Наиболее  трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря  которым копии одного и того же вируса не имеют ни одной повторяющейся  цепочки байтов. Имеются и так называемые квазивирусные или "троянские" программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

1.3. «Борьба» с компьютерными  вирусами

 

     Причины появления и распространения  компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.

     Хотя  вирусные атаки случаются не очень  часто, общее число вирусов слишком велико, а ущерб от “хулиганских” действий вируса в системе может оказаться значительным. Существуют вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, привести к серьезным сбоям в работе компьютера. В результате этих действий Вы можете навсегда потерять данные, необходимые для работы и понести существенный моральный и материальный ущерб. “Эпидемия” компьютерного вируса в фирме (неважно — большой или маленькой) может полностью дестабилизировать ее работу. При этом может произойти сбой в работе, как отдельных компьютеров, так и компьютерной сети в целом, что повлечет за собой потерю информации, необходимой для нормальной работы и потерю времени, которое будет затрачено на восстановление данных и приведением компьютеров и/или сети в рабочее состояние.

1.4  Основные меры  по защите от  вирусов

 

  Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

* оснастите  свой компьютер современными  антивирусными программами, например NOD32, Aidstest, Doctor Web, и постоянно возобновляйте их версии

* перед считыванием  с дискет информации, записанной  на других компьютерах, всегда  проверяйте эти дискеты на  наличие вирусов, запуская антивирусные  программы своего компьютера

* при переносе  на свой компьютер файлов в  архивированном виде проверяйте  их сразу же после разархивации  на жестком диске, ограничивая  область проверки только вновь  записанными файлами

* периодически  проверяйте на наличие вирусов  жесткие диски компьютера, запуская  антивирусные программы для тестирования  файлов, памяти и системных областей  дисков с защищенной от записи  дискеты, предварительно загрузив  операционную систему с защищенной  от записи системной дискеты

* всегда защищайте  свои дискеты от записи при  работе на других компьютерах,  если на них не будет производится запись информации

* обязательно  делайте архивные копии на  дискетах ценной для вас информации

* не оставляйте  в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

* используйте  антивирусные программы для входного  контроля всех исполняемых файлов, получаемых из компьютерных сетей

* для обеспечения  большей безопасности применения  Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf.

2. Антивирусная  система NOD32

1. Назначение, состав компонентов системы NOD32

 

     Антивирусная  система NOD32 предназначена для защиты компьютера от проникновения вредоносных  программ через сеть (локальную или  глобальную) и посредством электронных  носителей информации (например, дискета, CD-диск), а также для удаления (очистки, “лечения”) вирусов и т.п. программ с уже зараженного компьютера. NOD32 представляет собой мощный антивирусный комплекс для всесторонней защиты пользовательских данных^[9].

     Антивирусная  система NOD32 состоит из нескольких модулей  или системных компонентов. Основным средством взаимодействия пользователя с антивирусом является Центр управления NOD32. Центр управления NOD32 является центральной программой управления Антивирусной системой NOD32. Система состоит из следующих резидентных модулей и фильтров:

• AMON – резидентный (всегда выполняющийся в оперативной памяти) антивирусный монитор или сканер "на доступе". Эта программа является наиболее важным инструментом антивирусной защиты.
• NOD32 – это сканер (также именуемый сканером "по требованию"), запускаемый пользователем вручную или планировщиком автоматически.
• IMON (Интернет-монитор) - этот сканер обеспечивает первую линию защиты, контролируя интернет трафик (протокол POP3 для электронной почты и HTTP для файлов, загружаемых из интернета)
• DMON (Монитор документов) - этот сканер обеспечивает защиту от макро вирусов в документах MS Office, работает с приложениями, использующими MS Antivirus API (например MS Office 2003 и выше, Internet Explorer 6.0 и выше)
• EMON (Email монитор) – этот сканер обеспечивает защиту от вирусов, перенесенных электронной почтой.
• Обновление – эта программа обеспечивает автоматическое интернет/сетевое обновление ключевых элементов системы, включая модули и вирусные базы данных (требуется правильное имя пользователя и пароль).
• Логи – инструмент управления, поддерживающий логи системных событий, вирусных тревог и сканера по требованию.
• Cлужeбныe пpoгpaммы NOD32 – включает ряд инструментов, делающих использование Антивирусной системы NOD32 удобным и функциональным. Включает Карантин, Расписание/Планировщик, Информацию и Настройки системы.

2.2. Описание основных компонентов системы.

2.3. Центр управления NOD32

 

     Главное окно Центра управления NOD32 содержит список установленных системных модулей и их возможностей (исключение составляет сканер по требованию, значок которого доступен на рабочем столе и который также может быть запущен как запланированная задача). В главном окне доступны следующие группы: Резидентные модули и фильтры, Обновление, Логи и Служебные программы NOD32. Детальные описания каждой группы представлены ниже. Для перемещения в пределах главного окна Центра управления используется мышь или клавиши стрелок вверх/вниз^[10]. 

 

     Три кнопки, расположенные в нижней части  главного окна Центра управления, могут  использоваться для скрытия окна, выхода из программы и вызова интерактивной системы справки.

