Меры защиты информации от компьютерных вирусов – Защита от компьютерных вирусов

Компьютерные вирусы и меры защиты информации от них

Компьютерным вирусом называется программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи.

Целью применения вирусов является нарушение работы программ, порча файловых систем, нарушение нормальной работы пользователей.

Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных сетей.

Файловые чаще всего внедряются в исполняемые файлы с расширениями ехе и com., в драйверы внешних устройств и библиотеки.

Загрузочные внедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска. Вирус применяет программу загрузки операционной системы, запуская файлы, необходимые для осуществления несанкционированного доступа.

Документные (или макровирусы) внедряются в текстовые файлы.

Резидентные после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия.

Нерезидентные удаляются из памяти вместе с инфицированной программой.

Паразитирующие вирусы изменяют содержание зараженных файлов.

Троянские кони маскируются под полезные программы, однако наряду, с полезными функциями, вирус нарушает работу компьютерной системы или собирает информацию, циркулирующую в системе.

Вирусы-невидимки прячутся при попытке их обнаружить, перехватывая запрос антивирусной программы. Они либо временно удаляются из обрабатываемого файла, либо подставляют вместо себя незаражённые участки программы.

Мутирующие вирусы периодически изменяют свой программный код.

Признаки наличия вирусов на персональном компьютере:

• отказ в работе персонального компьютера или его отдельных компонентов;

• отказ в загрузке операционной системы;

• заметное замедление работы компьютера;

• нарушение работы отдельных программ;

• искажение размеров или исчезновение файлов;

• уменьшение доступной части оперативной памяти.

Основной канал проникновения вирусов в персональный компьютер — коммуникационные сети и съёмные носители информации.

Антивирусные программы условно делятся на пять типов: детекторы, ревизоры, фильтры, доктора и вакцины.

Детекторы ищут вирусы в памяти и при обнаружении сообщают об этом ; пользователю. Ревизоры запоминают исходное состояние программ, каталогов, системных областей и периодически сравнивают их с текущими значениями. При изменении контролируемых параметров сообщают это пользователю. Фильтры выявляют подозрительные процедуры (изменение загрузочных записей, атрибутов файлов и т. п.). Доктора не только обнаруживают, но и удаляют известные им вирусы. Вакцины модифицируют файл или диск так, что он воспринимается вирусом уже зараженным.

3. Криптографические методы защиты данных

Криптографические методы защиты являются наиболее действенным реальным средством предотвращения несанкционированного доступа. Современная криптография является областью знаний, связанной с решением проблем безопасности информации, ее целостности и конфиденциальности. В России принят федеральный закон «О6 электронной цифровой подписи», определяющий правовые применения средств криптографии. Криптографические процедуры стандартизированы на национальном и международном уровнях. В Российской Федерации действуют три государственных стандарта, определяющие базовые криптографические алгоритмы: симметричное шифрование, хэш-функцию, электронную цифровую подпись. Созданы программные и аппаратные комплексы криптографической защиты информации, например, комплекс «МагПро», средства «М-506», «Форт», система защиты электронной почты «Курьер» и др.

Важнейшим показателем надежности криптографической защиты является стойкость — минимальный объем зашифрованного текста, который можно вскрыть статистическим анализом. Второй показатель называется трудоёмкостью метода шифрования. Он определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.

Один из самых простых методов шифрования – это шифрование заменой (подстановкой). Символы шифруемого текста заменяются другими символами, взятыми из одного (моноалфавитная подстановка) или из нескольких (полиалфавитная подстановка) алфавитов.

Такой шифр имеет низкую стойкость, т. к. зашифрованный таким образом текст имеет те же самые статистические характеристики, что и исходный, поэтому по частотному анализу можно восстановить таблицу замены. Сообщение шифруют таким способом только тогда, когда оно достаточно короткое.

Использование полиалфавитных подстановок повышает стойкость шифра. Смена алфавитов производится последовательно и циклически: первый символ заменяется соответствующим символом, первого алфавита, второй — второго алфавита и т. д., пока не будут исчерпаны все алфавиты. После этого использование алфавитов повторяется.

Более сложным является шифрование методом перестановки. Метод заключается в перестановке по определенным правилам символов шифруемого текста внутри блока определённых размеров. Алгоритм шифрования и дешифрования таков:

1. Выбирается размер блока шифрования: m строк, n столбцов.

2. Выбирается ключ шифра — последовательность столбцов 1, 2, 3…n и, по­лученная случайной перестановкой.

3. Шифруемый текст записывается последовательными строками в блок т х п.

4. Зашифрованный текст выписывается колонками в последовательности возрастания номеров колонок, задаваемых номерами ключевой последо­вательности.

5. Заполняется новым текстом новый такой же блок и т. д.

Дешифрование выполняется в следующем порядке:

1. В сообщении выделяется блок символов размером т х п.

