Защита от воздействия программ-вирусов
В современных условиях противодействие компьютерным вирусам стало одной из самых распространенных проблем при эксплуатации АС.
Защита АС от программ-вирусов является очень важной задачей, поскольку ущерб от их деструктивных воздействий может оказаться весьма существенным, а ликвидация как самих программ-вирусов, так и последствий их воздействия – чрезвычайно длительным.
Проблема компьютерных вирусов возникла давно и сразу же получила широкое распространение. В 1988 г. с появлением в сети "вируса Морриса" фактически началось более-менее целенаправленное развитие антивирусных средств.
Термин "вирус" в применении к компьютерам был придуман Фредом Когеном из Университета Южной Каролины. Слово "вирус" латинского происхождения и означает "яд". Компьютерный вирус – это программа, которая пытается тайно записать себя на компьютерные диски. Каждый раз, когда компьютер загружается с инфицированного диска, происходит скрытое инфицирование.
Вирусы представляют собой достаточно сложные и своеобразные программы, выполняющие несанкционированные пользователем действия.
Программой-вирусом принято называть программу, способную, саморазмножаясь, внедряться в другие программы. Единственным и возможным каналом проникновения вирусов в АС являются накопители на съемных носителях информации и средства межкомпьютерной коммуникации.
В жизненном цикле вируса выделяется три периода:
1) латентный период – вирус находится в зараженной программе, не предпринимая никаких действий;
2) инкубационный период – вирус размножается, заражая другие программы;
3) период деструктивных действий – вирус выполняет заложенный в него разработчиком алгоритм действий, продолжая при этом заражать другие программы.
Первые два периода предназначены для целей:
– сокрытия канала проникновения вируса в вычислительную систему;
– сокрытия факта существования вируса в программном обеспечении системы;
– заражения возможно большего числа программ вирусом.
Вирусы, как правило, могут содержаться в программных файлах и в ряде компонентов системной области диска, участвующих в процессе загрузки операционной системы.
К вирусам также относят вредоносные программы, не способные заражать другие программы, но разрушающие информацию на магнитных носителях информации или срывающие нормальное течение вычислительного процесса.
Способ функционирования большинства вирусов – это такое изменение системных файлов компьютера пользователя, чтобы вирус начинал свою деятельность либо при каждой загрузке, либо в один прекрасный момент, когда происходит некоторое "событие вызова".
При разработке современных компьютерных вирусов используется много технических новшеств, однако большая часть вирусов является имитацией и модификацией нескольких классических схем.
Вирусы можно классифицировать по типу поведения следующим образом.
1. Вирусы, поражающие загрузочный сектор, пытаются заменить или инфицировать часть съемного (или жесткого) диска, зарезервированную только для операционной системы и хранения файлов запуска. Они особенно коварны, так как загружаются в память при каждом включении компьютера. Тем самым вирусу дается полная возможность контролировать любой выполняемый компьютером процесс. Эти вирусы обладают наибольшей способностью к размножению и могут постоянно распространяться на новые диски.
2. Вирусы, инфицирующие файлы. Чтобы остаться необнаруженными, множество вирусов пытается инфицировать исполняемые файлы. Обычно вирусы отдают предпочтение EXE- и COM-файлам, однако в связи с растущей популярностью Windows некоторые авторы вирусов стараются инфицировать файлы библиотек динамической связи (DLL).
Файловые вирусы распространяются более медленно, чем вирусы, поражающие загрузочный сектор, вирус активизируется и начинает размножаться, только когда инфицированный файл запущен на выполнение. Единственное условие распространения вируса – это выполнение инфицированного программного файла. При этом он будет загружаться в память и сможет приступать к работе.
3. Многофункциональные вирусы. Некоторые вирусы используют для инфицирования компьютерной системы как загрузочный сектор, так и метод заражения файлов. Это несколько затрудняет выявление и идентификацию вируса специальными программами и ведет к быстрому его распространению.
4. Вирусы-невидимки. Один из способов выявления и идентификации вируса антивирусными программами – проверка контрольных сумм. Контрольная сумма – это результат выполнения математического алгоритма, проверяющего соответствие длины полученного файла длине его первоначальной копии. Ряд антивирусных программ создает списки контрольных сумм файлов, находящихся на вашем диске. Вирусы-невидимки используют ряд методов для маскировки своего присутствия – они фальсифицируют фактические значения контрольных сумм, что затрудняет их обнаружение.
5. Системные вирусы. Пытаясь остаться незамеченными, системные вирусы поражают не загрузочный сектор, а операционные системы. Основные жертвы этих вирусов – таблица размещения файлов (оглавление диска), таблицы разделов, драйверы устройств и системные файлы.