2.4. AMON

 

     AMON (Антивирусный МОНИТОР) - резидентная  (выполняющаяся в оперативной памяти после каждого перезапуска компьютера) программа проверки файлов. Автоматический запуск AMON при перезапуске компьютера - фундаментальная защита против злонамеренного кода. Не рекомендуется отключать AMON, если только это не требуется специальными обстоятельствами. AMON - наиболее важная линия антивирусной защиты. Критически важно сохранять его всегда функционирующим с использованием самой современной версии вирусных баз данных. AMON контролирует все потенциально угрожающие действия на защищенных компьютерах типа открытия, выполнения, создания или переименования файлов. AMON часто упоминается как антивирусный монитор или сканер “на-доступе” в отличие от сканера “по требованию”. Для выполнения своих задач AMON требует важных системных прав. С технической точки зрения он работает на уровне системного драйвера. В результате, совместимость с другими службами, выполняющимися на компьютере, должна быть проверена в процессе инсталляции системы NOD32. Если тестирование было успешно завершено, AMON будет запускаться автоматически после каждой перезагрузки компьютера.

 AMON имеет три состояния:

1. Запущен и включен (Загружен в память и выполняет сканирование на-доступе).
2. Запущен и отключен (Загружен в память, но не выполняет сканирование на-доступе).

Остановлен и отключен (Не загружен в память). 

 

     Содержимое  окна AMON (доступные кнопки) зависит  от состояния выполнения AMON. Опция  “Резидентный модуль (AMON) включен” служит для включения или отключения главной функции AMON: сканирования на доступе. Эта опция доступна, только если AMON загружен в оперативную память. Чтобы загрузить AMON в память, нажмите кнопку Пуск. Для того, чтобы выгрузить AMON из памяти, нажмите кнопку Остановить. Другая полезная информация, доступная в главном окне AMON - статистика общего количества проверенных, инфицированных и очищенных файлов. Также доступно имя последнего или в настоящее время проверяемого файла, сопровождаемое информацией об установленной версии вирусной базы данных с ее датой выпуска. Даты указаны в следующем формате: ГГГГММДД.

Для доступа  к параметрам модуля AMON нажмите кнопку Настройка, расположенную в главном окне AMON.Доступно пять вкладок: Обнаружение, Методы, Действия, Исключения и Безопасность.  

2.5. DMON 

     DMON - модуль антивирусной системы  NOD32, который служит для проверки  документов Microsoft Office и файлов, автоматически загружаемых через Internet Explorer (например элементы Microsoft ActiveX). DMON обеспечивает дополнительный уровень защиты к AMON. 

 

     DMON может быть активирован выбором опции ниже окна состояния DMON. Окно показывает общее число проверенных, инфицированных и очищенных объектов. Оно также отображает текущую версию вирусной базы данных. Монитор документов включен - если галочка установлена, проверка документов включена. 
Настройка - отображает окно конфигурации сканера. 

 

     Методы  сканирования

     Вирусные базы - Сканирование с помощью вирусных баз полагается на анализ прежде известных вирусов и их соответствующих образцов в базе данных. 
Эвристический анализ - Сложный алгоритмы, позволяющий обнаружить ранее неизвестные вирусы.

Расширенная эвристика - Расширенная эвристика использует более эффективные и сложные методы поиска ранее неизвестных вирусов, червей и троянов.

2.6. EMON

 

     EMON (Монитор электронной почты) обеспечивает  проверку входящей и исходящей корреспонденции в почтовых клиентах Microsoft Outlook и Microsoft Exchange Extension.  

 

     Это окно показывает число проверенных, инфицированных и очищенных объектов. Оно также отображает версию вирусной базы данных, используемой во время проверки. Автоматическое интернет-обновление будет поддерживать текущую версию, если правильное имя пользователя и пароль были введены в модуле Обновление. 

Секция  Настройка позволяет настроить параметры.   

 

Пpoвepять вxoдящую пoчту - если включено, входящая почта будет проверяться на наличие вирусов  

Пpoвepять иcxoдящую пoчту - если включено, исходящая почта будет проверяться на наличие вирусов  

Пpoвepять пpoчитaнную пoчту - если включено, прочитанная почта будет проверяться на наличие вирусов  

Пpoвepять тeлo тeкcтoвыx cooбщeний - если включено, простые текстовые сообщения будут проверяться на наличие вирусов 

Пpoвepять тeлo RTF cooбщeний - если включено, сообщения в формате RTF будут проверяться на наличие вирусов. 

Пpeoбpaзoвaть cooбщeния в пpocтoй тeкcт - если включено, вся электронная почта будет преобразована в простой текст. Преобразование происходит прежде, чем начнется проверка. 

Bключить peзультaты пpoвepки дpугими мoдулями - если какое-либо сообщение уже проверено другим модулем NOD32 (например IMON) и обозначено как инфицированное, EMON также будет считать его инфицированным, даже если вирус уже удален. 

Пoвтopить пpoвepку пocлe oбнoвлeния - если включено, после обновления вирусной базы данных вся электронная почта будет проверена повторно с использованием текущей вирусной базы данных, независимо от того, что проверка уже проводилась. 

Пepecкaниpoвaть - сбрасывает результаты проверки и передает электронную почту на повторное сканирование при следующем обращении. (это происходит автоматически всякий раз, когда NOD32 обновляется до более новой версии).

     В то время, как роль AMON состоит в обеспечении резидентного антивирусного контроля действий системы и пользователя, модуль IMON служит как антивирусный монитор трафика между системой и интернетом.  Первичная роль IMON состоит в контроле входящей электронной почты. Ключевое преимущество IMON по сравнению с своим предшественником (POP3 сканером) - удобство в использовании. Фактически IMON не требует никакой настройки, так как этот модуль не зависит от клиента электронной почты. IMON работает на уровне winsock^[11].