На какие виды можно подразделить программы защиты от компьютерных вирусов
Компьютерный вирус — это специальная программа, способная самопроизвольно присоединяться к другим программам и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов; искажение результатов вычислений; засорение или стирание памяти; создание помех в работе компьютера.
Поскольку разнообразие компьютерных вирусов слишком велико, то они, как и их биологические прообразы, нуждаются в классификации. Классифицировать вирусы можно по следующим признакам:
Классификация вирусов по способу заражения
Резидентные
Такие вирусы, получив управление, так или иначе остаются в памяти и производят поиск жертв непрерывно, до завершения работы среды, в которой он выполняется. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений Microsoft Office, являются резидентными вирусами. Соответственно, атрибут резидентный применим только к файловым DOS вирусам.
Нерезидентные
Получив управление, такой вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту). К такому типу вирусов можно отнести скрипт-вирусы.
Классификация вирусов по степени воздействия
Безвредные
Это вирусы никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).
Неопасные
Это вирусы не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах.
Опасные
Это вирусы, которые могут привести к различным нарушениям в работе компьютера.
Очень опасные
Это вирусы, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
Классификация вирусов по способу маскировки
Шифрованный вирус
Это вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.
Вирус-шифровальщик
В большинстве случаев вирус-шифровальщик приходит по электронной почте в виде вложения от незнакомого пользователю человека, а возможно, и от имени известного банка или действующей крупной организации.
Вложения вредоносных писем чаще всего бывают в архивах .zip, .rar, .7z. И если в настройках системы компьютера отключена функция отображения расширения файлов, то пользователь (получатель письма) увидит лишь файлы вида «Документ.doc», «Акт.xls» и тому подобные.
Другими словами, файлы будут казаться совершенно безобидными. Но если включить отображение расширения файлов, то сразу станет видно, что это не документы, а исполняемые программы или скрипты, имена файлов приобретут иной вид, например, «Документ.doc.exe» или «Акт.xls.js». При открытии таких файлов происходит не открытие документа, а запуск вируса-шифровальщика.
На практике встречаются случаи получения по электронной почте обычного “вордовского” файла, внутри которого, помимо текста, есть изображение, гиперссылка (на неизвестный сайт в Интернете) или встроенный OLE-объект. При нажатии на такой объект происходит незамедлительное заражение.
Полиморфный вирус
Это вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.
Классификация вирусов по среде обитания
Под “средой обитания” понимаются системные области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса.
Файловые вирусы
Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Они:
- различными способами внедряются в исполняемые файлы (наиболее распространенный тип вирусов);
- создают файлы-двойники (компаньон-вирусы);
- создают свои копии в различных каталогах;
- используют особенности организации файловой системы (link-вирусы).
Все, что подключено к Интернету – нуждается в антивирусной защите: 82% обнаруженных вирусов находятся в файлах с расширением PHP, HTML и EXE. Это говорит о том, что выбор хакеров – это Интернет, а не атаки с использованием уязвимостей программного обеспечения. Угрозы имеют полиморфный характер, это означает, что вредоносные программы могут быть эффективно перекодированы удаленно, что делает их трудно обнаруживаемыми. Поэтому высокая вероятность заражения связана, в том числе, и с посещениями сайтов.
Загрузочные вирусы
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Данный тип вирусов был достаточно распространён в 1990-х, но практически исчез с переходом на 32-битные операционные системы и отказом от использования дискет как основного способа обмена информацией.
Макро-вирусы
Многие табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макро-языки для автоматизации выполнения повторяющихся действий. Эти макро-языки часто имеют сложную структуру и развитый набор команд. Макро-вирусы являются программами на макро-языках, встроенных в такие системы обработки данных. Для своего размножения вирусы этого класса используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Скрипт-вирусы
Скрипт-вирусы, также как и макро-вирусы, являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы, либо являются частями многокомпонентных вирусов.
Классификация вирусов по способу заражения файлов
Перезаписывающие
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
Паразитические
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.
Вирусы-компаньоны
К ним относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла.
Вирусы-ссылки
Вирусы-ссылки или link-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла “заставляют” ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
Файловые черви
Файловые черви не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям “специальные” имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL.EXE или WINSTART.BAT.
