Компьютерные вирусы.Антивирусные программы

♦    исчезновение файлов и каталогов или искажение их содержимого

♦    изменение даты и времени модификации файлов

♦    изменение размеров файлов

♦    неожиданное значительное увеличение количества файлов на диске

♦    существенное уменьшение размера свободной оперативной памяти

♦    вывод на экран непредусмотренных сообщений или изображений

♦    подача непредусмотренных звуковых сигналов

♦    частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная ди­агностика состояния компьютера.

Профилактика заражения компьютера

1.  Откуда берутся вирусы

2.  Основные правила защиты

3.  Проблема защиты от макро-вирусов

Откуда берутся вирусы

1.  Глобальные сети - электронная почта

2.  Электронные конференции, файл-серверы ftp и BBS

3.  Локальные сети

4.  Пиратское программное обеспечение

5.  Персональные компьютеры "общего пользования"

6.  Ремонтные службы

Основные правила защиты

Правило первое

Крайне осторожно относитесь к программам и документам Word/Excel, которые получаете из глобальных сетей. Перед тем, как запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте их на наличие вирусов.

Используйте специализированные антивирусы - для проверки "на-лету" всех файлов, приходящих по электронной почте (и по Internet в целом). К сожалению, на сегодняшний день мне неизвестны антивирусы, которые достаточно надежно ловят вирусы в приходящих из Internet файлах, но не исключено, что такие антивирусы появятся в ближайшем будущем.

Правило второе - защита локальных сетей

Для уменьшения риска заразить файл на сервере администраторам сетей следует активно использовать стандартные возможности защиты сети: ограничение прав пользователей; установку атрибутов "только на чтение" или даже "только на запуск" для всех выполняемых файлов (к сожалению, это не всегда оказывается возможным) и т.д.

Используйте специализированные антивирусы, проверяющие "на лету" файлы, к которым идет обращение. Если это по какой-либо причине невозможно, регулярно проверяйте сервер обычными антивирусными программами.

Значительно уменьшается риск заражения компьютерной сети при использовании бездисковых рабочих станций.

Желательно также перед тем, как запустить новое программное обеспечение, попробовать его на тестовом компьютере, не подключенном к общей сети.

Правило третье

Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников или покупать пиратские копии. При этом значительно снижается вероятность заражения, хотя известны случаи покупки инфицированных дистрибутивов.

Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы), причем копии желательно хранить на защищенных от записи дискетах.

Пользуйтесь только хорошо зарекомендовавшими себя источниками программ и прочих файлов, хотя это не всегда спасает (например, на WWW-сервере Microsoft довольно долгое время находился документ, зараженный макро-вирусом "Wazzu"). По-видимому, единственными надежными с точки зрения защиты от вирусов являются BBS/ftp/WWW антивирусных фирм-разработчиков.

Правило четвертое

Старайтесь не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами.

Если даже ни один антивирус не среагировал на файл, который был снят с BBS или электронной конференции - не торопитесь его запускать. Подождите неделю, если этот файл вдруг окажется заражен новым неизвестным вирусом, то скорее всего кто-либо "наступит на грабли" раньше вас и своевременно сообщит об этом.

Желательно также, чтобы при работе с новым программным обеспечением в памяти резидентно находился какой-либо антивирусный монитор. Если запускаемая программа заражена вирусом, то такой монитор поможет обнаружить вирус и остановить его распространение.

Все это приводи к необходимости ограничения круга лиц, допущенных к работе на конкретном компьютере. Как правило, наиболее часто подвержены заражению "многопользовательские" персональные компьютеры.

Правило пятое

Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.). Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие может служить сигналом о появлении вируса или "троянской" программы.

Правило шестое

Периодически сохраняйте на внешнем носителе файлы, с которыми ведется работа. Такие резервные копии носят название backup-копий. Затраты на копирование файлов, содержащих исходные тексты программ, базы данных, документацию, значительно меньше затрат на восстановление этих файлов при проявлении вирусом агрессивных свойств или при сбое компьютера.

