Компьютерные вирусы и методы борьбы с ними

Размещено на http://www.allbest.ru/

Введение

Компьюмтерный вимрус -- разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Неспециалисты ошибочно относят к компьютерным вирусам и другие виды вредоносных программ - программы-шпионы и даже спам.[1] Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).

Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.

Глава 1. Общие сведения о компьютерных вирусах и методах защиты от вирусов

1.1 Понятие и классификации компьютерных вирусов

Компьютерным вирусом называется программа, способная внедряться в другие программы. Это, конечно, невозможно без способности к самовоспроизводству, т.е. размножению. Но не всякая могущая размножаться программа является компьютерным вирусом.

Очевидна аналогия понятий компьютерного и биологического вирусов. В связи с этим настоящий раздел будет изобиловать медицинскими терминами, как нельзя лучше, отражающими существо затрагиваемых вопросов.

Вирусы могут быть полезными (в частности, в игровых программах), безвредными (например, создающими только звуковые и видеоэффекты) или наносящими ущерб (препятствующими нормальной работе ПЭВМ или разрушающими файловую структуру). На первых мы заострять внимание не будем.

Возможными каналами проникновения вирусов в компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации.

Исторически появление компьютерных вирусов связано с идеей создания самовоспроизводящихся механизмов, в частности, программ, которая возникла в 50-х гг. Еще в 1951 г. один из «отцов» вычислительной техники -- Дж. фон Нейман -- предложил метод создания таких механизмов. Его соображения на этот счет получили дальнейшее развитие в работах других исследователей. В результате появились безобидные игровые программы, основанные на вирусной технологии.

Воспользовавшись накопленными научными и практическими результатами, некоторые лица (часто именуемые «технокрысами») стали разрабатывать самовоспроизводящиеся программы с целью нанесения ущерба пользователям ЭВМ. Авторы вирусов сосредоточили свои усилия именно в области ПЭВМ вследствие их массовости и почти полного отсутствия средств защиты как на аппаратном уровне, так и на уровне ОС. Среди побудительных мотивов, движущих авторами вирусов, можно назвать следующие:

Ї озорство и одновременно недопонимание всех последствий распространения вируса;

Ї стремление «насолить» кому-либо;

Ї неестественная потребность в совершении преступлений;

Ї желание самоутвердиться;

Ї невозможность использовать свои знания и умения в конструктивном русле (это в большей степени экономическая проблема);

Ї уверенность в полной безнаказанности (в ряде стран, в том числе и в нашей, пока отсутствуют соответствующие правовые нормы).

Первые случаи массового заражения ПЭВМ вирусами были отмечены в 1987 г.

Сначала появился так называемый Пакистанский вирус, созданный братьями Амджатом и Базитом Алви. Этим они решили наказать американцев, покупавших дешевые незаконные копии ПО в Пакистане: такие копии братья стали продавать, инфицируя их разработанным вирусом. В результате он заразил только в США более 18 тыс. компьютеров и, проделав кругосветное путешествие, попал в СНГ (тогда -- СССР).

Следующим широко известным вирусом стал вирус Lehigh (Лехайский вирус), распространившийся в одноименном университете США. В течение нескольких дней он уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет многих студентов. По состоянию на февраль 1989 г. только в США этим вирусом было поражено около 4 тыс. ПЭВМ.

Затем количество вирусов и число зараженных компьютеров стали лавинообразно увеличиваться в соответствии с экспоненциальным законом. Это потребовало принятия срочных мер как технического и организационного, так и юридического характера.

Появились различные антивирусные средства, вследствие чего ситуация до боли стала напоминать гонку вооружений и средств защиты от них.

Определенный сдерживающий эффект был достигнут в результате принятия рядом стран законодательных актов о компьютерных преступлениях. Уже имеются и конкретные результаты этого. Так, недавно студент Моррис-младший за создание и распространение вируса в американской национальной сети Internet, в результате чего было заражено около б тыс. компьютеров, приговорен к условному заключению сроком на 2 года, 400 часам общественных работ и штрафу в размере 10 тыс. долларов.

В настоящее время насчитывается около 900 различных вирусов, включая штаммы (разновидности вируса одного типа), которые не знают границ. Естественно, многие вирусы курсируют и по нашей стране. Более того, недавно отчетливо проявилась печальная тенденция, а именно, увеличение числа вирусов, разработанных отечественными программистами. Если ситуация не изменится, то в скором, времени наше содружество будет претендовать (если уже не претендует) на роль лидера в данной области, что, несомненно, окажет отрицательное влияние на возможности экспорта программных изделий из СНГ.

Подобно биологическим вирусам жизненный цикл компьютерных вирусов, как правило, включает следующие фазы:

1) латентный период, в течение которого вирусом никаких действий не предпринимается;

2) инкубационный период, в рамках которого вирус только размножается;

3) период проявления, в течение которого наряду с размножением выполняются несанкционированные пользователем действия.

