Средства антивирусной защиты

     Чтобы исключить обнаружение свих изделий, разработчики компьютерных вирусов стали применять шифрование вирусного кода. Так появились шифрующиеся вирусы:

     Шифрующимся вирусом называется вирус, который при заражении новых файлов и системных областей диска шифрует собственный код, пользуясь для этого случайными паролями (ключами).

     Когда вирус получает управление, он расшифровывает свой собственный код и передает ему управление

     Современные антивирусы умеют расшифровывать код вируса, поэтому шифрующиеся вирусы могут быть эффективно обнаружены и уничтожены.

     2.2.7.Полиморфные  вирусы

     Дальнейшее  совершенствование шифрующихся  вирусов было направлено на затруднение  их обнаружения. С этой целью были разработаны так называемые полиморфные вирусы:

     Полиморфным вирусом называется такой шифрующийся  вирус, который при  заражении новых файлов и системных областей диска шифрует собственный код.

     Для шифрования вирус пользуется случайными паролями (ключами), а также различными методами шифрования.

     Это исключает возможность опознания  вируса «в лицо» по сигнатурам вирусов

     Полиморфные вирусы намного труднее обнаружить, чем обычные, так как экземпляры таких вирусов отличаются друг от друга. Однако для их поиска и нейтрализации были разработаны новые методики.

     Современные антивирусные программы справляются  с полиморфными вирусами, несмотря на все ухищрения, предпринятые их разработчиками.

     2.2.8.Макрокомандные  вирусы

     В середине 90-х годов впервые появились  компьютерные вирусы, атакующие не программные файлы, а файлы документов пакета программ Microsoft Office.

     В отличие от ранее известных вирусов, вирусы, заражающие файлы документов, состоят не из команд центрального процессора компьютера, а из макрокоманд языка WordBasic.

     Эти вирусы получили название макрокомандных вирусов:

     Макрокомандным  вирусом называется такой вирус, который прикрепляется к файлам офисных документов и распространяется вместе с ними.

     Макрокомандные  вирусы написаны с использованием интерпретируемого  языка программирования, встроенного  в офисные приложения для автоматизации  обработки офисных документов

     Первый  главный секрет первого вируса WinWord.Concept и практически всех остальных известных нам сегодня вирусов для текстового процессора Microsoft Word, заключается в том, что он использовал возможность сохранения файла документа в формате файла стилей.

     Файл, зараженный макрокомандным вирусом, можно  открыть как обычный файл документа. Его можно редактировать и  сохранить изменения на диске. Единственное, что нельзя с ним сделать, так это сохранить файл в другом формате, например в формате документа или в формате RTF.

     Если  выбрать из меню File строку Save As, то в  открывшемся диалоговом окне Save As список Save File as Type, будет показан серым  цветом и не доступен для выбора. Такой «дефект» трудно заметить, потому что операция сохранения файла в другом формате выполняется достаточно редко.

     2.2.9.Почтовые  вирусы

     Вместе  с ростом популярности Интернета  повсеместно распространилась электронная почта, представляющая собой один из наиболее важных сервисов этой всемирной сети.

     По  каналам электронной почты передается огромное количество деловой и личной почты, а от работоспособности этого  сервиса зависит успешность деятельности огромного количества компаний.

     Популярностью электронной почты воспользовались разработчики вирусов, создав новый тип вирусов — почтовые вирусы:

     Почтовым  вирусом называется такой вирус, который  использует для своего распространения каналы электронной почты.

     Заражение почтовым вирусом происходит в результате действий пользователей, просматривающих почту, а также из-за ошибок в почтовых программах и операционных системах

     Известно, что вместе с электронным сообщением можно предать любые файлы (рис. 1-8). Такие файлы называются присоединенными или файлами вложений (attachment file).

     2.2.10.Бестелесные  вирусы

     Существуют  вирусы, заражающие не файлы или  загрузочные области дисков, а  оперативную память компьютера. Эти вирусы называются бестелесными:

     Бестелесные вирусы заражают только оперативную память компьютера, не попадая в файлы или служебные области дисков

     Такие вирусы не могут быть обнаружены антивирусными  программами, которые ограничивают проверки сканированием файлов, расположенных на дисках компьютера.

     Хотя  бестелесные вирусы существует только до тех пор, пока работает операционная система, время их существования может быть достаточно велико. Это произойдет, например, если они попали в память сервера, работающего круглосуточно.

     2.2.11.Вирусы  для пиринговых  сетей

     В современном Интернете имеется  большое количество сетей, предназначенных  для обмена файлами без применения централизованного сервера. Эти сети позволяют пользователям Интернета свободно обмениваться музыкальными файлами, программами и другой информацией.

     Эти сети часто называются файлообменными или пиринговыми. Последнее из этих названий происходит от названия применяемого в таких сетях способа обмена данными узел-узел (Peer-To-Peer).

     Для пиринговых сетей разработчиками вредоносных  программ были созданы специальные  вирусы, называемые вирусами для пиринговых сетей:

     Вирусами  для пиринговых сетей называются вредоносные программы, специально предназначенные для систем обмена файлами между компьютерами пользователей Интернета, такими как Kazaa, Windows Messenger, ICQ и т.д.

     Чтобы такой вирус попал на компьютер пользователя пиринговой сети, пользователю требуется выполнить какое либо действие, например, загрузить и запустить на выполнение файл.

     2.2.12.Комбинированные вирусы

     Существует  большое количество вирусов, не попадающих однозначно в приведенную выше классификацию по типам.

     Эти вирусы обладают одновременно свойствами вирусов различных типов, например, свойствами файловых и загрузочных вирусов.

     Вирусы  одного типа могут нести в себе вирусы других типов.

     Так, например, троянское почтовое сообщение может нести в своем теле компьютерный вирус или программу Backdoor, а также логическую бомбу. Компьютерный вирус, распространяющийся через файлы, может установить на компьютер загрузочный вирус или вирус любого другого типа, а также комбинацию вредоносных программ. 

     3.Средства  антивирусной защиты.

      Основным  средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации по любой из выше перечисленных причин жесткие диски переформатируют и подготавливают к новой эксплуатации. На “чистый” отформатированный диск устанавливают операционную систему с дистрибутивного компакт-диска, затем под её управлением устанавливают всё необходимое программное обеспечение, которое тоже берут с дистребутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей. При резервирование данных следует иметь в виду и то, что надо отдельно сохранять всю регистрационную и парольную информацию для доступа к сетевым службам Интернета. Её можно хранить, например, в записной книжке. Создавая план мероприятий по резервному копированию информации, необходимо учитывать, что резервные копии должны храниться отдельно от компьютера. То есть, например, резервирование информации на отдельном жестком диске того же компьютера только создает иллюзию безопасности. Относительно новым и достаточно надежным методом хранения данных является хранение их на удаленных серверах в Интернете. Есть службы, бесплатно предоставляющие пространство (до нескольких Мбайт) для хранения данных пользователя.

      Вспомогательными  средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флэш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус или неаккуратный пользователь.Существует достаточно много программных средств антивирусной защиты. Они предоставляют следующие возможности.

      1. Создание образа жесткого диска  на внешний носителях (например, гибких дисках). В случае выхода из строя информации в системны областях жесткого диска сохранённый “образ диска” может позволить восстановить если и не всю информацию, то, по крайней мере, её большую часть. Это же средство может защитить от утраты информации при аппаратных сбоях и при неаккуратном форматирование жесткого диска.

      2.Регулярное сканирование жестких дисков в поисках компьютерных вирусов Сканирование обычно выполняется автоматически при каждом включение компьютера и при размещении внешнего диска в считывающем устройстве. При сканировании следует иметь в виду, что антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящимися в базе данных. Если база данных устарела, а вирус является новым, сканирующая программа его не обнаружит. Для надежной работы следует регулярно обновлять антивирусную программу. Желательная периодичност обновления – 1 раз в две недели; допустимая – один раз в три месяца. Для примера скажу, что разрушительные последствия атаки вируса W95.CHI.1075 (“Чернобыль”), вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля 1999 года, было связано не с отсутствием средств защиты от него, а с длительной задержкой (более года) в обновление этих средств

       3. Контроль за изменением размеров  и других атрибутов файлов. Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры зараженных файлов, контролирующая программа может обнаружить их деятельность и предупредить пользователя.

