Компьютерные вирусы и антивирусные программы

За пределы DOS. В конце 1992 года появился первый вирус для Windows, открывший, таким  образом, новую страницу в истории  вирусописания. Небольшого размера (менее 1K), совершенно безвредный и нерезидентный вирус вполне грамотно заражал выполняемые файлы нового формата Windows (NewEXE) и своим появлением пробил для вирусов окно в мир Windows.

Через некоторое  время появились вирусы для OS/2, а  в январе 1996 - и первый вирус для Windows95. Коль скоро все существующие DOS-приложения будут замещены их аналогами для Windows, Win95 и OS/2, проблема DOS-вирусов сойдет на нет и оставит после себя лишь теоретический интерес для компьютерного социума. Эпидемия макро-вируса. Год 1995-й, август. Все прогрессивное человечество, компания Microsoft и Билл Гейтс лично празднуют выход новой операционной системы Windows95. На фоне шумного торжества практически незамеченным прошло сообщение о появлении вируса, использующего принципиально новые методы заражения, вируса, заражающего документы Microsoft Word.

Честно  говоря, это был не первый вирус, заражающий документы Word. До этого момента  антивирусные фирмы уже имели  на руках первый опытный образец  вируса, который переписывал себя из документа в документ. Однако никто не обратил серьезного внимания на этот не вполне удачный эксперимент. В результате практически все антивирусные фирмы оказались не готовыми к последующему развитию событий - эпидемии макро-вируса - и начали спешно предпринимать полу-меры. Например, несколько фирм практически одновременно выпустили в свет документы-антивирусы, действовавшие примерно по тем же принципам, что и вирус, однако уничтожавшие его вместо размножения. Кстати, спешно пришлось править антивирусную литературу - ведь она раньше на вопрос «Можно ли заразить компьютер при чтении файла?» отвечала «Однозначно - нет!» и приводила длинные доказательства этого.

Вирус «Concept», в мгновение ока завладел тысячами (если не миллионами) компьютеров. Это  неудивительно, ведь передача текстов  в формате MS Word стала де-факто одним из стандартов, а для того, чтобы заразиться вирусом, требуется всего-лишь открыть зараженный документ, и все остальные документы, редактируемые в зараженном Word'e также оказываются зараженными. В результате, получив по Internet зараженный файл и прочитав его, пользователь, не зная того сам, оказывался «разносчиком заразы», и вся его переписка (если, конечно же она велась при помощи MS Word) также оказывалась зараженной! Таким образом, возможность заражения MS Word, помноженная на скорость Internet, стала одной из самых серьезных проблем за всю историю существования вирусов.

Не прошло и года, как летом 1996-го года появился вирус «Laroux» («Лару»), заражающий таблицы MS Excel. Как и в случае с вирусом  «Concept», новый макро-вирус был обнаружен «в природе» практически одновременно в разных фирмах. Кстати, в 1997 году этот вирус стал причиной эпидемии в Москве.

 

 

4. Защита от компьютерных вирусов.

Основными мерами защиты от вирусов  считаются:

·     резервирование (копирование FAT, ежедневное ведение архивов измененных файлов);

·     профилактика (раздельное хранение вновь полученных программ и эксплуатирующихся, хранение неиспользуемых программ в архивах, использование специального диска для записи новых программ);

·     ревизия (анализ вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическая проверка ВООТ-сектора используемых дискет и содержимого системных файлов (прежде всего сommand.com) и др.);

·     фильтрация (использование специальных сервисных программ для разбиения диска на зоны с установленным атрибутом read only,);

·     вакцинация (специальная обработка файлов, дисков, каталогов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения, заражена уже программа, диск, ЭВМ или нет, т.е. обманывающих вирус);

·     лечение (дезактивацию конкретного вируса с помощью специальной программы или восстановление первоначального состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков). Как говорят в медицине болезнь легче предупредить, чем лечить.