Первые две фазы служат для того, чтобы скрыть источник вируса, канал его проникновения, и заразить (инфицировать) как можно больше файлов до выявления вируса. Длительность этих фаз может определяться временным интервалом, наступлением какого-либо события или наличием требуемой конфигурации аппаратных средств (в частности, наличием НЖМД).

Компьютерные вирусы классифицируются в соответствии со следующими признаками:

1) среда обитания;

2) способ заражения среды обитания;

3) способ активизации;

4) способ проявления (деструктивные действия или вызываемые эффекты);

5) способ маскировки.

Нелепо думать, что средой обитания вируса может быть любой файл или любой компонент системной области диска: напомним, что вирус является программой и поэтому имеется смысл его внедрения только в программу. Программы могут содержаться в файлах или в некоторых компонентах системной области диска, участвующих в процессе загрузки DOS. В соответствии с этим различают:

Ї файловые вирусы, инфицирующие программные файлы, т.е. файлы с программами;

Ї загрузочные вирусы, заражающие компоненты системной области, используемые при загрузке DOS;

Ї файлово-загрузочные вирусы, интегрирующие черты первых двух групп.

Файловые вирусы могут внедряться (имплантироваться) в:

Ї файлы с компонентами DOS;

Ї позиционно-независимые перемещаемые машинные программы, находящиеся в СОМ-файлах;

Ї позиционно-зависимые перемещаемые машинные программы, размещаемые в ЕХЕ-файлах;

Ї внешние драйверы устройств (SYS- и BIN-файлы);

Ї объектные модули (OBJ-файлы);

Ї файлы с программами на языках программирования (в расчете на компиляцию этих программ);

Ї командные файлы (ВАТ-файлы);

Ї объектные и символические библиотеки (LIB- и др. файлы);

Ї оверлейные файлы (OV?-, PIF- и др. файлы).

Наиболее часто файловые вирусы способны внедряться в СОМ и/или ЕХЕ-файлы.

Загрузочные вирусы могут заражать:

Ї BR (точнее -- SB) на дискетах;

Ї BR (точнее -- SB) системного логического диска, созданного на винчестере;

Ї MBR (точнее -- NSB) на жестком диске.

Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет (возможно, случайно) осуществлена попытка загрузиться.

Конечно, у файловых вирусов инфицирующая способность выше.

Файлово-загрузочные вирусы обладают еще большей инфицирующей способностью, так как могут распространяться как в программных файлах, так и на дискетах с данными.

Способы заражения среды обитания, естественно, зависят от типа последней. Зараженная вирусом среда называется вирусоносителем.

Тело файлового вируса может размещаться при имплантации в:

Ї конце файла;

Ї начале файла;

Ї середине файла;

Ї хвостовой (свободной) части последнего кластера, занимаемого файлом.

Наиболее легко реализуется внедрение вируса в конец СОМ-файла, что мы кратко и опишем. При получении управления вирус выбирает файл-жертву и модифицирует его следующим образом:

1) дописывает к файлу собственную копию (тело вируса);

сохраняет в этой копии оригинальное начало файла;

2) сохраняет в этой копии оригинальное начало файла;

3) заменяет оригинальное начало файла на команду передачи управления на тело вируса.

Структура получившегося файла-вирусоносителя показана на рис. 10.1.

Структура вирусоносителя

При запуске инфицированной описанным способом программы первоначально инициируется выполнение тела вируса, в результате чего:

1) восстанавливается оригинальное начало программы (но не в файле, а в памяти!);

2) возможно, отыскивается и заражается очередная жертва;

3) возможно, осуществляются несанкционированные пользователем действия;

4) производится передача управления на начало программы-вирусоносителя, в результате чего она выполняется обычным образом.

Имплантация вируса в начало СОМ-файла производится иначе: создается новый файл, являющийся конкатенацией тела вируса и содержимого оригинального файла.

Два описанных способа внедрения вируса ведут к увеличению длины оригинального файла.

Имплантация вируса в середину файла наиболее сложна и специализированна. Сложность состоит в том, что в этом случае вирус должен «знать» структуру файла-жертвы (например, COMMAND.COM), чтобы можно было внедриться, в частности, в область стека. Кроме того, при замене DOS на новую версию вирус может потерять способность к размножению. Описанный способ имплантации не ведет к увеличению длины файла.

Имплантировать вирус в ЕХЕ-файл труднее, чем в СОМ-файл. Это объясняется необходимостью модификации заголовка ЕХЕ-файла.

Внедрение вируса в дебетовую часть последнего кластера, занимаемого файлом, используется редко, так как при копировании вирусоносителя тело вируса не дублируется. Тем не менее при данном способе имплантации длина файла остается неизменной, что позволяет скрыть наличие вируса.

Размножению файловых вирусов обычно не препятствуют атрибуты R, Н и S.

