| Note: | Overalt i teksten hvor jeg har givet tekniske forklaringer, har jeg lagt vægt på en enkel fremstilling som er principielt, men ikke pinligt, korrekt. |
| Ental | bestemt | Flertal | bestemt |
|---|---|---|---|
| (uanset entalsformerne) | |||
| virus | virussen | virus | virussene |
| virusset | virusser | virusserne | |
| vira | viraene | ||
Ordet er latin. Det betyder egentlig "slim" eller "gift" (som "giftigt"). Hvad hedder det i flertal?
Kort svar: Det findes ikke i flertal.
Langt svar:
Der findes åbenbart ingen klassiske latinske tekster hvor ordet
optræder i flertal. Der findes mange latinske navneord der ender
på -us.
| Ental | Flertal | |
|---|---|---|
| 2. bøjning | dominus | domini (hankønsord) |
| 3. bøjning | corpus genus | corpora genera |
| 4. bøjning | status | status (langt u) |
"Virus" er usædvanligt fordi det er et intetkønsord på -us der følger 2. bøjning. Dem er der tre af: "virus" (slim), "pelagus" (hav) og "vulgus" (folkemængde). Det giver ingen mening at sætte de ord i flertal. Ganske vist kan man godt bøje "hav" på dansk: "Der er flere have omkring Danmark", men man kan også sige "Danmark er omgivet af hav" og "Kun en tåbe frygter ikke havet". I den sidste betydning kan det ikke bøjes i flertal. Tilsvarende bruger vi ordet "gift" både som konkretord der kan flertalsbøjes, og som masseord der ikke kan. I klassiske latinske tekster optræder der ingen flertalsform af de tre nævnte ord. Man kan fundere over om ikke "gift" burde have haft en flertalsform. I så fald må den have været magen til entalsformen. Men man kan altså ikke finde et bevis for at det forholder sig sådan.
Formen "viri" ses sommetider på engelsk. Som flertalsform betyder det "mænd" (vir - viri). Det er dog også en bøjning af "virus", men så er det ental, ejeform ("giftens farve" - "color viri"). Enkelte skriver "virii". Det er grebet ud af den blå luft.
Mange dansk- og engelsktalende skriver "vira". Det er en kunstform. Der findes intetkønsord efter 2. bøjning, men de ender på -um (signum - signa). Hvis man lader sig inspirere af 3. bøjning (strider mod at "virus" er 2. bøjning), burde man foreslå "virora" eller "virera" (som er ubrugelige på dansk).
På engelsk er kun formen "viruses" korrekt. Jeg vil anbefale at man dropper den kunstige form "vira" og bruger den danske form: en virus, flere virusser.
En biologisk virus kan smitte. Den angriber en værtscelle og 'omstiller' den til at producere nye virusser magen til sig selv. Disse flyder så rundt med strømmen (blod/lymfe) og angriber nye celler. Man kan lave edb-programmer der opfører sig på en lignende måde. Derfor har de fået betegnelsen virusser. Her er en skematisk forklaring på hvordan det er muligt:
P = program, Sp = starten af programmet, V = virus, Hp = hop til programmet, Hv = hop til virussen
| Normalt program: | SpPPPPPPPPPPPPPPPPPPPP |
| Smittet program: | HvPPPPPPPPPPPPPPPPPPPPVVVVVVSpHp |
D.v.s. at virussen først kopierer sig selv bagi programmet. Derefter kopierer den den normale startsekvens allerbagerst. Så skriver den en hopkommando ned som ny start og laver til sidst en hopkommando til selve programmet.
| Normalt programforløb: | start - program |
| Virusprogramforløb: | hop til virus - virus - start - hop til program - program |
Mens virussen arbejder, bliver der ikke skrevet noget på skærmen. Derfor opdager brugeren ikke at der sker noget specielt.
| Virussen kunne i teorien godt hægte sig på en tekstfil. Men tekstfilen bliver jo kun vist, den bliver ikke udført. Derfor vil den smitte være spildt, og derfor leder den simple virus kun efter programfiler af forskellige typer (i starten exe- og comfiler). |
| Bemærk: Man taler kun om en virus hvis den smitter, dvs. den skal kunne kopiere sig selv, og den skal hægte sig på et værtsprogram. |
Ordet 'virus' bruges ofte forkert om skadelige programmer.
