Защита от компьютерных вирусов

После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" закрыты. В результате за песледние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом, как, впрочем, не появилось и ни одного нового сетевого вируса.

Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением вирусов "Macro.Word.ShareFun" и "Win.Homer". Первый из них использует возможности электронной почты Microsoft Mail - он создает новое письмо, содержащее зараженный файл-документ ("ShareFun" является макро-вирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.

Этот вирус иллюстрирует первый тип современного сетевого вируса, которые объединяют возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции авто-запуска, необходимые для распространения вируса.

Второй вирус ("Homer") использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленнов сервере, этот вирус можно охарактеризовать как "полу-сетевой", однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Полиморфные вирусы

Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным.

Полиморфные вирусы – вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный кож шифровальщика и расшифровщика.

Полиморфные вирусы – это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса [7].

Пути проникновения вирусов в компьютер и механизм распределения вирусных программ

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.

Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение [4].

Глава 1. Средства защиты от вирусов и вредоносных действий

2.1.Обнаружение вирусов и меры по защите и профилактике

Признаки появления вируса

При заражении компьютера вирусов важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

      прекращение работы или неправильная работа ранее успешно функционировавших программ;

      медленная работа компьютера;

      невозможность загрузки операционной системы;

      исчезновение файлов и каталогов или искажение их содержимого;

      изменение даты и времени модификации файлов;

      изменение размеров файлов;

      неожиданное значительное увеличение количества файлов на диске;

      существенное уменьшение размера свободной оперативной памяти;

      вывод на экран непредусмотренных сообщений или изображений;

      подача непредусмотренных звуковых сигналов;

      частые зависания и сбои компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика компьютера.

Что делать при наличии признаков заражения

Если вы заметили, что ваш компьютер ведет себя «подозрительно»:

1.      Не паникуйте! Не поддаваться панике – золотое правило, которое может избавить вас от потери важных данных и лишних переживаний.

2.      Отключите компьютер от интернета.

3.      Отключите компьютер от локальной сети, если он к ней был подключен.

4.      Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows.

5.      Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш - карту и пр.)

6.      Скачайте и установите пробную или же купите полную версию антивируса Drweb, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ.

7.      Получите последние обновления  антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, интернет – кафе или с работы. Лучше пользоваться другим компьютеров, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленника или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. Установите рекомендуемый уровень настроек антивирусной программы.

8.      Запустите полную проверку компьютера [5].

Меры защиты от компьютерных вирусов

К основными мерам защиты от вирусов относятся:

резервирование (ежедневное ведение архивов измененных файлов);

профилактика - использование программ, полученных только из проверенных источников, раздельное хранение вновь полученных и эксплуатирующихся программ, хранение неиспользуемых программ в архивах, применение специального диска или тестового компьютера для записи новых программ;

ревизия - анализ вновь полученных программ специальными сред­ствами и их запуск в контролируемой среде, систематическая проверка boot-сектора используемых дискет и содержимого системных файлов (прежде всего command.com) и т.п.;

фильтрация (использование специальных сервисных программ для разбиения диска на зоны с установленным атрибутом read only);

вакцинация (специальная обработка файлов, дисков, каталогов);

лечение (дезактивация конкретного вируса с помощью специальной программы или восстановление первоначального состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков).

Наиболее важный принцип, которого следует придерживаться по­сле обнаружения вируса во время анализа зараженных им программ, действий по их очистке или восстановлению, состоит в следующем: все операции следует выполнять только с защищенной от записи системной дискеты и использовать антивирусные и другие программные средства, предварительно записанные на ней.

Выполнение подобного рода действий на базе зараженной вирусом операционной системы является грубой ошибкой и может иметь ката­строфические последствия.

