Компьютерные вирусы

 

 

 

 

ПРИЗНАКИ ПОЯВЛЕНИЯ ВИРУСОВ

 

 

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие;

 

—        прекращение работы или неправильная работа ранее успешно функционировавших                                            программ;

—        медленная работа компьютера;

—        невозможность загрузки операционной системы;

—        исчезновение файлов и каталогов или искажение их

содержимого;

—        изменение даты и времени модификации файлов;

—        изменение размеров файлов;

—        неожиданное значительное увеличение количества

файлов на диске;

—        существенное уменьшение размера свободной опера

тивной памяти;

—        вывод на экран непредусмотренных сообщений или

изображений;

—        подача непредусмотренных звуковых сигналов;

—        частые зависания и сбои в работе компьютера.

    Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин, Поэтому всегда затруднена правильная диагностика состояния компьютера,

 

 

 

 

 

 

 

ОБНАРУЖЕНИЕ, ЗАЩИТА И ПРОФИЛАКТИКА

 

 

 

 

 

Как обнаружить вирус

 

 

    Как правило, вирусы обнаруживают обычные пользователи, которые замечают те или иные аномалии в поведении компьютера. Они в большинстве случаев не способны самостоятельно справиться с вирусом, но этого от них и не требуется.

    Необходимо обратиться к специалистам. Профессионалы изучат вирус, выяснят, «что он делает», «как он делает», «когда он делает» и пр. В процессе такой работы собирается вся необходимая информация о данном вирусе, в частности, выделяется сигнатура вируса (последовательность байтов, которая его характеризует). Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса. Например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового — способ заражения файла. Полученная информация позволяет выяснить, как обнаружить вирус. Для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки (файлах и/или загрузочных секторах). Также необходимо определить, как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов.

 

 

 

 

Программы обнаружения и защиты от вирусов

 

 

    Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ;

 

— программы-детекторы;

— программы-доктора, или фаги;

 

— программы-ревизоры;

 

— программы-фильтры;

 

— программы-вакцины, или иммунизаторы.

 

    Программы-детекторы осуществляют поиск характерной

для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

    Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Kaspcrsky Antivirus, Norton AntiVirus, Doctor Web.

    Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают и требуется регулярное обновление версий.

    Программы-ревизоры относятся к самым надежный средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации и другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная и России программа Kaspersky Monitor.

    Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

 

—        попытки коррекции файлов с расширениями СОМ, ЕХЕ;

 

—        изменение атрибутов файла;

 

—        прямая запись на диск по абсолютному адресу;

 

—        запись и загрузочные сектора диска;

 

—        загрузка резидентной программы.

 

    При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они пе «лечат*» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливостью (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

    Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, уничтожающие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

    Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

 

 

 

Основные меры по защите от вирусов

 

 

    Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

 

-          оснастите свой компьютер современными антивирус -

иыми программами, например Kaspersky Antivirus, и постоян

но обновляйте их вирусные базы;

 

-          перед считыванием с дискет информации, записанной

па других компьютерах, всегда проверяйте эти дискеты на на

личие вирусов, запуская антивирусные программы своего ком

пьютера;

 

-          при переносе на свой компьютер файлов в архивиро

ванном виде проверяйте их сразу же после разархивации на

жестком диске, ограничивая область проверки только вновь

записанными файлами;

 

—        периодически проверяйте на наличие вирусов жест

кие диски компьютера, запуская антивирусные программы

для тестирования файлов, памяти и системных областей дис

ков с защищенной от записи дискеты, предварительно загру

зив операционную систему с защищенной от записи систем

ной дискеты;

 

—        всегда защищайте свои дискеты от записи при работе

на других компьютерах, если на них не будет производится

запись информации;

 

—        обязательно делайте архивные копии на дискетах цен

ной для вас информации;

 

—        не оставляйте в кармане дисковода А дискеты при вклю

чении или перезагрузке операционной системы, чтобы исклю

чить заражение компьютера загрузочными вирусами;

 

—        используйте антивирусные программы для входного

контроля всех исполняемых файлов, получаемых из компью

терных сетей;

 

—        для обеспечения большей безопасности применения

антивируса необходимо сочетать с-повседневным использова

нием ревизора диска.

 

 

 

 

ВИРУСЫ И ИНТЕРНЕТ

 

 

    Вначале самым распространенным способом заражения вирусами были дискеты, так как именно с их помощью переносились программы между компьютерами. После появления BBS вирусы стали распространяться через модем. Интернет привел к появлению еще одного канала распространения вирусов, с помощью которого они часто обходят традиционные методы борьбы с ними.

    Вероятность заражения вирусами пропорциональна частоте появления новых файлов или приложений на компьютере. Изменения в конфигурации для работы в Интернете, для чтения электронной почты и загрузка файлов из внешних источников — все это увеличивает риск заражения вирусами.

    Чем больше значение компьютера или данных, находящихся в нем, тем больше надо позаботиться о мерах безопасности против вирусов. Нужно также учесть и затраты на удаление вирусов из ваших компьютеров, а также из компьютеров ваших клиентов, которых вы можете заразить. Затраты не всегда ограничиваются только финансами, имеет значение репутация организации и другие вещи.

    Важно также помнить, что вирусы обычно появляются в системе из-за действий пользователя (например, установки приложения, чтения файла но FTP, чтения электронного письма). Политика предотвращения может поэтому обращать особое внимание на ограничения на загрузку потенциально зараженных программ и файлов. В ней также может быть указано, что в среде с высоким риском проверка на вирусы особенно тщательно должна производиться для новых файлов.

    Вот правила для работы в сети Интернет для пользователей корпоративных компьютерных сетей.

 

 

 

 

Предотвращение заражения

 

 

    Администратор безопасности должен разрешить использование приложений перед их установкой на компьютер. Запрещается устанавливать и авторизованные программы на компьютеры. Конфигурации программ на компьютере должны проверяться ежемесячно на предмет выявления установки лишних программ.  

 

    Программы должны устанавливаться только с разрешенных внутренних серверов для ограничения риска заражения. Нельзя загружать программы с Интернета на компьютеры. С помощью брандмауэра должна быть запрещен ч операция GET (загрузка файла) с внешних серверов.

    На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов, данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигурированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы. Все приходящие письма и файлы, полученные из сет, должны проверяться на вирусы при получении. По возможности проверка на вирусы должна выполняться на брандмауэре, управляющем доступом к сети. Это позволит централизовать проверку на вирусы для всей организации и уменьшить затраты на параллельное сканирование на рабочих станциях. Это также даст возможность централизовать администрирование антивирусных программ, ограничить число мест, куда должны устанавливаться последние обновления антивирусных программ

    Программа обучения сотрудников компьютерной безопасности должна содержать следующую информацию о риске заражения вирусами.

    Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно обновляться (ежемесячно или ежеквартально) для того, чтобы можно было обнаружить новейпгие вирусы. Важно сообщать системному администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

    Несоблюдение этих мер должно вести к наказанию сотрудника согласно стандартам организаций.

 

 

 

 

Обнаружение

 

 

    Обнаружение — это процесс определения того, что данный выполняемый файл, загрузочная запись или файл данных содержит вирус.

    Все программы должны быть установлены на тестовую машину и проверены па вирусы перед началом их использования В рабочей среде. Только после получения разрешения администратора безопасности можно устанавливать программы на машинах сотрудников.

    Помимо использования коммерческих антивирусных программ должны использоваться эмуляторы виртуальных машин для обнаружения полиморфных вирусов. Все новые методы обнаружения вирусов должны использоваться на этой тестовой машине. Антивирусные программы необходимо обновлять ежемесячно или при появлении новой версии для выявления самых новых вирусов.

Проверка всех файловых систем должна производиться каждый день в обязательном порядке. Результаты проверок протоколируются, автоматически собираются и анализируются системными администраторами.

     Все данные, импортируемые на компьютер, тем или иным способом (с дискет, из .-электронной почты и т.д.) должны проверяться на вирусы. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера (приложений).

    При получении информации о заражении вирусом системный администратор должен информировать всех пользователей, имеющих доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус возможно заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы.

 

 

 

 

 

Удаление

 

 

    Удаление вируса из зараженной компьютерной системы может потребовать переинсталляции ОС с нуля, удаления файлов или удаления вируса из зараженного файла.

Любая машина, подозреваемая в заражении вирусом, должна быть немедленно отключена от сети. Компьютер не должен подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении нируса. По возможности используйте коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи. Эти программы должны быть повторно установлены из надежных источников и еще раз проверены на вирусы. Зарегистрированные пользователи антивирусов могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса.