + – + – – + + – – + – – + + + + + – + + + – – + 49 Угрозы и безопасность 37 (178) – 2012 Наименования томов одного и того же ПК в различных системах Тип тома HDD�������������� , ������������ Primary����� , ��� MBR HDD������������� , 2-й ������� Primary HDD����������� , ��������� Extension HDD������������� , 3-й ������� Primary Загрузочный ������ CD���� -��� ROM Второй ������� DVD���� -��� ROM Объем раздела 2 047 �� Mb 2 047 �� Mb 28 �� Gb 104 �� Gb 112 �� Gb – – Формат раздела FAT��� -16 FAT��� -16 FAT��� -32 NTFS NTFS – – DOS C�: D�: – – – E�: F�: Таблица 2 Буквенное наименование в системах* Win��� ’2� k Win��� ’�� XP Kasp Dr. Web C�: C�: C�: C�: F�: F�: F�: D�: D�: D�: D�: F�: E�: E�: E�: G�: – G�: G�: E�: G�: H�: – – H�: I�: H�: – * Операционная система MS-DOS находится в разделе MBR. Windows’2000 установлена в первой области HDD-Extension (FAT-32). Windows’XP установлена в 3-м разделе Primary, свыше 120 Gb, который не виден в Windows’2000. вирусным файлам, автору хорошо знакома. Хотя формально, действительно, удаление самого вирусного кода достаточно для блокирования заразы, однако приведение в порядок реестра при этом возлагается на плечи системного администратора, что представляется неудобным. Отсутствие же средств сразу после излечения на месте подправить реестр вызывает необходимость сохранять отчет и после перезагрузки делать правки реестра в уже излеченной системе, ориентируясь на сохраненные результаты. Эти процедуры представляются неоправданно лишними. Прочие различия, на взгляд автора, не имеют принципиального значения. Приятно иметь возможность проверить оперативную память или выявить конфигурацию оборудования, но эти сервисы, так же как и посылка E-mail и другие дополнения к основным свойствам, являются редкоиспользуемыми. Стоит также отметить, что возможность использования указанных лечащих средств сильно зависит от аппаратной конфигурации компьютера. К примеру, на Антивирусном сервере ЦЭМИ РАН, оснащенном аппаратным Raid 1 (зеркало) на основе контроллера 3ware SATA RAID Controller 96502LP, доступ к дисковым томам оказался успешным с обоих лечащих средств. Этого нельзя сказать о других вычислительных установках, оснащенных более сложными аппаратными Raid. Суммируя вышесказанное, можно отметить, что однозначно определить лидера из двух представленных систем затруднительно ввиду различий функциональных возможностей. Оба рассмотренных средства исполняют заявленные функции. Оба они, оставляя в излечиваемой системе следы своей работы, требуют после завершения работы с ними дополнительных действий системного администратора. Однако по удобству работы, прежде всего из-за точного соответствия буквенных имен диско- 50 вых томов используемым в излечиваемой системе, преимущество, на взгляд автора, имеет лечащий диск Лаборатории Касперского. Использование сторонних Unix-систем на USB-устройствах. Современные тенденции развития персональных компьютерных средств в последнее время существенно акцентированы на продажах нетбуков – уменьшенных и значительно облегченных ноутбуков, уже не содержащих в себе DVD-привода. Таким образом, приведенные варианты лечения возможны только при условии подключения к нетбукам внешних DVD через USBсоединение. Однако намного проще оказалось столь громоздкое устройство заменить обычным flashUSB, с которого теперь также возможна загрузка в большинстве случаев. Оба исследованных вендора в составе рассмотренных лечащих дисков и помимо них предлагают утилиты создания загрузочной флэшки. Особенностями этого варианта являются необходимость форматирования флэшки именно в формате FAT-32, а также невозможность реформирования загрузочной flash-USB без предварительного форматирования. В обоих случаях средства, загружаемые со сформированной flash-USB, полностью адекватны своим CD-аналогам. Рассмотренный вариант нельзя пока что принять универсальным. Во-первых, многие из до сих пор используемых материнских плат не позволяют исполнять загрузку с флэш-накопителей. Во-вторых, использование флэшек для загрузки предполагает, как уже было сказано, их разметку в устаревшем формате FAT32, а современная тенденция пользователей при использовании флэш-накопителей явно ориентирована на хранение на них видеоконтента объемами свыше 1 Gb (стандартный фильм занимает 2–4 Gb одним куском), что требует разметки в формате NTFS. Впрочем, при современной стоимости Угрозы и безопасность 37 (178) – 2012 flash-USB-носителей наличие выделенной флэшки для лечения вполне оправданно. Заключение. Как можно видеть из проведенного анализа, задействование внешних операционных систем оказалось удобным выходом из кризисного тупика, в котором излечение «изнутри» пораженной операционной системы невозможно. Естественным выходом оказалось использование сторонних операционных систем класса Unix как наиболее легко динамически адаптируемых к излечиваемой версии Microsoft Windows, набору локальных дисковых томов и формату их разметки (FAT-16, FAT-32 и NTFS). Рассмотрены два базовых варианта отечественных антивирусных средств – Kaspersky Rescue Disk 10 и Dr. Web Live CD 6.0. Построенные на разных платформах оба варианта позволяют выполнять успешное излечение пораженных операционных систем персональных компьютеров как в варианте рабочей станции, так и в варианте сервера. Ограничением на их использование является задействование на пораженной системе нестандартных аппаратных средств подключения локальных томов типа Raid-массивов, отличных от «зеркал». Осуществленная в обоих рассмотренных вариантах возможность подгрузки антивирусных баз через существующее соединение с Интернетом обеспечивает актуальность задействуемых антивирусных средств. Учитывая сравнительно короткое время загрузки и актуализации предложенных средств (3–5 мин) по сравнению со временем просмотра всех файлов пораженного компьютера (несколько часов), использование загрузочных Unix-образных систем может быть рекомендовано и для лечения тех ПК, где возможно лечение штатными средствами – особенно в тех случаях, когда из-за важности ПК (сервер) или по иным причинам заранее известна необходимость сплошной проверки всех файлов компьютера. Возможность задействования описанных лечащих антивирусных средств с flash-USB расширяет диапазон их применения на современных портативных нетбуках и ноутбуках без CD. Использование рассмотренных средств опробовано и внедрено в практику в ЦЭМИ РАН, где выполнен ряд успешных излечений пораженных ПК с помощью описанных средств как в варианте CD, так и в варианте flash-USB. Список литературы 1. Интернет-ресурс, содержащий «Kaspersky Rescue Disk». URL: http://www. kaspersky. ru/ virusscanner. 2. Интернет-ресурс, содержащий «Dr. Web Live CD». URL: http://download. geo. drweb. com/ pub/drweb/livecd. Национальные интересы: приоритеты и безопасность 51