OBJ-, LIB-вирусы и вирусы в исходных текстах
Это вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии.
Носителем же “живого” вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.
Для уменьшения вероятности заражения компьютера вирусом можно использовать профилактические меры. Например, отказаться от использования переносных устройств при работе, отключиться как от локальных вычислительных сетей, так и глобальных сетей (в частности, Internet), отказаться от использования электронной почты и пр. Однако, как мы понимает, это не реально.
Одним из самых удобных методов защиты от компьютерных вирусов является использование специализированных программ. Рассмотрим основные типы антивирусных программ^
Программы-детекторы позволяют обнаружить файлы, зараженные каким-либо известным вирусом. Данные программы проводят только проверку компьютера на наличие вирусов. Лечить данные программы не могут.
Программы-доктора позволяют не только обнаружить файлы, зараженные известным вирусом, но и произвести их лечение. При лечении зараженных файлов программа-доктор удаляет тело вируса из файла, т.е. восстанавливает файл в том состоянии, в котором он находился до заражения вирусом.
Программы-ревизоры работают следующим образом. При своем первом запуске они запоминают сведения о состоянии программ и системных областей диска компьютера, в которые входят загрузочные секторы, таблицы размещения файлов, корневой каталог. Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при последующих проверках компьютера программы-ревизоры сравнивают состояние файлов и системных областей диска с исходным. Если произошли изменения, характерные для действий вируса, то они сообщают об этом пользователю. Разновидностью данных программ являются доктора-ревизоры. Они представляют собой комбинацию ревизоров и докторов, т.е. они могут не только обнаруживать изменения в файлах и системных областях дисков, но и в случае изменений автоматически вернуть их в исходное состояние.
Программы-вакцины – это программы, предотвращающие заражение файлов. Сущность действия данных программ заключается в том, что они изменяют файлы специальным образом. Причем это не отражается на работе, но вирус воспринимает эти файлы как зараженные и не внедряется в них. В настоящее время данный вид программ практически не используется.
Компьютерные вирусы — это специально написанная небольшая по размерам программа, которая может внедрять себя в исходный код других программ (т.е. заражать их) или в документы специального формата, содержащие макрокоманды, такие как Word , Excel , а также выполнять различные нежелательные действия на компьютере.
Вирусная программа способна создавать свои копии (необязательно совпадающие с оригиналом), которые распространяются в различных ресурсах компьютерных систем, сетей и т.д. Многие вирусы вредят данным на заражённых компьютерах, хотя иногда их единственной целью является лишь заражение как можно большего количества компьютеров.
Также вирусы могут выполнять различные нежелательные действия не всегда, а только при выполнении определенных условий.
1.2 Классификация компьютерных вирусов
Условно классифицировать вирусы по следующим признакам:
- по среде обитания вируса
- по способу заражения среды обитания
- по деструктивным возможностям
- по особенностям алгоритма вируса.
1. По среде обитания вируса:
Сетевые – распространяются по компьютерной сети локальной или глобальной – сетевые черви.
Файловые – внедряются в выполняемые файлы.
Загрузочные – внедряются в загрузочный сектор диска ( Boot -сектор)
Существуют сочетания – файлово-загрузочные вирусы
2. По способу заражения среды обитания:
Резидентный – при инфицировании компьютера оставляет в оперативной части свою часть. При обращении оперативной памяти к другим программам заражают и их. Резидентные вирусы находятся в оперативной памяти и являются активными вплоть до выключения компьютера.
Нерезидентный – не заражают память компьютера и являются активными ограниченное время.
3. По деструктивным возможностям
Безвредные – не влияют на работу компьютера, кроме уменьшения свободной памяти на диске в результате своего распространения.
Неопасные – уменьшают кол-во свободного места на диске и ограничиваются графическими, звуковыми и пр. эффектами.
Опасные – приводят с серьезным сбоям в работе компьютера
Очень опасные – могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
4. По особенностям алгоритма вируса
Студенческие – примитивные, содержат большое кол-во ошибок.