2. Выделенная часть сообщения разбивается на п групп по т символов в группе. Группы записываются в те же столбцы таблицы, номера которых совпадают с номерами ключа.

3. Расшифрованный текст читается по строкам таблицы.

Применяются также методы шифрования, использующие ключи.

Бывают системы с открытым ключом. В таких системах для шифрования используют один ключ, а для дешифрования — другой. Первый ключ публикуется и используется всеми пользователями системы, шифрующей данные. Второй ключ — секретный, причем этот ключ дешифрования не может быть определен из открытого ключа шифрования. Методы с открытым ключом называют асимметричными методами.

При обмене электронными документами очень важным вопросом является установление авторства, подлинности и целостности информации. Цифровая подпись по функции аналогична рукописной и обладает всеми её признаками:

• удостоверяет, что подписанный текст исходит от лица, поставившего подпись;

• не дает лицу, подписавшему текст, отказаться от обязательств;

• гарантирует целостность подписанного текста.

Цифровая подпись работает следующим образом. Цифровая подпись шифруется с применением методов открытого ключа и связывает содержимое документа, самой подписи и пары ключей. На этапе формирования цифровой подписи генерируются два ключа: секретный и открытый. С помощью хэш-функции, применённой ко всему документу, вычисляется небольшое число, характеризующее весь текст в целом. Это число, зашифрованное закрытым ключом, и есть электронная подпись.

При проверке электронная подпись расшифровывается открытым ключом. К полученному открытому документу, применяется хэш-функция, и результат её работы сравнивается с присланной электронной подписью. Всякое изменение документа приведет к несовпадению ключа, полученного хэш-функцией и присланного, т. е. к доказательству факта несанкционированного доступа к информации.

95

studfiles.net

Защита информации от компьютерных вирусов

Определение вируса

Определение 1

Компьютерный вирус – программа, которая способна самостоятельно создавать собственные копии и внедряться в другие программы, в системные разделы дисковой памяти компьютера, распространяться по каналам связи.

Создаются и применяются вирусы с целью нарушить работу программ, испортить файловую систему и компоненты компьютера, нарушить нормальную работу пользователя.

Выделяют стадии существования компьютерных вирусов:

• пассивная стадия, когда вирус не предпринимает никаких действий;
• стадия размножения, в которой вирус создает как можно большее количество своих копий;
• активная стадия, когда вирус переходит к выполнению разрушающих действий в компьютере или компьютерной сети.

Классификация вирусов

Классифицировать вирусы можно по их среде обитания

:

Сетевые вирусы, которые используют команды и протоколы компьютерных сетей для своего распространения.

Файловые вирусы зачастую внедряются в исполняемые файлы с расширением .ехе и .com, но также возможно их внедрение в файлы с компонентами операционных систем, файлы драйверов внешних устройств, файлы объектов и библиотеки, в командные файлы. Вирус получает управление при запуске зараженных программ и производит запланированные разрушающие действия и внедряется в другие файлы программ.

Загрузочные вирусы, которые могут внедряться в загрузочный сектор съемного диска или в главную загрузочную часть жесткого диска. Загрузочные вирусы изменяют программу начальной загрузки операционной системы посредством запуска необходимых для нарушения конфиденциальности программы или подмены с этой же целью системных файлов. Зачастую это относится к файлам, которые обеспечивают доступ пользователей в систему.

Документные вирусы (макровирусы)

, которые заражают файлы текстовых редакторов или электронных таблиц с помощью макросов, сопровождающих подобные документы. Вирус начинает действовать при загрузке документа в соответствующее приложение.

Классификация вирусов по способу заражения среды обитания:

Резидентные вирусы продолжают выполнять свои деструктивные действия после завершения работы зараженной программы, оставаясь в оперативной памяти и заражая другие программы, которые выполняются, вплоть до выключения компьютера.

Нерезидентные вирусы способны запускаться вместе с зараженной программой и удаляются вместе с ней из памяти.

Классифицируют вирусы также по алгоритмам функционирования:

Паразитирующие вирусы выполняют изменение содержимого зараженных файлов. Такие вирусы можно легко обнаружить и удалить из файла, т.к. они обладают всегда одним и тем же внедряемым программным кодом.

Троянские вирусы маскируются под полезные программы. Помимо выполнения полезных функций, которые соответствуют устанавливаемой программе, вирус выполняет функции, которые нарушают работу системы или собирает информацию, которая обрабатывается в ней.

Вирусы-невидимки при попытках их обнаружения способны прятаться. Они способны перехватывать запрос антивирусной программы и временно удаляться из зараженного файла или подставлять вместо себя незараженные участки программы.

Мутирующие вирусы способны периодически изменять свой программный код, вследствие чего их обнаружение является очень сложной задачей.

Чтобы своевременно обнаружить и удалить вирус с компьютера нужно знать основные признаки присутствия вируса в компьютерной системе:

• отказ работы компьютера или отдельных его составляющих;
• отказ загрузки операционной системы;
• снижение скорости работы компьютера;
• нарушение работы отдельных программ;
• увеличение размера, искажение или удаление файлов;
• уменьшение размера доступной оперативной памяти.

Способы защиты от вирусов

Для защиты от проникновения вирусов должны проводиться мероприятия, которые исключают заражение программ и данных компьютера.

Замечание 1

Основные источники проникновения вирусов – коммуникационные сети и съемные носители информации.

Защита от проникновения вирусов посредством коммуникационной сети должна включать:

• Выполнение автоматического входного контроля всех данных, которые поступают из сети. Такую защиту обеспечивает сетевой экран (брандмауэр), который принимает пакеты из сети лишь от надежных источников.
• Проверка всей электронной почты на наличие вирусов. Почта, полученная от неизвестных источников, должна удаляться без прочтения.

Защита от проникновения вирусов через съемные носители должна включать:

• Ограничение количества пользователей, которые имеют право записи на жесткий диск файлов и запуска программ со съемных носителей. Зачастую этим правом наделен только администратор сети.
• Обязательная проверка съемного носителя при его подключении специальной антивирусной программой.

spravochnick.ru

59 Компьютерные вирусы, их характеристика и виды вирусов, основные меры по защите от компьютерных вирусов

Фишинг – это особый вид кибермошенничества, направленный на то, чтобы обманным путем заставить вас раскрыть персональные данные, как правило финансового характера. Мошенники создают поддельный веб-сайт, который выглядит как сайт банка (или как любой другой сайт, через который производятся финансовые операции, например eBay). Затем преступники пытаются завлечь вас на этот сайт, чтобы вы ввели на нем конфиденциальные данные, такие как логин, пароль или PIN-код. Часто для этого мошенники с помощью спама распространяют ссылку на этот сайт .

Руткит (rootkit) – это набор программ, используемый хакерами для сокрытия своего присутствия в системе при попытках неавторизованного доступа к компьютеру. Термин пришел из Unix-систем и обозначает методы, которые авторы троянских программ, работающих под Windows, используют для маскировки вредоносной активности своих зловредов. Установленные в системе руткиты не только не видны пользователям, но и избегают обнаружения антивирусным ПО. За счет того, что многие пользователи входят в систему как администраторы, не создавая отдельной учетной записи с ограниченными правами для ежедневной работы, для злоумышленников задача внедрения руткитов упрощается.

Drive-by (попутная) загрузка. При drive-by загрузке, компьютер заражается при посещении веб-сайта, содержащего вредоносный код. Кибермошенники ищут в Интернете веб-серверы, уязвимые для взлома, чтобы вписать вредоносный код на веб-страницы (часто в виде вредоносного скрипта). Если в операционной системе или на приложениях не установлены обновления безопасности, то при посещении зараженного веб-сайта вредоносный код загружается на ваш компьютер автоматически.

Уязвимость. Современные приложения чрезвычайно сложны; они компилируются из тысяч строк кода. Но создаются они людьми, а людям свойственно ошибаться. Поэтому нет ничего удивительного в том, что в программы закрадываются ошибки, что делает их уязвимыми для атаки. Хакерам эти лазейки позволяют проникнуть в систему, а вирусописатели используют ошибки в коде приложений, чтобы обеспечить автоматический запуск на компьютере вредоносных программ.

Хакерские атаки. Термин «хакер» раньше использовался для обозначения высококвалифицированных программистов. Теперь так называют тех, кто использует уязвимости в программном обеспечении для внедрения в компьютерную систему. Это электронный эквивалент взлома помещения. Хакеры постоянно взламывают как отдельные компьютеры, так и крупные сети. Получив доступ к системе, они крадут конфиденциальные данные или устанавливают вредоносные программы. Они также используют взломанные компьютеры для рассылки спама. Защититься от них можно с помощью особого приложения — сетевого экрана. Часто он входит в состав антивирусных программ. Сетевой экран, или файервол (firewall), распознает попытки взлома и делает ваш компьютер невидимым для хакеров.

Основные меры по защите от вирусов

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

• оснастите свой компьютер современными антивирусными программами и постоянно обновляйте их версии;

• перед считыванием информации с дискет (flash-drive, zip и других носителей), записанной на других компьютерах, всегда проверяйте эти носители на наличие вирусов, запуская антивирусные программы свое­го компьютера;

• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

• периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков;

• по возможности защищайте свои носители (дискеты) от записи при работе на других компьютерах, если на них не будет производиться запись информации;

• обязательно делайте архивные копии ценной для вас информации;

• отключите в BIOS возможность загрузки со всех носителей, кроме жесткого диска, чтобы исключить заражение компьютера загрузочными вируса­ми;

используйте антивирусные программы для входного контроля всех исполняемых фай­лов, получаемых из компьютерных сетей.

studfiles.net

60 Программы защиты от компьютерных вирусов, виды программ и их характеристики. Основные меры по защите от компьютерных вирусов

Антишпион (antispyware) — антивирусная программа, предназначенная для обнаружения и удаления шпионского программного обеспечения (spyware) с компьютера пользователя. Сегодня антишпионы в чистом виде практически не используются. Как правило, они включаются в состав антивирусов или комплексных средств защиты компьютеров и имеют дополнительные функции позволяющие удалять агрессивную рекламу (add-aware), номеронабиратели (scumware), кейлоггеры  (keylogger) и другие вредоносные программы.

Онлайн сканер —  антивирусное  средство  для обнаружения и удаления вирусов из файловой  системы персонального компьютера, подключенного к сети интернет. Основным преимуществом онлайн сканеров является отсутствие необходимости инсталляции приложения. К недостаткам можно отнести тот факт, что сканер только обнаруживает вирусы, которые уже проникли систему и не способен защитить компьютер от будущего заражения

Сетевой экран (firewall) — это программа, обеспечивающая безопасную работу компьютера в локальных сетях и интернете, которая позволяет блокировать нежелательный сетевой трафик, а также обеспечивает невидимость компьютера в сети, с целью предотвращения кибер атак.  Актуальность использования этого эффективного средства безопасности растет по мере лавинообразно нарастающего объёма и скорости создания вирусов и других вредоносных программ.

Комплексная защита — это комплекс антивирусных программных средств, представляемый, как правило, под названием «Internet Security»  и включающий в себя все перечисленные выше средства защиты компьютера плюс дополнительные функциональные компоненты, такие как родительский контроль, защита от спама и многое другое.

Основные меры по защите от вирусов

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

• оснастите свой компьютер современными антивирусными программами и постоянно обновляйте их версии;

• перед считыванием информации с дискет (flash-drive, zip и других носителей), записанной на других компьютерах, всегда проверяйте эти носители на наличие вирусов, запуская антивирусные программы свое­го компьютера;

• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

• периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков;

• по возможности защищайте свои носители (дискеты) от записи при работе на других компьютерах, если на них не будет производиться запись информации;

• обязательно делайте архивные копии ценной для вас информации;

• отключите в BIOS возможность загрузки со всех носителей, кроме жесткого диска, чтобы исключить заражение компьютера загрузочными вируса­ми;

используйте антивирусные программы для входного контроля всех исполняемых фай­лов, получаемых из компьютерных сетей.

studfiles.net

16.8 Основные меры по защите от вирусов

Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

• оснастите свой компьютер современными антивирусными программами, например Aidstest,DoctorWeb, и постоянно возобновляйте их версии

• перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера

• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами

• периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты

• всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации

• обязательно делайте архивные копии на дискетах ценной для вас информации

• не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

• используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей

• для обеспечения большей безопасности применения AidstestиDoctorWebнеобходимо сочетать с повседневным использованием ревизора дискаAdinf

16.9 Защита от компьютерных вирусов.

Программные меры:

— архивирование: копирование таблицы FAT, ежедневное ведение архивов измененных файлов. Это самый важный, основной метод защиты от вирусов.

— входной контроль: проверка поступающих программ детекторами, обновление первых трех байтов сектора начальной загрузки на незагружаемых дискетах (для уничтожения boot-вирусов).

— профилактика: работа с дискетами, защищенными от записи, минимизация периодов доступности дискетки для записи, раздельное хранение вновь полученных и эксплуатировавшихся ранее программ, хранение программ на «винчестере» в архивированном виде.

— ревизия: анализ вновь полученных программ специальными средствами, контроль целостности с помощью регулярного подсчета контрольных сумм и проверки сектора начальной загрузки перед считыванием информации или загрузкой с дискеты, контроль содержимого системных файлов (прежде всего COMMAND.COM ) и др. Имеется целый ряд

программ-ревизоров, обеспечивающих подсчет контрольных сумм.

карантин: каждая новая программа, полученная без контрольных сумм, должна проходить карантин, т.е. тщательно проверяться и прогоняться компетентными специалистами по меньшей мере на известные виды компьютерных вирусов, и в течение определенного времени за ней должно быть организованно наблюдение на отдельной ПЭВМ; присвоение

специального имени пользователю при работе со вновь поступившими программами, причем для этого пользователя все остальные разделы должны быть либо невидимы, либо иметь статус READ_ONLY.

-сегментация: использование программы Advanced Disk Manager для разбиения диска на зоны с установленным атрибутом READ_ONLY.

фильтрация: применение специальных программ для обнаружения попыток выполнить несанкционированные действия.

вакцинирование: специальная обработка файлов, дисков, каталогов, запуск резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения (выявления) заражения, т.е. обманывающих вирус.

автоконтроль целостности: использование в программе специальных алгоритмов, позволяющих после запуска программы определить, были ли внесены изменения в файл из которого загружена программа или нет.

терапия: дезактивация конкретного вируса в зараженных программах специальной программой фагом или восстановление первоначального состояния программ путем «выкусывания» всех экземпляров вируса из каждого зараженного файла или диска с помощью этой программы. В процессе работы программы-фаги (например AIDSTEST , ANTIDIR ,

DOCTOR) «выкусывают» тело вируса и восстанавливают измененную вирусом последовательность команд.

Следует отметить, что наблюдаемое сейчас повсеместное увлечение коллекционированием программ-фагов, как самых важных средств защиты, не совсем оправдано. Основные усилия должны быть направлены на предупреждение заражения. Независимо от того, насколько хорошо разработаны программные методы защиты, их эффективность во многих случаях зависит от правильности действий пользователя, действий, в которых возможны ошибки и даже злой умысел. Например, если один из сотрудников регулярно запускает переписываемые где-то игровые программы, то шансы предотвратить заражение с помощью программной защиты безусловно невелики.

studfiles.net

Защита от компьютерных вирусов

Антивирусы – самый действенный способ борьбы с вирусами. Чтобы противостоять нашествию компьютерных вирусов, необходимо выбрать правильную защиту от них. Одним из способов защиты от вирусов является резервное копирование. Поэтому если вы желаете сохранить свои данные – своевременно производите резервное копирование, В случае потери данных, система может быть восстановлена. Другим способом защиты является правильный выбор программного антивирусного средства. Сейчас на рынке программного обеспечения представлен достаточно широкий спектр программ для лечения вирусов. Однако не стоит успокаиваться, даже имея какой-либо программный продукт. Появляются все новые и новые вирусы, и это требует периодического обновления антивирусного пакета.

Для защиты от вирусов можно использовать:

• общие средства защиты информации, которые полезны также и как страховка от порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

• профилактические меры, позволяющие уменьшить вероятность заражения вирусов;

• специальные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

• копирование информации – создание копий файлов и системных областей диска;

• средства разграничения доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователя.

Общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на три группы:

«сканеры» – антивирусные программы, которые наиболее полно и надежно определяют присутствие вируса, а затем лечат зараженные объекты, удаляя из них тело вируса и восстанавливая объект в первоначальное состояние. Эти программы имеют в своих базах данных от 6000 до 15000 масок вирусов плюс мощный эвристический механизм, который позволяет им находить неизвестные вирусы, вышедшие намного позже, чем сами антивирусные программы;

«ревизоры» – антивирусные программы, которые не имеют в своей базе масок вирусов; они их просто не знают. Но в своей базе данных они хранят наиболее полную информацию о файлах, хранящихся на данном компьютере или локальной сети. Их задача обнаружить вирус, а уже лечением пусть занимаются программы – «сканеры»;

«мониторы» – антивирусные программы, находящиеся в памяти и контролирующие все процессы, происходящие на компьютере. Эти программы не слишком популярны.

Можно привести и более детальную классификацию антивирусных программ:

Детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле па экран выводится соответствующее сообщение.

Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Программа Scan McAfee Associates и Aidstest позволяют обнаруживать около 1000, но всего их более пяти тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP, могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова – в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Большинство программ-детекторов имеют функцию «доктора», т.е. пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. По некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.

Программы ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей диском (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. Доктора-ревизоры – программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменении автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от тех, которые использую «стандартные», известные на момент написания программы, механизмы заражения файлов.

Существуют также Программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Программы-вакцины, или Иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Если первые вирусы, появившиеся на заре компьютерной эры, распространялись в основном через дискеты с программами, то сегодня они используют преимущественно Всемирную паутину. Причем шанс «подхватить инфекцию» есть не только при выкачивании мегабайтов данных, но и при обычном посещении web-страниц. Но слишком многие завсегдатаи Интернета не озабочены своей безопасностью. Между тем, никогда не следует забывать: чтобы обезопасить себя от вирусной инфекции необходимо придерживаться элементарнейших правил компьютерной гигиены.

В отличие от других стран, где ведущую роль играют глобальные поставщики антивирусов, в России преобладают отечественные разработчики и, прежде всего, «Лаборатория Касперского».

В Приложении № 7 представлена «Сводная таблица известных антивирусных программ» и их характеристики.

На российском рынке антивирусных программ работают три компании: «Лаборатория Касперского», Symantec и «Диалог — Наука».

Наибольшую популярность завоевал пакет AVP, разработанный лабораторией антивирусных систем Касперского. Это универсальный продукт, имеющий версии под самые различные операционные системы.

Антивирус Касперского (AVP) использует все современные типы антивирусной защиты: антивирусные сканнеры, мониторы, поведенческие блокираторы и ревизоры изменений. Различные версии продукта поддерживают все популярные операционные системы, почтовые шлюзы, межсетевые экраны (firewalls), web-серверы. Система позволяет контролировать все возможные пути проникновения вирусов на компьютер пользователя, включая Интернет, электронную почту и мобильные носители круга задач обеспечения безопасности, и обладает рядом специфических свойств.

Концепция AVP позволяет легко и регулярно обновлять антивирусные программы, путем замены антивирусных баз – набора файлов с расширением .AVC, которые на сегодняшний день позволяют обнаруживать и удалять более 50000 вирусов. Обновления к антивирусным базам выходят и доступны с сервера Лаборатории Касперского ежедневно.

Прежде чем переходить к описанию конкретных программных продуктов, предназначенных для защиты компьютеров от вирусов, хотелось бы отметить, что данную проблему нельзя рассматривать в отрыве от общей стратегии информационной безопасности. Здесь весьма уместно провести аналогии с традиционной медициной. Действительно, антивирусное программное обеспечение является лекарством, однако самый лучший способ быть здоровым – это избежать заражения. С этой точки зрения крайне важным является построение комплексной системы, которая бы позволила бы минимизировать возможные пути проникновения вирусов во внутреннюю сеть компании. Это тем более важно, что любое антивирусное программное обеспечение обеспечивает 100% лечение только уже известных вирусов. В то время как новые модификации и, особенно, новые типы вирусов с очень большой вероятностью остаются незамеченными. Частично данная проблема решается при помощи программ для контроля над целостностью данных (типа Kaspersky Inspector), однако они, как правило, лишь констатируют факт несанкционированного изменения файлов, а лечение возможно лишь после появления новых версий антивирусов.

Можно выделить основные источники проникновения вирусов в компьютерную сеть корпорации:

• с гибких носителей;

• с компакт- дисков;

• почты Internet;

• файлов, которые приходят из Internet;

• с рабочих станций;

• почты Intranet.

Компьютерный вирус, как правило, представляет собой некую программу, способную самостоятель­но размножаться и которая в большинстве случаев снабжена соответствующими механизмами для рас­пространения своих копий на другие компьютеры че­рез Интернет или по локальной сети. В качестве «довеска» вирус часто (но не всегда!) несёт в себе опре­делённые деструктивные функции, причём разные его модификации могут совершать самые разнообразные действия на заражённом компьютере. Иногда вирус просто в бешеном темпе размножается, рассылая себя по всем электронным адресам, какие только сможет обнаружить в компьютере «жертвы». При всей кажущейся безобидности таких действий послед­ствия могут оказаться катастрофическими из-за воз­росшей в сотни раз нагрузки на сеть и почтовые серверы. К сожалению, намного чаще компьютерный вирус производит те или иные разрушительные дей­ствия: портит или стирает документы, разрушает программы, выводит из строя операционную систе­му. Отдельные особо «злобные» разновидности даже выводят из строя аппаратную часть компьютера, принося тем самым значительные убытки.

Чаще всего программа-вирус существует в виде файла, который требуется запустить, или неко­ей добавки к документу, который необходимо от­крыть. Некоторые последние «модели» вирусов вообще физически (т. е. в виде файлов) как бы не существуют: в компьютер передаются по сети определённые данные, которые из-за ошибок в программном обеспечении (так называемых дыр в защите) загружаются в оперативную память и начинают исполняться, как обычная программа, со своим «центром управления» в оперативной па­мяти компьютера. При этом не создаётся никаких файлов и на жёсткий диск ничего не записывается.

Напомним в очередной раз некоторые аксиомы обращения с файлами (документами), получаемы­ми на съёмном носителе (дискета, диск CIJ-RO1 и т. п.) или по электронной почте.

• Даже просмотр содержимого вставленной в дисковод дискеты может вызвать заражение компьютера так называемым Boot-вирусом, находящимся в загрузочном секторе дискеты. Сегодня вирусы такого типа в мире встречаются не часто (программы и документы всё реже передаются на дискетах), однако в России иногда всплывают вирусы и двух-, и пятилетней «свежести». Соответственно любые приносимые дискеты, диски должны обязательно проверяться антивирусной программой.

• Не стоит спешить сразу открывать файл, полученный по электронной почте даже от знакомого адресата, но с необычным текстом письма, и тем более уж от незнакомого. Многие современные вирусы умеют сами себя рассылать по всем адресам из адресной книги (найденной в очередном компьютере), вставляя при этом в письмо определённый текст. Создатели вирусов справедливо полагают, что, получив письмо типа «Посмотри, какую замечательную картинку я нашёл в сети!» от хорошо известного корреспондента, человек, не задумываясь, щёлкнет мышкой по прикреплённому файлу. Вполне возможно, что одновременно с запуском программы, заражающей компьютер, вам действительно покажут картинку.

• Следует воздерживаться от «украшательства» своего компьютера всякими с виду безвредными «развлекалочками» (с гуляющими по экрану овечками, распускающимися цветочками, красочными фейерверками и т. п.) – такие небольшие забавные программки часто пишутся для того, чтобы замаскировать вирус. Воистину волк в овечьей шкуре! Например, по России уже второй год ходит небольшая программа под названием «Новорусские Windows» – многие её поставили и через неделю-две удалили, не подозре­вая о том, что вирус уже успел похозяйничать в их компьютере. Программа, кстати, всего-навсего ме­няла названия кнопок в диалоговых окнах, пре­вращая «Нет» в «Нафиг», а «Да» – в «Пофиг». Так что если вам дороги ваши данные и документы, не ставьте на свой компьютер подряд все программы непонятного происхождения и назначения.

• Офисные документы наиболее часто подвергаются заражению в силу интенсивного обмена ими, а также популярности пакета Microsoft Office и лёгкости встраивания в документ вредоносной макрокоманды. Любой пришедший извне офисный документ необходимо проверять антивирусной программой независимо от источника получения, так как автор может и не знать о заражённости своего компьютера. Кстати, весьма распространено заблуждение, что документ в формате RTF не может содержать вирус (в отличие от DOC), оно немало способствовало заражению тысяч компьютеров. Дело в том, что многие макровирусы умеют подменять в заражённом документе расширение *.doc на *.rtf, создавая у получателя документа иллюзию безопасности. Кстати, совсем недавно появился вирус, встроенный в документ формата PDF, что ещё некоторое время назад считалось неосуществимым.

• Не пользуйтесь «пиратскими» сборниками программного обеспечения.

• Самое важное: установите и регулярно обновляйте антивирусный комплект программ, так как, несмотря на развитый интеллект современных средств защиты, гарантированно будут определяться только вирусы, уже включённые в базу данных программы.^*

studfiles.net

2.4. Организация защиты от компьютерных вирусов

Компьютерные вирусы представляют реальную угрозу безопас­ности вашего компьютера, и, как водится, лучший способ лече­ния — это профилактика заболевания.

И если уж ваш компьютер подхватил вирус, вам не удастся с Ним справиться без специальных средств — антивирусных про­грамм.

Что должна делать антивирусная программа?

• Проверять системные области на загрузочном диске при вклю­чении компьютера.

• Проверять файлы на установленных в дисковод сменных но­сителях.

• Предоставлять возможность выбора графика периодичности проверки жесткого диска.

• Автоматически проверять загружаемые файлы.

• Проверять исполняемые файлы перед их запуском.

• Обеспечивать возможность обновления версии через Интернет.

Это интересно

Одним из первых вирусов, пришедших в СССР в 1988 г., назы­вался Viena-648, и, пожалуй, именно с этого времени берет отсчет отечественное антивирусное направление, начинавшееся програм­мой Д. Лозинского Aidstest.

В России антивирусными проблемами уже много лет профес­сионально занимаются в основном две серьезные фирмы: «Диа­лог Наука» (программы Aidstest, Doctor WEB, ADinf, комплекс Sheriff) и «Лаборатория Касперского» (Kami, программы серии AVP). Все новые вирусы в первую очередь попадают к ним. Эти фирмы имеют большой авторитет и на международной арене.

Продукция компании «Диалог Наука» хорошо знакома боль­шому числу владельцев компьютеров. Первая версия антивирусной программы Doctor WEB с графическим интерфейсом появилась в апреле 1998 г., после чего пакет постоянно разви­вался и дополнялся. Сегодняшняя версия программы Doctor WEB имеет удобный, интуитивно понятный и наглядный графический интерфейс. Что касается возможностей по поиску ви­русов, то их высокая оценка подтверждается победами в тестах авторитетного международного журнала «Virus Bulletin». Так, этот антивирусный пакет оказался единственным в мире, способным об­наруживать в памяти компьютера и обезвреживать вирус-невидим­ку нового поколения, прославившийся под именем Code Red Worm в августе 2001 г.

«Лаборатория Касперского» является крупнейшим российским разработчиком антивирусных систем безопасности: в 1999 г. 50 % российских пользователей выбрали качество и надежность анти­вирусных программ этой фирмы. Разработка основного продукта «Лаборатории Касперского» — антивирусного комплекса «Анти­вирус Касперского» серии AVP— началась в 1989 г.

«Лаборатория Касперского» — признанный лидер в антиви­русных технологиях. Многие функциональные особенности прак­тически всех современных антивирусов были впервые разработа­ны именно в этой компании. Исключительные надежность и каче­ство антивирусных программ подтверждаются многочисленными наградами и сертификатами российских и зарубежных компью­терных изданий, независимых тестовых лабораторий.

Учитывая многообразие путей распространения вирусов, не стоит рассчитывать на то, что вы сможете обойтись без специаль­ной антивирусной программы. Как правило, такую программу Можно использовать периодически или запускать в фоновом режиме, чтобы отлавливать вирусы непосредственно при загрузке файлов или копировании со сменного носителя. Проверка в фо­новом режиме — более надежный способ защиты (контроль ве­дется постоянно), требующий, однако, увеличенного объема па­мяти и повышенной производительности системы.

Можно установить на компьютере антивирусный монитор (сто­рож) — резидентную антивирусную программу, которая посто­янно находится в оперативной памяти и контролирует операции обращения к файлам и секторам. Прежде чем разрешить доступ к объекту (программе, файлу), сторож проверяет его на наличие вируса. Таким образом, он позволяет обнаружить вирус до момен­та реального заражения системы.

Примерами таких программ являются McAfee VirusShield (ан­тивирусный комплект McAfee VirusScan) и AVP «Monitor (комп­лект AntiViral Toolkit Pro Касперского). Необходимо учитывать, что далеко не все программы-мониторы снабжены «лечащим» блоком, поэтому, чтобы обезвредить вирус, придется либо удалять зараженный файл, либо установить соответствую­щий «лечащий» блок (антивирусную программу).

Популярные антивирусные программы позволяют выбрать ре­жим защиты от вирусов. Кроме того, фирмы-разработчики таких программ постоянно обновляют используемую для обнаружения вирусов базу данных и, как правило, размещают ее на Web-узле в открытом доступе для зарегистрированных пользователей. Если вы принадлежите к числу таковых, ежемесячно заглядывайте на узел, чтобы сделать свежую «прививку».

Проблемы вирусных атак волнуют и разработчиков программ-приложений. Большое внимание при разработке версии Office было уделено безопасности работы с документами. Так, например, для предотвращения заражения документов вируса­ми для Office разработан новый программный интерфейс Microsoft Office Antivirus API, предоставляющий возможность ан­тивирусным программам независимых разработчиков проверять документы Office непосредственно перед их загрузкой в приложе­ние. Кроме того, в Office улучшена встроенная система за­щиты от макровирусов, имеющая теперь несколько уровней безо­пасности.

Советы по организации антивирусной защиты. Ниже приведен­ные советы помогут вам избежать неприятностей, связанных с вирусным заражением компьютера.

1. Если хотите избежать больших затрат и потерь, сразу преду­смотрите приобретение и установку комплексной антивирусной про­граммно-аппаратной защиты для вашей компьютерной системы. Если таковая пока не установлена, не забывайте регулярно про­верять свой компьютер свежими версиями антивирусных программ и установите программу-ревизор диска (например, ADinf), кото­рая будет отслеживать все изменения, происходящие на вашем Компьютере, и вовремя сигнализировать о вирусной опасности.

2. Не разрешайте посторонним работать на вашем компьютере, по крайней мере, без вашего разрешения.

3. Возьмите за строгое правило обязательно проверять все дис­кеты, которые вы используете на своем компьютере, несмотря на все уверения их владельца, последними версиями антивирусных программ (Doctor WEB, AVP и др.).

4. Если вы не собираетесь ничего записывать на дискеты в 3,5 дюйма, особенно при их использовании на «чужом» компью­тере, непременно защитите их от записи, поставив защелку за­ щиты от записи вниз (на себя) так, чтобы полностью открыть оконце. Этим вы закроете доступ на них вирусам с чужого компьютера. Все дистрибутивы программного обеспечения, записанные на дискетах, следует также защитить от записи.

5. Настоятельно советуем проверять на наличие вирусов все CD-ROM, в том числе и фирменные, но особенно купленные с рук или взятые со стороны.

6. Соблюдайте осторожность, обмениваясь файлами с другими пользователями. Этот совет особенно актуален, когда дело касается файлов, загружаемых вами из сети Интернет или приложенных к электронным посланиям. Поэтому лучше сразу проверять все входя­щие файлы (документы, программы) на наличие вируса, что не­ плохо умеют делать антивирусные мониторы, например AVP Monitor.

7. Делайте резервные копии своих данных. Это поможет восста­новить информацию в случае воздействия вируса, сбоя в системе или выхода из строя жесткого диска.

8. Проверяйте на наличие вирусов старые файлы и диски. Обычные вирусы, равно как и макровирусы, пробуждаются только в тот момент, когда вы открываете или загружаете инфицирован­ный файл. Таким образом, вирусы могут долгое время незаметно храниться на жестком диске в зараженных программах и файлах данных, приложениях к непрочитанным электронным письмам и сжатых файлах.

studfiles.net