Компьютерные вирусы и антивирусные программы

     Для того чтобы определить основные правила  компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети.

2.1.1 Основные пути  проникновения вируса  в компьютер и  компьютерные сети

Глобальные  сети - электронная  почта

     Основным  источником вирусов на сегодняшний  день является глобальная сеть Internet. Вирусы  и спам представляют серьезную опасность как для пользователя, так и для всей сети. Действие вируса может привести к полной потере информации, а это для многих пользователей ( например, авиакомпаний, больниц, атомных электростанций) чревато катастрофическими последствиями. Резко увеличившийся в последнее время объем спама приводит к снижению скорости работы интернета и перегрузке каналов, а иногда способен полностью блокировать работу почтовых серверов.

     С появлением Сети, пользователи перешли  на централизованную скачку дистрибутивов  с официальных серверов, а вирусам  для размножения перестали требоваться люди. Используя дыры в подсистемах безопасности и ошибки типа переполнения буфера, любой вирус буквально за несколько часов может заразить практически все уязвимые узлы, при этом ему совершенно необязательно внедряться в исполняемые объекты.

     Наибольшее  число заражений вирусом происходит при обмене письмами в форматах Word/Office. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. Описанный случай распространения вируса является наиболее часто регистрируемым антивирусными компаниями.

Электронные конференции, файл-серверы ftp и BBS

     Файл-серверы  «общего пользования» и электронные  конференции также служат одним  из основных источников распространения  вирусов. Практически каждую неделю приходит сообщение о том, что какой-либо пользователь заразил свой компьютер вирусом, который был снят с BBS, ftp-сервера или из какой-либо электронной конференции.

     При этом часто зараженные файлы «закладываются»  автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда — под новые версии антивирусов).

     В случае массовой рассылки вируса по файл-серверам ftp/BBS пораженными практически одновременно могут оказаться тысячи компьютеров, однако в большинстве случаев «закладываются» DOS- или Windows-вирусы, скорость распространения которых в современных условиях значительно ниже, чем макро-вирусов. По этой причине подобные инциденты практически никогда не кончаются массовыми эпидемиями, чего нельзя сказать про макро-вирусы.

Пиратское программное обеспечение 

     Нелегальные копии программного обеспечения, как  это было всегда, являются одной  из основных «зон риска». Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов.

Персональные  компьютеры «общего  пользования»

     Опасность представляют также компьютеры, установленные  в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную «заразу» получат и дискеты всех остальных студентов, работающих на этом компьютере.

     То  же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус попадает в компьютерную сеть фирмы папы или мамы.

Ремонтные службы

     Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре. Ремонтники — тоже люди, и некоторым из них свойственно наплевательское отношение к элементарным правилам компьютерной безопасности. Однажды забыв закрыть защиту от записи на одном из своих флоппи-дисков, такой «маэстро» довольно быстро разнесет заразу по машинам своей клиентуры и скорее всего потеряет ее (клиентуру).

     Выводы  – следует избегать контактов  с подозрительными источниками информации и пользоваться только законными (лицензионными) программными продуктами. К сожалению, в нашей стране  это не всегда возможно.

Локальные сети

     Третий  путь «быстрого заражения» — локальные  сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере.

2.1.2 Основные правила защиты

     Среднестатистический  пользователь обычно замечает вирус  лишь тогда, когда его любимый  компьютер начинает вести себя не так как всегда: некоторые приложения не запускаются, те же, что запускаются — жутко «тормозят», на экран часто выпрыгивают сообщения о критических ошибках. Вот тут-то жертва и начинает лихорадочно устанавливать различные антивирусы, брандмауэры, и прочие сторожевые программы, призванные "найти-и-уничтожить", а если ничего не помогает — форматирует винт и переустанавливает систему начисто. Чтобы всего этого не происходило, существует ряд правил защиты от  вредоносных программ.

Правило первое

     Крайне  осторожно относитесь к программам и документам Word/Excel, которые получаете из глобальных сетей. Перед тем, как запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте их на наличие вирусов.

