Компьютерные вирусы и меры защиты от них

 

Способы заражения программ

Способы заражения представлены следующей  в таблице:

Таблица 3 - Способы заражения программ

Метод приписывания	Код вируса приписывается к концу  файла заражаемой программы, и тем  или иным способом осуществляется переход  вычислительного процессам на команды  этого фрагмента
Метод оттеснения	Код вируса располагается в начале зараженной программы, а тело самой  программы приписывается к концу
Метод вытеснения	Из начала (или середины) файла  «изымается» фрагмент, равный по объекту  коду вируса, и приписывается к  концу файла. Сам вирус записывается в освободившееся место. Разновидность  метода вытеснения – когда оригинальное начало файла не сохраняется вообще. Такие программы являются «убитыми насмерть» и не могут быть восстановлены ни каким антивирусом
Прочие методы	Сохранение вытесненного фрагмента  программы в «кластерном хвосте»  файла и пр.

 

Признаки проявления вирусов

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• медленная работа компьютера;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• неожиданное значительное увеличение количество файлов на диске;
• существенное уменьшение размера свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• частые зависания и сбои в работе компьютера.

Следует отметить, что выше перечисленные  явления не обязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому  всегда затруднена правильная диагностика  состояния компьютера.

Методы защиты

Каким ни был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

• общие средства защиты информации, которые полезны также как и страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
• профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
• специализированные программы для защиты от вирусов.

Общие средства зашиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

• копирование информации – создание копий файлов и системных областей дисков;
• разграничения доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователя.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько  видов специальных программ, которые  позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

• программы-детекторы;
• программы-доктора или фаги;
• программы-ревизоры;
• программы фильтры;
• программы-вакцины или иммунизаторы.

Программы-детекторы  осуществляет поиск характерного для  конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее  сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора  или фаги, а также программы-вакцины  не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют  из файла тело программы-вируса, возвращая  файлы в исходное состояние. В  начале своей работы фаги ищут вирусы в операционной памяти, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

В основе работы полифагов стоит простой  принцип – поиск в программах и документов знакомых участков вирусного кода. В общем случае сигнатуры – это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе. Чаще всего сигнатура – это непосредственно участок вирусного кода или его контрольная сумма (дайджест).

Первоначально вирусы-полифаги работали по очень  простому принципу – осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ. Если сигнатура вируса была обнаружена, то производилась процедура  удаления вирусного кода из тела программы  или документа. Прежде чем начать проверку файла, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается  вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии (это связано со стремлением экономить на усилиях по поиску объекта заражения). Таким образом, если вирус остается активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.

Программы-ревизоры относятся к самым надежным средствам  защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов  и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию  пользователя сравнивают текущее состояние  с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнения состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла),дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версий проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относятся широко распространенная в России программа Adinf.

Программы-фильтры  или «сторожа» представляют собой  небольшие резидентные программы, предназначенные для обнаружения  подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

• попытки коррекции файлов с расширениями COM, EXE;
• изменение атрибутов файлов;
• прямая запись на диск по абсолютному адресу;
• запись в загрузочные сектора диска;
• загрузка резидентной программы.

При попытки какой либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.  Программа-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуются применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытки копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS-DOS.

Вакцины или иммунизаторы – резидентные программы предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Следует отметить, что своевременное обнаружение  зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов  на каждом компьютере позволяют избежать распространение вирусной эпидемии на другие компьютеры.

 

Антивирусные программы

К настоящему времени зарубежными и отечественными фирмами и специалистами разработано  большое количество антивирусных программ. Многие из них, получившие широкое признание, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.

 

Kaspersky Anti-Virus Scanner (AVS)

Одна  из самых популярных в России программ. На данный антивирус выходит еженедельное обновление, в его базе данных описания более 190 тыс. вирусов. Антивирусная программа  разработана ведущей российской компанией «Лаборатория Касперского». Программа вышла на мировой рынок  и довольно активно продается  во многих странах. Есть возможность  обновления через сеть. AVP является одним из лидеров на российском рынке антивирусных программ, относится к классу детекторов-докторов, имеет «эвристический анализ». AVS завоевал уже более 10 международных премий.

Рисунок 3 - Окно Kaspersky Anti-Virus Scanner

При запуске  AVS загружает антивирусные базы, тестирует оперативную память на наличие резидентных вирусов и проверяет себя на заражение вирусом.

После запуска  программы на экране откроется главное  окно программы, и в панели задач  появится значок, щелкнув по которой  правой клавишей мыши, можно открыть  системное меню. Системное меню состоит  из следующих пунктов:

• Параметры Kaspersky Anti-Virus Scanner … - открыть главное окно программы;
• Начать сканирование/остановить сканирование;
• Приостановить сканирование/продолжить сканирование;
• Изменить приоритет процесса сканирования (данный пункт доступен, только если запущен процесс сканирования);
• Показать отчет – показать окно с результатами работы программы;
• Обновить антивирусные базы – запустить программу обновления антивирусных баз Kaspersky AV Updater;
• О программе – показать справочное окно с основными сведениями о программе;
• Выгрузить Kaspersky Anti-Virus Scanner – выгрузить программу из памяти.

В верхней  части главного окна расположено  меню. Некоторые пункты меню продублированы комбинациями клавиш или кнопками в  панели инструментов. В нижней части  главного окна расположена строка состояния. В ней отображается следующая  информация:

• Контекстная подсказка/имя сканируемого объекта;
• Индикатор процесса сканирования .

Рабочая область главного окна состоит из двух частей. В левой части находится  список категорий и соответствующих  им значков. В правой части отображается содержимое категорий. Существует четыре категории: Объекты, Параметры, Настройка, Статистика.

Категория Объекты позволяет задать область  сканирования (перечень дисков и проверяемых  папок, подлежащие сканированию объекты  (например, сектора, файлы, потовые базы данных), и правила обработки инфицированных объектов. Все эти настройки организованы в специализированный элемент управления – дерево настроек иерархии объектов.

Категория Параметры позволяет задать общие  настройки, а категория Настройка  – специальные настройки программ с помощью обычного дерева настроек.

Категория Статистика позволяет просматривать  результаты работы программы в таблице.

Отчеты. Для просмотра отчетов используются программы Kaspersky Report Viewer. В главном окне программы Kaspersky Report Viewer расположены:

• меню;
• панель инструментов;
• список фильтров и сессий в текущем файле отчета (одновременно может быть открыт только один файл отчета);
• таблица отчета;
• Строка состояния.

Для просмотра  отчета по сессии выделите ее в левой  части окна, после чего справа будет  отображен соответствующий отчет.

В столбцах таблицы отчета находится следующая  информация:

• объект – объект, над которым совершалось действие;
• результат – результат работы;
• описание – описание выполненного действия.

 

 

 

Антивирусная программа DRWEB

Dr.Web относится к классу детекторов – докторов, имеет «эвристический анализатор» - алгоритм, позволяющий обнаруживать неизвестные вирусы. «Лечебная паутина», как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки бит, присутствовавшей в исходной версии вируса. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. Тестирование винчестера Dr.Web-ом занимает очень большой промежуток времени и практически всю оперативную память. Последняя версия содержит более 15000 вирусных записей.