Наилучший способ защитить свою систему от вирусов – регулярно использовать антивирусные программы, предназначенные для проверки памяти и файлов системы, а также поиска сигнатур вирусов. Вирусная сигнатура – это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов.
При выполнении антивирусная программа просматривает компьютерную систему на предмет наличия в ней сигнатур, подобных имеющимся в базе данных.
В самом хорошем антивирусном программном обеспечении не только ищется соответствие с сигнатурами в базе данных, но используются и другие методы. Такие антивирусные программы могут выявить новый вирус даже тогда, когда он еще не был специально идентифицирован.
Однако большинство вирусов обезвреживается все же путем поиска соответствия с базой данных. Когда программа находит такое соответствие, она будет пытаться вычистить обнаруженный вирус. Важно постоянно пополнять имеющуюся базу вирусных сигнатур. Большинство поставщиков антивирусного программного обеспечения распространяет файлы обновлений через Интернет.
Однако следует иметь в виду, что иногда встречаются вирусы, идентификация которых затруднена либо из-за их новизны, либо из-за большого промежутка времени перед их активизацией (у вирусов имеется некоторый инкубационный период, и они некоторое время скрываются, прежде чем активизироваться и распространиться на другие диски и системы).
Поэтому следует обращать внимание на следующее:
1) изменения размера файла. Файловые вирусы почти всегда изменяют размер зараженных файлов, поэтому если вы заметите, что объем какого-либо файла, особенно СОМ или EXE, вырос на несколько килобайт, необходимо немедленно обследовать жесткие диски антивирусной программой;
2) необъяснимые изменения в доступной памяти. Для эффективного распространения вирус должен находиться в памяти, что неизбежно уменьшает количество оперативной памяти (RAM), остающейся для выполнения программ. Поэтому если вы не сделали ничего, что изменило бы объем доступной памяти, однако обнаружили ее уменьшение, необходимо также запустить антивирусную программу;
3) необычное поведение. При загрузке вируса, как и любой новой программы, в компьютерную систему происходит некоторое изменение в ее поведении. Может быть, это будет либо неожиданным изменением времени перезагрузки, либо изменением в самом процессе перезагрузки, либо появлением на экране необычных сообщений. Все эти симптомы говорят о том, что следует незамедлительно запустить антивирусную программу.
Если вы обнаружили в компьютере какой-либо из указанных выше симптомов, а антивирусная программа не в состоянии обнаружить вирусную инфекцию, следует обратить внимание на саму антивирусную программу – она может быть устаревшей (не содержать новых вирусных сигнатур) или же сама может быть заражена. Поэтому надо запустить надежную антивирусную программу.
В заключение приведем девять правил компьютерной безопасности (защиты от вирусов) от "Лаборатории Касперского".
1. Периодически обновляйте вашу антивирусную программу. Антивирусные сканеры способны защищать только от тех компьютерных вирусов, данные о которых содержатся в антивирусной базе. В связи с этим необходимо регулярно обновлять антивирусные базы. Чем чаще выполняется эта несложная операция, тем более защищенным будет компьютер. Рекомендуется настроить внутренний планировщик, присутствующий в большинстве современных антивирусных программ, на автоматическую загрузку обновлений.
2. Будьте осторожны с файлами в письмах электронной почты. Нельзя запускать программы, присланные неизвестным лицом. Файлы, полученные от "надежных" корреспондентов, также могут быть инфицированы.
Не менее важным моментом является кажущаяся безопасность вложенных файлов определенного формата. Если вы думаете, что файлы с расширением PIF, GIP, TXT не могут содержать вредоносных программ, то глубоко заблуждаетесь. Даже в таких "безобидных" программах могут быть замаскированы вирусы. Следовательно, второе правило можно сформулировать так: не запускайте полученные файлы, пока не убедитесь, что они присланы известным вам лицом, и не проверите их антивирусной программой с самыми последними обновлениями,
3. Ограничьте круг лиц, пользующихся вашим компьютером. Идеальным вариантом является ситуация, когда никто, кроме вас, не имеет доступа к вашему компьютеру. Если это невозможно, то необходимо четко разграничить права доступа и определить круг разрешенных действий для других лиц. В первую очередь это касается работы с мобильными носителями информации (ленты, диски), Интернетом и электронной почтой.