     Используйте специализированные антивирусы — для проверки «на-лету» всех файлов, приходящих по электронной почте (и по Internet в целом). К сожалению, на сегодняшний день мне неизвестны антивирусы, которые достаточно надежно ловят вирусы в приходящих из Internet файлах, но не исключено, что такие антивирусы появятся в ближайшем будущем.

Правило второе — защита локальных сетей 

     Для уменьшения риска заразить файл на сервере администраторам сетей  следует активно использовать стандартные  возможности защиты сети: ограничение прав пользователей; установку атрибутов «только на чтение» или даже «только на запуск» для всех выполняемых файлов (к сожалению, это не всегда оказывается возможным) и т.д.

     Используйте специализированные антивирусы, проверяющие  «на лету» файлы, к которым идет обращение. Если это по какой-либо причине невозможно, регулярно проверяйте сервер обычными антивирусными программами.

     Значительно уменьшается риск заражения компьютерной сети при использовании бездисковых  рабочих станций.

     Желательно  также перед тем, как запустить  новое программное обеспечение, попробовать его на тестовом компьютере, не подключенном к общей сети.

Правило третье

     Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно  копировать их из других источников или покупать пиратские копии. При этом значительно снижается вероятность заражения, хотя известны случаи покупки инфицированных дистрибутивов.

     Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы), причем копии желательно хранить на защищенных от записи дискетах.

     Пользуйтесь только хорошо зарекомендовавшими себя источниками программ и прочих файлов, хотя это не всегда спасает (например, на WWW-сервере Microsoft довольно долгое время находился документ, зараженный макро-вирусом «Wazzu»). По-видимому, единственными надежными с точки зрения защиты от вирусов являются BBS/ftp/WWW антивирусных фирм-разработчиков.

Правило четвертое 

     Старайтесь  не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами.

     Если  даже ни один антивирус не среагировал на файл, который был снят с BBS или электронной конференции — не торопитесь его запускать. Подождите неделю, если этот файл вдруг окажется заражен новым неизвестным вирусом, то скорее всего кто-либо «наступит на грабли» раньше вас и своевременно сообщит об этом.

     Желательно  также, чтобы при работе с новым  программным обеспечением в памяти резидентно находился какой-либо антивирусный монитор. Если запускаемая программа заражена вирусом, то такой монитор поможет обнаружить вирус и остановить его распространение.

     Все это приводи к необходимости  ограничения круга лиц, допущенных к работе на конкретном компьютере. Как правило, наиболее часто подвержены заражению «многопользовательские» персональные компьютеры.

Правило пятое 

     Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.). Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие может служить сигналом о появлении вируса или «троянской» программы.

Правило шестое

     Периодически  сохраняйте на внешнем носителе файлы, с которыми ведется работа. Такие резервные копии носят название backup-копий. Затраты на копирование файлов, содержащих исходные тексты программ, базы данных, документацию, значительно меньше затрат на восстановление этих файлов при проявлении вирусом агрессивных свойств или при сбое компьютера.

     При наличии стримера или какого-либо другого внешнего носителя большого объема имеет смысл делать backup всего  содержимого винчестера. Но поскольку времени на создание подобной копии требуется значительно больше, чем на сохранение только рабочих файлов, имеет смысл делать такие копии реже.

2.2 Восстановление пораженных объектов

     В большинстве случаев заражения  вирусом процедура восстановления зараженных файлов и дисков сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточно отослать зараженный файл фирмам-производителям антивирусов и через некоторое время (обычно — несколько дней или недель) получить лекарство-«апдейт» против вируса. Обычно, как только вирус замечают — его тут же заносят в антивирусную базу и злорадно прибивают.

       Если же время не ждет, то  обезвреживание вируса придется  произвести самостоятельно.

       Для большинства пользователей  необходимо иметь резервные копии своей информации. Основные виды антивирусных программ рассмотрены в следующем разделе.

2.3 Антивирусные программы

2.3.1 Классификация антивирусных  программ

     Наиболее  эффективны в борьбе с компьютерными  вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как, либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Сканеры

     Принцип работы антивирусных сканеров основан  на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик - вирусов.