Защита программного обеспечения от вирус

Для защиты от вирусов можно использовать:

    • Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
    • профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
    • специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих методов защиты:

- резервное копирование информации, т. е. создание копий файлов и системных областей дисков на дополнительном носителе;

- разграничение доступа, предотвращающее несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов. Эти программы можно разделить на несколько видов:

    1. Программы- детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
    2. Программы- доктора , или фаги , восстанавливают зараженные программы убирая из них тело вируса, т.е. программа возвращается в то состояние, в котором она находилась до заражения вирусом.
    3. Программы- ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.
    4. Доктора - ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.
    5. Программы-фильтры располагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Поэтому наилучшей стратегией защиты от вирусов является многоуровневая защита.

Средствами разведки в защите от вирусов являются программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На первом уровне защиты находятся резидентные программы для защиты от вируса. Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.

Второй уровень защиты составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение тогда, когда вирус сумел пройти сквозь первый уровень. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.

Третий уровень защиты - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

В резерве находятся архивные копии информации и эталонные диски с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

Среди наиболее распространненых российских антивирусных пакетов следует отметить Kaspersky Antivirus , DrWeb , Adinf . Перечисленные средства могут оказать серьёзную помощь в обнаружении вирусов и восстановлении повреждённых файлов, однако не менее важно и соблюдение сравнительно простых правил антивирусной безопасности.

    1. Следует избегать пользоваться нелегальными источниками получения программ. Наименее же опасен законный способ покупки фирменных продуктов.
    2. Осторожно следует относиться к программам, полученным из сети Internet, так как нередки случаи заражения вирусами программ, распространяемых по электронным каналам связи.
    3. Всякий раз, когда дискета побывала в чужом компьютере, необходимо проверить дискету с помощью одного или двух антивирусных средств.
    4. Необходимо прислушиваться к информации о вирусных заболеваниях на компьютерах в своем районе проживания или работы и о наиболее радикальных средствах борьбы с ними. Атакам нового вируса в первую очередь подвергаются компьютеры образовательных учреждений.
    5. При передаче программ или данных на своей дискете её следует обязательно защитить от записи.

Курс дистанционного обучения:
"Экономическая информатика"
Модуль 1 (1,5 кредит): Введение в экономическую информатику

1.4. Сервисное программное обеспечение ПК и основы алгоритмизации

Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных.

Известно много различных способов классификации компьютерных вирусов.

Одним из способов классификации компьютерных вирусов – это разделение их по следующим основным признакам:

  • среда обитания;
  • особенности алгоритма;
  • способы заражения;
  • степень воздействия (безвредные, опасные, очень опасные).

В зависимости от среды обитания основными типами компьютерных вирусов являются:

  1. Программные (поражают файлы с расширением. СОМ и .ЕХЕ) вирусы.
  2. Загрузочные вирусы.
  3. Макровирусы.
  4. Сетевые вирусы.

Программные вирусы – это вредоносный программный код, который внедрен внутрь исполняемых файлов (программ). Вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением.

По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы программ и операционной системы, удаляя информации, хранящиеся на жестком диске. Этот процесс называется вирусной атакой.

Загрузочные вирусы – поражают не программные файлы, а загрузочный сектор магнитных носителей (гибких и жестких дисков).

Макровирусы – поражают документы, которые созданы в прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся документы текстового процессора WORD, табличного процессора Excel. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Сетевые вирусы пересылаются с компьютера на компьютер, используя для своего распространения компьютерные сети, электронную почту и другие каналы.

По алгоритмам работы различают компьютерные вирусы:

  • черви (пересылаются с компьютера на компьютер через компьютерные сети, электронную почту и другие каналы);
  • вирусы-невидимки (Стелс-вирусы);
  • троянские программы;
  • программы – мутанты;
  • логические бомбы;
  • и другие вирусы.

В настоящее время к наиболее распространенным видам вредоносных программ, относятся: черви, вирусы, троянские программы.

Желательно не допускать появление вирусов в ПК, но при заражении компьютера вирусом очень важно его обнаружить.

