Борьба с вирусами в сети
Раньше считалось, что вирусы могут приписываться только к исполнимым (СОМ, ЕХЕ) файлам, но появились вирусы, переносимые даже DOC-файлами.
По способу активации вирусы подразделяют на резидентные и нерезидентные. Резидентные вирусы при заражении оставляют в оперативной памяти резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения - файлам, загрузочным секторам и т. п., и внедряются в них. Резидентные вирусы сохраняют свою активность вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы являются активными ограниченное время и активизируются в определенные моменты, например, при запуске зараженных выполняемых программ или при обработке документов текстовым процессором. Некоторые нерезидентные вирусы оставляют в оперативной памяти небольшие резидентные программы.
По деструктивным возможностям вирусы разделяют на безвредные, неопасные, опасные и очень опасные.
Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.
Неопасные вирусы, кроме отмеченного проявления, порождают графические, звуковые и другие эффекты.
Опасные вирусы могут привести к нарушениям нормальной работы компьютера, например к зависанию или к неправильной печати документа.
Очень опасные вирусы могут привести к уничтожению программ и данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.
По особенностям алгоритмов различают вирусы: спутники, черви, или репликаторы, паразитические, невидимки или стелс-вирусы, призраки или мутанты.
Вирусы-спутники файлы не изменяют, а для выполнимых программ создают одноименные программы типа com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.
Вирусы-черви распространяются в компьютерных сетях, вычисляют адреса сетевых компьютеров и создают там свои копии.
Паразитические вирусы при распространении меняют содержимое дисковых секторов и файлов и, как следствие, легко обнаруживаются.
Стелс-вирусы (название происходит от STEALTH - названия проекта создания самолетов-невидимок) перехватывают обращение операционной системы к пораженным файлам и секторам дисков и подставляют не- зараженные участки диска, затрудняя тем самым их обнаружение.
Вирусы-призраки представляют собой трудно обнаруживаемые вирусы, которые имеют зашифрованное с помощью алгоритмов шифровки- расшифровки тело вируса, благодаря чему две копии одного вируса не имеют одинаковых участков кода (сигнатур).
Антивирусными называются программы, предназначенные для защиты данных от разрушения, обнаружения и удаления компьютерных вирусов.
Различают следующие разновидности антивирусных программ: фильтры или сторожа, детекторы; доктора, полифаги; ревизоры; иммуни- заторы или вакцины.Фильтр представляет собой резидентную программу, которая контролирует опасные действия, характерные для вирусных программ, и запрашивает подтверждение на их выполнение. К таким действиям относятся следующие: изменение файлов выполняемых программ; размещение резидентной программы; прямая запись на диск по абсолютному адресу; запись в загрузочные секторы диска; форматирование диска.
Достоинством программ-фильтров является постоянное отслеживание ими опасных действий, повышающее вероятность обнаружения вирусов на ранней стадии их развития. С другой стороны, это же является и недостатком, так как приводит к отвлечению пользователя от основной работы для подтверждения запросов на выполнение подозрительных операций.
Детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.
Доктором называют антивирусную программу, позволяющую обнаруживать и обезвреживать вирусы. При обезвреживании вирусов среда обитания может восстанавливаться или не восстанавливаться. Программы- доктора, позволяющие отыскивать и обезвреживать большое число вирусов, называют полифагами. К их числу принадлежат получившие широкое распространение программы Aidstest, Doctor Web и Norton Antivirus.
Ревизор представляет собой программу, запоминающую исходное состояние программ, каталогов и системных областей и периодически сравнивающую текущее ^стояние с исходным. Сравнение может выполняться по ряду параметров, таких как длина и контрольная сумма файла, дата и время изменения и т. п. Достоинством ревизоров является их способность обнаруживать стелс-вирусы и вносимые вирусами изменения в программы.
К числу ревизоров относится хорошо известная программа ADinf.Иммунизаторы представляют собой программу, предназначенную для предотвращения заражения рядом известных вирусов путем их вакцинации. Суть вакцинации заключается в модификации программ или диска таким образом, чтобы это не отражалось на нормальном выполнении программ и, в то же время, вирусы воспринимали их как уже зараженные и поэтому не пытались внедриться. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.
Среди широкого множества антивирусных программ у отечественного пользователя наибольшую популярность приобрели программы- полифаги Aidstest и Doctor Web, входящие в состав комплекта АО «Диа-лог-Наука». Причем, предпочтение, в большей степени, отдается программе Doctor Web, позволяющей обнаруживать и обезвреживать вирусы- мутанты, с которыми Aidstest справиться не в состоянии. Однако назван-ные программы работают на разных наборах вирусов и дублирования проверки не происходит, поэтому для надежности целесообразно использовать их совместно. В состав комплекта АО «Диалог-Наука» входят также ревизор диска ADinf и лечащий блок ADinf Cure Module.
Определенным недостатком применения программ Aidstest и Doctor Web является необходимость их принудительного запуска для проведения антивирусной проверки дисков и оперативной памяти компьютера. В этом
смысле большие гарантии и удобства предоставляет использование программы-полифага Norton Antivirus, которая может быть установлена резидентно. По своим возможностям обнаружения вирусов она сопоставима с программой Doctor Web. Определенными накладными расходами резидентной установки программы Norton Antivirus является естественное замедление в работе компьютера.
Программа Doctor Web предназначена для борьбы с полиморфными вирусами, способна обнаруживать изменения в собственном теле. С помощью мощного аналитического анализатора может распознавать заражение файлов неизвестными вирусами, в том числе в упакованных файлах.
Программой предусматривается возможность проведения эвристического анализа на трех уровнях.
При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.Работа с программой может выполняться в режиме полноэкранного интерфейса с использованием меню и диалоговых окон или в режиме вызова из командной строки. Второй вариант предпочтителен при многократном регулярном использовании программы для контроля дискет. При этом для удобства команду запуска программы Doctor Web включают в меню пользователя оболочки Norton Commander или в командный файл.
Программой отслеживаются вирусоподобные изменения и выдаются предупреждающие сообщения. Кроме того, отслеживаются создание и удаление каталогов, создание, удаление и перемещение файлов, появление сбойных кластеров, сохранность загрузочных секторов и др. Программа обеспечивает высокую скорость проверки дисков и возможность обнаружения маскирующихся стелс-вирусов на основе использования прямого обращения к секторам дисков с помощью BIOS, минуя DOS.
Программа Norton Antivirus фирмы Semantec предназначена для выполнения антивирусной проверки и обезвреживания вирусов при работе в среде Windows. Программа имеет удобный интерфейс, способна обнаруживать и уничтожать свыше 12 тысяч вирусов. Пользователь может устанавливать разнообразные настройки программы, например, задание периодической еженедельной проверки компьютера, режим автоматической проверки, указание перечня контролируемых объектов и др. В случае полной установки Norton Antivirus компьютер защищен от проникновения вирусов через жесткие и гибкие диски, через локальную сеть или Internet.
С помощью Norton Antivirus можно: проверить на вирусы отдельные файлы, папки или диски; запланировать автоматический поиск вирусов в заданное время; по плану или в любой нужный момент выполнить обновление файлов описания вирусов с помощью функции LiveUpdate.
Сотрудники фирмы Symantec отслеживают сообщения о появлении новых вирусов. После идентификации нового вируса информация о нем (сигнатура) заносится в файлы описания вирусов.
Поэтому данные файлы рекомендуется обновлять не реже, чем раз в месяц.Во время проверки дисков и файлов (в ручном или запланированном режиме) Norton Antivirus ищет вирусы по этим сигнатурам. Если обнаружен файл, зараженный одним из этих вирусов, то Norton Antivirus можег устранить заражение автоматически.
Борьбу с вирусами Norton Antivirus ведет следующим образом.
Выявляет проникшие в систему известные вирусы и уничтожает их (автозащита). Преграждает вирусам путь в систему (автозащита и вакцинация). Следит за подозрительными действиями, которые могут означать присутствие неизвестного вируса (автозащита с технологией вирусного датчика). Перечисленные автоматические функции включены по умолчанию. В зависимости от степени риска в той среде, где используется ком-
пьютер, можно усилить или ослабить меры защиты путем настройки раз-личных параметров Norton Antivirus.
Кроме автоматического поиска вирусов средствами автозащиты, можно в любой момент начать ручной поиск или назначить его выполнение на определенное время.
Norton Antivirus выдает сигналы тревоги при обнаружении: известного или неизвестного вируса; вирусоподобного действия (из числа тех, которые обычно совершаются вирусами при распространении или порче файлов); изменения вакцинации (когда файл либо не вакцинирован, либо подвергся изменению с момента последней вакцинации).
Norton Antivirus может исправить большинство зараженных файлов. Однако, если исправить файл не удается, его необходимо удалить с диска и затем заменить незараженной копией. Следует хранить оригинальные диски программ в безопасном месте и создавать резервные копии ценных файлов.
Существует два способа уничтожения вирусов:
исправление зараженного файла, загрузочной записи или главной загрузочной записи;
удаление зараженного файла с диска и последующая замена его незараженной копией.
При проверке программных файлов Norton Antivirus просматривает также документы и шаблоны Microsoft Word и Excel. Хотя эти файлы не являются программными, в них могут легко проникать так называемые макровирусы.
Опыт защиты информации показывает, что эффективной может быть только комплексная защита. В систему комплексной защиты входят социальные и формальные меры защиты.
Формальные методы и средства выполняют свои функции по определенным правилам без непосредственного участия людей. Формальные меры включают физические, технические, аппаратные и программные способы, а также программы, предназначенные для защиты данных от разрушения, обнаружения и удаления компьютерных вирусов.