Man kan boote en pc fra en diskette eller en harddisk. Det skyldes at der i bios ligger et program som automatisk læser bootsektoren (en afdeling på disketten/disken der normalt er skjult og ikke kan bruges). Derefter overfører bios det program der ligger i bootsektoren til hukommelsen og starter det. Dernæst vil dos, win eller noget andet starte op. Der er skrevet virusprogrammer som er anbragt i bootsektoren. Med specialprogrammer er det en smal sag at skrive i bootsektoren. En sådan virus hedder naturligt nok en bootsektorvirus. Den har den fordel (set fra virussens synspunkt) at den er aktiv før der overhovedet er et styresystem (eller en virusscanner) indlæst. Det er korrekt at kalde den en virus, for den kopierer sig selv (til nye bootsektorer), og den er integreret i bootprogrammet.
| Hvis man i bios fjerner den mulighed, at der skal bootes fra A:, så er man helt afskåret fra at blive smittet med en bootsektorvirus (men det er kun en lille del af virusserne). |
'Resident' betyder 'fastboende'. Det bruges om programmer som er lavet i to trin. Første trin starter normalt. Det lægger så en del af sig selv (andet trin) op i hukommelsen, og sørger derefter for at spærre dette område af så det ikke bliver overskrevet eller slettet. Det er denne del der er egentlig resident. Det sker der nu ikke noget ved i første omgang, andet end at hukommelsen formindskes. Men der er noget der hedder interrupt.
Man kan sætte computeren til at scanne alle de apparater der somme tider skal betjenes. Det kan være keyboardet, uret, musen, modemmet, printeren, diskettedrevet, cd-rommen, harddisken o.s.v. Men det er spild af tid hvis der ikke skal gøres noget ved apparaterne. Derfor laver man interrupstyring af den slags ('interrupt' betyder 'afbrydelse'). Så skal cpu'en kun arbejde med brugerens programmer, og hvis f.eks. man taster et bogstav på keyboardet, går der et signal til cpu'en. Den gemmer så information om hvor langt den var kommet, undersøger hvilket apparat der afbrød (keyboard), kører det nødvendige program for at ordne apparatet (skriver et bogstav på skærmen) og fortsætter derefter hvor den slap.
Der er mange apparater der kan udløse interrupts, og der ligger et program klar i styresystemet til hvert muligt interrupt. Adressen på hver rutine kan man nemt slå op i en tabel i hukommelsen. Det er derfor en smal sag at omdirigere et interrupt. Man behøver ikke omskrive den rutine der skal bruges. Man kan bare udskifte adressen i tabellen. Lad os sige at der ved keyboardinteruptet står adressen 2345, og at vores residente program ligger på adressen 6789. Så skal vi bare lægge 6789 ned i tabellen. Intet kan være nemmere. Hvis vi vil sørge for at den normale rutine også bliver afviklet, slutter vi bare vores residente kode med et hop til 2345.
Dette bruges af mange nyttige programmer, men det bruges også af virusser. De vil så blive aktiveret hver gang det rigtige interrupt skulle gå i gang. Og der er som sagt mange at vælge imellem. Hvis man vil lave det fikst, snupper man f.eks. disketteinterruptet. Hver gang brugerens program vil aktivere disketten, bliver virussen startet først. Derfor kan den trygt skrive på disketten. Ingen aner uråd.
Ordet 'stealth' bruges som en betegnelse for en type virusser der er lavet så usynlige som muligt. En normal virus gør programmerne lidt større, og hvis man kender den nøjagtige størrelse på et program, og det pludselig er vokset med et par tusind bytes, så kan man formode at det er smittet med virus. Men hvis nu virussen er aktiveret før styresystemet (bootsektorvirus) og ligger i hukommelsen (resident) og har overtaget alle diskinterrupts? Så kan det ændre informationerne inden styresystemet får adgang til dem. Så skal virussen som det første gemme en tabel over de tal der angiver den rigtige størrelse på et program, og derefter kan den smitte alle com- og exefiler hvorved de bliver større. Når brugeren så skriver 'dir', får styresystemet ikke lov at se det rigtige, større tal fordi virussen sender det gamle tal til styresystemet. Brugeren og brugerens programmer kan ikke se at der er noget galt med størrelsen.