Компаньон-вирусы – вирусы не изменяющие файлы. Алгоритм работы состоит в том, что они создают для EXE файлов файлы-спутники, имеющие то же самое имя, но с расширением COM . Таким образом, при запуске приложения сначала запустится файл с расширение COM , т.е. вирус, который затем запустит и EXE -файл. Данными способом самозапуска пользуются и троянские программы.
Троянская программа , Троян , троянец — разновидность компьютерных программ, которые «претендуют» на то, что выполняют некоторую определенную функцию, в действительности же работают совершенно иначе. Некоторые троянцы изначально спроектированы так, чтобы вводить пользователя в заблуждение: к примеру, программа имитирует другое приложение (игру, текстовый редактор, программу инсталляции), а на самом деле выполняет некие несанкционированные пользователем действия: удаление, модификацию информации, сбор и пересылку информации третьим лицам, передача управления компьютером удаленному пользователю. Либо в качестве троянца может быть использована штатная программа: некое лицо помещает для скачивания под видом «полезной» программы или обновлений программу форматирования дисков и командный файл, который запускает её с необходимыми параметрами.
Вирусы-черви – проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии.
Паразитические – все вирусы (кроме червей и компаньонов), которые при распространении своих копий обязательно изменяю содержимое дисковых секторов или файлов.
Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращения операционной системы к пораженным файлам, «подставляя» вместо себя незараженные участки. Данные вирусы обладают оригинальными алгоритмами, позволяющие обманывать резидентные антивирусные программы.
Полиморфик-вирусы - не имеют ни одного постоянного участка кода, труднообнаруживаемые,
Макровирусы – пишутся не в машинных кодах, а на WordBasic , живут в документах Word , переписывают себя в Normal . dot
1.3 Признаки заражения
Есть ряд признаков, свидетельствующих о заражении компьютера:
1.4. Антивирусные программы (служебные программы)
Антивирусная программа ( антивирус ) — программа для обнаружения и, возможно, лечения программ, заражённых компьютерным вирусом, а также, возможно, для предотвращения заражения файла вирусом.
Первые, наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.
К сожалению, конкуренция между антивирусными компаниями привела к тому, что развитие идёт в сторону увеличения количества обнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения их детектирования (идеал — 100%-е детектирование) и алгоритмов лечения заражённых файлов.
Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.
Различают следующие виды антивирусных программ:
Детекторы – сканируют файлы для поиска известных вирусов, соответствующих определению в словаре вирусов
Доктора – не только находят зараженные вирусом файлы, но и удаляют из файла тело программы-вируса
Ревизоры – самый надежный способ защиты. Ревизоры запоминают исходное состояние программ, каталогов и системных областей , а затем периодически сравнивают текущее состояние с исходным.
Доктора-ревизоры
Фильтры – небольшие резидентные программы, предназначенные для обнаружения подозрительного поведения любой из программ, похожего на поведение заражённой программы. В отличие от метода соответствия определению вируса в словаре, метод подозрительного поведения даёт защиту от совершенно новых вирусов, которых ещё нет ни в одном словаре вирусов. Однако следует учитывать, что программы, построенные на этом методе, выдают также большое количество ошибочных предупреждений, что делает пользователя мало восприимчивым ко всем предупреждениям.
Подозрительными действиями являются:
- попытки коррекции файлов с расширениями СОМ и ЕХЕ;
- изменение атрибутов файлов;
- прямая запись на диск по абсолютному адресу;
- запись в загрузочные сектора диска;
- загрузка резидентной программы.
Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.
Вакцины. Используются для обработки файлов и загрузочных секторов с целью предотвращения заражения известными вирусами (в последнее время этот метод применяется все реже - вакцинировать можно только от конкретного вируса, причем некоторые антивирусы такую вакцинацию вполне могут спутать с самой болезнью, поскольку отличие вируса от вакцины на самом деле исчезающе мало). Как известно, ни один из данных типов антивирусов не обеспечивает стопроцентной защиты компьютера, и их желательно использовать в связке с другими пакетами. Вообще, выбор только одного, "лучшего", антивируса крайне ошибочен.
Методы Борьбы с компьютерными вирусами
не загружать и не запускать на выполнение неизвестные программы из Интернета)
Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.
Информационная безопасность (ИБ) и ее составляющие
Государственная структура органов, обеспечивающая информационную безопасность.
Контроль и разработка нормативной базы.
В согласии с конституцией РФ – во главе стоит президент. Все обязанности возложены именно на него. Президент способен остановить любой закон. Президента почти нельзя уволить или отстранить от должности.
Государство
СВР – Служба Внешней Разведки
МО – Министерство обороны
ГТК – Гос Тех Комиссия
ФСО – Федеральная Служба Охраны
МВК – ведомственная комиссия по Гос тайне
В марте 2004г. ФАПСИ было ликвидировано. Задачи ФАПСИ распределились в ФСБ и ФСО
Угроза информационной безопасности государства
Угроза – это опасность, потенциально или реально существующая, совершения какого-либо действия или бездействия, направленного против объекта защиты информации или информационных ресурсов и наносящих ущерб этому объекту или его пользователю или владельцу.
Угрозы можно подразделить на два вида:
Классификация угроз:
- хищение или копирование
- уничтожение информации
- искажение информации (искажение, нарушение целостности)
- введение ложной информации
- отрицание подлинности представляемой информации
- нарушение доступности
Все угрозы приводят к нарушению
Источники угроз:
- антропогенные
- техногенные
- стихийные носители угроз безопасности
1. Антропогенные - это субъекты, могут быть случайными и умышленными. Так же они могут быть: внешними и внутренними.
Внешние: шпионаж, потенциальные преступники, конкуренция, криминальные структуры, государство (силовые ведомства, финансовые, административные ведомства), СМИ, потенциальные преступники связанные с информационными технологиями(хакеры, поставщики телекоммуникационных услуг), бывшие сотрудники, недобросовестные партнеры вашего бизнеса.
Внутренние: сотрудники (основной персонал) всех служб, вспомогательный персонал (охрана, уборка), технический персонал (эксплуатационные службы: свет, вода и т.д.), представители службы безопасности(ЗИ, охрана и т.д.).
2. Техногенные :
Внешние : каналы связи (телекоммуникационные сети), недоброкачественные внешние поставки аппаратных средств, инженерно технические сети (все виды).
Внутренние : использование не сертифицированного и не лицензионного хранения, передачи и обработки информации; не качественные технические средства контроля за инженерно техническими сетями; использование не качественных технических средств любого вида; техногенные средства охраны и сигнализации.
3. Стихийные угрозы
Стихийные угрозы – это обстоятельство, составляющее непреодолимую силу, которые носят объективный и абсолютный характер и распространяются на все субъекты и объекты информационных отношений.
Это внешние источники угроз:
- Землетрясение
- Наводнение
- Пожары
- Сложные метеокатаклизмы
- Непредвиденные форс-мажорные обстоятельства (кризис в экономике, политике; войны)
- Различные необъяснимые явления (на данный момент происхождения случая)
- Потоки электромагнитных частиц, солнечный свет и т.д.
Уязвимость
Уязвимость – это присущие объектам информационных отношений, причины, приводящие к нарушению информационной безопасности на конкретном объекте, и обусловлено недостатками процессов функционирование объектов информатизация свойствами автоматизированных систем, применяемые программно-аппаратными средствами и условиями эксплуатации.
Классификация:
1. Объективные - будем относить те группы или классы, которые связаны с объектами:
- архитектурные построения,
- телекоммуникация,
- системы автоматизирования.
Физические поля : электромагнитные излучения, электрические наводки в цепи автоматизированных и технических средств, звуковые или акусто-вибрационные воздействия (для ч-ка инфразвук).
Активируемые : аппаратные закладки, программные закладки.
Конструктивные : старый телевизор (полоса пропускания была широкой).
Особенности самого защищаемого объекта: расположение объекта, взаимосвязь объекта с внешними источниками и объектом информации.
2. Субъективные - будем относить те группы или классы, которые связаны с субъектами:
Бывают с лучайные и преднамеренные .
Случайные : связаны с ошибками в действиях субъекта, т.е. это при создании и использовании программных средств при управлении автоматизированными и телекоммуникационными системами, при использовании и эксплуатации охранных контролирующих технических средств.