антивирусные программы предназначены для предотвращения за­ражения компьютера вирусом и ликвидации последствий заражения. В зависимости от назначения и принципа действия различают следующие их типы:

сторожа (детекторы) предназначены для обнаружения файлов, зараженных известными вирусами, или признаков, указывающих на возможность заражения;

доктора позволяют обнаруживать и ликвидировать известные им ви­русы, удаляя их из тела программы и возвращая ее в исходное состояние (наиболее известными представители этого класса программ - Dr. Web, AidsTest, Norton AntiVirus);

ревизоры контролируют наиболее уязвимые (и поэтому наиболее часто атакуемые) компоненты компьютера, запоминают состояние служебных областей и файлов, и в случае обнаружения изменений сообщают об этом пользователю;

резидентные мониторы (фильтры) постоянно находятся в памяти компьютера, чтобы отслеживать любые попытки несанкционированных действий. В случае их обнаружения они выводят запрос пользователю на подтверждение этих операций;

вакцины имитируют заражение файлов вирусами (в этом случае вирус, считая их уже зараженными, не будет в них внедряться).

В современных антивирусных программных продуктах AVP, Dr. Web, Dr.Solomon используются различные методики обнаружения вирусов:

      сканирование сигнатур (для борьбы с вирусами, использующими неизменный код);

      проверка целостности (путем создания и использования базы кон­трольных сумм файлов);

      эвристические методы (анализ программы с целью выявления таких действий, как, например, форматирование жесткого диска);

      полиморфный анализ (в специальной защищенной области);

      анализ на наличие макровирусов (распространяемых, например, с файлами MS Word, Excel, Access).

Наряду с этими средствами ряд пакетов содержат дополнительные функции защиты от почтовых вирусов и вирус-модулей ActiveX и Java-аплетов. Некоторые антивирусные пакеты (например, Panda Antivirus Platinum и PC-cillm) блокируют доступ компьютера к подозрительным Web-страницам.

Определенным недостатком всех антивирусных пакетов является то, что они сильно загружают систему при работе. Это может проявляться в замедлении работы компьютера, в особенности если часть модулей активизируется по умолчанию.

Избежать чрезмерной загрузки процессора и оперативной памяти помогает отключение ряда не слишком необходимых функций сложных мониторингов, оставляя лишь самые простые (например, антивирусный монитор).

Наряду с классическими методами борьбы появляются и принци­пиально новые. К примеру, ряд фирм предлагают проверку на вирусы через Интернет в так называемых «электронных больницах»; из числа последних можно выделить McAfee Clinic. Технология работы следую­щая: компьютер пользователя через Интернет проводит программный модуль ActiveX, который берет сигнатуры со специального сайта. В России также оказываются подобные услуги, но в этом случае следует направить зараженный файл или сектор начальной загрузки на сервер компании-производителя антивирусного продукта.

Другим современным методом обеспечения антивирусной защиты писем электронной почты считается их автоматическая проверка у Интернет-провайдера [2].

2.2.Антивирусные программы

Антивирус Касперского (KAV)

Безусловно, самый популярный и мощный из отечественных антивирусов, да и на мировой антивирусной сцене он котируется весьма высоко. Программа «подстроена» под российскую «вирусную атмосферу» и способна дать отпор вирусам отечественного производства (когда ещё они доберутся до лабораторий западных борцов с вирусами?). Кстати, антивирусная база KAV в данный момент насчитывает около 96000 вирусов, при этом новые дополнения к программе выпускаются ежедневно.

Версия KAV Personal Pro состоит из нескольких важных модулей:

Scanner, проверяющий ваши жёсткие диски на предмет зараженности вирусами. Можно задать полный поиск, при котором Антивирус Касперского будет проверять все файлы подряд. Для большей надёжности можно включить также режим проверки архивированных файлов. Правда, такая процедура занимает чересчур много времени. Гораздо лучше выбрать более щадящий режим – Программы по формату, при котором KAV будет проверять не только не только программы, но и документы, созданные в формате Microsoft Office. Кстати, если вы хотите просканировать на наличие вирусов только определённый тип файлов, то можете воспользоваться ещё одним режимом проверки – По маске (в качестве «маски» введите типы проверяемых файлов, например, *.doc, *.xls).