BR и MBR дисков настолько малы и так заполнены, что дописать в них тело вируса не представляется возможным. Поэтому используется следующий способ имплантации загрузочного вируса: вместо SB (NSB) записывается голова тела вируса, а его хвост и следующий за ним SB (NSB) размещаются в других кластерах или секторах. Для этого могут использоваться следующие кластеры (секторы):

-- любые свободные кластеры, которые затем объявляются дефектными;

-- секторы или кластеры с фиксированным адресом в начале или в конце логического дискового пространства (часто это секторы, занимаемые RDir, FAT или находящиеся между компонентами системной области, либо последние кластеры -- чтобы уменьшить вероятность их задействования в файловой структуре);

-- кластеры на созданной для этого дополнительной дорожке диска.

Загрузочный вирус получает управление в процессе загрузки DOS, выполняет требуемые действия, а затем инициирует выполнение системного (или внесистемного) загрузчика. В зависимости от способа активизации различают:

Ї нерезидентные вирусы;

Ї резидентные вирусы.

Для нерезидентного вируса активизация эквивалентна получению им управления после запуска инфицированной программы. Тело вируса исполняется однократно в случае выполнения зараженной программы и осуществляет описанные выше действия.

Резидентный вирус логически можно разделить на две части -- инсталлятор и резидентный модуль. При запуске инфицированной программы управление получает инсталлятор, который выполняет следующие действия:

1) размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того, чтобы последний хранился в ней постоянно;

2) подменяет некоторые обработчики прерываний, чтобы резидентный модуль мог получать управление при возникновении определенных событий (например, в случае открытия или считывания файла).

Для размещения вируса резидентно в памяти могут использоваться стандартные средства DOS. Однако применение такого метода может быть легко обнаружено антивирусными средствами. Наиболее совершенные вирусы действуют в обход средств DOS, непосредственно корректируя список МСВ. Это позволяет произвести установку резидентного модуля в большей степени скрытно.

Резидентный модуль остается в памяти до перезагрузки DOS. Некоторые вирусы все же «выдерживают» теплую перезагрузку (по Ctrl-Alt-Del), перехватывая прерывание от клавиатуры и распознавая нажатие этой комбинации клавиш. Выявив такую ситуацию, вирус активизируется и сам загружает DOS выгодным для себя образом, оставаясь в памяти.

Получив управление по прерыванию, резидентный модуль вируса выполняет нижеприведенные действия:

1) возможно, отыскивает и инфицирует очередную жертву;

2) вероятно, выполняет несанкционированные действия.

В частности, резидентный вирус может заразить считываемый, открываемый или просто найденный программный файл.

По сравнению с нерезидентными резидентные вирусы являются более изощренными и опасными.

Загрузочные вирусы, как правило, создаются резидентными, так как иначе они практически не будут обладать инфицирующей способностью.

Проявлениями (деструктивными действиями) вирусов могут быть:

Ї влияние на работу ПЭВМ;

Ї искажение программных файлов;

Ї искажение файлов с данными;

Ї форматирование диска или его части;

Ї замена информации на диске или его части;

Ї искажение BR или MBR диска;

Ї разрушение связности файлов путем искажения FAT;

Ї искажение данных в CMOS-памяти.

Большую часть вирусов первой группы, вызывающих визуальные или звуковые эффекты, неформально называют «иллюзионистами». Другие вирусы этой же группы могут замедлять работу ПЭВМ или препятствовать нормальной работе пользователя, модифицируя и блокируя функции выполняемых программ, а также DOS.

Вирусы всех остальных- групп часто называют «вандалами» из-за наносимого ими, как правило, непоправимого ущерба.

В соответствии со способами маскировки различают:

Ї немаскирующиеся вирусы;

Ї самошифрующиеся вирусы;

Ї стелс-вирусы.

Авторы первых вирусов уделяли особое внимание механизмам размножения (репликации) с внедрением тел в другие программы. Маскировка же от антивирусных средств не осуществлялась. Такие вирусы называются немаскирующимися.

В связи с появлением антивирусных средств разработчики вирусов сосредоточили усилия на обеспечении маскировки своих изделий. Сначала была реализована идея самошифрования вируса. При этом лишь небольшая его часть является доступной для осмысленного чтения, а остальная -- расшифровывается непосредственно перед началом работы вируса. Такой подход затрудняет как обнаружение вируса, так и анализ его тела специалистами;

В последнее время появились стелс-вирусы, названные по аналогии с широкомасштабным проектом STEALTH по созданию самолетов-невидимок. Методы маскировки, используемые стелс-вирусами, носят комплексный характер, и могут быть условно разделены на две категории:

1) маскировка наличия вируса в программе-вирусоносителе;

2) маскировка присутствия резидентного вируса в ОЗУ.

