<<
>>

Борьба с вирусами в сети

Компьютерный вирус - это небольшая программа, которая может сама себя дописывать к другим программам («заражать» их). При запуске зараженной программы вирус начинает действовать, причем эти действия могут быть весьма разнообразными.
Есть вирусы, которые портят программы на диске, меняя местами их куски. Другие вирусы портят файлы операционной системы, после чего она престает загружаться.

Раньше считалось, что вирусы могут приписываться только к исполнимым (СОМ, ЕХЕ) файлам, но появились вирусы, переносимые даже DOC-файлами.

По способу активации вирусы подразделяют на резидентные и нерезидентные. Резидентные вирусы при заражении оставляют в оперативной памяти резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения - файлам, загрузочным секторам и т. п., и внедряются в них. Резидентные вирусы сохраняют свою активность вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы являются активными ограниченное время и активизируются в определенные моменты, например, при запуске зараженных выполняемых программ или при обработке документов текстовым процессором. Некоторые нерезидентные вирусы оставляют в оперативной памяти небольшие резидентные программы.

По деструктивным возможностям вирусы разделяют на безвредные, неопасные, опасные и очень опасные.

Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.

Неопасные вирусы, кроме отмеченного проявления, порождают графические, звуковые и другие эффекты.

Опасные вирусы могут привести к нарушениям нормальной работы компьютера, например к зависанию или к неправильной печати документа.

Очень опасные вирусы могут привести к уничтожению программ и данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.

По особенностям алгоритмов различают вирусы: спутники, черви, или репликаторы, паразитические, невидимки или стелс-вирусы, призраки или мутанты.

Вирусы-спутники файлы не изменяют, а для выполнимых программ создают одноименные программы типа com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.

Вирусы-черви распространяются в компьютерных сетях, вычисляют адреса сетевых компьютеров и создают там свои копии.

Паразитические вирусы при распространении меняют содержимое дисковых секторов и файлов и, как следствие, легко обнаруживаются.

Стелс-вирусы (название происходит от STEALTH - названия проекта создания самолетов-невидимок) перехватывают обращение операционной системы к пораженным файлам и секторам дисков и подставляют не- зараженные участки диска, затрудняя тем самым их обнаружение.

Вирусы-призраки представляют собой трудно обнаруживаемые вирусы, которые имеют зашифрованное с помощью алгоритмов шифровки- расшифровки тело вируса, благодаря чему две копии одного вируса не имеют одинаковых участков кода (сигнатур).

Антивирусными называются программы, предназначенные для защиты данных от разрушения, обнаружения и удаления компьютерных вирусов.

Различают следующие разновидности антивирусных программ: фильтры или сторожа, детекторы; доктора, полифаги; ревизоры; иммуни- заторы или вакцины.

Фильтр представляет собой резидентную программу, которая контролирует опасные действия, характерные для вирусных программ, и запрашивает подтверждение на их выполнение. К таким действиям относятся следующие: изменение файлов выполняемых программ; размещение резидентной программы; прямая запись на диск по абсолютному адресу; запись в загрузочные секторы диска; форматирование диска.

Достоинством программ-фильтров является постоянное отслеживание ими опасных действий, повышающее вероятность обнаружения вирусов на ранней стадии их развития. С другой стороны, это же является и недостатком, так как приводит к отвлечению пользователя от основной работы для подтверждения запросов на выполнение подозрительных операций.

Детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Доктором называют антивирусную программу, позволяющую обнаруживать и обезвреживать вирусы. При обезвреживании вирусов среда обитания может восстанавливаться или не восстанавливаться. Программы- доктора, позволяющие отыскивать и обезвреживать большое число вирусов, называют полифагами. К их числу принадлежат получившие широкое распространение программы Aidstest, Doctor Web и Norton Antivirus.

Ревизор представляет собой программу, запоминающую исходное состояние программ, каталогов и системных областей и периодически сравнивающую текущее ^стояние с исходным. Сравнение может выполняться по ряду параметров, таких как длина и контрольная сумма файла, дата и время изменения и т. п. Достоинством ревизоров является их способность обнаруживать стелс-вирусы и вносимые вирусами изменения в программы.

К числу ревизоров относится хорошо известная программа ADinf.

Иммунизаторы представляют собой программу, предназначенную для предотвращения заражения рядом известных вирусов путем их вакцинации. Суть вакцинации заключается в модификации программ или диска таким образом, чтобы это не отражалось на нормальном выполнении программ и, в то же время, вирусы воспринимали их как уже зараженные и поэтому не пытались внедриться. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Среди широкого множества антивирусных программ у отечественного пользователя наибольшую популярность приобрели программы- полифаги Aidstest и Doctor Web, входящие в состав комплекта АО «Диа-лог-Наука». Причем, предпочтение, в большей степени, отдается программе Doctor Web, позволяющей обнаруживать и обезвреживать вирусы- мутанты, с которыми Aidstest справиться не в состоянии. Однако назван-ные программы работают на разных наборах вирусов и дублирования проверки не происходит, поэтому для надежности целесообразно использовать их совместно. В состав комплекта АО «Диалог-Наука» входят также ревизор диска ADinf и лечащий блок ADinf Cure Module.

Определенным недостатком применения программ Aidstest и Doctor Web является необходимость их принудительного запуска для проведения антивирусной проверки дисков и оперативной памяти компьютера. В этом

смысле большие гарантии и удобства предоставляет использование программы-полифага Norton Antivirus, которая может быть установлена резидентно. По своим возможностям обнаружения вирусов она сопоставима с программой Doctor Web. Определенными накладными расходами резидентной установки программы Norton Antivirus является естественное замедление в работе компьютера.

