Методика использования антивирусных программ
ОГЛАВЛЕНИЕ
Введение
Глава 1. Разновидности антивирусных программ
1.1 Типы антивирусных программ
1.2 Обзор популярных антивирусных программ
1.2.1 EsetNOD32
1.2.2 NormanVirusControl
1.2.3 Kaspersky Anti-Virus Personal
1.2.4 Avast! 4 Home Edition
1.2.5 McAfee VirusScan Enterprise
1.2.6 DoctorWeb
1.2.7 Panda
1.2.8 Naomi
1.2.9Stop! 5.0 Scanner
1.2.10 Symantec Norton AntiSpa
1.2.11 Aidstest
1.2.12 AVSP
1.2.13 ADINF
1.3 Основные проблемы антивирусной индустрии
1.4 Новые технологии против традиционных решений
1.5 Отсутствие полноценных тестов и проблема выбора антивирусного решения
Глава 2. Использование антивирусных программ
2.1 Антивирусная проверка электронной почты
2.2 Защита от вирусов, распространяющихся по почте
2.3 Действия при заражении компьютера вирусом
2.4 Как уберечься от вирусов
Заключение
Список использованной литературы
Приложения
Введение
В настоящее время компьютер прочно вошел в повседневную жизнь. Его возможности используются на работе, при проведении досуга, в быту и других сферах жизни человека. Количество информации, которую люди доверяют своему «электронному другу», с каждым днем растет, поэтому рано или поздно каждый задается вопросом: «Как обеспечить надежную сохранность данных?»
Сегодня невозможно встретить пользователя персонального компьютера, который не слышал бы о компьютерных вирусах. В Интернете такие вредоносные программы существуют в огромном количестве. Самое неприятное, что многие распространители вирусов успешно применяют в своей практике передовые достижения IT-индустрии. В результате то, что должно служить на благо пользователей, в конечном итоге может обернуться для них большими проблемами.
Вирус - это вредоносная программа, проникающая на компьютер без ведома пользователя (хотя, возможно, при невольном его участии) и выполняющая определенные действия деструктивной направленности. Вирусы – едва ли не главные враги компьютера. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска или приписываясь к файлам производят различные нежелательные действия, которые , зачастую, имеют катастрофические последствия. Еще пять лет назад казалось, что со владычеством вирусов покончено – со смертью DOS и DOS-совместимых программ неминуемо должны были исчезнуть и паразитирующие на них вирусы. Ведь если вирус под DOS, заражающий исполняемые файлы *.com и *.exe-файлы, может написать каждый, кто хоть немного разбирается в программировании, то создать полноценный вирус для Windows гораздо труднее. Однако вирусы остались, хотя и несколько видоизменились. Известные вирусы можно разделить на следующие группы: файловые вирусы, сетевые вирусы («черви»), загрузочные вирусы, макровирусы, троянские кони. Сегодня самой распространенной группой вирусов стали макровирусы, заражающие не программы, а документы, созданные в Microsoft Word и Microsoft Excel.
Актуальность работы
заключается в том что, путей распространения вирусов существует множество. Вирус может попасть на компьютер пользователя вместе с дискетой, пиратским компакт-диском или с сообщением электронной почты. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов. Ведь нет никакой надежды на то, что с приходом нового тысячелетия вирусы исчезнут. Так же как и нет надежды справиться с ними окончательно в какие-то обозримые сроки, так как таланту авторов антивирусных программ противостоит фантазия компьютерных графоманов.
С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Поэтому на любом современном компьютере должна быть обязательно установлена антивирусная программа.
Объектом моего исследования
, являются современные антивирусные программы. Они представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.
Предметом моего исследования
является проблема выбора и методика использования антивирусной программы.
Целью
моей научной работы является описание типов антивирусных программ, принципов их работы, достоинства и недостатки. Также описать, каким образом и с какой стороны, любой пользователь компьютера, могут ожидать неприятности, связанные с различными компьютерными вирусами. Более того, я постараюсь наиболее полно и понятно рассказать про наиболее распространненые способы защиты информации.
Задачи исследования:
1. Изучить типы антивирусных программ;
2. Привести обзор популярных антивирусных программ;
3. Описать основные проблемы антивирусной индустрии;
4. Раскрыть тему «Новые технологии против традиционных решений»;
5. Перечислить основные проблемы выбора антивирусного решения;
6. Подробно рассказать про использование антивирусных программ.
Теоритическая основа исследования –
понятие антивирусной программы, ее типы, основные проблемы, освещаемые в теоретической и практической литературе. Использованы работы авторов: Д. Донцов, Е. Касперский, Ю.Н. Сычев, В. Э.Фигурнов, С.А. Филин, В.И. Ярочкин.
Глава 1. Разновидности антивирусных программ
Качество антивирусной программы определяется по следующим позициям, приведенными в порядке убывания их важности:
1. Надежность и удобство работы – отсутствие зависаний антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов документов/таблиц (MSWord, Ехсе1, Office 2003), упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. Для сканеров важной является также периодичность появления новых версий, т. E. Скорость настройки сканера на новые вирусы.
3. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows NT, WindowsXP, NovellNetWare, OS/2, A1pha, Linux и т. Д.), присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий c возможностью администрирования сети.
4. Скорость работы и прочие полезные особенности, функции.
1.1 Типы антивирусных программ
Самыми популярными и эффективными видами антивирусных программ являются:
1. Антивирусные сканеры.Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые маски. Маской вирусаявляется некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой недостаточно велика, то используются другие методы. К достоинствам сканеров относится их универсальность, к недостаткам-размеры антивирусных баз, которые сканерам приходится переносить за собой, и относительно небольшая скорость поиска вирусов.
2. CRC-сканеры (программы-ревизоры).Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов системных секторов. Эти CRC-суммы затем сохраняются в БД антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если информация о файле, записанная в БД, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие «антистелс»-алгоритмы, являются довольно сильныморужием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их проявления на компьюторе. Однако у этого типа антивирусов есть недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут детектировать вирус в новых файлах, поскольку в их базах данных отсутствует информация об этих файлах.