К первой категории относятся:

1) автомодификация тела вируса;

2) реализация эффекта удаления тела вируса из вирусоносителя при чтении последнего с диска, в частности, отладчиком (это осуществляется, путем перехвата прерывания, конечно, в случае наличия резидентного вируса в ОЗУ);

3) имплантация тела вируса в файл без увеличения его размера;

4) эффект неизменности длины инфицированного файла (осуществляется аналогично п. 2);

5) сохранение неизменным оригинального начала программных файлов.

Например, при чтении каталога средствами DOS резидентный вирус может перехватить соответствующее прерывание и искусственно уменьшить длину-файла. Конечно, реальная длина файла не меняется, но пользователю выдаются сведения, маскирующие ее увеличение. Работая же с каталогами непосредственно (в обход средств DOS), ,Вы получите истинную информацию. Такие возможности предоставляет, в частности, оболочка Norton Commander.

К второй категории методов маскировки можно отнести:

1) занесение тела вируса в специальную зону резидентных модулей DOS, в хвостовые части кластеров, в CMOS-память, видеопамять и т.п.;

2) модификацию списка МСВ, о чем уже говорилось;

3) манипулирование обработчиками прерываний, в частности, специальные методы их подмены, с целью обойти резидентные антивирусные средства;

4) корректировку общего объема ОЗУ.

Конечно, маскировка может комбинироваться с шифрованием.

Таким образом, в рамках классификации мы изучили немало существенных свойств компьютерных вирусов. Файловые вирусы используют один из двух основных способов выбора жертвы для инфицирования:

1) заражение файла, к которому осуществляется доступ;

2) явный поиск подходящего файла в файловой структуре.

Первый способ может быть реализован только в резидентном вирусе путем перехвата прерываний. При таком подходе в качестве жертвы может быть выбран:

Ї считываемый файл (в частности, для выполнения или с целью копирования);

Ї открываемый файл;

Ї найденный по запросу к DOS файл.

Второй способ используется в основном нерезидентными вирусами. Поиск жертвы в этом случае может осуществляться:

Ї в текущем каталоге текущего или одного из дисков;

Ї в корневом каталоге одного из дисков;

Ї в каталогах, доступных по значению глобальной переменной PATH;

Ї в любых каталогах файловой структуры путем рекурсивного их обхода.

Файл COMMAND.COM может быть найден по значению глобальной переменной COMSPEC.

Подходящим может считаться либо файл с соответствующим расширением, либо файл с требуемой логической структурой.

При повседневной работе пользователь в состоянии обнаружить вирус обычно только по его симптомам. Естественно, симптомы вируса непосредственно определяются реализованными в нем способами проявления, а также другими характеристиками вируса В качестве симптомов вирусов выделяют следующие:

1) увеличение числа файлов на диске;

2) появление на экране сообщения «1 File(s) copied» («Скопирован один файл»), хотя Вы не выдавали команду COPY;

3) уменьшение объема свободной оперативной памяти;

4) изменение даты и времени создания файла;

5) увеличение размера программного файла; ,

6) появление на диске зарегистрированных дефектных кластеров;

7) ненормальная работа программы;

8) замедление работы программы;

9) загорание лампочки дисковода в то время, когда к диску не должны происходить обращения;

10) заметное возрастание времени доступа к жесткому диску;

11) сбои в работе DOS, в частности, ее зависание;

12) невозможность загрузки DOS;

13) разрушение файловой структуры (исчезновение файлов, искажение каталогов).

В качестве примера опишем вирус Vienna, некогда получивший широкое распространение в нашей стране Его размер составляет 648 байт, а инфицирует он только СОМ-файлы. Поиск очередной жертвы осуществляется по расширению СОМ сначала в рабочем каталоге, а затем -- в каталогах, доступных по значению глобальной переменной PATH.

Первый, еще не инфицированный, файл либо заражается, либо (с вероятностью 1/8) искажается таким образом, что при запуске вызывает перезагрузку системы. Если испорченным оказался файл COMMAND.COM или любой файл, указанный в файле автозапуска AUTOEXEC.BAT, то процедура загрузки DOS зацикливается. Тело вируса имплантируется в конец СОМ-файла стандартным способом, а время создания последнего заменяется в поле секунд на значение 62. Это помогает вирусу определить инфицированность файла и тем самым избавиться от повторного его заражения.

Каталог существующих вирусов, а также средств их обнаружения и обезвреживания, приведен в Приложении 5.

Наряду с компьютерными вирусами существуют и другие опасные программы, суть которых состоит в обмане пользователя. Такие программы получили название «троянских», заимствованное из известной древнегреческой легенды о Троянском коне. Подобно ему «троянская» программа маскируется под полезную или интересную программу, но обладает порой чрезвычайно разрушительными побочными эффектами.

Например, имеется «троянская» программа CDIR.COM, которая одновременно с выводом каталогов в цвете разрушает FAT. В качестве другого примера можно назвать программу SEX.EXE, развлекающую пользователя путем отображения пикантных картинок и заодно разрушающую FAT. Интересен тот факт, что две версии популярного антивирусного пакета фирмы McAfee Associates, а именно, 70 и 73, оказались «троянскими» (они, конечно, имеют другое авторство) и попали даже в электронный бюллетень.

Одним из наиболее нашумевших случаев является следующий. Некий Джозеф Попп-младший послал в многие адреса по всему миру дискеты с информацией о СПИДе. Программа, ее отображающая, была «троянской» -- разрушала данные на дисках и выводила рекомендацию послать для исцеления дисков 387 долларов в адрес указанного почтового отделения в Панаме. В настоящее время упомянутый горе-шутник привлекается к уголовной ответственности.

В отличие от вирусов «троянские» программы не могут размножаться и внедряться в другие программные изделия.

Наиболее примитивные «троянские» программы проявляют свою сущность при каждом запуске на выполнение. Более совершенные из них аналогично вирусам начинают действовать при наступлении определенного, события или момента времени.

Еще один класс зачастую опасных программ составляют так называемые «черви», формально именуемые репликаторами. Их основная особенность состоит в способности к размножению без внедрения в другие программы. Репликаторы создаются с целью распространения по узлам вычислительной сети и могут иметь начинку, состоящую, в частности, из вирусов. В этом отношении можно провести недвусмысленную аналогию между «червем» и шариковой бомбой.

Примером репликатора является программа Christmass Tree, рисующая на экране дисплея рождественскую елку, а затем рассылающая свои копии по всем адресам, зарегистрированным средствами электронной почты.

1.2 Методы защиты информации от вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать: -- общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя; -- профилактические меры, позволяющие уменьшить вероятность заражения вирусом; -- специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

1. копирование информации -- создание копий файлов и системных областей дисков;

2. разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Некоторые программы-детекторы могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не мение невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова -- в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Многие программы-детекторы не умеют обнаруживать заражение «невидимыми» вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых «хитрых» вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с «чистой», защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

Некоторые детекторы умеют ловить «невидимые» вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах.

Большинство программ-детекторов имеют функцию «доктора», т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.

ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно «интеллектуальными» -- они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на «чистом» компьютере, и т.д. Увы, против некоторых «хитрых» вирусов все это бесполезно.

Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна -- некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка -- прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. ДОКТОРА-РЕВИЗОРЫ, -- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от тех, которые используют «стандартные», известные на момент написания программы, механизмы заражения файлов.

Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны. компьютерный вирус защита программа

Глава 2. Обзор современных программных средств, обеспечивающих безопасную работу компьютера

2.1 Обзор AVP

(AntiViral Toolkit Pro)

Данная программа была создана ЗАО «Лаборатория Касперского». AVP обладает одним из самых совершенных механизмов обнаружения вирусов. Сегодня

AVP практически ни в чем не уступает западным аналогам.

AVP предоставляет пользователям максимум сервиса - возможность обновления антивирусных баз через Интернет, возможность задания параметров автоматического сканирования и лечения зараженных файлов. Обновления на сайте AVP появляются практически еженедельно, а база данных включает описания уже почти 40 тысяч вирусов.

AVP состоит из нескольких важных модулей:

1)AVP сканер проверяет жесткие диски на предмет заражения вирусами.

Можно задать полный поиск, при котором программа будет проверять все файлы подряд, а также задать режим проверки архивированных файлов. Одно из главных преимуществ AVP - борьба с макровирусами. Пользователь может выбрать специальный режим, при котором будут проверяться документы, созданные в формате Microsoft Office. После обнаружения вирусов или зараженных файлов, AVP предлагает на выбор несколько вариантов: удалить вирусы из файлов, удалить сами зараженные файлы или переместить их в специальную папку.

2)AVP Monitor. Эта программа автоматически загружается при запуске Windows. AVP Monitor автоматически проверяет все запускаемые на компьютере файлы и открываемые документы и в случае вирусной атаки сигнализирует об этом пользователю. Более того, в большинстве случаев AVP Monitor просто не дает зараженному файлу запуститься, блокируя процесс его выполнения. Эта функция программы очень полезна для тех, кто постоянно имеет дело со множеством новых файлов, например, для активных пользователей Интернет (т.к. каждые пять минут запускать AVP для проверки скачанных файлов невозможно, то здесь на помощь приходит AVP Monitor).

3)AVP Inspector - последний и очень важный модуль комплекта AVP, позволяющий отлавливать даже неизвестные вирусы. «Инспектор» использует метод контроля изменения размера файлов. Внедряясь в файл, вирус неизбежно увеличивает его объем, и «инспектор» легко его обнаруживает.

Кроме всего перечисленного существует так называемый Центр Управления AVP - «пульт управления» всеми программами комплекса AVP. Самая важная функция этой программы - встроенный Планировщик Задач, позволяющий осуществлять оперативную проверку (а если понадобится - и лечение системы) в автоматическом режиме, без участия пользователя, но в заданное им время.

Антивирусная поверка электронной почты.

Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства принадлежит электронной почте. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены вирусами.

К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для здоровья компьютера. В чем опасность файлов вложения? В качестве такого файла пользователю могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *.xls), зараженный компьютерным вирусом.

Запустив полученную программу на выполнение или открыв для просмотра документ, пользователь может инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем. В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на ваш компьютер - дело времени.

Возможны и другие попытки проникновения на компьютер через электронную почту. Например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое дело.

Защита от вирусов, распространяющихся по почте.

Помимо чисто административных мер, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).

Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.

Кроме того, эффективность антивирусов очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению.

Антивирусы для почтовых серверов.

Понимая актуальность проблемы распространения вирусов по электронной почте, многие компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие антивирусы анализируют поток данных, проходящий через почтовый сервер, не допуская передачи сообщений с зараженными файлами вложений. Существует и другое решение - подключение к почтовым серверам обычных антивирусов, предназначенных для проверки файлов.

Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и к тому же включит режим автоматического обновления базы данных через Интернет. Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов - к ним будут приходить сообщения, уже очищенные от вирусов.

Действия, выполняемые почтовыми серверами при отправке и получении зараженных писем, зависят от настройки антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом, защищенный почтовый север SMTP откажет ему в этом, а почтовая программа выведет на экран предупреждающее сообщение.

Если же кто-то пошлет на ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса.

Несмотря на постоянно растущую популярность платформы Microsoft Windows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных UNIX-подобных систем. Основное преимущество Linux - очень низкая стоимость приобретения. Каждый может загрузить через Интернет дистрибутив Linux и установить его на любое количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернета, в том числе и серверы электронной почты. Среди други преимуществ Linux и подобных ОС следует отметить открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.

Doctor Web для UNIX-систем.

Для защиты почтовых серверов, работающих под управлением операционных систем Linux, FreeBSD и Solaris, с успехом можно использовать антивирусную программу Doctor Web Игоря Данилова. В комплект антивируса входят программа- демон DrWebD и программа-сканер DrWeb, а также решения для интеграции с почтовыми системами: CommuniGate Pro, Sendmail, Qmail, Exim, Postfix. Демон DrWebD снабжен открытым документированным интерфейсом и может использоваться практически во всех системах обработки данных в качестве подключаемого внешнего антивирусного фильтра. Открытые исходные тексты некоторых компонентов интеграции позволяют проводить аудит, модифицировать интерфейсные компоненты для более полного удовлетворения требованиям разработчика. Кроме того, эти исходные тексты могут служить примером для написания собственных компонентов интеграции. В процессе своей работы демон DrWebD автоматически проверяет все сообщения электронной почты, проходящие через сервер. При этом проверяются файлы вложений (даже упакованные), а также все объекты, встроенные в документы. При обнаружении вируса в почтовом сообщении тело вируса изымается и перемещается в зону “карантина”, после чего получателю сообщения и администратору сервера посылается извещение. Таким образом пользователи Sendmail будут надежно защищены от вредоносных программ, распространяющихся через электронную почту. Аналогичный механизм взаимодействия предусмотрен и для других почтовых серверов. Doctor Web автоматически загружает через Интернет обновления антивирусных баз данных, что необходимо для надежной антивирусной защиты. Помимо антивирусной проверки демон может выполнять фильтрацию сообщений по содержимому различных полей заголовков, что может быть использовано для защиты от несанкционированной рассылки сообщений - спама. Одним из несомненных достоинств программы является высокая производительность работы демона DrWebD и сканера DrWeb, достигнутая благодаря использованию совершенных алгоритмов. Это имеет особое значение в том случае, если сервер обладает малой вычислительной мощностью.