Det kan udbygges til at virussen krypterer alle filer på hele harddisken! Ved en simpel rutine kan den f.eks. gøre alle bytes 5 større. Når styresystemet så skal have adgang til en fil, trækker virussen 5 fra alle bytes inden de bliver ekspederet videre. Ingen aner uråd. Men hvis man fjerner virussen, så er alle filer lige pludselig komplet ubrugelige. I praksis bliver krypteringen lavet mere kompliceret end som så.
Makrokommandoer (evt. makroprogram) bruges i komplicerede programmer. I stedet for mange gange at åbne den samme menu i syvende led og aktivere den femte kommando, får man en makro til at gøre det samme med et enkelt klik eller tastetryk. Det er en glimrende idé, den kræver blot at man har adgang til at programmere makroen (lave en opskrift).
Word har makrokommandoer. De laves i en programkode der hedder 'Visual Basic'. Det program giver fuld adgang til alle computerens funktioner. Det er derfor muligt at lave en makro der åbner et dokument og installerer sig selv i dokumentet. Words dokumenter kan nemlig gemmes sådan at makroerne følger med. Men så er der jo adgang til at lave en makrovirus. Den kan kopiere sig selv, og den kan hægte sig på et værtsdokument. Og det er lige hvad der er sket. Der er nogle makrovirusser i omløb. Alle programmer med et tilstrækkeligt omfattende makrosprog kan principielt rammes af virus. Jeg har (foreløbig) kun hørt om Word- og Excelvirusser, samt en enkelt CorelDraw-virus.
En gang for længe siden fik en fyr den idé at han ville lave sjov med sine kammerater. Han skrev derfor en e-mail til dem med overskriften "Good Times". I den skrev han noget i stil med:
Hvis kammeraterne havde tænkt sig om, ville de være blevet klar
over at det var en joke. Hvis beskeden var rigtig, var de jo
allerede selv blevet smittet, og hvis de sendte den videre, som
der blev forlangt, ville alle modtagerne også blive smittet.
Desværre tænkte de sig ikke om. Og millioner af
andre mennesker tænker sig heller ikke om. De skynder sig at
advare familie, venner, bekendte og fjender om denne frygtelige
virus. Resultatet er at den bliver kopieret i utallige
eksemplarer. Joken er derfor dobbelt og på en måde ret
morsom:
- Er det en virus?
- Nej naturligvis ikke. Det er en frit opfundet joke.
- Men hov! Kan den kopiere sig selv?
- Øh ... ja, på en måde kan den jo godt.
- Kan den invadere en værtsorganisme?
- Arhmm ... tja på en måde, hvis vi opfatter person+computer på
den måde.
- Jamen så er det jo en virus alligevel.
Men 'virussen' virker kun fordi tankeløse personer blindt adlyder en tilfældig besked der dumper ned i deres postkasse.
Det er dog ikke alle der er enige om at "Good Times" er uskadelig som det fremgår af denne artikel som er på engelsk.
Den gang Good Times blev sat i omløb, var det fuldstændig umuligt
at en e-mail kunne inficere et system med virus. Desværre har vi
i mellemtiden fået versioner af Word og andre programmer hvor det
faktisk ved visse opsætninger er muligt. Det er dog længe siden
jeg har set 'Good Times', men der findes varianter, og en af dem
så jeg for nylig. Det er karakteristisk for den slags at der står
noget med:
- IBM skrev for et par dage siden ...
eller
- Microsoft har lige udsendt ...
men der er ingen dato og slet ingen præcis henvisning til nogen
pålidelig kilde. Det er også karakteristisk at man skal sende til
'alle man kender' eller 'så mange som muligt'. Tænk på at hvis en
stor del virkelig fulgte den opfordring, ville nettet gå i knæ på
få minutter.
Hvis du modtager en advarsel om en virus, så spørg nogen med forstand på de dele om det virkelig er en virus. Uanset hvad, skal du aldrig følge en opfordring til at sende noget som helst til mange mennesker (der ikke har bedt om det). |
Her kan du læse (på engelsk) om falske virusadvarsler
Der findes programmer som laver noget nyttigt eller sjovt, mens
der i baggrundes installeres et helt andet program usynligt for
brugeren. Den type programmer kaldes 'en trojaner' (efter den
Trojanske Hest). En trojaner er ikke en virus, men kaldes
fejlagtigt ofte netop det. Men den kopierer ikke sig selv. Den
udbredes ved almindelig udveksling: 'Nu skal du bare se et flot
billede! Bare kør det her program.'
Trojanere bruges en del for tiden til at installere modtagerdelen
af et program der gør det muligt at fjernstyre stort set alle
computerens funktioner over internettet. Det drejer sig bl.a. om
styreprogrammerne Back Orrifice og NetBus,
men trojaneren kan jo hedde hvad som helst.
| Åbn aldrig
program-filer (*.exe, *.com, *.bat)
du har modtaget pr. e-mail, eller ikke er sikker på hvad er, uden
at scanne dem med et opdateret antivirusprogram først. Åbn heller aldrig filer til Word og Excel uden at scanne dem hvis dit program benytter makroer. Opdateret betyder at det nødigt skal være mere end 3 måneder gammelt. |
En orm kopierer sig selv, til memory, til disken eller til begge
dele. Den vil altså, langsomt eller hurtigt, fylde harddisken
eller hukommelsen helt op. Hvad der derefter vil ske kan være
svært at spå om. Det kan godt blive ret katastrofalt, men selv om
det ikke gør, bliver systemet ubrugeligt.
Det er ikke en virus, for den hægter sig ikke på et
værtsprogram.
Her kan du læse om hvilken ravage en orm kan lave. Det er den
kendte
internet-orm.
Ordet stammer fra det engelske 'to drop', 'at tabe' eller 'at
lægge'. En dropper anbringer med mellemrum et andet program i
hukommelsen eller et sted på (hard)disken. Den er installeret så
den udløses af og til (resident, eller hægtet på et jævnligt
anvendt program).
Det er ikke en virus, for den kopierer ikke sig selv.
En (logisk) bombe er en katastrofal handling der udløses på et
bestemt tidspunkt eller ved en bestemt kombination af hændelser.
Det kan være en bestemt dato eller et klokkeslet i styresystemet,
men det kunne også være at den blev aktiveret hvis man trykkede h
e l l o på keyboardet. Udløsningsmekanismen kan laves så der er
meget stor eller meget lille chance for at den bliver
aktiveret.
Det er ikke en virus, for den kopierer ikke sig selv, og den
hægter sig ikke på et værtsprogram.
Man kan sagtens lave virusser som passer i flere af disse kategorier på én gang. Der er f.eks. ikke noget i vejen for at en virus både præsenterer en tilsyneladende uskyldig handling (trojaner) samtidig med at den hægter sig på et værtsprogram. Det er ret almindeligt at lade virussens skadelige effekt styre af en bombefunktion.Man kunne også lave en dropper som anbringer en virus. Så vil virussen dukke op på et senere tidspunkt igen, uanset om computeren er blevet renset. Det vil nemt få brugeren til at tro at han ikke var grundig nok, eller at hans av-program ikke er godt nok.
En stealthvirus er nødvendigvis både en bootsektorvirus og resident.
Disse blandede virustyper er noget af grunden til at ordet 'virus' bruges forkert.
Man kan diskutere begrebet 'harmløs virus'. Uanset hvad man mener, så findes der ikke virusser som ikke laver skade. En virus som laver mindst muligt, kopierer kun sig selv til værtsprogrammer uden i øvrigt at ødelægge deres funktion. Alle disse programmer fylder så mere end før. De optager unødvendigt meget plads på harddisken, og det tager længere tid at gemme, hente og i det hele taget kopiere dem. Eftersom virussen jo også aktiveres hver gang programmerne skal bruges, bliver afviklingen langsommere.
Når man er blevet smittet og opdager det, skal man have renset sit system for virus. Det tager lang tid. Hvis man skal forebygge virus, skal man enten køre med en resident scanner, eller også skal man med jævne mellemrum bruge tid på at scanne sit system. Derfor vil enhver virus sluge ressourcer, både fysiske og tidsmæssige.
Man kan vælge at kalde en virus, der kun kopierer sig selv eller måske derudover kun viser en 'sjov' handling, for 'harmløs'. Det synes jeg ikke man skal. Desuden er det langt fra sikkert at programmøren kan forudse hvad hans virus vil lave i fremtiden på et system der var ukendt da han skrev den.
Ordet betyder 'nyttelast'. Det bruges som betegnelse for den ekstra effekt som virussen har, ud over dens indbyggede kopifunktion. I den positive skala kan det være en melodi eller et billede. Men det er nok de negative effekter der er væsentlige, og de er også bedst kendt.
| En virus kan lave alt det på et system som et normalt program kan: | |
| formattere, slette, overskrive eller kopiere filer. | |
| ændre dato, attributter, størrelsesangivelse navn og type for en fil. | |
| fjerne og omdøbe kataloger (mapper). | |
| stille om på opsætningen af programmer. | |
| sende e-mails via ens mailprogram. | |
| skrive hvad som helst hvor som helst på harddisken eller andre medier. | |
Virusser laves så små som muligt. De fleste af dem er også krypterede. Der ligger så en mikroskopisk rutine i starten som dekrypterer virussen så snart den er lagt op i hukommelsen. Det er et forsøg på at skjule dem for av-programmer.
Man kan lave virussen så dens destruktive arbejde foregår i det skjulte. Den skal f.eks. kun snurre med disketter hvis brugeren ikke vil undre sig over det, og den skal naturligvis ikke skrive noget på skærmen.
Man kan også sørge for at den ikke arbejder ret tit. Jo tiere den virker, jo før bliver den opdaget.
Endelig kan man sørge for at den ikke laver ret meget. En virus der f.eks. sletter en hel harddisk, laver nok voldsom ravage. Men den sletter jo også sig selv og alle kopier deraf, og den fortæller helt tydeligt brugeren at der er et virusangreb i gang. Den kommer altså ikke til at smitte ret mange systemer.
En væsentligt mere ondskabsfuld type kunne med en uges mellemrum finde 100 bytes på harddisken og ændre dem. Der kunne gå lang tid før man opdagede nogen problemer, og selv når man gjorde, ville de måske være små at man bare startede computeren forfra. På det tidspunkt hvor det går op for én at man har en virus, vil måske alle filer være blevet ødelagt af disse gradvise ændringer - og alle backups vil også være ødelagt fordi nedbrydningen har stået på i lang tid. Desuden har der sikkert været rig lejlighed til at smitte andre systemer.
Man kan roligt kopiere en inficeret fil til sin harddisk. Man kan også pakke en pakket fil ud, selv om der er inficerede programmer i den. Når man kopierer, pakker eller læser, er det ens egne programmer der er aktive, ikke virussen.
Men beder man om at få startet det inficerede program, så er det sket. Og starter man et selvudpakkende program som ikke er inficeret, så kan man risikere at det udpakker en inficeret fil og starter den. Så bliver man også smittet.
Hvis man har en opsætning der starter noget automatisk som man får sendende, så er ens system pivåbent for virusangreb. Det gælder specielt programfiler, men i dag er der også andre filer der kan bære en automatisk smitte, nemlig Word- og Excel-filer. Hvis man har sat systemet op til at aktivere de programmer hvis der modtages tilsvarende filer, og hvis der er åbnet for makrokommandoer, så kan man rent faktisk blive smittet mens man selv bare tror at man 'kun læste en mail'.
En bootsektorvirus aktiveres ved boot fra en harddisk eller diskette hvor den har lagt sig i bootsektoren. En smart virus vil sørge for at der står det sædvanlige på skærmen og at alting tilsyneladende forløber normalt. Hvis man har sat sit system op til at boote fra A: først, smitter den blot man har glemt en inficeret diskette i a-drevet og tænder/resetter. Der kan ligge en bootsektorvirus på enhver diskette.
Man er nødt til at kende lidt til social engineering. Jeg ved ikke hvordan det skal oversættes, men det drejer sig om kunsten via fiduser og charme at få andre mennesker til at glemme alle forsigtighedshensyn. Det er en kunst som nogle virusskribenter dyrker. Ganske kort efter at mange havde skreget op om Melissa, kom der en ny virus, Explore-zip, som blev spredt meget hurtigt - fordi folk kørte et ukendt program der var vedhæftet i e-mail, præcis som Melissa. Tankevækkende ...
Der er naturligvis ét system der er det primære mål for virusser, og det er dos/win på en pc. Det skyldes at det er verdens mest udbredte styresystem, men det skyldes også at det grundlæggende ikke er designet med sikkerhed for øje.
Der findes virusser til Mac, og vist enkelte til Unix, men derudover ved jeg ikke af at andre systemer er blevet ramt.
Der er ikke noget til hinder for at man kan skrive virus til alle styresystemer. Men chancen for at de bliver bremset af indbyggede sikkerhedsrutiner er meget stor ved mange af dem, og udveksling af risikable programmer holdes ofte på et minimum.
Der findes firmaer der laver programmer til at opdage og evt. rydde op efter virusser. De laver groft sagt to typer programmer, nemlig residente scannere og ikke-residente scannere. Begge typer bruger samme teknik, men en resident scanner skal køre automatisk og gå i gang hver gang man bruger harddisk/diskette eller evt. hver gang man starter et program. Derfor skal den være hurtig, og derfor kan dens check ikke være nær så grundigt som en fuld version. En resident scanner kan altså give en falsk sikkerhed.
På den anden side kan man måske være meget glemsom, eller systemet bliver brugt af mange mennesker. I så tilfælde kan en resident scanner forhindre en hoben angreb mod en acceptabel sænkning af arbejdshastigheden. Så er det en god idé. Under alle omstændigheder skal man af og til pudse den fulde version på computeren.
Hvis man har en normal hukommelse og kun selv bruger systemet, så kan man undvære en resident scanner. Den sikre metode består da i at man scanner alle nye medier man skal bruge i computeren, samt at man scanner alle nye programmer man installerer, selv om man mener at de kommer fra en pålidelig kilde.
| Program | Firma og links | Bedømmelse [1] | |
|---|---|---|---|
| Dr. Solomon's AntiVirus Toolkit | Network Associates Int. / DrSolomons | Excellent | |
| http://www.drsolomon.com/ | |||
| McAfee ViruScan | Network Associates | Excellent | |
| http://us.mcafee.com/default.asp | |||
| ftp://ftp.mcafee.com/pub/antivirus/ | |||
| AVP (AntiViral Toolkit Pro) | KAMI Ltd. | Excellent | |
| http://www.avp.ru/ | |||
| http://www.avp.com/ | |||
| F-Prot AntiVirus | Frisk Software Int. | Very good | |
| ftp://ftp.f-prot.com | |||
| http://www.complex.is/ | |||
| ftp://ftp.fh-merseburg.de | |||
| Dr. Web | DialogueScience, Inc. | Very good | |
| http://drweb.imshop.de/index_e.htm | |||
| InoculanIT | Computer Associates Int, Cheyenne Software, Inc. | Very good | |
| http://www.gy.com/company/ca_an.htm | |||
| On-line scanner: | http://housecall.trendmicro.com/ |
For nogle år siden kunne man opleve at av-programmer efter afslutning efterlod en tabel i hukommelsen med de bytes som de kunne kende virusserne på. Når man så startede et andet av-program for en sikkerheds skyld, så fandt det jo disse bytes, genkendte dem som tegn på virus og hylede, skreg og advarede om at computeren var sønderbombet med virus. Jeg tror nok at det ikke sker mere. Moderne programmer sletter disse tabeller efter brug. Jeg er ikke bekendt med at der overhovedet skulle være problemer med at bruge forskellige av-programmer på den samme computer.
Derimod vil jeg fraråde at man installerer mere end én resident scanner. Dels sænker en scanner hastigheden, og det er dobbelt slemt med to, dels ville de måske skabe konflikt når de skal snuppe interrupts, og dels ville de måske reagere på hinandens virustabeller som jo skal bruges hele tiden.
I bios kan man koble en virusbeskyttelse til. Lad være. Den bliver ikke opdateret, så den er ubrugelig. Desuden giver den nogle problemer når legale og nødvendige handlinger udløser en virusspærring.
Et av-program 'kender' nogle virusser. Det kikker så efter en stribe bytes som er karakteristisk for netop denne virus. Det er hurtigt og præcist.
Det kikker også efter visse rutiner som virusser plejer at bruge. Det kan være dekryptering, kopiering, ændring af interrupttabel el.lign. Derved kan av-programmet få begrundet mistanke til et program og give en advarsel, også selv om det ikke kender den formodede virus. Det tager lidt længere tid.
Endelig kan man slå en metode til der kaldes 'heuristic mode'. Det kan oversættes med 'opdagelsesmetode'. Det betyder at programmet meget omhyggeligt leder efter alt der har nogen lighed med virusaktivitet. Før i tiden kunne det resultere i en del falske advarsler ('false positives'). Av-programmet mistænkte helt normale programmer fordi de brugte rutiner der mindede om virusrutiner. Av-programmerne er blevet bedre i dag, så bruger man et godt av-program, kan man godt slå den metode til.
Fremgangsmåden i det andet afsnit er egentlig også heuristisk. Et godt av-program bruger en 'mild' version for at fange flere virusser.
Hvis du er sjusket og glemsom, eller hvis der er mange der bruger din computer, så er det en god idé at installere en resident scanner. Den vil primært lede efter de almindeligste virusser, og den vil automatisk advare hvis en sådan dukker op (samt blokere den). Men i sagens natur kan den ikke scanne for alle virusser hver gang. Det tager ganske enkelt for lang tid. Nogle scannere sænker computerens arbejdshastighed en del, især ved disketter.
Bedst er det at være omhyggelig: Ingen fremmed diskette kommer i diskdrevet uden den er scannet, og intet nyt program bliver startet uden at være scannet. Hvis man overholder det, er det nemt at holde sig virusfri. Garanteret sikker kan man aldrig blive, for der laves hele tiden nye virusser, og der dukker måske en op som ens program ikke kan fange. Men chancen er lille.
Jeg har endnu aldrig haft virus på mine computere, men jeg henter nu heller ikke mange programmer på nettet. Jeg har to gange måttet rense 18 computere på en skole for virus. Det skyldtes at eleverne tog disketter med hjemmefra og installerede og brugte spil (hvis ikke det var hærværk, men det tror jeg ikke. Den samme virus hærgede i hele kvarteret i samme periode).
En grundig gennemgang der dækker alle muligheder ville blive alt for lang. Det er trods alt sjældent at folk bliver ramt. Her er nogle principper:
Hav altid en garanteret virusfri bootdiskette i baghånden.
| Dos/Win: | Sæt en diskette i drevet |
| I en dosboks skriver du 'format a: /s' | |
| Du kan give den labelen 'Systemdisk' |
Hav altid en garanteret virusfri diskette med et opdateret av-program i baghånden.
| Dos/Win: | Sæt en diskette i drevet |
| I en dosboks skriver du 'format a: /u' | |
| Kopier av-programmet over på disketten. | |
| (Der kan evt. blive pladsproblemer; få da hjælp) | |
| Du kan give den labelen 'Antivirus' |
Lav gerne flere kopier af disse disketter. De skal skrivebeskyttes.
Når du booter et inficeret system fra diskette, skal du allerførst sikre dig at du kan bruge harddisken normalt. Hvis det ikke er muligt, har du en krypterende bootsektorvirus, og så er dine data tabt hvis du fjerner den. Tilkald om nødvendigt en bekendt der er ekspert.
| Husk at boote fra en virusfri diskette, før du prøver at reparere! |
Lad av-progammet rense ud og reparere om muligt. Følg dets instruktioner.
Hvis du har et nemt backup-system, kan du godt formattere og køre backupen ind igen - hvis du er sikker på at den er virusfri.
Hvis der er programmer der ikke virker, må de installeres om igen.
Jeg har læst flere steder at det aldrig er nødvendigt at formattere og installere systemet forfra. Men det er naturligvis en måde at blive virusfri på.
Når systemet er kørende igen, tager man alle sine disketter og checker dem for virus.
Virus Test
Center, Hamburg
laver nogle meget grundige tests, og der er meget nyttig
information på deres sider.
Her kan du gå direkte til deres
test
af pc-scannere.
Der er et site der hedder 'Virus Bulletin'. Det har en liste over antivirus-udviklere.
Her er Joe Wells Wildlist ('In the wild' betyder 'i omløb').
Her er et par ikke-kommercielle sider:
http://ciac.org/ciac/index.html og
http://cert.org/.
De handler om computersikkerhed generelt, ikke kun virusser.
Symantecs forhandler Nortons Antivirus.