¨    перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера

¨    при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами

¨    периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты

¨    всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации

¨    обязательно делайте архивные копии на дискетах ценной для вас информации

¨    не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

¨    используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей

¨    для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf

     С тех пор как существует антивирусная индустрия, было изобретено множество  способов противодействия компьютерным вирусам. Пестрота и разнообразие предлагаемых сегодня систем защиты поистине поражает. Попробуем разобраться, в чем преимущества и недостатки тех или иных способов защиты и насколько они эффективны по отношению к различным типам вирусов.

     На сегодняшний день можно выделить пять основных подходов к обеспечению антивирусной безопасности.

     Для защиты от вирусов можно использовать:

• Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
• профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
• специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны  не только для защиты от вирусов. Имеются  две основные разновидности этих методов защиты:

- резервное  копирование информации, т. е.  создание копий файлов и системных областей дисков на дополнительном носителе;

- разграничение  доступа, предотвращающее несанкционированное  использование информации, в частности,  защиту от изменений программ  и данных вирусами, неправильно  работающими программами и ошибочными действиями пользователей.

      методы обнаружения:

     Сигнатурные методы анализа

       Описывают каждую атаку индивидуальной моделью  или сигнатурой. Ею могут служить  строка символов, семантическое выражение, формальная математическая модель и  т. д.

       Продукционные / Экспертные системы обнаружения вторжения

       Кодируют  данные об атаках и правила импликации «если … то», а также подтверждают их, обращаясь к контрольным записям  событий.

       Обнаружение вторжений, основанное на модели

       Один  из вариантов, объединяющий модели вторжения и доказательств, поддерживающий вывод о вторжении. В системе обнаружения вторжений поддерживается база данных сценариев атак.

       Анализ перехода системы из состояние в состояние

       Осуществлен в системах STAT и USTAT под ОС UNIX. В  них обнаружения вторжения атаки представляется как последовательность переходов контролируемой системы из состояния в состояние.

       Изменение состояний и сети Петри

       Для обнаружения вторжений развивают  методы анализа изменений состояний. Хотя данный метод позволяет получить более точные результаты в области обнаружения вторжений, он требует значительных вычислений.

       Статические методы анализа

       Предназначены для выявления безопасности поведения  программ и систем обнаружения нарушителя. Операционная модель основывается на том, что каждое новое наблюдение переменной должно укладываться в некоторых границах. Если этого не происходит, то имеет место отклонение. Модель среднего значения μ и среднеквадратичного отклонения σ базируется на том, что все знания о предыдущих наблюдениях некоторой величины есть величины μ и σ. Тогда новое наблюдение является аномальным, если оно не укладывается в границах доверительного интервала μ + d*σ, где d* - априори устанавливаемая величина. Многовариационная модель аналогична модели среднего значения и среднеквадратичного отклонения, но учитывает корреляцию между двумя или большим количеством метрик (использование центрального процессорного устройства и количество операций ввода – вывода, количество выполненных процедур входа в систему и время сессии). Модель марковского процесса применима только к счетчикам событий, если рассматривать каждый тип событий как переменную состояния и использовать матрицу переходов для характеристики частот переходов между состояниями. Результат наблюдения является аномальным, когда вероятность перехода, определенная предыдущим состоянием и матрицей перехода, очень мала. Модель временных серий использует временные периоды вместе со счетчиками событий и измерениями ресурса, учитывая как значения наблюдений, так и временные интервалы между ними. Новое наблюдение считается аномальным, если вероятность его появления (с учетом длительности наблюдения) низка.

       Метод информационного анализа

       Выделяет  особенности больших наборов  данных. Здесь применялась система RIPPER (Repeated Incremental Pruning to Produce Error Reduction), построенная на основании обучающих правил и используемая для решения задач классификации.

       Метод конечных автоматов

       Состоит в разработке конечного автомата для распознавания «языка» трассы программы. Для этого существует много методик, основанных на использовании как детерминированных, так и вероятностных автоматов.

       Эвристические методы

       Программу, которая анализирует код проверяемого объекта и по косвенным признакам  определяет, является ли объект вредоносным, называют эвристический анализатор (эвристик).

       Метод "песочниц"

       Подозрительный  файл помещают в область, изолированную  от остальной системы, проверяя его  поведение. При этом каждый исполняемый  файл запускается в виртуальной  среде, которую стандартный программный  интерфейс приложений Windows (Application Programming Interface) организует в так называемой тюрьме (jail).

       Метод блокировки поведения

       Комбинирует оба упомянутых подхода. Благодаря  иерархической обработке трафика  данных, высокая потребность «песочницы»  в ресурсах сводится к минимуму и уменьшается вероятность ложных срабатываний эвристических методов.

       Метод мониторинга характеристик передачи сетевого трафика

       Перспективен  способ обнаружения быстро распространяющихся вирусов и червей, основанный на постоянном мониторинге сетевого трафика. Подобную технологию реализуют исследователи из Пенсильванского университета. [17] При отслеживании параметров передачи сетевого трафика система анализирует количество пакетов данных, пересылаемых между различными сетями, и в случае обнаружения аномального всплеска активности подает сигнал тревоги. Это позволяет идентифицировать вирусную эпидемию в течение долей секунды после ее начала. 

 

 

 
 

 

2.2 Антивирусные программы 

     Антивирусная  программа (антивирус) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. (вкипедия)

     Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. He иcключeнo, чтo пocлe выявлeния виpyca eгo мoжнo бyдeт yдaлить и вoccтaнoвить иcxoднoe cocтoяниe зapaжeнныx фaйлoв и зaгpyзoчныx зaпиceй, cвoйcтвeннoe им дo «бoлeзни». Этoт пpoцecc нaзывaeтcя oбeзвpeживaниeм (дeзинфeкциeй, лeчeниeм).

     Классифицировать  антивирусные продукты можно сразу  по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.

     По  используемым технологиям антивирусной защиты:

• Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования)
• Продукты проактивной антивирусной защиты (продукты, применяющие только проактивные технологии антивирусной защиты);
• Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты, так и проактивные)

     По  функционалу продуктов:

• Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
• Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)

     По  целевым платформам:

• Антивирусные продукты для ОС семейства Windows
• Антивирусные продукты для ОС семейства *UNIX (к данному семейству относятся ОС BSD, Linux, Mac OS X и др.)
• Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.)

     Антивирусные  продукты для корпоративных пользователей  можно также классифицировать по объектам защиты:

• Антивирусные продукты для защиты рабочих станций
• Антивирусные продукты для защиты файловых и терминальных серверов
• Антивирусные продукты для защиты почтовых и Интернет-шлюзов
• Антивирусные продукты для защиты серверов виртуализации
• и др.

(википедия)

     Heкoтopыe  виpycы пoвpeждaют пopaжaeмыe ими фaйлы  и зaгpyзoчныe зaпиcи тaким oбpaзoм,  чтo иx ycпeшнaя дeзинфeкция нeвoзмoжнa. He иcключeнo тaкжe, чтo дeтeктop oдинaкoвo идeнтифициpyeт двa paзличныx виpyca, пoэтoмy дeзинфициpyющaя пpoгpaммa бyдeт эффeктивнa для oднoгo виpyca, нo бecпoлeзнa для дpyгoгo.

     Дeзинфициpyющиe пpoгpaммы измeняют вaши пpoгpaммы, пoэтoмy oни дoлжны быть oчeнь нaдeжными.

     Способы противодействия компьютерным вирусам  можно разделить на несколько  групп: профилактика вирусного заражения  и уменьшение предполагаемого ущерба от такого заражения; методика использования  антивирусных программ, в том числе  обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

     С давних времен известно, что к любому яду рано или поздно можно найти  противоядие. Таким противоядием в  компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы. www.howstuffworks.com

     Антивирусы-фильтры - это резидентные программы, которые  оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным,так и неизвестным вирусам, тогда как детекторы пишутся под конкретные,известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещс до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

     Наибольшее  распространение в нашей стране получили программы-детекторы,а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web,MicroSoft AntiVirus. Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.