Наиболее важный принцип, которого следует придерживаться после обнаружения вируса и во время анализа зараженных им программ и действий по их очистке или восстановлению, состоит в следующем: все действия следует выполнять только с защищенной от записи системной  дискеты  и использовать антивирусные и другие программы предварительно записанные на ней.Выполнение действий по анализу и восстановлению на зараженной операционной системе является грубой ошибкой и может иметь катастрофические последствия.

Антивирусные программы предназначены  для предотвращения заражения компьютера вирусом и ликвидации последствий заражения.

 В зависимости от назначения  и принципа действия различают  следующие антивирусные программы:

- сторожа или детекторы – предназначены для обнаружения файлов зараженных известными вирусами, или признаков указывающих на возможность заражения.

- доктора – предназначены для обнаружения и устранения известных им вирусов, удаляя их из тела программы и возвращая ее в исходное состояние. Наиболее известными представителями являются Dr.Web, AidsTest, Norton Anti Virus.

- ревизоры – они контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю.

 

- резидентные мониторы  или фильтры – постоянно находятся в памяти компьютера для обнаружения попыток выполнить несанкционированные действия.  В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций.

 

- вакцины – имитируют заражение файлов вирусами. Вирус будет воспринимать их зараженными и не будет внедряться.

Чаще всего используются Aidstest Лозинского, Drweb, Dr.Solomon.

Полезные советы:

1.     Применение комплекса  антивирусных программ

2.     Необходимо периодическое  обновление антивирусных программ

3.     Проверка информации  поступающей из вне.

4.     Периодическая проверка  всего компьютера.

5.     Осторожность с незнакомыми  файлами. Их действия могут  не соответствовать названию.

В современных антивирусных продуктах  используются различные методики обнаружения вирусов: сканирование сигнатур (для борьбы с вирусами, использующими неизменный код), проверка целостности (путём создания и использования базы контрольных сумм файлов), эвристические методы (анализ программы по выявлению таких действий, как форматирование жёсткого диска), полиморфный анализ (в специальной защищённой области), анализ на наличие макровирусов (они распространяются, например, с файлами MS Word, MS Excel, MS Access). Наряду с этоми средствами ряд пакетов содержат дополнительные функции защиты от почтовых вирусов и вирус-модулей ActiveX и Java-аплетов. Некоторые антивирусные пакеты (например, Panda Antivirus Platinum и PC-cillm) блокируют доступ компьютера к подозрительным Web-страницам.

Определенным недостатком всех антивирусных пакетов является то, что они сильно загружают систему при работе. Это может проявляться в замедлении работы компьютера, в особенности, если часть модулей активизируются по умолчанию. Избежать большой загрузки процессора и оперативной памяти поможет отключение ряда не слишком необходимых функций сложных мониторингов, оставляя лишь самые простые (например, антивирусный монитор).

Наряду с классическими методами борьбы с вирусами появляются инновациионные методы. К примеру, ряд фирм предлагают проверку на вирусы через Интернет, так называемых, «электронных больницах». Из числа последних можно выделить McAfee Clinic. Технология работы следующая. Компьютер пользователя через Интернет проводит программный модуль ActiveX, который берет сигнатуры со специального сайта. В России также оказываются подобные услуги, но в этом случае следует направить зараженный файл или сектор начальной загрузки на сервер компании-производителя антивирусного продукта.

 

Другим современным методом  обеспечения антивирусной защиты писем электронной почты считается их автоматическая проверка у Интернет-провайдера. В США уже практикуются подобные меры, которые стали определенным оружием в конкурентной борьбе за клиентов Интернет-провайдеров.