При наличии стримера или какого-либо другого внешнего носителя большого объема имеет смысл делать backup всего содержимого винчестера. Но поскольку времени на создание подобной копии требуется значительно больше, чем на сохранение только рабочих файлов, имеет смысл делать такие копии реже.

Проблема защиты от макро-вирусов

Поскольку проблема макро-вирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами, на ней следует остановиться подробнее.

Существует несколько приемов и встроенных в Word/Excel функций, направленных на предотвращение запуска вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (начиная с версий 7.0a). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но и не виден средствами Word/Excel.

Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от не-вируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает - некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее.

Существуют другие методы противодействия вирусам, например функция DisableAutoMacros, однако она не запрещает выполнение прочих макросов и блокирует только те вирусы, которые для своего распространения используют один из авто-макросов.

Запуск Word с опцией /M (или с нажатой клавишей Shift) отключает только один макрос AutoExec и таким образом также не может служить надежной защитой от вируса.

Прочие правила

Если нет нужды каждый день грузить систему с дискеты, поставьте в BIOS Setup порядок загрузки "сначала - С:, потом - A:". Это надежно защитит компьютер от загрузочных вирусов.

Не обольщайтесь встроенной в BIOS защитой от вирусов, многие вирусы "обходят" ее при помощи различных приемов.

То же верно для систем антивирусной защиты, встроенных в Word и Office97. Они также могут быть отключены вирусом (или самим пользователем, поскольку эти системы могут сильно мешать в работе).

2.АНТИВИРУСНЫЕ ПРОГРАММЫ

Программы обнаружения и защиты от вирусов

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько ви­дов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие про­граммы называются антивирусными. Различают следующие виды антивирусных программ:

•        программы-детекторы

•        программы-доктора или фаги

•        программы-ревизоры

•        программы-фильтры

•        программы-вакцины или иммунизаторы

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнату­ры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те ви­русы, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества ви­русов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнива­ют текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно разви­тые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии прове­ряемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные про­граммы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

•        попытки коррекции файлов с расширениями СОМ, ЕХЕ

•        изменение атрибутов файла

•        прямая запись на диск по абсолютному адресу

•        запись в загрузочные сектора диска

•        загрузка резидентной программы

При попытке какой-либо программы произвести указанные действия «сторож» посылает поль­зователю сообщение и предлагает запретить или разрешить соответствующее действие. Про­граммы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость»(например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входя­щая в состав пакета утилит MS DOS.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их за­раженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограничен­ное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение об­наруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

В России на сегодняшний день чаще всего используется пользователями компьютеров 4-е антивирусных продукта: Norton AntiVirus (NAV) от всемирно известной фирмы Symantec, AntiViral Toolkit Pro (AVP) от российского разработчика Касперского, McAfee VirusScan от западной организации Network Associates и антивирус Doctor Web, разработанный Даниловым.

Norton AntiVirus™ автоматически защищает от вирусов, злонамеренных программ ActiveX, апплетов Java пока вы путешествуете по Интернету или получаете информацию с флоппи-дисков, CD или из сети. Автоматически проверяет входящие приложения в самых распространенных программах электронной почты. Основные функции:

Графическое оповещение. Легкое проведение обновления. Сканирование по заданию

Повышенная безопасность. Сканирование электронной почты (MS Outlook, MS Outlook Express, Eudora Pro, Eudora Lite, Netscape Messenger, Netscape Mail). Обнаружение и лечение сжатых файлов. Автоматическое оповещение о вирусной угрозе

Мощные функции обнаружения и лечения. Карантин. Функция Scan and Deliver. Поддержка микрообновлений. Обнаружение злонамеренных программ. Обнаружение и лечение вирусов в сжатых файлов (MIME/UU, LHA/LZH, ARJ, CAB, PKLite, LZEXE, ZIP).

Всеобъемлющая автоматическая защита. Эвристическая технология Bloodhound. Функция LiveUpdate (Примечание: функция LiveUpdate работает бесплатно первые 12 месяцев). Функция AutoProtect. Мастер лечения.