3. Мониторы (или программы сторожа).Антивирусные мониторы - это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным относятся вызовы на открытие для записи и выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты их размножения. К достоинствам мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда известный вирус постоянно появляется. К недостаткам относится существование путей обхода защиты монитора и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ. Существует несколько более универсальных аппараных мониторов, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные мониторы крайне непопулярными на фоне остальных типов антивирусной защиты.
4. Иммунизаторы (или программы вакцины).Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение.
Второй тип иммунизации защищает систему от поражения вирусом какого-либо определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса, при запуске вирус натыкается на нее и считает, что система уже заражена.
5. Программы-доктора (фаги). Программы-доктора не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют и файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в операвной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.
6. Программы-детекторы.
Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти, на внешних носителях, ипри обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов. Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они не способны обнаруживать све известные вирусы.
Детектор позврляет обнаруживать несколько вирусов, называют полидетектором.
Недостаком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
1.2 Обзор популярных антивирусных программ
Сегодня на отечественном рынке представлено достаточное количество различных антивирусных программ. Некоторые из антивирусных программ распространяются бесплатно, другие-на платной основе. Следует отметить, что эффективность платных антивирусных программ существенно выше, чем бесплатных, поэтому для надежной защиты компьютера (особенно при частом использовании Интернета, а также при работе в локальной сети) рекомендуется установить платную антивирусную программу.
Иногда антивирусные программы могут выдавать ложные сообщения об опасности, принимая за вирусы программы, которые на самом деле таковыми не являются. В подобных случаях лучше всего обратиться за разъяснениями к разработчику антивирусной программы. На самом деле ложные срабатывания антивирусных программ возможны и даже нередки. Во-первых, многие вполне нормальные утилиты и программы в неумелых руках могут стать опасными-повредить операционную систему, снизить уровень безопасности и т.п. Во-вторых, антивирусами нередко блокируются программы для взлома и восстановления паролей, программы для взлома других программ, для увеличения срока действия триальных версий и т.п.
Список некоторых антивирусных программ распространённых в России:
1.2.1 Eset NOD32 (Словакия)
NOD 32 Antivirus System от Eset Software обеспечивает хорошо сбалансированную безупречную защиту персональных компьютеров и корпоративных систем, работающих на платформах Microsoft Windows 95/98/ME/NT/2000/2003/XP, UNIX/Linux, Novell, MS DOS, а также для почтовых серверов Microsoft Exchange Server, Lotus Domino и других. Главным преимуществом NOD32 является его быстрая работа, невероятное низкое потребление системных ресурсов и не раз доказанная способность ловить 100% вирусов.
1.2.2 Norman Virus Control (Норвегия)
Разработанная компанией Symantec программа Norton Virus Control™ 2004 позволяет предотвратить попадание ненужных сообщений в почтовый ящик пользователя. Программа, совместимая с любым почтовым клиентом POP3, производит многоуровневую фильтрацию входящих сообщений электронной почты, выявляя и помечая "макулатурные" письма; при этом вся нужная корреспонденция доставляется без задержки. Кроме того, Norton Virus Control отсекает рекламные заголовки и всплывающие окна, делая прогулку по Интернету куда более приятной.
1.2.
3
Kaspersky Anti-Virus Personal (
Россия
)
Антивирус Касперского® Personal Pro является последним технологическим достижением "Лаборатории Касперского" в области защиты домашнего компьютера от вирусных угроз. Помимо обычных антивирусных функций, в Антивирус Касперского® Personal Pro встроены уникальные технологические компоненты, позволяющие пользователю отслеживать все происходящие на компьютере изменения и контролировать поведение документов в формате MS Office, обеспечивая эти документы дополнительным уровнем безопасности. Антивирус Касперского® Personal Pro представляет собой уникальный набор компонентов, некоторые из которых были ранее были доступны только для корпоративных пользователей программных продуктов компании. Теперь все эти средства антивирусной борьбы доступны для домашнего использования.
1.2.4 Avast! 4 Home Edition (Россия)
Основные характеристики Avast!: Высокий уровень выявления вирусов, троянов и червей. Резидентный (в режиме реального времени) и обычный сканер. Сканирование архивов. Проверка входной и исходной электронной почты. Глубокая интеграция в систему. Проверить тот или иной файл можно непосредственно из проводника Windows, щелкнув по нему правой кнопкой мыши и выбрав надпись "Сканировать...". Карантин Avast! изолирован от операционной системы, что обеспечивает большую безопасность работы. Ни один файл, сохраняемый в карантине не может быть запущен.
1.2.5 McAfee VirusScan Enterprise (США)
McAfee Anti-Spyware Enterprise - это простое в установке, управлении и мониторинге средство, специально разработанное в соответствии с уникальными требованиями компаний любого размера. Данный продукт поддерживается одной из ведущих антивирусных исследовательских организаций в мире - McAfee® AVERTTM, и обеспечивает всестороннюю защиту от шпионского ПО.
1.2.6. DoctorWeb (Россия).
В последнее время стремительно растет популярность антивирусной программы - Doctor Web, которая относится к классу детекторов - докторов, но в отличие от многих других антивирусных порограмм имеет так называемый "эвристический анализатор" - алгоритм,позволяющий обнаруживать неизвестные вирусы.
Управление режимами осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указывается с помощью ключа /H ). Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R ), поддерживает работу с программно-аппаратным комплексом Sheriff ( ключ /Z ).
Но , конечно, главной особенностью "Лечебной паутины" является наличие эвристического анализатора, который подключается ключем /S. Баланса между скоростью и качеством можно добиться, указав ключу уровень эвристического анализа: 0 - минимальный, 1 -оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличению качества. К тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET.
Важной функцией является контроль заражения тестируемых файлов резидентным вирусом( ключ /V ). При сканировании памяти нет стопроцентной гарантии, что "Лечебная паутина" обнаружит все вирусы, находящиеся там.
Тестирование винчестера Dr.Web-ом занимает много времени, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты.
Если информация на дискете находится в архиве ( а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения,например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.