Делу борьбы с вирусами также  посвящена разработка, так называемой, «иммунной системы». Ее задача состоит в распознавании новых вирусов и автоматической разработке методов борьбы с ними. Данная разработка уже применяется в больших корпоративных сетях, а это значит, что в ближайшие годы инновация найдет применение и в индивидуальных компьютерах. Среди антивирусных программных продуктов можно отметить, прежде всего, пакеты: Norton Antivirus (Symantec), Vims Scan (McAfee), Dr.Solomon AV Toolkit (S&S IntL), AntiVirus (IBM), InocuLAN (Computer Associates) и AntiViral Toolkit Pro (Лаборатория Касперского). Данные программные продукты отвечают требованиям ICSA, отслеживая 300 наиболее распространённых и хотя бы 9 из каждых 10 остальных вирусов. В той или иной степени данные антивирусные программы обладают функциями проверки на вирусы и удаления их в реальном времени, отключения заражённых рабочих станций от сети, определения источника заражения, проверки сжатых файлов в режимах сканирования и реального времени. Кроме того, эти программы позволяют проводить удаленное сканирование ПК с Windows NT и ведут единый журнал событий, a Norton Antivirus и InocuLAN -позволяют также обновлять клиентские программы с сервера и устанавливать уровень загрузки процессора на сервере при фильтрации проходящих сетевых пакетов. По проведенным специалистами исследованиям антивирусных сканеров и резидентных перехватчиков (мониторов) для ОС Windows NT (Windows 2000), были определены лучшие программные продукты. Ими оказались AVP («Лаборатория Касперского»), NAI McAfee VirusScan, Symantec Norton AntiVirus, CA InnoculateIT, Dr Web («ДиалогНаука»), Norman Virus Control, Command AntiVirus и Sophos Anti-Virus.

Ряд антивирусных пакетов обладает возможностью проверки различных типов  ресурсов Интернет до того, как они  пройдут через почтовый шлюз и попадут в корпоративную сеть (HTTP, FTP, SMTP). При этом конфигурация проверки поддерживает различные сценарии для внутреннего и внешнего траффика, направляя защиту от вирусов туда, где она необходима. Проводится проверка и восстановление сообщений электронной почты, вложенных в нее архивов ZIP и MIME -кодированных файлов. Такие системы не требует установки и конфигурации программ на клиентских машинах, пользователи могут не отключать антивирусную защиту, так как прокси- сканером не задействуется.

Norton AntiVirus — пакет, предназначенный для защиты компьютера от вирусов во время работы в Интернете, обмена файлами по сети, загрузки файлов с дискет и CD. Программа может автоматически сканировать входящие почтовые сообщения, содержащие различного рода прикрепленные данные, в таких популярных почтовых программах, как MS Outlook, MS Outlook Express, Eudora Pro, Eudora Lite, Netscape Messenger, Netscape Mail. Программа защищает систему от опасных ActiveX-кодов, Java-апплетов и так называемых «троянов», а также определяет и удаляет вирусы из сжатых файлов (в том числе и из многократно сжатых файлов). Поддерживаемые форматы: MIME/UU; LHA/LZH; ARJ; CAB; PKLite; LZEXE; ZIP.

 

 

 

Общий вид Norton Antivirus .Основные особенности.

 В версии Norton AntiVirus 2000 для Windows 95/98/2000/NT усовершенствован пользовательский интерфейс. Программа имеет сходный вид с другими продуктами семейства Norton, такими как Norton SystemWorks и NortonUtilities. Как и раньше, Norton AntiVirus дает простые и понятные инструкции о том, что делать, когда обнаружен вирус.

Для обнаружения новых и неизвестных  вирусов используется передовая  технология Bloodhound Heuristic: программы-анализаторы  изучают структуру файла, программную  логику, инструкции, данные файлов и  прочие атрибуты, а затем используют эвристическую логику, чтобы определить вероятность инфицирования. «Чистые» файлы беспрепятственно проходят сквозь этот фильтр, а подозрительные задерживаются. Эта технология обеспечивает очень высокую степень защиты, автоматически определяя и обезвреживая до 95% всех новых и неизвестных вирусов.

Улучшены проверка архивов и  исправление ошибок: автоматически  обнаруживаются вирусы, скрытые в  многоуровневых архивах (например, в Zip-файле, находящемся внутри другого Zip-файла). Можно сконфигурировать программу таким образом, чтобы она автоматически выдавала сообщение в том случае, когда обнаружен новый вирус или когда созданы новые методы обезвреживания. Когда антивирусные базы устаревают, программа сама предлагает запустить функцию LiveUpdate.