Bloodhound : Обеспечивает самую надежную на сегодня защиту против новых и неизвестных вирусов, используя революционную, эвристическую технологию. Беспрепятственно пропускает незараженные файлы, но задерживает файлы с вирусами еще до того, как они могут войти в вашу систему и нанести ей вред.

AutoProtect : Следит за системой в резидентном режиме, используя сканирование в реальном времени в сеансах DOS и Windows.

LiveUpdate : Проверяет наличие обновлений к базам данных по вирусам при загрузке системы (с центрального сервера) и автоматически скачивает и устанавливает на вашу систему последние версии. Следит за тем, чтобы вы всегда были защищены от всех вирусных угроз.

NORTON ANTIVIRUS 2003 for WinNT/2000/ME/98/XP

Используя новые уникальные технологии, Norton AntiVirus 2003 автоматически удаляет опасные программные коды, а также защищает от вирусов вложения в мгновенных сообщениях и электронных письмах. Как и в предыдущих версиях этого отмеченного высокими наградами продукта компании Symantec, здесь сохраняется возможность постоянно поддерживать антивирусные базы в обновленном состоянии без вмешательства со стороны пользователя, что гарантирует потребителю максимальный уровень безопасности. “Этот новый выпуск Norton AntiVirus представляет собой самое простое в использовании, «умное» и наиболее надежное антивирусное решение для обеспечения безопасности конечных пользователей, профессионалов в области IT и предприятий малого бизнеса,” – говорит Стив Каллен (Steve Cullen), старший вице-президент корпорации Symantec, возглавляющий подразделение потребительских продуктов. - “Norton AntiVirus 2003 гарантирует максимальный уровень безопасности благодаря возможности постоянного автоматического обновления антивирусных баз и созданию всесторонней защиты пользователей от проникновения опасных программных кодов.” Norton AntiVirus 2003 получит способность проверять вложения во входящих мгновенных сообщениях, что еще более расширит возможности многоуровневого сканирования, заложенные в Norton AntiVirus, и позволет обеспечить еще более надежную защиту пользователей от вирусов и других опасных кодов. Функция сканирования мгновенных сообщений поддерживает такие системы, как Yahoo! Instant Messenger, AOL Instant Messenger, MSN Messenger и Windows Messenger. В сочетании со средствами проверки входящей и исходящей электронной почты эта функция гарантирует защиту от вирусов, не требуя при этом никакого вмешательства со стороны пользователя. Уникальная эвристическая технология Worm Blocking, реализованная в Norton AntiVirus 2003, способна выявлять почтовых «червей», подобных Nimda и Badtrans, и останавливать их еще до того, как они получат возможность для дальнейшего распространения с исходящей почтой. Используемая вместе со средствами автоматического обновления и реагирования на возникающие угрозы; и усиленная мощной технологией Script Blocking, которая была разработана компанией Symantec для обнаружения быстрораспространяющихся вирусов, созданных на основе скриптов – функция Worm Blocking обеспечивает превентивную защиту не только от известных вирусов, но даже от их новейших разновидностей, для которых еще не созданы соответствующие описания. Помимо автоматического удаления вирусов, в Norton AntiVirus 2003 предусмотрена также возможность удаления «троянов» и «червей» в безостановочном режиме. Эта функция, в сочетании с имеющимися описаниями вирусов, может значительно снизить степень потенциальной опасности, которую «трояны» и «черви» представляют для системы и хранящейся в ней информации. Norton AntiVirus 2003 позволяет поддерживать антивирусные базы пользователей в обновленном состоянии благодаря автоматической загрузке самых последних описаний при помощи признанной технологии LiveUpdate, которая теперь обеспечивает более быструю загрузку и более высокую производительность системы засчет меньшего размера загружаемых обновлений. При покупке Norton AntiVirus 2003 пользователь автоматически приобретает годовую подписку на получение антивирусных обновлений, которые помогают создавать постоянную надежную защиту от новых и неизвестных пока угроз.