Преднамеренные : нарушение инструкций при эксплуатации автоматизированных телекоммуникационных систем, технических средств, нарушение режима охраны защиты и доступа информационных ресурсов с-м и техническим средствам, нарушение режима использования информации: обработка обмен информации; хранение и уничтожение носителей информации. Для уничтожения существуют спец. машины.
3. Случайные уязвимости - связаны с окружающей средой.
Основная защита – разработка организационных мер.
а) сбой и отказ :
- отказы и неисправности технических средств, обеспечивающих работоспособность средств обработки, хранения и передачи информации;
- отказы и неисправности технических средств, обеспечивает охрану и контроль доступа к защищаемым объектам информации;
- старение и размагничивание носителя информации;
- сбои программного обеспечения;
- сбои в энергообеспечении системы обработки, хранения и передачи информации.
б) Повреждения :
повреждения самого защищаемого объекта:
- связанные с пожаром, неправильной закладкой фундамента, т.е. строительство ненадлежащее;
- связанные с всевозможными коммуникациями, обеспечивающих жизнедеятельность защищаемого объекта.
Ущерб
Последствия угрозы – это возможные результаты реализации угрозы, при взаимодействии источника угрозы через имеющееся уязвимости.
Угроза всегда подразумевает ущерб!
(Бывают моральные и материальные ущербы).
- Материальный ущерб от разглашения конфиденциальной информации,
- моральный и материальный ущерб от дезорганизации деятельности организации.
- Материальный ущерб от невозможности выполнения взятых на себя обязательств перед третьей стороной (под третьей стороной подразумевают все виды собственности, объекты и субъекты; может быть, как юридическое так и физическое лицо).
- Моральный и материальный ущерб, связанный с необычностью восстановления нарушенных защищенных информационных ресурсов и систем.
Информационная безопасность
Информационная безопасность – под ней будем понимать защищенность информации, информационных ресурсов и с-м от случайных или преднамеренных воздействий, которые могут нанести ущерб субъектам информационных отношений.
Защита Информации - это комплекс мероприятий организационно-правовых и технических, направленных на обеспечение информационной безопасности.
Цели :
1) При информационных отношениях информация должна быть доступна, т.е. цель - доступность
2) Целостность информации, информационных ресурсов и информационных систем
Доступность – это возможность за приемлемое время и при определенных условиях получить требуемую информационную услугу.
Целостность – непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Целостность бывает:
Статическая целостность – это неизменность информации, информационных ресурсов и систем со временем, но она немного может меняться.
Динамическая целостность – корректное выполнение операции в системах.
Конфиденциальность – защита от несанкционированного доступа и разглашении информации.
Основные способы и методы Защиты Информации в каналах связи утечки информации:
Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
Проявление наличия вируса в работе на ПЭВМ
Некоторые признаки заражения:
Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.
Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.
Разновидности компьютерных вирусов
Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:
- файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;
- загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
- макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;
- сетевые, распространяются по компьютерной сети;
По способу воздействия (особенностям алгоритма) вирусы отличаются большим разнообразием. Известны вирусы-паразиты, вирусы-черви, вирусы-невидимки (стелс-вирусы), вирусы-призраки (вирусы-мутанты), компаньон-вирусы, троянские кони и др.
Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.
"Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.
Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.
Методы защиты от компьютерных вирусов
Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
- общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
- копирование информации - создание копий файлов и системных областей дисков;
- разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).
Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.
Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.
Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.
Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.
Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.
Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.
Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:
- Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
- Использование только лицензионных дистрибутивных копий программных продуктов.
- Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.
- Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.
- При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
- При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
- При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.
Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.
В состав антивируса Касперского для защиты файловых серверов входят:
- антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;
- антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;
- ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.
Чтобы эффективно бороться с вирусами, необходимо иметь представление о “привычках” вирусов и ориентироваться в методах противодействия вирусам. Если вирус попал в компьютер вместе с одной из программ или с файлом документа, то через некоторое время другие программы или файлы на этом компьютере будут заражены.
Если компьютер подключен к локальной или глобальной сети, то вирус может распространиться и дальше, на другие компьютеры. В прошлой статье я дал подробную классификацию компьютерных вирусов. Именно поэтому сегодня я расскажу о всех способах защиты от них.
