Предыдущая | Оглавление | Следующая
Компьютерные вирусы и антивирусные программы.На эту тему написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию. Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов. При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Зачастую как пользователи, так и профессионалы-программисты не имеют даже навыков «самообороны», а их представления о вирусе порой являются настолько поверхностными, что лучше бы их (представлений) и не было. Феномен компьютерных вирусов. 20-е столетие несомненно является одним из поворотных этапов в жизни человечества. Человечество захвачено техникой и уже вряд ли откажется от удобств, предоставляемых ею (мало кто пожелает поменять современный автомобиль на гужевую тягу). Уже забыта обычная почта с ее конвертами и почтальонами - вместо нее пришла электронная почта с ее ошеломляющей скоростью доставки (до нескольких минут вне зависимости от расстояния) и очень высокой надежностью. Не представляется уже существование современного общества без компьютера, способного многократно повысить производительность труда и доставить любую мыслимую информацию. Сегодня факт возникновения компьютерных вирусов поставлен в один ряд с исследованиями космоса, атомного ядра и развитием электроники. Во-первых, компьютерные вирусы - это серьезная и довольно заметная проблема, возникновения которой никто не ожидал. Даже всевидящие фантасты-футурологи прошлого не говорят об этом ничего. Если же говорить о вычислительных машинах, то тема эта вылизана донельзя - однако нет ни одного пророчества, посвященного компьютерным вирусам. Тема вируса в произведениях писателей появилась уже после того, как первый реальный вирус поразил свой первый компьютер. Во-вторых, компьютерные вирусы - это первая вполне удачная попытка создать жизнь. Попытка удачная, но нельзя сказать, что полезная - современные компьютерные «микроорганизмы» более всего напоминают насекомых-вредителей, приносящих только проблемы и неприятности. Но все таки - жизнь, поскольку компьютерным вирусам присущи все атрибуты живого - способность к размножению, приспособляемости к среде, движению и т.д. (естественно, только в пределах компьютеров - так же как все вышесказанное верно для биологических вирусов в пределах клеток организма). Более того, существуют «двуполые» вирусы (см. вирус RMNS), а примером «многоклеточности» могут служить, например, макро-вирусы, состоящие из нескольких независимых макросов. И в-третьих, тема вирусов стоит несколько особняком от всех остальных задач, решаемых при помощи компьютера. Борьба с компьютерными вирусами является борьбой человека с человеческим же разумом. Эта борьба является борьбой умов, поскольку задачи, стоящие перед вирусологами, ставят такие же люди. Одни придумывают новый вирус - а другим с ним разбираться. Что такое компьютерный вирус. Объяснений, что такое компьютерный вирус, можно привести несколько. Объяснение бытовое. Рассмотрим работу клерка, занимающегося исключительно с бумагами (идея такого объяснения принадлежит Д.Н.Лозинскому, одному из известнейших «докторов»). Представим себе аккуратного клерка, который приходит на работу к себе в контору и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания начальства, пунктуально их выполняет, выбрасывает «отработанный» лист в мусорное ведро и переходит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаг лист, на котором написано следующее: «Переписать этот лист два раза и положить копии в стопку заданий соседей» Что сделает клерк? Дважды перепишет лист, положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второго листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же, что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, в конторе бродят уже четыре копии первоначального документа, которые и дальше будут копироваться, и раздаваться на другие столы. Примерно так же работает и компьютерный вирус, только стопками бумаг-указаний являются программы, а клерком - компьютер. Так же как и клерк, компьютер аккуратно выполняет все команды программы (листы заданий), начиная с первой. Если же первая команда звучит как «скопируй меня в две другие программы», то компьютер так и сделает, - и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других «зараженных» программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру. В приведенном выше примере про клерка и его контору лист-вирус не проверяет, заражена очередная папка заданий или нет. В этом случае к концу рабочего дня контора будет завалена такими копиями, а клерки только и будут что переписывать один и тот же текст и раздавать его соседям - ведь первый клерк сделает две копии, очередные жертвы вируса - уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копий каждый раз будет