1.2.7 Panda (Испания)
Panda Antivirus Platinum 7 — это инновационное антивирусное решение, отлично адаптированное к потребностям небольших организаций и профессионалов. Программа защищает компьютер и от вирусов, и от хакеров.Благодаря таким встроенным функциям, как межсетевой экран и блокиратор скриптов, Platinum 7 гарантирует защиту от вирусов, хакеров и других опасностей, связанных с сетью Интернет, в рамках единого и простого в использовании продукта.
1.2.8 Naomi 3.2.90
Прежде всего эта программа предназначается для родителей, которые хотят ограничить своим детям доступ к непристойным интернет-ресурсам. Кроме того, рекомендуется применять Naomi в учебных учреждениях. При своей работе утилита контролирует содержимое, загружаемое из интернета, и запрещает доступ к различным порно-сайтам, а также сайтам, содержащим насилие и пропаганду терроризма, азартные игры и т.д. Такая фильтрация осуществляется по ссылкам и ключевым словам (поддерживается 10 языков), отображаемым на веб-странице. Программа не нуждается ни в каких настройках, можно только задать пароль, чтобы было невозможно отключить фильтрацию интернет-контента без ввода соответствующего пароля. При обнаружении сайта непристойного содержания программа отключает (закрывает) окно браузера.
1.2.9
Stop! 5.0 Scanner
Антивирус Stop! 5.0 Scanner — исключительно простой в эксплуатации антивирус для домашних пользователей. Cовременный, эффективный антивирусный продукт, способный обнаружить и удалить все известные типы троянских программ, интернет-червей и вредоносных программ. Anti-Spyware Total Protection — защита не только от вирусов и червей. Speed Scan Technology — сверхбыстрое сканирование. Rapidly Live Update — обновление антивируса каждый час. Сканирование архивов и почтовых баз. Анализатор кода, обнаруживающий новые вирусы. Простой и удобный интерфейс.
1.2.10
Symantec
Norton
Antivirus (США)
Приложение Norton AntiVirus - также очень популярная в настоящее время антивирусная программа. Ее разработчиком является всемирно известная фирма Symantec. По сравнению с программами «Антивирус Касперского Personal» и Dr.Web для отечественного пользователей этот антивирус обладает одним существенным недостаткам - он не поддерживает русский язык. Некоторые пытаются применить к нем различного рода русификаторы, и иногда это приносит определенный успех.
Разработчиками предусмотрены разные конфигурации программы: для домашнего и офисного применения. Средняя стоимость «домашней» версии составляет около $50.
Процесс инсталляции этого антивируса несложен и доступен даже начинающему пользователю. Необходимо учитывать, что после завершения установки требуется перезагрузить компьютер.
Norton Antiviгus имеет приятный и эргономичный интерфейс. По мнению многих пользователей, он намного современнее, чем интерфейсы других аналогичных программ. К несомненным достоинствам программы следует отнести возможность автоматического обновления антивирусных баз без участия пользователя. Разумеется, необходимое условие - наличие действующего подключения к Интернету. В данной программе реализована очень мощная функция проверки электронной почты. При этом поддерживается работа с наиболее популярными почтовыми программами - Outlook Express, Microsoft Outlook, The Ваt! др. Использование Noгton AntiVirus практически полностью исключает возможность приема и отправки электронных сообщений зараженных вирусами. Для запуска процесса сканирования компьютера (или выбранных объектов) предназначена кнопка Scan Now (Сканировать сейчас), которая расположена в правом нижнем углу окна программы.
К недостаткам рассматриваемого антивируса можно отнести то, что процесс сканирования компьютера (или указанных объектов) требует слишком много ресурсов компьютера, в результате чего заметно замедляется его быстродействие или работа вообще становится невозможной. Однако высокое качество сканирования с лихвой компенсирует этот недостаток.
Обнаруженные в процессе сканирования вирусы и зараженные файлы помещаются в специальную папку. После этого пользователь может досконально с ними разобраться и в зависимости от полученного результата удалить файлы или вернуть их на прежнее место.
1.2.11 Aidstest (Россия)
Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.
Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.
При запуске Aidstest проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" некоторые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Aidstest с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.
Aidstest тестирует свое тело на наличие известных вирусов, а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. При это возможны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.
Недостатки программы Aidstest:
- Не распознает полиморфные вирусы;
- Не снабжена эвристическим анализатором, позволяющим находить неизвестные ей вирусы;
- Не умеет проверять и лечить файлы в архивах;
- Не распознает вирусы в программах, обработанных упаковщиками исполнимых файлов типа EXEPACK, DIET, PKLITE и т.д.
Достоинства Aidstest:
-Легка в использовании;
-Работает очень быстро;
-Распознает значительную часть вирусов;
-Хорошо интегрирована с программой-ревизором Adinf;
-Работает практически на любом компьютере.
1.2.12 AVSP
Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки). При запуске AVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок
, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"(OS/2) является поддержка мыши. Существенный недостаток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта. В состав пакета AVSP входит также резидентный драйвер AVSP.SYS
, который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы. Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов
, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. При первом запуске AVSP следует протестировать систему на наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно указать, что именно проверять (Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён несколькими вирусами (при этом "старые" вирусы как бы оттесняются в середину "молодым") то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в AVSP качественное тестирование занимает не намного больше времени, чем скоростное. Если в процессе AVSP обнаружит известный вирус, то следует предпринять те же действия, как и при работе с Aidstest и Dr.Web: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной программе лечить Stealth-вирусы. Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некотором файле, а затем попытается удалить вирус.
1.2.
13 ADINF
(Россия)
ADinf относится к классу программ-ревизоров. Семейство программ ADinf – это ревизоры дисков, предназначенные для работы на персональных компьютерах под управлением операционных систем MS-DOS, MS-Windows 3.xx, Windows 95/98 и Windows NT/2000. Работа программ основана на регулярном отслеживании изменений, происходящих на жестких дисках. В случае появления вируса, ADinf обнаруживает его по тем модификациям, которые он выполняет в файловой системе и/или загрузочном секторе диска и информирует об этом пользователя. В отличие от антивирусов-сканеров, ADinf не использует в своей работе "портретов" (сигнатур) конкретных вирусов. Поэтому ADinf особенно эффективен для обнаружения новых вирусов, противоядие для которых еще не придумано.
Особенно следует отметить, что для контроля дисков ADinf не использует функции операционной системы. Он читает диск по секторам и самостоятельно разбирает структуру файловой системы, что позволяет ему обнаруживать так называемые вирусы-невидимки (стелс-вирусы).
Полезные свойства ADinf не ограничиваются только лишь борьбой с вирусами. По сути ADinf является системой, позволяющей следить за сохранностью информации на дисках и обнаруживать любые, даже малозаметные изменения в файловой системе, а именно, изменения системных областей, изменения файлов, создание и удаление каталогов, создание, удаление, переименование и перемещение файлов из каталога в каталог. Состав контролируемой информации гибко настраивается, что позволяет ставить под контроль только то, что нужно.
Итак, программа Adinf:
¨ имеет высокую скорость работы;
¨ способна с успехом противостоять вирусам, находящимся в памяти;
¨ позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус;
¨ может обрабатывать до 32000 файлов на каждом диске;
¨ в отличие от AVSP, в котором пользователю приходится самому анализировать, заражена ли машина Stealth-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически;
¨ в отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается;
¨ ADinf имеет хорошо выполненный дружественный интерфейс, который в отличие от AVSP реализован не в текстовом, а в графическом режиме;
¨ при инсталляции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень полезная функция, так как в последнее время появилось множество вирусов, "охотящихся" за антивирусами (например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за ADinf.
1.3 Основные проблемы антивирусной индустрии
Какие же могут быть проблемы у антивирусных программ, за исключением обычного маркетингового противоборства? Есть вирусы — и есть антивирусы, которые их ловят. И на первый взгляд, антивирус давно стал обычным потребительским товаром, который практически ничем не отличается от конкурирующих продуктов и который покупают либо за более красивый дизайн, либо потому, что данный продукт был удачно разрекламирован, либо по какой-либо еще совсем не технической причине. Т.е. антивирус вроде как давно должен стать тем самым «commodity», продуктом массового потребления, вроде стиральных порошков, зубных щеток или автомобилей.
Увы (или ура!) — это не совсем так, и часто выбор антивирусного решения основывается не на его дизайне, цене или удачной рекламе, а на технических характеристиках, которые сильно отличаются в различных антивирусных продуктах.
Основной вопрос — от каких именно компьютерных угроз защищает данное решение и насколько качественна предоставляемая защита.Антивирус должен защищать от всех видов вредоносных программ
, и чем он лучше это делает, тем спокойнее живет его пользователь и дольше и крепче спит системный администратор. И кто этого не понимает теоретически, очень скоро осознает всю глубину проблемы практически — когда вдруг куда-то начинают утекать деньги с банковского счета, компьютер сам по себе начинает звонить по каким-то совершенно «левым» телефонным номерам, внезапно
Ведь если антивирусный продукт X ловит, предположим, 50% всех современных вирусов, которые в данный момент активны в сети, продукт Y — 90%, а продукт Z — 99,9%, то нетрудно подсчитать вероятность того, в каком случае в результате N атак компьютер останется целым и невредимым или, наоборот, в нем поселится какая-нибудь очередная зараза. Если компьютер был атакован 10 раз, то вероятность «залета» для продукта X практически гарантирована (99,9%), для Y более чем вероятна (65%), а для Z весьма незначительна — всего 1%.
Увы, далеко не все антивирусные продукты, которые можно обнаружить на полках магазинов или в сети, дают защиту, близкую к 100%. Большинство продуктов не гарантирует даже 90%-ный уровень защиты! В этом и заключается основная проблема антивирусных компаний на сегодняшний день.
Проблема №1
Количество и разнообразие вредоносных программ неуклонно растет год за годом. Рейтинг сетевых опасностей 2008 года продставлен в табл.1. (см. Приложения табл.1.).В результате многие антивирусные компании просто не в состоянии угнаться за этим потоком, они проигрывают в вирусной «гонке вооружений», а пользователи этих программ оказываются защищены далеко не от всех современных компьютерных угроз. Увы, продукты далеко не всех антивирусных компаний можно назвать действительно антивирусными.
При этом лет пять или десять назад можно было сказать, что защищать от всех новых вирусов и троянских программ не надо — ведь большинство из них так никогда и не попадают в компьютеры пользователей, поскольку были написаны подростками-хулиганами с целью самоутверждения либо просто из любопытства, и защищать надо только от тех немногих вирусов (ITW—in-the-wild), которые все же добрались до компьютеров-жертв. Сейчас же это не так. Подавляющее большинство (более 75%) вредоносных программ сейчас создаются компьютерным криминальным андеграундом с целью заражения необходимого количества компьютеров в сети, а число новых вирусов и троянских программ исчисляется сотнями ежедневно.
Данные вирусные образцы поставляются в лабораторию из нескольких источников: от автоматических «липучек» (honeypots — специально разработанных комплексов сбора вредоносных файлов в сети), от зараженных пользователей, от администраторов локальных сетей, от интернет-провайдеров и от других антивирусных компаний. Несмотря на маркетинговую рубку на отведенном рыночном пространстве (как это происходит на всех без исключения рынках), антивирусные компании сотрудничают друг с другом. При обнаружении нового опасного быстро распространяющегося червя антивирусные компании практически моментально оповещают своих коллег-конкурентов и высылают образец (штамм) вируса. А не реже раза в месяц большинство антивирусных компаний отсылают коллегам свой месячный «улов». Также идет обмен информацией в специализированных конференциях, закрытых от посторонних глаз.
Итак, новый образец свежевыявленного вируса или троянца обнаружен в сети или на зараженном компьютере. Что это означает? А ровно то, что вероятность подцепить данную компьютерную «вошь» далеко не нулевая, и не исключено, что в сети уже десятки, сотни, а может, и тысячи уже зараженных пользователей. А если новый «зловред» является сетевым червем, то счет жертв может пойти и на миллионы. Ведь интернет — штука исключительно скоростная. Т.е. антивирусным компаниям необходимо моментально выпускать обновления против всех вновь обнаруженных вирусов и троянцев. И в этом заключается вторая проблема.
Проблема №2
Скорость распространения современных вредоносных программ заставляет антивирусные компании выпускать защитные «пилюли» как можно чаще — чтобы максимально быстро прикрыть своих пользователей от новоявленного компьютерного «зверя». Увы, далеко не все антивирусные компании достаточно расторопны. Часто апдейты от таких компаний доставляются пользователям слишком поздно.
Однако предположим, что злобный вирус, несмотря на все установленные защиты, пробрался в систему и поселился в ней, а установленный не очень бдительный страж-антивирус не заметил ничего подозрительного (или антивирус у ленивого пользователя, не спешащего скачать и установить очередные обновления антивирусных баз). Рано или поздно апдейты доставляются и вирус обнаружен — но не побежден, поскольку для окончательной победы необходимо аккуратно удалить зараженные файлы из системы. Ключевое слово — «аккуратно», и в этом кроется очередная проблема антивирусных программ.
Проблема №3
Удаление обнаруженного вредоносного кода из зараженной системы. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, и/или встраиваются в нее так глубоко, что задача «выковыривания клеща» становится достаточно нетривиальной. Увы — иногда антивирусные программы не в состоянии благополучно и без всяких побочных последствий изъять «зловреда» и заштопать рану.
Далее, любое программное обеспечение потребляет ресурсы компьютера. Антивирусы — не исключение. Для того, чтобы защищать компьютеры, антивирусным программам требуется производить некоторые действия: открывать файлы, читать из них информацию, раскрывать архивы для их проверки и т.п. И чем тщательнее проверяются файлы, тем больше отъедается ресурсов компьютера (это как железная дверь: чем она толще, тем лучше защищает, однако открывать-закрывать ее становится тем сложнее, чем больше тонн металла в нее заложено). В результате появляется проблема баланса: полноценная защита или скорость работы.
Проблема №4
Целесообразность потребления ресурсов. Увы, проблема нерешаемая — как показывает практика, все «скорострельные» антивирусы очень сильно «дырявы» и пропускают вирусы и троянские программы, как дуршлаг воду. Обратное неверно: далеко не все «тормознутые» антивирусы защищают вас достаточно хорошо.
Для того чтобы проверять файлы «на лету» и постоянно защищать подопечный компьютер, антивирусным программам приходится достаточно глубоко проникать в ядро системы, причем проникать приходится в одни и те же зоны. Говоря техническим языком, антивирусы должны устанавливать перехватчики системных событий глубоко внутри защищаемой системы и передавать результаты своей работы антивирусному «движку» для проверки перехваченных файлов, сетевых пакетов и прочих потенциально опасных объектов.
Далеко не всегда в необходимую зону ядра операционной системы можно установить два перехватчика. В результате — несовместимость постоянно работающих антивирусных «мониторов»; второму антивирусу либо не удается перехватить системные события, либо попытка дублирующего перехвата приводит к краху системы. В этом заключается очередная антивирусная проблема.
Проблема №5
Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом. Часто говорят, что антивирусные компании ведут себя как медведи в одной берлоге, что несовместимость различных антивирусов на одном компьютере является результатом недобросовестной конкуренции — специально спланированной акцией с целью вытеснения с рынка альтернативных решений. Это не так. Наоборот, разработчиками прилагаются все усилия для того, чтобы не возникало конфликтов с наиболее популярными программными продуктами (включая антивирусные).
1.4 Новые технологии против традиционных решений
Естественно, у производителей антивирусных программ периодически возникает желание придумать какую-нибудь совершенно новую технологию, которая разом решит все перечисленные выше проблемы — разработать этакую супертаблетку, которая будет защищать от всех компьютерных болезней раз и навсегда. Защищать проактивно, т.е. быть в состоянии определить вирус и удалить его еще до момента его создания и появления в сети — и так со всеми вновь появляющимися вредоносными программами. Увы — не получится. Универсальные средства годятся против тех напастей, которые действуют по каким-либо устоявшимся законам. Компьютерные вирусы же никаким законам не подчиняются, поскольку являются творением не природы, а изощренного хакерского ума. Т.е. законы, которым подчиняются вирусы, постоянно меняются в зависимости от целей и желаний компьютерного андеграунда. Для примера рассмотрим поведенческий блокиратор как конкурент традиционным антивирусным решениям, основанным на вирусных сигнатурах. Это два разных, не исключающих друг друга подхода к проверке на вирусы. Сигнатура — это небольшой кусок вирусного кода, который прикладывается к файлам, и антивирус смотрит, подходит он или нет. Поведенческий блокиратор же следит за действиями программ при их запуске и прекращает работу программы в случае ее подозрительных или явно вредоносных действий (для этого у них есть специальный набор правил). У обоих методов есть и достоинства, и недостатки. Достоинства сигнатурных сканеров — гарантированный отлов тех «зверей», которых они «знают в лицо». Недостаток — пропуск тех, которые им пока неизвестны. Также к минусам можно отнести большой объем антивирусных баз и ресурсоемкость. Достоинство поведенческого блокиратора — детектирование даже неизвестных вредоносных программ. Недостаток — возможны ложные срабатывания, ведь поведение современных вирусов и троянских программ настолько разнообразно, что покрыть их всех единым набором правил просто нереально. Т.е. поведенческий блокиратор будет гарантированно пропускать что-то вредное и периодически блокировать работу чего-то весьма полезного. Есть у поведенческого блокиратора и другой (врожденный) недостаток, а именно — неспособность бороться с принципиально новыми «зловредами». Представим себе, что некая компания X разработала поведенческий антивирус AVX, который ловит 100% современной компьютерной фауны. Что сделают хакеры? Правильно — придумают принципиально новые методы «зловредства». И антивирусу AVX срочно потребуются обновления поведенческих правил — апдейты. Потом снова апдейты, поскольку хакеры и вирусописатели не спят. Потом — еще и еще апдейты. И в результате мы придем к тому же сигнатурному сканеру, только сигнатуры будут «поведенческими», а не «кусками кода». Это справедливо также и в отношении другого проактивного метода защиты — эвристического анализатора. Как только подобные антивирусные технологии начинают мешать хакерам атаковать свои жертвы, так сразу появляются новые вирусные технологии, позволяющие «обходить» проактивные методы защиты. Как только продукт с «продвинутыми» эвристиками и/или поведенческим блокиратором становится достаточно популярным — тут же эти «продвинутые» технологии перестают работать. Таким образом, вновь изобретенные проактивные технологии работают довольно короткое время. Если хакерам-«пионерам» потребуется несколько недель или месяцев для преодоления проактивной обороны, то для хакеров-профессионалов это работа на один-два дня или даже всего на несколько часов, а может, даже и минут. Таким образом, поведенческий блокиратор или эвристический анализатор, каким бы эффективным он ни был, требует постоянных доработок и, соответственно, обновлений. При этом следует учесть, что добавление новой записи в базы сигнатурного антивируса — дело нескольких минут, а доводка и тестирование проактивных методов защиты занимает гораздо более длительное время. В результате оказывается, что во многих случаях скорость появления апдейта от сигнатурных антивирусов многократно превышает адекватные решения от проактивных технологий. Доказано практикой — эпидемиями новых почтовых и сетевых червей, принципиально новых шпионских «агентов» и прочего компьютерного зловредства. Это, конечно же, не означает, что проактивные методы защиты бесполезны, — нет. Они прекрасно справляются со своей частью работы и могут остановить некоторое количество компьютерной заразы, разработанной не шибко умелыми хакерами-программистами. И по этой причине они могут являться достойными дополнениями к традиционным сигнатурным сканерам — однако полагаться на них целиком и полностью нельзя.
1.5 Отсутствие полноценных тестов и проблема выбора антивирусного решения
В этой части научной работы давайте поговорим о проблемах пользователя, стоящего перед выбором подходящего ему антивирусного решения, если он желает себе поставить не «абы что», а продукт, обеспечивающий хороший уровень защиты от компьютерных вредоносных программ. Как принять решение?
Естественно, что логичнее всего было бы обратиться к различным тестам, желательно как можно более профессиональным. Есть ли такие? Да — есть. Много? — Увы, крайне мало. Различные компьютерные издания проводят тесты антивирусных программ достаточно часто, тестируют продукты достаточно тщательно, проверяют и сравнивают все — от цены продукта до качества службы поддержки пользователей. Однако полноценными эти тесты с точки зрения тестирования именно антивирусного функционала назвать нельзя. Это и понятно, ведь для того чтобы тщательно протестировать антивирусную составляющую продукта, необходимо иметь значительную коллекцию вирусов и троянских программ, располагать соответствующими стендами и процедурами автоматизации тестирования (ведь разных антивирусов — десятки) и т.п. То есть необходимо формировать специальную группу сотрудников для тестирования антивирусов и выделять им соответствующие средства. Естественно, что все (или почти все) компьютерные журналы данными возможностями не располагают. По этой причине истинно антивирусная составляющая подобных тестов либо оставляет желать лучшего, либо СМИ обращаются к экспертам, постоянно тестирующим антивирусные продукты.
Наиболее известными экспертами-тестерами антивирусных продуктов на сегодняшний день являются Андреас Маркс (Германия) — www.av-test.org и Андреас Клементи (Австрия) — www.av-comparatives.org. Их тесты достаточно подробно описывают качество детектирования различных типов вредоносных программ и скорость реакции различных антивирусных компаний на вновь возникающие эпидемии. Тесты тщательные и подробные и могут использоваться для сравнения именно данных характеристик различных антивирусных решений. Однако, к сожалению, тестируются только перечисленные выше две характеристики и не тестируется все остальные, а именно — поведение антивирусов в «реальной жизни» при возникновении различных ситуаций, например, лечение зараженной системы, реакция антивируса на зараженный веб-сайт, ресурсоемкость и тщательность проверки архивов и инсталляторов.
Увы, примеры полноценного тестирования антивирусного функционала на наиболее типичные ситуации в жизни компьютеров в сети либо отсутствуют, либо спрятаны достаточно глубоко. Обнаружено лишь одно исключение, а именно — тестовая лаборатория Московского государственного университета (test-lab.cmc.msu.ru), проводящая тесты на достаточно объемном наборе ситуаций (подробнее см. test-lab.cmc.msu.ru/Downloads/default.aspx). Однако методика данных тестов еще далека от завершения, а сама университетская тестовая лаборатория пока неизвестна широкой публике.
Отдельно хотелось бы поговорить по поводу тестов авторитетного специализированного журнала VirusBulletin, предчувствуя возможный вопрос — а где же информация про тесты VirusBulletin и награду «VB100%», которая в них присуждается? Увы, и эти тесты далеки от совершенства. Стандарт тестирования VirusBulletin был разработан где-то в середине 90-х годов прошлого века и с тех пор практически не изменялся. Антивирусные продукты тестируются на неком наборе зараженных файлов (так называемый ITW-набор, ITW = «In The Wild», т.е. вирусы, обнаруженные в «дикой природе»), по результатам прогонов затем делается вывод: заслуживает продукт 100% сертификата безопасности или нет. Количество файлов же в этом ITW-наборе мизерное — около двух или трех тысяч, т.е. меньше, чем появляется новых ITW-вирусов и троянцев всего за один месяц! Таким образом, увы, результат VB100% никак не говорит о том, что данный продукт действительно защищает от вирусных угроз. Данная награда свидетельствует только о том, что данный продукт прекрасно справляется с ITW-коллекцией VirusBulletin — и ничего более. Усредненный по всем тестам рейтинг антивирусов придставлен на рис.1. (см. Приложения рис.1.).
Глава 2. Исп
ользование антивирусных программ
2.1 Антивирусная поверка электронной почты
Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства принадлежит электронной почте. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены вирусами.
К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для здоровья компьютера. В чем опасность файлов вложения? В качестве такого файла пользователю могут прислать вирусную или троянскую программу либо документ в формате MicrosoftOffice (*.doc, *.xls), зараженный компьютерным вирусом. Запустив полученную программу на выполнение или открыв для просмотра документ, пользователь может инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем. В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на ваш компьютер – дело времени.
Возможны и другие попытки проникновения на компьютер через электронную почту. Например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое дело.
Помимо чисто административных мер, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).
Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.
Кроме того, эффективность антивирусов очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению.
2.2 Антивирусы для почтовых серверов
Понимая актуальность проблемы распространения вирусов по электронной почте, многие компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие антивирусы анализируют поток данных, проходящий через почтовый сервер, не допуская передачи сообщений с зараженными файлами вложений. Существует и другое решение – подключение к почтовым серверам обычных антивирусов, предназначенных для проверки файлов.
Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и к тому же включит режим автоматического обновления базы данных через Интернет. Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов – к ним будут приходить сообщения, уже очищенные от вирусов.
Действия, выполняемые почтовыми серверами при отправке и получении зараженных писем, зависят от настройки антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом, защищенный почтовый север SMTPоткажет ему в этом, а почтовая программа выведет на экран предупреждающее сообщение.
Если же кто-то пошлет на ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса.
Несмотря на постоянно растущую популярность платформы MicrosoftWindows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных UNIX-подобных систем. Основное преимущество Linux – очень низкая стоимость приобретения. Каждый может загрузить через Интернет дистрибутив Linux и установить его на любое количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернета, в том числе и серверы электронной почты.
Среди других преимуществ Linux и подобных ОС следует отметить открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.
Если вирус обнаружен в каком-то из новых файлов и еще не проник в систему, то нет причин для беспокойства: убейте этот файл (или удалите вирус любой антивирусной программой) и спокойно работайте дальше. В случае обнаружения вируса сразу в не скольких файлах на диске или в загрузочном секторе, то проблема становится более сложной.
Хотелось бы обратить особое внимание на термин «ложное срабатывание». Если в каком-либо одном файле, который достаточно долго находится на компьютере, какой-либо один антивирус обнаружил вирус, то это скорее всего ложное срабатывание. По меньшей мере это крайне странно, поскольку такой файл запускался несколько раз, а вирус так и не переполз в другие файлы. Попробуйте проверить файл другими антивирусами. Если они хранят молчание, отправьте этот файл в лабораторию фирмы - производителя антивируса, обнаружившего в нем вирус.
2.3 Действия при заражении компьютера вирусом
Если же на компьютере действительно найден вирус, то надо сделать следующее.
1.
Сразу же выключить питание, чтобы вирус перестал распространяться дальше. Единственное, что можно сделать до выключения питания, - это сохранить результаты текущей работы.
2.
Войти в SETUP и включить загрузку с диска А:.
3.
Если произошли какие-либо изменения, то необходимо восстановить старые значения.Ни в коем случае не запускать ни одной программы, находящейся на жёстком диске.
4.
Необходимо загрузиться с дискеты (она должна быть защищена от записи) и запустить по очереди программы-детекторы, находящиеся на дискете.
5.
Если программа-детектор обнаружит файловый вирус, то возможны два варианта действий. Если у вас установлена программа-ревизор с лечащем модулем, то восстановление файлов лучше делать с ее помощью. Если такое программы нет. то необходимо воспользоваться для лечения одним из детекторов.
6.
После того как все вирусы удалены, необходимо заново перенести операционную систему на жёсткий диск (с помощью команды SYS).
7.
Необходимо проверить целостность файловой системы на винчестере (с помощью CHKDSK) и исправить все повреждения.
8.
Необходимо ещё раз проверить жёсткий диск на наличие вирусов, если таковых не оказалось, то можно перезагрузиться с винчестера.
9.
Необходимо восстановить все необходимые файлы и программы с помощью архива - и для страховки, ещё раз загрузившись с дискеты, протестировать винчестер.
10.
Если всё в порядке, то необходимо проверить все дискеты, которые могли оказаться заражёнными вирусом и при необходимости пролечить их.
11.
После того как вирус дезактивирован, вы можете продолжать свою работу. Помимо перечисленных выше пунктов необходимо обращать особое внимание на чистоту модулей, сжатых файлов в архивах (ZIP, ARC, ICE, ARJ и т. д.) и данных в самораспаковывающихся файлах, созданных утилитами типа ZIP2EXE. Если случайно упаковать файл зараженный вирусом, то обнаружение и удаление такого вируса без распаковки файла практически невозможно. В данном случае типичной будет ситуация, при которой все антивирусные программы, неспособные сканировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять.
Штаммы вируса могут проникнуть и в резервные копии ПО при обновлении этих копий причем архивы и резервные копии являются основными поставщиками давно известных вирусов. Вирус может годами сидеть в дистрибутивной копии какого-либо программного продукта и неожиданно проявиться при установке программ на новом компьютере.
Во время вирусной атаки может возникнуть ряд нестандартных ситуаций.
Рассмотрим их.
Если у вас установлен менеджер диска, то при загрузки с дискеты часть дисков может быть недоступна. Тогданеобходимо пролечить вначале все доступные на данный момент диски, затем загрузиться с жёсткого системного диска и пролечить все оставшиеся логические диски. Если при загрузке с дискеты выясняется, что система просто "не видет" ваш винчестер, то скорее всего вирус повредил таблицу разбиения жёсткого диска. В этом случае необходимо ещё раз проверить установки SETUP и попытаться восстановить разбиение с помощью Norton Disk Doctor (или, если вы хорошо представляете себе свои действия, с помощью Norton Disk Edit). Если это не поможет, то, увы, вся информация с винчестера потеряна, остаётся только воспользоваться программой FDISK.
Если вы столкнулись с неизвестным вирусом, то дело обстоит несколько сложнее. Во-первых, вы можете воспользоваться программой-ревизором, если она у вас установлена. Вполне возможно, что она поможет обезвредить ваш вирус. Если её нет или она не помогла, то остаётся только заново перенести операционную систему, а затем удалить с него все исполняемые и пакетные файлы, драйверы и оверлейные файлы, после чего восстановить их из архива. Можно также воспользоваться услугами антивирусной скорой помощи.