Функции обнаружения вирусов и восстановления зараженных файлов. Программа защищает от вирусов, полученных через Интернет, Intranet, e-mail, содержащихся на дискетах, жестких дисках, CD, сетевых дисках. Функция «Автозащита» обеспечивает постоянную, не требующую больших системных ресурсов фоновую защиту, которая автоматически сканирует файлы во время загрузки, открытия, создания и модификации (только NT) и запуска файлов. Функция «Карантин» позволяет переложить зараженный файл в «безопасную» область. Функция «Сканирование и обезвреживание» (Scan and Deliver) дает возможность отправлять подозрительные файлы в Symantec AntiVirus Research Center (SARC) для изучения. В том случае, если SARC определит, что файл содержит новый, неизвестный ранее вирус, будет создан новый антивирус, и можно будет незамедлительно получить обновление. Технология Striker32 обеспечивает обнаружение вирусов и восстановление данных, поврежденных сложными полиморфными вирусами.

Опция LiveUpdate предлагает быстрый и  надежный способ для обновления антивирусных баз: достаточно запустить первую сессию LiveUpdate во время инсталляции и составить график, по которому будут автоматически запускаться все последующие сессии. Если учесть, что ежедневно обнаруживается порядка 10-15 новых вирусов, необходимость функции LiveUpdate становится очевидной. Поддержка микроопределений при обновлении позволяет загружать только новые описания вирусов, что значительно ускоряет процесс обновления. Программа предлагает еженедельное обновление антивирусных баз, обеспечивая защиту от самых последних вирусов.

Антивирусный пакет AVP, является расширенной  версией известного антивирусного  комплекта «Доктор Касперский». Комплекс содержит программу-фаг, тестирующую  и восстанавливающую файлы и  загрузочные сектора дисков, поврежденные вирусами. В процессе работы программы производится тестирование на неизвестные вирусы. Также в комплект входит резидентная программа, отслеживающая подозрительные действия, совершаемые на компьютере, и дающая возможность просматривать карту памяти. Специальный набор утилит помогает обнаруживать новые вирусы и разбираться в них.

 

В стандартную поставку антивирусного  комплекта АО «ДиалогНаука» входят четыре программных продукта: еженедельно  обновляемый полифаг Aidstest, ревизор  диска ADinf, лечащий блок ADinf Cure Module и программа Doctor Web, отслеживающая и уничтожающая сложношифруемые и полиморфные вирусы. В расширенный вариант поставки комплекта входит аппаратный комплекс Sheriff, гарантированно предотвращающий на аппаратном уровне проникновение вирусов в систему.

Наиболее популярным средством  против вирусов является, как известно, Aidstest, но, используя его, всегда надо помнить, что он предохраняет только от вирусов, с которыми он уже знаком. Для обеспечения большей безопасности использование Aidstest необходимо сочетать с повседневным использованием ревизора диска Adinf. Ревизор ADinf позволяет обнаружить появление любого вируса, включая Stealth-вирусы, вирусы-мутанты и неизвестные на сегодняшний день вирусы. При установленной программе ADinf Cure Module (лечащий блок ревизора ADinf) можно немедленно удалить до 97% из них. ADinf берет под контроль все участки винчестера, куда возможно проникновение вируса. Такой способ проверок полностью исключает маскировку Stealth-вирусов и обеспечивает весьма высокую скорость проверки диска. Расширение ревизора ADinf — программа ADinf Cure Module (файл ADinfExt.exe) дополнительно поддерживает небольшую базу данных, описывающую файлы, хранящиеся на диске. В случае обнаружения вируса она позволяет немедленно и надежно вылечить машину.

Doctor Web борется с известными программе  полиморфными вирусами. Кроме того, Doctor Web может проводить эвристический  анализ файлов в целях выявления  неизвестных вирусов, в том  числе сложношифруемых и полиморфных  вирусов. Успех такого анализа  — в среднем 82%. Программа может распаковывать и проверять исполняемые файлы, обработанные архиваторами LZEXE, PKLite и Diet.