2.2 Norton Antivirus

Norton Internet Security - комплексное решение, направленное на защиту интернета, а также всех данных вашего компьютера. Он один из самых «укомплектованных» в плане компонентов защиты, тем не менее, при его тестировании мы не замечали никаких значительных подвисаний. Говоря проще, в NIS вы, возможно, найдете все, что требовали от комплексного антивируса. Предлагаем посмотреть, из чего же состоит Norton Internet Security: * Антивирус Анивирусная защита Norton интересна многим пользователям, чьи убеждения направлены категорически против продукции Symantec. На самом деле, практически никто из них не знает о том, каков реальный уровень защиты этого антивируса. Наше независимое тестирование, мы надеемся, поможет по-настоящему разобраться в мощности антивирусного анализа NIS. * Антишпион Среди вредоносных программ (именуемых на профессиональном языке «malware»), существует такой класс, как шпионы. Эти программы способны замаскироваться под легальные (не путайте с руткитами - они маскируются полностью под другое ПО, вроде Photoshop или ICQ ) программы и воровать ваши секретные данные, передавая их злоумышленнику. Компонент «Антишпион», встроенный в Norton Internet Security, обладает возможностью пресекать любые попытки кражи ваших данных, а то и вовсе удаляет программы - шпионы безо всяких негативных последстий. * Антиспам Этот компонент защищает вашу почту от поступления на нее нежелательных писем, когда такое письмо приходит, об этом сообщает этот компонент. Легко встраивается в любые почтовые клиенты, создавая отличный барьер от нежелательной информации. * Norton Safe Web Очень хорошо продуманным средством сетевой атаки являются мошеннические сайты и сайты-клоны, из-за которых неопытный пользователь может очень сильно навредить компьютеру. NSW блокирует вредоносные сайты, защищая компьютер от возможных сетевых атак, имеет в наличии огромную и постоянно обновляемую базу вредоносных веб-сайтов, благодаря которым даже самый новый из них может быть заблокирован. * Антифишинг Фишинг, происходит от слова «fishing» (ловить рыбу), - это попытки мошенников фактически заманить вас на крючок. Они делают это, рассылая поддельные письма якобы от законных организаций, с целью выудить обманным путем личную информацию, такие как номера кредитных карт или пароли к сервисам управления банковскими счетами. Антифишинг Norton пресекает все попытки подобного рода мошенничества. * Norton Reputation Service Очень полезный сервис, отображающий дату создания и количество пользователей, использующих какую-либо программу. Не даст угрозе попасть на компьютер, имеет преимущество над аналогами, поскольку там, как в немногих антивирусных решениях, базы пополняются за счет пользователей, то есть «живого интеллекта». * Родительский контроль Всесторонняя защита от любопытных ребятишек, пытающихся попасть на сайты непристойного содержания. Также вы сами можете указать, когда ребенок сможет вообще включить интернет. * "Умный" фаервол Почему умный? Да потому что пользователь практически не замечает его работы, так как он сам выбирает, какие права дать программе, запущенной на компьютере. Если пользователя не устроит что-то, он может сам поменять уровень доверия к своим программам. * Эвристическая защита SONAR Это гордость кампании Symantec. Эвристика SONAR является аналогом многим средствам проактивной защиты, поскольку по факту выполняет те же функции - проверяет файлы и отслеживает угрозы по поведению, а не по наличию, либо их отсутствию в базах. Отличие SONAR от других эвристических движков в том, что сама технология зародилась по счету одной из самых первых и имеет богатейший опыт разработки. * Импульсные обновления Это те же самые обновления, только проходящие не фиксировано в определенное время, а как только выйдут новые базы. Данные об этом получает сам антивирус, если компьютер постоянно подключен к интернету. Нагрузку на сетевое соединение этот компонент не оказывает. * Схема и мониторинг сети Этот модуль позволит вам с легкостью просмотреть данные о сетевых соединениях, сознанных программами на вашем компьютере с учетом их нагрузки на сеть. Также мониторинг сети может выявить причину возможного отсутствия или сбоев в работе интернета, но разобраться сможет только любитель, новичку это будет тяжело. * Защита от ботов Система защиты от ботов не позволит искусственному интеллекту взять верх над живым, уговорив дать пароль от какой-нибудь программы или свои данные. Norton Internet Security не даст роботу продолжать обмениваться с вами информацией, оборвав сетевое соединение. Такой компонент защиты направлен на спасение вашего компьютера от критического заражения. * Norton Bootable Recovery Tool Утилита восстановления, помогающая поднять на ноги фатально зараженный компьютер. У вас есть возможность записи на загрузочный диск или USB данных для восстановления именно вашего компьютера, пока система еще не заражена. Это еще один модуль защиты, способный спасти ваш ПК и сохранить все данные в целости и сохранности. * Антируткит Этот компонент не даст вирусу, замаскировавшемуся под легальную программу, навредить вашей операционной системе. Работает так же, как и антивирус - полностью нейтрализует руткит, а затем безвозвратно удаляет. * Norton Identity Safe Позволит вам сохранить все свои конфиденциальные данные и пароли в специальном изолированном от внешних попыток доступа секторе. Хранит неограниченное количество паролей и данных. * Norton Identity Safe On-The-Go Этот компонент работает вкупе с предыдущим, позволяя сохранять всю секретную информацию на USB, в котором также будет создан изолированный сектор. * Norton File Insight Эта технология позволит получить наиболее подробную информацию о любом файле - с какого сайта он был скачан, когда к нему производился доступ, как часто он используется и многое другое. * Norton Download Insight Этот модуль позволит вам определить уровень опасности любого загружаемого файла, даже если тот загрузился не полностью. Предотвращает заражение компьютера по неопытности использования интернета. * Norton Protection System Это система многоуровневой защиты от любых типов угроз и атак. Многоуровневой - потому что угроза определяется не только по наличию ее в базе вирусных сигнатур, но и по поведению, классификации и многим другим критериям. * Norton System Insight Эта программа служит для оптимизации работы компьютера при использовании антивируса Norton. Показывает на весьма доступном языке диаграммы и графики, демонстрирующие использование процессора и оперативной памяти. Доступна даже новичкам, поскольку ко всему дается подробное описание. * Norton Insight Система Norton Insight позволит избавить антивирус от повторного сканирования файлов, не подверженных заражению, например, документов. В итоге второе, третье и все последующие сканирования компьютера будут проводиться куда быстрее, нежели в первый раз. * Средства устранения уязвимостей Система устранения уязвимостей сканирует параметры операционной системы на наличие потенциальных изъянов, а также проверяет ее на наличие критических обновлений. Этот модуль позволит финализировать вашу защиту и избавить вас даже от малейшего подозрения на ее отсутствие, вопреки многим высказываниям различных пользователей в интернете.

2.3 Dr. Web

В целях повышения быстродействия продуктов Dr.Web их архитектура была значительным образом модифицирована в версии 7.0: появились новые сервисы, оптимизирована работа всех компонентов. Специалисты «Доктор Веб» усовершенствовали сканер с графическим интерфейсом. Наиболее важным следствием внесенных в сканер изменений стала возможность многопоточной обработки данных с распределением задач между ядрами процессора. Как следствие, общая производительность продуктов новой версии существенным образом выросла. О всех улучшениях и изменениях вы можете прочитать в официальном пресс-релизе. Поскольку в последнее время мы не получаем информацию о сравнительных тестированиях с участием антивируса Dr.Web, любая информация, представленная здесь, может быть очень ценна. Мнение Comss.ru - этот антивирусный продукт ничем не хуже других, и мы смело готовы это обосновать. Но давайте вначале разберемся, чем нас защищает Dr.Web: * Сканер Dr.Web для Windows - главный компонент антивируса, позволяющий выявить вредоносные файлы и программы. Версия 7.0 претерпела множество улучшений интерфейса, о которых предлагаем прочесть в соответствующем разделе. Также возможен запуск с командной строки - полезная функция, если внезапно отказывают процессы, отвечающие за графическую оболочку Windows. Однако стоит отметить, что зачастую при проверке некоторых веб-страниц этот компонент конфликтует с сервером, выдавая ошибки. Результаты антивирусного сканирования мы постараемся предоставить в наиболее подробном виде. * SpIDer Guard - антивирусный сканер, обеспечивающий компьютер проверкой real-time - то есть, в реальном времени. Этот компонент постоянно находится в оперативной памяти компьютера, причем практически не влияет на быстродействие системы. При тестировании дискомфорта не было замечено вообще, а это большой плюс. * SpIDer Mail - почтовый антивирус, блокирующий получение на ваш почтовый ящик писем, содержащих вредоносные файлы. Работает вместе с антиспамом, что способствует усилению защиты любых почтовых клиентов. * SpIDer Gate - защитник вашего интернета. Борется с вредоносными ссылками и файлами, которые последнее время так и норовят заразить ваш компьютер. Имеет встроенный компонент Dr.Web LinkChecker - это отлично зарекомендовавший себя модуль, который может встраиваться в любой браузер и проверять все открываемые вами ссылки средствами своего «родителя» SpIDer Gate. Вредоносная веб-страница блокируется намертво, защищая вас от заражения. * Родительский контроль - создан специально для ваших непосед. Не дает им проникнуть на ненужные сайты. Также от них можно ограничивать любые файлы на вашем компьютере. * Dr.Web Firewall - сканер сетевой активности, не дает нехорошим людям взломать или закидать вирусами ваш компьютер через интернет, а также регулирует уровень доверия к любой программе, запускаемой на компьютере. Увы, параноидален, для каждой программы делает особое приглашение, и вам постоянно приходится разрешать или запрещать ее запуск. * Модуль обновления - говоря простым языком, компонент, позволяющий вам вручную обновить антивирус. Заметим, что разработчики Dr.Web внедрили в передаваемые файлы обновлений уникальную технологию сжатия, благодаря которой более 10 тысяч определений умещаются в маленький файл размером чуть более 150 кб. Антивирус обновляется раз в 3 часа автоматически, поэтому вам нет особой необходимости использовать этот компонент. * SpIDer Agent - компонент, позволяющий даже не очень опытному пользователю настроить работу Dr.Web Security Space. В отличие от простого «Антивируса Dr.Web», в состав Dr.Web Security Space не входят такие компоненты, как «Планировщик заданий» и «Сканер Dr.Web для DOS». Так что, если вы хотите запланировать какое-либо задание для антивируса Dr.Web Security Space, то воспользуйтесь стандартным планировщиком Windows.