Основные признаки появления вируса в ПК:

  • медленная работа компьютера;
  • зависания и сбои в работе компьютера;
  • изменение размеров файлов;
  • уменьшение размера свободной оперативной памяти;
  • значительное увеличение количества файлов на диске;
  • исчезновение файлов и каталогов или искажение их содержимого;
  • изменение даты и времени модификации файлов.
  • И другие признаки.

Одним из основных способов борьбы с вирусами является своевременная профилактика.

Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:

  1. Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса.
  2. Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков.
  3. Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры.
  4. Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных.
  5. создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки
  6. Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках

Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей:

  1. Эвристический модуль – для выявления неизвестных вирусов.
  2. Монитор – программа, которая постоянно находится в оперативной памяти ПК
  3. Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов
  4. Почтовая программа (проверяет электронную почту)
  5. Программа сканер – проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков
  6. Сетевой экран – защита от хакерских атак

К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие.

Программа состоит из следующих компонентов:

  1. Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере.
  2. Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера.
  3. Веб-Антивирус компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.
  4. Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.

Антивирус Касперского 7.0 – это классическая защита компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного ПО.

  1. Три степени защиты от известных и новых интернет-угроз: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор
  2. Защита от вирусов, троянских программ и червей.
  3. Защита от шпионского (spyware) и рекламного (adware) ПО.
  4. Проверка файлов, почты и интернет-трафика в режиме реального времени.
  5. Защита от вирусов при работе с ICQ и другими IM-клиентами.
  6. Защита от всех типов клавиатурных шпионов.
  7. Обнаружение всех видов руткитов.
  8. Автоматическое обновление баз.

Антивирусная программа avast! v. home edition 4.7 (бесплатная версия) русифицирована и имеет удобный интерфейс, содержит резидентный монитор, сканер, средства автоматического обновление баз и т.д.

Защита Avast основана на резидентных провайдерах, которые являются специальными модулями для защиты таких подсистем, как файловая система, электронная почта и т.д. К резидентным провайдерам Avast! относятся: Outlook/Exchange, Web-экран, мгновенные сообщения, стандартный экран, сетевой экран, экран P2P, электронная почта.

Состоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске. Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок.

Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу ПК.

В современных условиях противодействие компьютерным вирусам стало одной из самых распространенных проблем при эксплуатации АС.

Защита АС от программ-вирусов является очень важной задачей, поскольку ущерб от их деструктивных воздействий может оказаться весьма существенным, а ликвидация как самих программ-вирусов, так и последствий их воздействия – чрезвычайно длительным.

Проблема компьютерных вирусов возникла давно и сразу же получила широкое распространение. В 1988 г. с появлением в сети "вируса Морриса" фактически началось более-менее целенаправленное развитие антивирусных средств.

Термин "вирус" в применении к компьютерам был придуман Фредом Когеном из Университета Южной Каролины. Слово "вирус" латинского происхождения и означает "яд". Компьютерный вирус – это программа, которая пытается тайно записать себя на компьютерные диски. Каждый раз, когда компьютер загружается с инфицированного диска, происходит скрытое инфицирование.

Вирусы представляют собой достаточно сложные и своеобразные программы, выполняющие несанкционированные пользователем действия.

Программой-вирусом принято называть программу, способную, саморазмножаясь, внедряться в другие программы. Единственным и возможным каналом проникновения вирусов в АС являются накопители на съемных носителях информации и средства межкомпьютерной коммуникации.

В жизненном цикле вируса выделяется три периода:

  • 1) латентный период – вирус находится в зараженной программе, не предпринимая никаких действий;
  • 2) инкубационный период – вирус размножается, заражая другие программы;
  • 3) период деструктивных действий – вирус выполняет заложенный в него разработчиком алгоритм действий, продолжая при этом заражать другие программы.

Первые два периода предназначены для целей:

  • – сокрытия канала проникновения вируса в вычислительную систему;
  • – сокрытия факта существования вируса в программном обеспечении системы;
  • – заражения возможно большего числа программ вирусом.

Вирусы, как правило, могут содержаться в программных файлах и в ряде компонентов системной области диска, участвующих в процессе загрузки операционной системы.

К вирусам также относят вредоносные программы, не способные заражать другие программы, но разрушающие информацию на магнитных носителях информации или срывающие нормальное течение вычислительного процесса.

Способ функционирования большинства вирусов – это такое изменение системных файлов компьютера пользователя, чтобы вирус начинал свою деятельность либо при каждой загрузке, либо в один прекрасный момент, когда происходит некоторое "событие вызова".

При разработке современных компьютерных вирусов используется много технических новшеств, однако большая часть вирусов является имитацией и модификацией нескольких классических схем.

Вирусы можно классифицировать по типу поведения следующим образом.

  • 1. Вирусы, поражающие загрузочный сектор, пытаются заменить или инфицировать часть съемного (или жесткого) диска, зарезервированную только для операционной системы и хранения файлов запуска. Они особенно коварны, так как загружаются в память при каждом включении компьютера. Тем самым вирусу дается полная возможность контролировать любой выполняемый компьютером процесс. Эти вирусы обладают наибольшей способностью к размножению и могут постоянно распространяться на новые диски.
  • 2. Вирусы, инфицирующие файлы. Чтобы остаться необнаруженными, множество вирусов пытается инфицировать исполняемые файлы. Обычно вирусы отдают предпочтение EXE- и COM-файлам, однако в связи с растущей популярностью Windows некоторые авторы вирусов стараются инфицировать файлы библиотек динамической связи (DLL).

Файловые вирусы распространяются более медленно, чем вирусы, поражающие загрузочный сектор, вирус активизируется и начинает размножаться, только когда инфицированный файл запущен на выполнение. Единственное условие распространения вируса – это выполнение инфицированного программного файла. При этом он будет загружаться в память и сможет приступать к работе.

  • 3. Многофункциональные вирусы. Некоторые вирусы используют для инфицирования компьютерной системы как загрузочный сектор, так и метод заражения файлов. Это несколько затрудняет выявление и идентификацию вируса специальными программами и ведет к быстрому его распространению.
  • 4. Вирусы-невидимки. Один из способов выявления и идентификации вируса антивирусными программами – проверка контрольных сумм. Контрольная сумма – это результат выполнения математического алгоритма, проверяющего соответствие длины полученного файла длине его первоначальной копии. Ряд антивирусных программ создает списки контрольных сумм файлов, находящихся на вашем диске. Вирусы-невидимки используют ряд методов для маскировки своего присутствия – они фальсифицируют фактические значения контрольных сумм, что затрудняет их обнаружение.
  • 5. Системные вирусы. Пытаясь остаться незамеченными, системные вирусы поражают не загрузочный сектор, а операционные системы. Основные жертвы этих вирусов – таблица размещения файлов (оглавление диска), таблицы разделов, драйверы устройств и системные файлы.

Наилучший способ защитить свою систему от вирусов – регулярно использовать антивирусные программы, предназначенные для проверки памяти и файлов системы, а также поиска сигнатур вирусов. Вирусная сигнатура – это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов.

При выполнении антивирусная программа просматривает компьютерную систему на предмет наличия в ней сигнатур, подобных имеющимся в базе данных.

В самом хорошем антивирусном программном обеспечении не только ищется соответствие с сигнатурами в базе данных, но используются и другие методы. Такие антивирусные программы могут выявить новый вирус даже тогда, когда он еще не был специально идентифицирован.

Однако большинство вирусов обезвреживается все же путем поиска соответствия с базой данных. Когда программа находит такое соответствие, она будет пытаться вычистить обнаруженный вирус. Важно постоянно пополнять имеющуюся базу вирусных сигнатур. Большинство поставщиков антивирусного программного обеспечения распространяет файлы обновлений через Интернет.

Однако следует иметь в виду, что иногда встречаются вирусы, идентификация которых затруднена либо из-за их новизны, либо из-за большого промежутка времени перед их активизацией (у вирусов имеется некоторый инкубационный период, и они некоторое время скрываются, прежде чем активизироваться и распространиться на другие диски и системы).

Поэтому следует обращать внимание на следующее:

  • 1) изменения размера файла. Файловые вирусы почти всегда изменяют размер зараженных файлов, поэтому если вы заметите, что объем какого-либо файла, особенно СОМили EXE, вырос на несколько килобайт, необходимо немедленно обследовать жесткие диски антивирусной программой;
  • 2) необъяснимые изменения в доступной памяти. Для эффективного распространения вирус должен находиться в памяти, что неизбежно уменьшает количество оперативной памяти (RAM), остающейся для выполнения программ. Поэтому если вы не сделали ничего, что изменило бы объем доступной памяти, однако обнаружили ее уменьшение, необходимо также запустить антивирусную программу;
  • 3) необычное поведение. При загрузке вируса, как и любой новой программы, в компьютерную систему происходит некоторое изменение в ее поведении. Может быть, это будет либо неожиданным изменением времени перезагрузки, либо изменением в самом процессе перезагрузки, либо появлением на экране необычных сообщений. Все эти симптомы говорят о том, что следует незамедлительно запустить антивирусную программу.

Если вы обнаружили в компьютере какой-либо из указанных выше симптомов, а антивирусная программа не в состоянии обнаружить вирусную инфекцию, следует обратить внимание на саму антивирусную программу – она может быть устаревшей (не содержать новых вирусных сигнатур) или же сама может быть заражена. Поэтому надо запустить надежную антивирусную программу.

В заключение приведем девять правил компьютерной безопасности (защиты от вирусов) от "Лаборатории Касперского".

  • 1. Периодически обновляйте вашу антивирусную программу. Антивирусные сканеры способны защищать только от тех компьютерных вирусов, данные о которых содержатся в антивирусной базе. В связи с этим необходимо регулярно обновлять антивирусные базы. Чем чаще выполняется эта несложная операция, тем более защищенным будет компьютер. Рекомендуется настроить внутренний планировщик, присутствующий в большинстве современных антивирусных программ, на автоматическую загрузку обновлений.
  • 2. Будьте осторожны с файлами в письмах электронной почты. Нельзя запускать программы, присланные неизвестным лицом. Файлы, полученные от "надежных" корреспондентов, также могут быть инфицированы.

Не менее важным моментом является кажущаяся безопасность вложенных файлов определенного формата. Если вы думаете, что файлы с расширением PIF, GIP, TXT не могут содержать вредоносных программ, то глубоко заблуждаетесь. Даже в таких "безобидных" программах могут быть замаскированы вирусы. Следовательно, второе правило можно сформулировать так: не запускайте полученные файлы, пока не убедитесь, что они присланы известным вам лицом, и не проверите их антивирусной программой с самыми последними обновлениями,

  • 3. Ограничьте круг лиц, пользующихся вашим компьютером. Идеальным вариантом является ситуация, когда никто, кроме вас, не имеет доступа к вашему компьютеру. Если это невозможно, то необходимо четко разграничить права доступа и определить круг разрешенных действий для других лиц. В первую очередь это касается работы с мобильными носителями информации (ленты, диски), Интернетом и электронной почтой.
  • 4. Своевременно устанавливайте "заплатки" к программному обеспечению. Многие вирусы используют "дыры" в системах защиты операционных систем и приложений. Антивирусные программы способны защищать от такого типа вредоносных воздействий, даже если на компьютере не установлена соответствующая "заплатка", закрывающая "дыру". Тем не менее рекомендуется регулярно проверять Web-сайты производителей установленного программного обеспечения и следить за выпуском новых "заплаток". В первую очередь это относится к операционной системе Windowsи другим программам корпорации Microsoft, которые наиболее распространены и привлекают наибольшее внимание создателей вирусов.
  • 5. Обязательно проверяйте мобильные носители информации. Несмотря на то что около 85% всех зарегистрированных случаев заражения компьютерными вирусами приходится на электронную почту и Интернет, не стоит забывать о таком традиционном способе транспортировки вредоносных кодов, как мобильные носители информации. Следует тщательно проверять их антивирусной программой, прежде чем использовать на своем компьютере. Исключением, пожалуй, являются диски, предназначенные для форматирования.

Большую опасность представляют собой и столь широко распространенные в России пиратские компакт-диски. К примеру, проверка, проведенная "Лабораторией Касперского" в 1999 г., выявила факт присутствия вирусов на 23% закупленных носителей. Вывод и здесь достаточно прост: тщательно проверяйте даже вновь приобретенные компакт-диски.

Нередки случаи присутствия вирусов на дисках с драйверами к аппаратному обеспечению, в лицензионном программном обеспечении и т.п.

Бывает также, что компьютер, переданный на техническое обслуживание в ремонтную мастерскую, возвращается не совсем "чистым". Как правило, это происходит из-за того, что ремонтники пользуются одними и теми же дисками и флеш-картами для загрузки программ для тестирования различных узлов компьютера. Таким образом, они очень быстро переносят компьютерную "заразу" с одних компьютеров на другие.

Вывод: получив компьютер из ремонта, не забудьте тщательно проверить его на наличие вирусов.

Настоятельно рекомендуется проверять даже данные, полученные из источников, заслуживающих доверия. Не стоит думать, что производители умышленно заражают ваш компьютер, в каждой работе бывают осечки. Иногда они касаются и антивирусной безопасности.

  • 7. Сочетайте разные антивирусные технологии. Не следует ограничиваться классическим антивирусным сканером, запускаемым по требованию пользователя или при помощи встроенного планировщика событий. Существует ряд других, нередко более эффективных технологий, комбинированное использование которых способно гарантировать безопасную работу компьютера. К числу таких технологий относятся:
    • – антивирусный монитор, постоянно присутствующий в памяти компьютера и проверяющий все используемые файлы в масштабе реального времени (в момент доступа к ним);
    • – ревизор изменений, который отслеживает все изменения на диске и немедленно сообщает, если в каком-либо из файлов "поселился" вирус;
    • – поведенческий блокиратор, обнаруживающий вирусы не по их уникальному коду, а по последовательности их действий.

Сочетание описанных способов борьбы с вирусами является залогом успешной защиты от вредоносных программ.

8. Регулярное резервное копирование. Выполнение этого правила позволит сохранить данные не только при поражении компьютера каким-либо вирусом, но и в случае серьезной поломки в аппаратной части компьютера.

Вряд ли кому захочется потерять результаты многолетних наработок вследствие произошедшего сбоя в системе вне зависимости от того, вызвано это вирусами или нет. Именно поэтому рекомендуется регулярно копировать наиболее ценную информацию на независимые носители – флеш-карты, внешние жесткие диски и т.д.

9. Не паникуйте! Не следует думать, что вирусы – это неисправимая катастрофа. Они являются такими же программами, как, скажем, калькулятор или записная книжка Windows. Отличительная их черта в том, что вирусы способны размножаться (т.е. создавать свои копии), интегрироваться в другие файлы или загрузочные секторы, а также производить другие несанкционированные действия. И гораздо больший вред способны нанести необдуманные действия, направленные на нейтрализацию вируса. При работе в корпоративной сети следует немедленно обратиться к системному администратору. Если же вы просто автономный пользователь, свяжитесь с компанией, у которой приобрели антивирусную программу. Предоставьте возможность профессионалам позаботиться о безопасности вашего компьютера.

Как показывает практика, небольшая доля подозрительности является обязательной для успешного проведения политики компьютерной безопасности.

Методы и средства защиты от компьютерных вирусов

Александр Фролов, Григорий Фролов

В предыдущей статье, посвященной антивирусной защите, мы рассмотрели основные типы вирусов и способы их распространения. Теперь, основываясь на этих знаниях, мы займемся защитой от вирусов, троянских и других вредоносных программ. Мы расскажем о программно-технических и административно-технологических решениях и мероприятиях, необходимых для снижения риска вирусного заражения и уменьшения вреда, если такое заражение уже произошло.

Программно-технические методы обнаружения вирусов

Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· использование антивирусных мониторов;

· использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Конечно, если это возможно.

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает Ваш компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы.

Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. На рис. 1 мы показали одну из таких программ — сканер McAffee VirusScan , запущенный вручную для антивирусной проверки диска.


Рис. 1. Сканер McAffee VirusScan проверяет диск

Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность — удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у Вас есть).

Существует еще целый класс антивирусных программ, которые постоянно находятся в памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название антивирусных мониторов или сторожей.

Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты и компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.


Рис. 2. Сканер Doctor Web

Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверяют их (отсюда происходит название программы-ревизоры). Ревизор может найти изменения, сделанные известным или неизвестным вирусом.

Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует собранную ранее информацию о файлах для восстановления их после поражения неизвестными вирусами. Ревизор AVP Inspector также имеет в своем составе лечащий модуль, способный удалять вирусы.

В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение.

Однако эта защита не очень надежна. Существуют вирусы (например, Tchechen.1912 и 1914), которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Особенности защиты корпоративной интрасети

Корпоративня интрасеть может насчитывать сотни и тысячи компьютеров, играющих роль рабочих станций и серверов. Эта сеть обычно подключена к Интернету и в ней имеются почтовые серверы, серверы систем автоматизации документооборота, такие как Microsoft Exchange и Lotus Notes , а также нестандартные информационные системы.

Для надежной защиты корпоративной интрасети необходимо установить антивируы на все рабочие станции и серверы. При этом на файл-серверах, серверах электронной почты и серверах систем документооборота следует использовать специальное серверное антивирусное программное обеспечение. Что же касается рабочих станций, их можно защитить обычными антивирусными сканерами и мониторами.

Разработаны специальные антивирусные прокси-серверы и брандмауэры, сканирующие проходящий через них трафик и удаляющие из него вредоносные программные компоненты. Эти антивирусы часто применяются для защиты почтовых серверов и серверов систем документооборота.

Защита файловых серверов должна осуществляться с использованием антивирусных мониторов, способных автоматически проверять все файлы сервера, к которым идет обращение по сети. Антивирусы, предназначенные для защиты файловых серверов, выпускают все антивирусные компании, поэтому у Вас есть богатый выбор.

Антивирусные мониторы неэффективны для обнаружения вирусов в почтовых сообщениях. Для этого необходимы специальные антивирусы, способные фильтровать трафик SMTP , POP3 и IMAP , исключая попадание зараженных сообщений на рабочие станции пользователей.

Для защиты почтовых серверов можно приобрести антивирусы, специально предназначенные для проверки почтового трафика, или подключить к почтовому серверу обычные антивирусы, допускающие работу в режиме командной строки.

Демон антивируса Doctor Web можно интегрировать со всеми наиболее известными почтовыми серверами и системами, такими как Doctor ComminiGatePro , Sendmail , Postfix , Exim , QMail и Zmailer . Аналогичные средства предоставляются и Лабораторией Касперского в составе пакета Kaspersky Corporate Suite.

Почтовый сервер MERAK Mail Server допускает подключение внешних антивирусов различных типов, имеющих интерфейс командной строки. Некоторые почтовые серверы (например, EServ ) поставляются со встроенным антивирусом.

Можно также дополнительно проверять трафик POP 3 и на рабочих станциях пользователей. Это позволяет сделать, например, антивирусный прокси-сервер SpIDer Mail для протокола POP 3, который можно приобрести вместе с антивирусом Doctor Web .

Серверы систем документооборота, такие как Microsoft Exchange и Lotus Notes , хранят документы в базах данных собственного формата. Поэтому использование обычных файловых сканеров для антивирусной проверки документов не даст никаких результатов.

Существует ряд антивирусных программ, специально предназначенных для антивирусной защиты подобных систем. Это Trend Micro ScanMail для Lotus Notes , McAfee GroupScan и McAfee GroupShield , Norton Antivirus для Lotus Notes , антивирус Касперского Business Optimal для MS Exchange Server и некоторые другие.

Эти программы сканируют почту и файлы вложений, удаляя в реальном времени все вредоносные программы, обнаруживают макрокомандные вирусы и троянские программы в формах и макросах, в файлах сценариев и в объектах OLE. Проверка выполняется в режиме реального времени, а также по требованию.

Для антивирусной защиты нестандартных информационных систем, хранящих данные в собственных форматах, необходимо либо встраивать антивирусное ядру в систему, либо подключать внешний сканер, работающий в режиме командной строки.

Если же не обеспечить своевременное и эффективное выполнение перечисленных выше операций, технология антивирусной защиты корпоративной сети обязательно будет нарушена, что рано или поздно приведет к вирусному заражению. Например, пользователи могут неправильно настроить автоматическое обновление антивирусной базы данных или просто выключать свои компьютеры в то время, когда такое обновление выполняется. В результате автоматическое обновление не будет выполнено и возникнет потенциальная угроза заражения новыми вирусами.

В современных антивирусных системах реализованы следующие функции удаленного управления и контроля:

· установка и обновление антивирусных программ, а также антивирусных баз данных;

· централизованная дистанционная установка и настройка антивирусов;

· автоматическое обнаружение новых рабочих станций, подключенных к корпоративной сети, с последующей автоматической установкой на эти станции антивирусных программ;

· планирование заданий для немедленного или отложенного запуска (таких как обновление программ, антивирусной базы данных, сканирование файлов и т.п.) на любых компьютерах сети;

· отображение в реальном времени процесса работы антивирусов на рабочих станциях и серверах сети.

Сетевые центры управления позволяют управлять антивирусной защитой всей сети с одной рабочей станции системного администратора. При этом для ускорения процесса установки антивирусов в удаленных сетях, подключенных к основной сети медленными каналами связи, в этих сетях создаются собственные локальные дистрибутивные каталоги.

При использовании клиент-серверной архитектуры основой сетевого центра управления является антивирусный сервер, установленный на одном из серверов корпоративной сети. С ним взаимодействуют, с одной стороны, программы-агенты, установленные вместе с антивирусами на рабочих станциях сети, а с другой стороны — управляющая консоль администратора антивирусной защиты (рис. 3).

Рис. 3. Взаимодействие консоли администратора, агентов и антивирусного сервера

Антивирусный сервер выполняет управляющие и координирующие действия. Он хранит общий журнал событий, имеющих отношение к антивирусной защите и возникающих на всех компьютерах сети, список и расписание выполнения заданий. Антивирусный сервер отвечает за прием от агентов и передачу администратору антивирусной защиты сообщений о возникновении тех или иных событий в сети, выполняет периодическую проверку конфигурации сети с целью обнаружения новых рабочих станций или рабочих станций с изменившейся конфигурацией антивирусных средств и т.д.

Помимо агентов, на каждой рабочей станции и сервере корпоративной сети устанавливается антивирус, выполняющий сканирование файлов и проверку файлов при их открытии (функции сканера и антивирусного монитора). Результаты работы антивируса передаются через агентов антивирусному серверу, которых их анализирует и протоколирует в журнале событий.

Управляющая консоль может представлять собой стандартное приложение Microsoft Windows с оконным интерфейсом или аплет ( snap - in ) управляющей консоли Control Panel операционной системы Microsoft Windows . Первый подход реализован, например, а управляющей системе антивирусов Sophos , а второй — в управляющей системе Norton AntiVirus .

Пользовательский интерфейс управляющей консоли позволяет просматривать древовидную структуру корпоративной сети, получая при необходимости доступ к отдельным компьютерам тех или иных групп пользователей или доменов.

Архитектура многоуровневых систем с Web -интерфейсом предполагает использование Web -сервера в качестве ядра системы. Задачей этого ядра является, с одной стороны, организация диалогового интерактивного взаимодействия с пользователем, а с другой — с программными модулями той или иной системы.

Преимущества такого подхода заключаются в унификации способов управления различными системами сети, а также в отсутствии необходимости устанавливать на рабочую станцию администратора какие-либо управляющие программы или консоли. Администрирование может выполняться с любого компьютера сети, а если сеть подключена к Интернету, то из любого места земного шара, где есть Интернет и компьютер с браузером.

Для защиты управляющей информации при ее передаче по Интернету или корпоративной интрасети применяются протоколы SSH или другие аналогичные средства (например, собственные защищенные модификации протокола HTTP ).

На рис. 4-5 мы показали структурную схему системы антивирусной защиты с Web -интерфейсом Trend Virus Control System . Эта система позволяет полностью управлять и контролировать работу корпоративной системы антивирусной защиты с одной рабочей станции через браузер, даже если отдельные фрагменты сети находятся в разных странах или на разных континентах.

Рис. 4. Антивирусная система с Web -интерфейсом

Эта схема аналогична схеме, показанной на рис. 4-1, однако администратор антивирусной защиты управляет ее работой через браузер, а не через консольное приложение.

На рабочих станциях устанавливается антивирус ( PC - cillin , Server Protect , InterScan VirusWall , ScanMail и т.д.). Этот антивирус управляется антивирусным сервером через агента.