Для защиты от вирусов можно использовать:
- Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- специализированные программы для защиты от вирусов.
Для защиты от проникновения вирусов необходимо проводить мероприятия, исключающие заражение программ и данных компьютерной системы. Основными источниками проникновение вирусов являются коммуникационные сети и съемные носители информации.
Для исключения проникновения вирусов через коммуникационную сеть необходимо осуществлять автоматический входной контроль всех данных, поступающих по сети, который выполняется сетевым экраном (брандмауэром), принимающим пакеты из сети только от надежных источников, рекомендуется проверять всю электронную почту на наличие вирусов, а почту, полученную от неизвестных источников, удалять не читая.
Средства антивирусной защиты
Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации жесткие диски переформатируются и подготавливают к новой эксплуатации. На “чистый” отформатированный диск устанавливают все необходимое программное обеспечение, которое тоже берут с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.
Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флеш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неосторожный пользователь.
Классификация антивирусных средств
Детекторы осуществляют поиск компьютерных вирусов в памяти и при обнаружении сообщают об этом пользователю.
Ревизоры выполняют значительно более сложные действия для обнаружения вирусов. Они запоминают исходное состояние программ, каталогов, системных областей и периодически сравнивают их с текущими значениями. При изменении контролируемых параметров ревизоры сообщают об этом пользователю.
Фильтры выполняют выявление подозрительных процедур, например, коррекция исполняемых программ, изменение загрузочных записей диска, изменение атрибутов или размеров файлов. При обнаружении подобных процедур фильтры запрашивают пользователя о правомерности их выполнения.
Доктора являются самым распространенным типом антивирусных программ. Эти программы не только обнаруживают, но и удаляют вирусный код из файла “лечат” программы. Доктора способны обнаружить и удалить только известные им вирусы, поэтому их необходимо периодически, обычно раз в месяц, обновлять.
Вакцины – это антивирусные программы, которые так модифицируют файл или диск, что он воспринимается программой-вирусом уже зараженным и поэтому вирус не внедряется.
Популярные антивирусные средства
Антивирус Касперского
Антивирус Касперского (Kaspersky Anti-Virus) использует проактивные и облачные антивирусные технологии для защиты от новых и неизвестных угроз. Включает веб-антивирус, мониторинг активности и дополнительные инструменты безопасности. Он обеспечивает базовую защиту в режиме реального времени от всех типов вредоносных программ. Kaspersky Anti-Virus предлагает следующие возможности:
- Защита в режиме реального времени от вирусов, программ-шпионов, троянов, руткитов и других угроз;
- Быстрая работа и эффективная производительность ПК;
- Быстрое реагирование на новые и возникающие угрозы;
- Мгновенная антивирусная проверка файлов, приложений и веб-сайтов;
- Откат изменений, сделанных вредоносными программами.
ESET NOD32 Antivirus
Антивирус NOD32 – новое антивирусное решение от ESET, предлагающее улучшенный эвристический анализ неизвестных угроз, “облачные” технологии ESET Live Grid для определения репутации файлов и обновленный интерфейс.
Включает возможности автоматического сканирования компьютера во время его простоя, проверки файлов непосредственно во время загрузки и возможность отменять установленные обновления.
Антивирус Dr.Web
Антивирус Dr.Web надежная и популярная отечественная антивирусная программа. Имеет эффективный эвристический анализатор, позволяющий с большой долей вероятности обнаруживать неизвестные вирусы.
Новый компонент Превентивная защита блокирует любые автоматические модификации критических объектов системы, позволяя пользователям контролировать доступ к тем или иным объектам Windows, различным приложениям и сервисам, обеспечивая проактивную защиту от вредоносных программ.
Avast Pro Antivirus
Avast Pro Antivirus – высокоэффективная защита, усиленная технологией Nitro, с минимальной нагрузкой на системные ресурсы и ваши финансы. Современная, высокоэффективная защита от всех типов вредоносного ПО в сочетании с дополнительными компонентами защиты и гибкими настройками для более качественной защиты вашего ПК.
Он обеспечивает надежную защиту ПК с минимальной нагрузкой на системные ресурсы благодаря новейшей технологии Nitro, основополагающим принципом которой являются облачные вычисления.
Читайте также: