Программы борьбы с компьютерными вирусами

Несмотря на то что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти програм­мы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответст­вующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей известны.

Большинство программ-докторов умеют «лечить» только от не­которого фиксированного набора вирусов, поэтому они быстро ус­таревают. Но некоторые программы могут обучаться не только спо­собам обнаружения, но и способам лечения новых вирусов.

ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных об­ластей дисков (загрузочного сектора и сектора с таблицей разбие­ния жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого можно в лю­бой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях программа-ре­визор сообщает пользователю.

Чтобы проверка состояния программ и дисков проходила при ка­ждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, ко­гда он еще не успел нанести большого вреда.

Есть очень полезные гибриды ревизоров и докторов, т.е. ДОК­ТОРА-РЕВИЗОРЫ, — программы, которые не только обнаружи­вают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы гораздо более универсальные, чем программы-док­тора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволя­ет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы. Но они могут лечить не от всех вирусов, а только от тех, которые используют «стандарт­ные», известные на момент написания механизмы заражения фай­лов.

Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые рези­дентно располагаются в оперативной памяти компьютера и пере­хватывают те обращения к операционной системе, которые исполь­зуются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не «ловят» подозрительные дей­ствия, а проверяют вызываемые на выполнение программы на на­личие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весь­ма значительны — они позволяют обнаружить многие вирусы на са­мой ранней стадии, когда вирус еще не успел размножиться и что-ли­бо испортить. Тем самым можно свести убытки от вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, моди­фицируют программы и диски таким образом, что это не отражает­ся на работе программ, но тот вирус, от которого производится вак­цинация, считает эти программы или диски уже зараженными. Эти программы неэффективны.

Рассмотренные мероприятия являются стандартными для средств автоматизации, состоящих из автономных рабочих станций. Веро­ятность вирусной атаки значительно возрастает при объединении компьютеров в сеть и становится неизбежной при подключении к информационно-вычислительным сетям общего пользования.

Компьютерные сети имеют архитектурные особенности, кото­рые оказывают влияние на уязвимость компьютерных систем при воздействии программных вирусов.

Основными из них являются:

Ø поддержка различных сетевых информационных услуг и уда­ленных пользователей;

Ø значительный объем информации между компьютерами;

Ø наличие различных платформ и протоколов взаимодействия;

Ø сложная конфигурация систем с большим количеством раз­нотипных узлов сети;

Ø использование информационных ресурсов публичных ком­пьютерных сетей.

Организация антивирусной защиты стала сложной технической и административной задачей, которая требует выработки политики антивирусной безопасности. Наиболее эффективным является реше­ние по созданию комплексной системы информационной безопас­ности с интегрированной подсистемой защиты от вирусов на базе передовых антивирусных средств.

Полноту покрытия вирусного пространства проверяют в ходе тестовых испытаний, используя для этого коллекции:

Ø «живых» вирусов, составляющих набор примерно из 400 ви­русов, которые встречаются на практике;

Ø макровирусов, поражающих в основном документы офисных приложений;

Ø полиморфных вирусов, меняющих свой код при генерации каждой новой копии;

Ø стандартных вирусов

Периодически проводимые специализированными организация­ми испытания наиболее популярных антивирусных средств показы­вают, что они способны обнаруживать до 99,8% известных вирусов.