На компьютере, играющем роль антивирусного сервера, устанавливается Web -сервер Microsoft IIS . Специальное Web -приложение, работающее на этом сервере, управляет антивирусным сервером. Оно также предоставляет администратору пользовательский интерфейс для управления системой антивирусной защиты.

С целью обеспечения максимальной независимости от компьютерных платформ сервер Trend VCS Server и клиентское приложение написаны на языке программирования Java и других языках, применяющихся для разработки приложений Интернета.

Что же касается извещений о возникновении событий в корпоративной системе антивирусной защиты, то они передаются программами-агентами серверу Trend VCS Server и рассылаются по электронной почте, по пэйджинговым сетям, через системы SMS и т.п.

Административно-технологические методы защиты

Для того чтобы антивирусные программы эффективно выполняли свои функции, необходимо строго соблюдать рекомендации по их применению, описанные в документации. Особое внимание следует обратить на необходимость регулярного обновления вирусных баз данных и программных компонент антивирусов. Современные антивирусы умеют загружать файлы обновлений через Интернет или по локальной сети. Однако для этого их необходимо настроить соответствующим образом.

Однако даже без применения антивирусных программ можно постараться предотвратить проникновение вирусов в компьютер и уменьшить вред, который они нанесут в случае заражения. Вот что следует для этого сделать в первую очередь:

· блокируйте возможные каналы проникновения вирусов: не подключайте компьютер к Интернету и локальной сети компании, если в этом нет необходимости, отключите устройства внешней памяти, такие как дисководы для дискет и устройства CD - ROM ;

· настройте параметры BIOS таким образом, чтобы загрузка ОС выполнялась только с жесткого диска, но не с дискет;

· запретите программное изменение содержимого энергонезависимой памяти BIOS ;

· изготовьте системную загрузочную дискету, записав на нее антивирусы и другие системные утилиты для работы с диском, а также диск аварийного восстановления Microsoft Windows ;

· проверяйте все программы и файлы документов, записываемые на компьютер, а также дискеты с помощью антивирусных программ новейших версий;

· устанавливайте программное обеспечение только с лицензионных компакт-дисков;

· установите на всех дискетах защиту от записи и снимайте ее только в случае необходимости;

· ограничьте обмен программами и дискетами;

· регулярно выполняйте резервное копирование данных;

· устанавливайте минимально необходимые права доступа к каталогам файлового сервера, защищайте от записи каталоги дистрибутивов и программных файлов;

· составьте инструкцию для пользователей по антивирусной защите, описав в ней правила использования антивирусов, правила работы с файлами и электронной почтой, а также опишите действия, которые следует предпринять при обнаружении вирусов.

Проблема домашних компьютеров

Часто сотрудники компаний работают не только в офисе, но и дома, обмениваясь файлами между домашним компьютером и офисной рабочей станцией. Системный администратор компании не в состоянии защитить от вирусов все домашние компьютеры сотрудников. Вирусы могут попасть на домашний компьютер из Интернета, а также в результате обмена игровыми программами. Зачастую это происходит, если к домашнему компьютеру имеют доступ другие члены семьи и дети.

Установка персональных брандмауэров

Корпоративная сеть, подключенная к Интернету, должна быть защищена от атак хакеров при помощи брандмауэра. Однако помимо этого можно дополнительно защитить рабочие станции и серверы сети, установив на них персональные брандмауэры, такие как AtGuard (рис. 5).


Рис. 5. Настройка персонального брандмауэра AtGuard

Помимо фильтрации нежелательного трафика, некоторые персональные брандмауэры способны защитить компьютер от троянских аплетов Java и элементов управления ActiveX . Такие компоненты могут быть встроены в почтовые сообщения формата HTML и в страницы троянских Web -сайтов.

Персональные брандмауэры, находящиеся в так называемом режиме обучения, могут оказать помощь в обнаружении трафика от троянских программ, логических бомб и других нежелательных вредоносных компонентов. Когда такой компонент попытается установить связь с компьютером хакера, брандмауэр отобразит на экране предупреждающее сообщение.

Следует заметить, что в настройках браузера Вы также можете отключить возможность использования активных компонентов, таких как аплеты Java и элементов управления ActiveX . Однако персональные брандмауэры более универсальны, и позволяют блокировать использование таких компонентов любыми программами, например, почтовыми клиентами

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Иммунитет и инфекции