4. Своевременно устанавливайте "заплатки" к программному обеспечению. Многие вирусы используют "дыры" в системах защиты операционных систем и приложений. Антивирусные программы способны защищать от такого типа вредоносных воздействий, даже если на компьютере не установлена соответствующая "заплатка", закрывающая "дыру". Тем не менее рекомендуется регулярно проверять Web-сайты производителей установленного программного обеспечения и следить за выпуском новых "заплаток". В первую очередь это относится к операционной системе Windows и другим программам корпорации Microsoft, которые наиболее распространены и привлекают наибольшее внимание создателей вирусов.
5. Обязательно проверяйте мобильные носители информации. Несмотря на то что около 85% всех зарегистрированных случаев заражения компьютерными вирусами приходится на электронную почту и Интернет, не стоит забывать о таком традиционном способе транспортировки вредоносных кодов, как мобильные носители информации. Следует тщательно проверять их антивирусной программой, прежде чем использовать на своем компьютере. Исключением, пожалуй, являются диски, предназначенные для форматирования.
Большую опасность представляют собой и столь широко распространенные в России пиратские компакт-диски. К примеру, проверка, проведенная "Лабораторией Касперского" в 1999 г., выявила факт присутствия вирусов на 23% закупленных носителей. Вывод и здесь достаточно прост: тщательно проверяйте даже вновь приобретенные компакт-диски.
6. Будьте осторожны и с источниками, заслуживающими доверия. Никто не застрахован от компьютерных вирусов. Это относится и к крупным компаниям-производителям программного и аппаратного обеспечения. Посетителям их сайтов нередко предлагаются зараженные программы. Показателен факт, когда в течение нескольких недель на сайте Microsoft находился документ Word, зараженный макровирусом Wazzu.
Нередки случаи присутствия вирусов на дисках с драйверами к аппаратному обеспечению, в лицензионном программном обеспечении и т.п.
Бывает также, что компьютер, переданный на техническое обслуживание в ремонтную мастерскую, возвращается не совсем "чистым". Как правило, это происходит из-за того, что ремонтники пользуются одними и теми же дисками и флеш-картами для загрузки программ для тестирования различных узлов компьютера. Таким образом, они очень быстро переносят компьютерную "заразу" с одних компьютеров на другие.
Вывод: получив компьютер из ремонта, не забудьте тщательно проверить его на наличие вирусов.
Настоятельно рекомендуется проверять даже данные, полученные из источников, заслуживающих доверия. Не стоит думать, что производители умышленно заражают ваш компьютер, в каждой работе бывают осечки. Иногда они касаются и антивирусной безопасности.
7. Сочетайте разные антивирусные технологии. Не следует ограничиваться классическим антивирусным сканером, запускаемым по требованию пользователя или при помощи встроенного планировщика событий. Существует ряд других, нередко более эффективных технологий, комбинированное использование которых способно гарантировать безопасную работу компьютера. К числу таких технологий относятся:
– антивирусный монитор, постоянно присутствующий в памяти компьютера и проверяющий все используемые файлы в масштабе реального времени (в момент доступа к ним);
– ревизор изменений, который отслеживает все изменения на диске и немедленно сообщает, если в каком-либо из файлов "поселился" вирус;
– поведенческий блокиратор, обнаруживающий вирусы не по их уникальному коду, а по последовательности их действий.
Сочетание описанных способов борьбы с вирусами является залогом успешной защиты от вредоносных программ.
8. Регулярное резервное копирование. Выполнение этого правила позволит сохранить данные не только при поражении компьютера каким-либо вирусом, но и в случае серьезной поломки в аппаратной части компьютера.
Вряд ли кому захочется потерять результаты многолетних наработок вследствие произошедшего сбоя в системе вне зависимости от того, вызвано это вирусами или нет. Именно поэтому рекомендуется регулярно копировать наиболее ценную информацию на независимые носители – флеш-карты, внешние жесткие диски и т.д.
9. Не паникуйте! Не следует думать, что вирусы – это неисправимая катастрофа. Они являются такими же программами, как, скажем, калькулятор или записная книжка Windows. Отличительная их черта в том, что вирусы способны размножаться (т.е. создавать свои копии), интегрироваться в другие файлы или загрузочные секторы, а также производить другие несанкционированные действия. И гораздо больший вред способны нанести необдуманные действия, направленные на нейтрализацию вируса. При работе в корпоративной сети следует немедленно обратиться к системному администратору. Если же вы просто автономный пользователь, свяжитесь с компанией, у которой приобрели антивирусную программу. Предоставьте возможность профессионалам позаботиться о безопасности вашего компьютера.
Как показывает практика, небольшая доля подозрительности является обязательной для успешного проведения политики компьютерной безопасности.