       4. Контроль за обращением к жесткому  диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе, обращены на модификацию данных, записанных на жестком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности.  

     Какой антивирус лучше?

            Какой антивирус самый лучший? Ответ будет - "любой", если на вашем компьютере вирусы не водятся, и вы не пользуетесь вирусоопасными источниками информации. Если же вы любитель новых программ, игрушек, ведете активную переписку по электронной почте и используете при этом Word или обмениваетесь таблицами Excel, то вам все-таки следует использовать какой- либо антивирус. Какой именно - решайте сами, однако, есть несколько позиций, по которым различные антивирусы можно сравнить между собой. Качество антивирусной программы определяется, на мой взгляд, по следующим позициям, приведенным в порядке убывания их важности: Надежность и удобство работы - отсутствие "зависаний" антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.

            Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (MS Word, Excel, Office97), упакованных и архивированных файлов. Отсутствие "ложных срабатываний". Возможность лечения зараженных объектов. Для сканеров , как следствие, важной является также периодичность появления новых версий (апдейтов), т.е. скорость настройки сканера на новые вирусы. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.), присутствие не только режима "сканирование по запросу", но и "сканирование на лету", существование серверных версий с возможностью администрирования сети.

          Скорость работы и прочие полезные особенности, функции, "припарки" и "вкусности". Надежность работы антивируса является наиболее важным критерием, поскольку даже "абсолютный антивирус" может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца - "повиснет" и не проверит часть дисков и файлов и, таким образом, оставит вирус незамеченным в системе. Если же антивирус требует от пользователя специальных знаний, то он также окажется бесполезным – большинство пользователей просто проигнорирует сообщения антивируса и нажмут [OK] либо [Cancel] случайным образом, в зависимости от того, к какой кнопке ближе находится курсор мыши в данный момент. Ну а если антивирус будет чересчур часто задавать сложные вопросы рядовому пользователю, то, скорее всего, он (пользователь) перестанет запускать такой антивирус или даже удалит его с диска.

          Качество детектирования вирусов стоит следующим пунктом по вполне естественной причине. Антивирусные программы потому и называются антивирусными, что их прямая обязанность - ловить и лечить вирусы. Любой самый "навороченный" по своим возможностям антивирус бесполезен, если он не в состоянии ловить вирусы или делает это не вполне качественно. Например, если антивирус не детектирует 100% какого-либо полиморфного вируса, то при заражении системы этим вирусом такой антивирус обнаружит только часть (допустим 99%) зараженных на диске файлов. Необнаруженными останется всего 1%, но когда вирус снова проникнет в компьютер, то антивирус опять обнаружит 99%, но уже не от всех файлов, а только от вновь зараженных. В результате заражено на диске будет уже 1.99%. И так далее, пока все файлы на диске не будут заражены при полном молчании антивируса. Поэтому качество детектирования вирусов является вторым по важности критерием "лучшести" антивирусной программы, более важным, чем "многоплатформенность", наличие разнообразного сервиса и т.д. Однако если при этом антивирус с высоким качеством детектирования вирусов вызывает большое количество "ложных срабатываний", то его "уровень полезности" резко падает, поскольку пользователь вынужден либо уничтожать незараженные файлы, либо самостоятельно производить анализ подозрительных файлов, либо привыкает к частым "ложным срабатываниям", перестает обращать внимание на сообщения антивируса и в результате пропускает сообщение о реальном вирусе. "Многоплатформенность" антивируса является следующим пунктом в списке, поскольку только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. "Неродные" же антивирусы часто оказываются неработоспособными, а иногда даже разрушительными. Например, вирус "OneHalf" поразил компьютер с установленными на нем Windows95 или WindowsNT. Если для расшифрования диска (данный вирус шифрует сектора диска) воспользоваться DOS-антивирусом, то результат может оказаться плачевным: информация на диске окажется безнадежно испорченной, поскольку Windows 95/NT не позволит антивирусу пользоваться прямыми вызовами чтения/записи секторов при расшифровке секторов. Антивирус же, являющийся Windows-программой, справляется с этой задачей без проблем.