2.4 Как уберечься от вирусов
Соблюдение следующих правил может многократно снизить риск заражения. Эти правила просты и известны многим пользователям, однако соблюдают их, к сожадению, не все:
· по возможности избегайте компьютеров «о6щего пользования», установленных в студенческих аудиториях, на почтах и т.п.3а день таким компьютером пользуется множество людей, и любой может занести вирус со своей дискеты или компакт-диска, поэтому записывать информацию с такого копьютера на свою дискету категопически не рекомендуется;
· при почучении из Интернета или локальной сети файлов приложений пакета Microsoft Office (например, Word или Excel) в первую очередь проверьте их надежной антивирусной программой и только потом открывайте. Такие файлы могут содержать макровирусы;
· то же самое относится и к другим скачиваемым из Интернета файлам: дистрибутивам или исполняемым файлами приложений, самораспаковывающимся архивам и д.р. Перед Выполнением их необходимо обязательно проверить антивирусной программой, не забыв предпредварительно обновить антивирусные базы;
· если используемая антивирусная программа обладает возможностью постоянного мониторинга, то при работе в Интернете данный режим обязательно должен быть включен. Это поможет своевременно обнаружить зараженные файлы, пытающиеся прокникнуть в компьютер;
· время от времени нужно полностью сканировать компьютер на наличие вирусов с помощью хорошей антивирусной программы. Периодичность сканирования зависит от загрузки компьютера, а также от того, работает ли пользователь с Интернетом;
· при работе с внешними носителями информации (например, дискетами или компакт-дисками)
обязательно проверяйте их антивирусной программой на наличие вирусов. Особенно это касается работы с чужими или новыми компакт-дисками или дискетами;
· ни в коем случае не запускайте внезапно появившиеся на Рабочем столе
значки. Многие вирусы (особенно сетевые «черви») специально помещают на Рабочий стол
заманчивый значок. При щелчке на таком значке вирус активизируется и начинает распространяться по сети;
· при работе с файлами, расположенными в Интернете, не запускайте их сразу. Сохраните нужный файл на свой компьютер, проверьте его антивирусной программой и только после этого откройте;
· после окончания работы в Интернете обязательно отключите шнур, соединяющий компьютер
с телефонной линией. Если этого не сделать, то злоумышленник может легко получить доступ даже к выключенному компьютеру.
Заключение
При разработке антивирусной стратегии компании
следует помнить, что основными путями распространения компьютерных вирусов являются продаваемое программное обеспечение, системы электронной почты в локальных сетях, а также дискеты, используемые служащими в их домашних компьютерах.
Существует опасность заражения компьютерной системы через программное обеспечение. Если кто-то уже использовал эти дискеты на зараженном компьютере, то c большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы избежать подобных проблем, многие компании (включая и Microsoft) начали запаковывать отдельные дискеты и только затем помещать их в коробки.
Любой разработчик и владелец Web-сайта (Web-master), электронных досок объявлений, a также авторы программного обеспечения, желающие и дальше иметь прибыль от своего бизнеса, должны тщательно проверять каждый файл на наличие КВ. Конечно же это ни коей мере не освобождает от проверки программ, загружаемых c помощью Интернета.
Пользователь может верить сообщениям o вирусах, рассылаемым специальными группами из организаций по компьютерной безопасности. Большинство этик организаций зашифровывают свои сообщения c помощью PGP или другой системы шифрованная c открытым ключом. Чтобы идентифицировать создателя сообщения, достаточно расшифровать это сообщение c помощью открытого ключа организации, т. e. необходимо проверять источник сообщения. Открытые ключи организаций хранятся на их Интернет-страницах. Необходимо избегать сообщений, не прошедших процедуру идентификации. При обнаружении нового вируса необходимо сообщить об этом в организацию по компьютерной безопасности. Доверьтесь профессионалам.
Не стоит также приписывать все ваши неприятности действиям вируса. Говорить же о действии неизвестного вируса, а тем более прибегать к радикальным мерам следует только тогда, когда не остаётся никаких сомнений. Стоит вначале попытаться восстановить файлы, и, только если это не удаётся, удалить их.
Ситуация, сложившаяся сейчас в области вирусной безопасности, весьма стабильна. Различные организации (исключая, конечно, Институтские учебные центры, на которых пробуют свои силы юные авторы вирусов) подвергаются вирусным атакам весьма редко, - не говоря уже об индивидуальных пользователях.
Не существует антивирусов, гарантирующих стопроцентную защиту от вирусов. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр алгоритм вируса, невидимого для этого антивируса. Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства – Фред Коэн.
Необходимо следить за тем, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Если к программам подставляются обновления, то необходимо проверить их на «свежесть». Обычно выход новых версий антивирусов анонсируется, поэтому достаточно посетить соответствующие узлы WWW, ftp или BBS.
«Национальность» антивирусов в большинстве случаев не имеет значения, поскольку на сегодняшний день процесс эмиграции вируса в другие страны и иммиграции антивирусных программ ограничивается только скоростью Internet, поэтому как вирусы, так и антивирусы не признают границ.
Список использованной литературы
1. Донцов Д. Как защитить компьютер от ошибок, вирусов, хакеров. Начали!-Санкт-Петербург: «Питер»,2008
2. Касперский Е. Компьютерные вирусы в MS-DOS.-М.: «Эдель», 1992
3. Сычев Ю.Н. Информационная безопасность:учебное пособие,руководство по изучению дисциплины, практикум, тесты, учебная программа.-М.: «АЛЛАНА»,2007
4. Фигурнов В.Э. IBMPC для пользователя от начинающего - до опытного. Полностью переработанное 7-ое издание.-М.: «Аст», 2002
5. Филин С.А. Информационная безопасность: Учебное пособие.-М.: «Альфа-Пресс»,2006
6. Ярочкин В.И. Информационная безопасность:Учебник для студентов вузов.-3-е изд.-М.: «Трикста»,2005
7. http://drweb.ru/
8. http://school.bakai.ru/inform/inform.htm
9. http://www.ctc.msiu.ru/materials/Book1/contents.html
10. http://www.kaspersky.ru/
11. http://www.viruslist.com/
Приложения
Табл.1. Рейтинг сетевых опасностей 2008 года
Рис.1. Усредненный по всем тестам рейтинг антивирусов