Программа Doctor Web предназначена для борьбы с полиморфными вирусами, способна обнаруживать изменения в собственном теле. С помощью мощного аналитического анализатора может распознавать заражение файлов неизвестными вирусами, в том числе в упакованных файлах.

Программой предусматривается возможность проведения эвристического анализа на трех уровнях.

При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.

Работа с программой может выполняться в режиме полноэкранного интерфейса с использованием меню и диалоговых окон или в режиме вызова из командной строки. Второй вариант предпочтителен при многократном регулярном использовании программы для контроля дискет. При этом для удобства команду запуска программы Doctor Web включают в меню пользователя оболочки Norton Commander или в командный файл.

Программой отслеживаются вирусоподобные изменения и выдаются предупреждающие сообщения. Кроме того, отслеживаются создание и удаление каталогов, создание, удаление и перемещение файлов, появление сбойных кластеров, сохранность загрузочных секторов и др. Программа обеспечивает высокую скорость проверки дисков и возможность обнаружения маскирующихся стелс-вирусов на основе использования прямого обращения к секторам дисков с помощью BIOS, минуя DOS.

Программа Norton Antivirus фирмы Semantec предназначена для выполнения антивирусной проверки и обезвреживания вирусов при работе в среде Windows. Программа имеет удобный интерфейс, способна обнаруживать и уничтожать свыше 12 тысяч вирусов. Пользователь может устанавливать разнообразные настройки программы, например, задание периодической еженедельной проверки компьютера, режим автоматической проверки, указание перечня контролируемых объектов и др. В случае полной установки Norton Antivirus компьютер защищен от проникновения вирусов через жесткие и гибкие диски, через локальную сеть или Internet.

С помощью Norton Antivirus можно: проверить на вирусы отдельные файлы, папки или диски; запланировать автоматический поиск вирусов в заданное время; по плану или в любой нужный момент выполнить обновление файлов описания вирусов с помощью функции LiveUpdate.

Сотрудники фирмы Symantec отслеживают сообщения о появлении новых вирусов. После идентификации нового вируса информация о нем (сигнатура) заносится в файлы описания вирусов. Поэтому данные файлы рекомендуется обновлять не реже, чем раз в месяц.

Во время проверки дисков и файлов (в ручном или запланированном режиме) Norton Antivirus ищет вирусы по этим сигнатурам. Если обнаружен файл, зараженный одним из этих вирусов, то Norton Antivirus можег устранить заражение автоматически.

Борьбу с вирусами Norton Antivirus ведет следующим образом.

Выявляет проникшие в систему известные вирусы и уничтожает их (автозащита). Преграждает вирусам путь в систему (автозащита и вакцинация). Следит за подозрительными действиями, которые могут означать присутствие неизвестного вируса (автозащита с технологией вирусного датчика). Перечисленные автоматические функции включены по умолчанию. В зависимости от степени риска в той среде, где используется ком-

пьютер, можно усилить или ослабить меры защиты путем настройки раз-личных параметров Norton Antivirus.

Кроме автоматического поиска вирусов средствами автозащиты, можно в любой момент начать ручной поиск или назначить его выполнение на определенное время.

Norton Antivirus выдает сигналы тревоги при обнаружении: известного или неизвестного вируса; вирусоподобного действия (из числа тех, которые обычно совершаются вирусами при распространении или порче файлов); изменения вакцинации (когда файл либо не вакцинирован, либо подвергся изменению с момента последней вакцинации).

Norton Antivirus может исправить большинство зараженных файлов. Однако, если исправить файл не удается, его необходимо удалить с диска и затем заменить незараженной копией. Следует хранить оригинальные диски программ в безопасном месте и создавать резервные копии ценных файлов.

Существует два способа уничтожения вирусов:

исправление зараженного файла, загрузочной записи или главной загрузочной записи;

удаление зараженного файла с диска и последующая замена его незараженной копией.

При проверке программных файлов Norton Antivirus просматривает также документы и шаблоны Microsoft Word и Excel. Хотя эти файлы не являются программными, в них могут легко проникать так называемые макровирусы.

Опыт защиты информации показывает, что эффективной может быть только комплексная защита. В систему комплексной защиты входят социальные и формальные меры защиты.

Формальные методы и средства выполняют свои функции по определенным правилам без непосредственного участия людей. Формальные меры включают физические, технические, аппаратные и программные способы, а также программы, предназначенные для защиты данных от разрушения, обнаружения и удаления компьютерных вирусов.

<< | >>
Источник: М.В .БАСТРИКОВ, О .П.ПОНОМАРЕВ. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ УПРАВЛЕНИЯ. 2005

Еще по теме Борьба с вирусами в сети:

  1. 2.2. Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации
  2. Борьба с вирусами в сети
  3.   3.2.3. Интернет как метафора глобального мозга  
  4. § 3. Единство и борьба противоположностей как выражение внутреннего механизма развития
  5. Исторический экскурс
  6. Правовые аспекты современной информационной войны
  7. Новые законы США о борьбе с компьютерной преступностью.
  8. УЧИЛИСЬ МЫ В СИБИРИ, НАД ТОМЬЮ, НАД РЕКОЙ...
  9. Глава 7. Социальная ответственность
  10. §2.3. Тенденция к дистинктности выражения смысла
  11. Приложение 2. Примеры проявления тенденции к экономичности.
  12. Приложение 3. Примеры проявления тенденции к дистинктности.
  13. Экономическая разведка и контрразведка в современном обществе
  14. Введение
  15. § 5. Основы криминалистического исследования вредоносных программ для ЭВМ и других компьютерных устройств
  16. Список литературы