увеличиваться в два раза. Если клерк на переписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий, то через час по конторе будет «бродить» более 10Е18 копий вируса! Скорее всего, конечно же, не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине. Именно такой случай произошел в 1988 году в Америке - несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса (вирус Морриса), который рассылал себя от компьютера к компьютеру. Для предотвращения избыточности более «правильные» вирусы составляют команды так: «Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа». Проблема решена - «перенаселения» нет, но каждая стопка содержит по копии вируса, при этом клерки еще успевают справляться и с обычной работой. «А как же?» - спросит хорошо эрудированный человек. Все очень просто - Достаточно несколько видоизменить команды, и произойдет уничтожение данных. Например: «1. Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа. 2. Посмотреть на календарь - если сегодня пятница, попавшая на 13-е число, выкинуть все документы в мусорную корзину» Примерно это и выполняет хорошо известный вирус «Jerusalem» (другое название - «Time»). Кстати, на примере клерка очень хорошо видно, почему в большинстве случаев нельзя точно определить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (с точностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давно в корзине! Из сказанного вытекают три аксиомы: Во-первых, вирусы не возникают сами собой - их создают нехорошие программисты-хакеры и рассылают по сети передачи данных или подкидывают на компьютеры знакомых. Во-вторых: вирус не может сам собой появиться на Вашем компьютере - либо его подсунули на дискетах или даже на компакт-диске, либо Вы его случайно скачали из компьютерной сети, либо вирус жил у Вас в компьютере с самого начала, либо (что самое ужасное) программист-хакер живет у Вас в доме. В третьих: компьютерные вирусы заражают только компьютер и ничего больше, поэтому не надо бояться - через клавиатуру и мышь они не передаются. Научное определение. Первые исследования саморазмножающихся искусственных конструкций проводились в середине нынешнего столетия. В работах фон Неймана, Винера и других авторов дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. С тех пор прошло немало времени, однако строгого определения, что же такое компьютерный вирус, так и не дано, несмотря на то, что попытки дать такое определение предпринимались неоднократно. В толковом словаре по информатике дано следующее определение вируса: Компьютерные вирусы - это класс программ способных к саморазмножению и самомодификации в работающей вычислительной среде и вызывающих нежелательные для пользователей действия. Действия могут выражаться в нарушении работы программ, выводе на экран посторонних сообщений или изображений, порче записей, файлов, дисков, замедлении работы ЭВМ и др. Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и проч.) либо присущи другим программам, которые никоим образом вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения). Кто и почему пишет вирусы? Основную массу вирусов создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения. Такие вирусы пишутся скорее всего только для самоутверждения. Вторую группу составляют также молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Единственная причина, толкающая подобных людей на написание вирусов, это комплекс неполноценности, который проявляет себя в компьютерном хулиганстве. Из-под пера подобных «умельцев» часто выходят либо многочисленные модификации «классических» вирусов, либо вирусы крайне примитивные и с большим числом ошибок (такие вирусы называют «студенческими»). Став старше и опытнее, но так и не повзрослев, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти очень тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных. «Профессиональные» вирусы часто выполнены по технологии «стелс» и(или) являются полиморфик-вирусами, заражают не только файлы, но и загрузочные сектора дисков, а иногда и выполняемые файлы Windows и OS/2. Несколько отдельно стоит четвертая группа авторов вирусов - «исследователи». Эта группа состоит из довольно сообразительных программистов, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают способы внедрения в новые операционные системы, конструкторы вирусов и полиморфик-генераторы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради «исследования» потенциалов «компьютерной фауны». Классификация компьютерных вирусов. Вирусы можно разделить на классы по следующим основным признакам: · среда обитания; · операционная система (OC); · особенности алгоритма работы; · деструктивные возможности. По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на: · файловые; · загрузочные; · макро; · сетевые. Файловые вирусы заражают выполняемые файлы (это наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Загрузочные вирусы заражают загрузочные сектора дисков (boot-сектор), либо главную загрузочную запись (Master Boot Record), либо меняют указатель на активный boot-сектор. Макро-вирусы - разновидность файловых вирусов встраивающиеся в документы и электронные таблицы популярных редакторов. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте. Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты: · резидентность; · использование стелс-алгоритмов; · самошифрование и полиморфичность; · использование нестандартных приемов. РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC. Использование СТЕЛС - алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс -алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик - вирусы (polymorphic) - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик - вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на: безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров. ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ — ОТ ДРЕВНОСТИ ДО НАШИХ ДНЕЙ. Немного археологии. Первый вирус появился где-то в самом начале 70-х или даже в конце 60-х годов, хотя «вирусом» его никто еще не называл. Начало пути. Те, кто начал работать на IBM-PC в середине 80-х, не забыли повальную эпидемию вирусов. Буквы сыпались на экранах, а толпы пользователей неслись к специалистам по ремонту дисплеев (сейчас все наоборот: винчестер сдох от старости, а валят на неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн «Yankee Doodle», но чинить динамики уже никто не бросился - очень быстро разобрались, что это - вирус, да не один, а целый десяток. Так вирусы начали заражать файлы. Вирус «Brain» и скачущий по экрану шарик вируса «Ping-pong» ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилось пользователям IBM-PC, и - появились противоядия. Первым попавшимся мне антивирусом был отечественный ANTI-KOT: это легендарный Олег Котик выпустил в свет первые версии своей программы, которая уничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в стране несколько позднее). Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялись к файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним из первых файловых вирусов-невидимок (стелс) стал вирус «Frodo.4096». Этот вирус при обращении к зараженным файлам через DOS, изменял информацию таким образом, что файл появлялся перед пользователем в незараженном виде. Побольше хлопот доставляли самошифрующиеся вирусы, которые носят название полиморфик-вирусы. Эти вирусы используют другой подход к невидимости: они шифруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных файлов. Полиморфизм - мутация вирусов. Первый полиморфик-вирус появился в начале 90-х годов. К счастью, первый MtE-вирус не попал в «живую природу» и не вызвал эпидемии, а разработчики антивирусных программ, соответственно, имели некоторый запас времени для подготовки к отражению новой напасти. Всего год спустя производство полиморфик-вирусов становится уже «ремеслом», и в 1993 году произошел их «обвал». Для обнаружения этих вирусов приходится использовать специальные методы, к которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе и т.д. Автоматизация производства и конструкторы вирусов. Лень - движущая сила прогресса. Эта народная мудрость не нуждается в комментариях. Но только в середине 1992 года прогресс в виде автоматизации производства дошел и до вирусов. Пятого июля 1992 года объявлен к выпуску в свет первый конструктор вирусного кода для IBM-PC совместимых компьютеров - пакет VCL (Virus Creation Laboratory) версии 1.00. Этот конструктор позволяет генерировать исходные и хорошо откомментированные тексты вирусов (файлы, содержащие ассемблерный текст), объектные модули и непосредственно зараженные файлы. VCL снабжен стандартным оконным интерфейсом. При помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, подключить до десяти эффектов, сопровождающих работу вируса и т.п. Вирусы могут использовать стандартный способ поражения файлов в их конец, или записывать себя вместо файлов, уничтожая их первоначальное содержимое, или являться вирусами-спутниками (международный термин - компаньон-вирусы [companion]). И все сразу стало значительно проще: захотел напакостить ближнему - садись за VCL и, за 10-15 минут настрогав 30-40 разных вирусов, запусти их на неприятельском компьютере(ах). Каждому компьютеру - отдельный вирус! Так проявилась еще одна тенденция в развитии компьютерных вирусов: все большую часть начинают занимать «сконструированные» вирусы, а в ряды их авторов начинают вливаться откровенно ленивые люди, которые сводят творческую и уважаемую профессию вирусописания к весьма заурядному ремеслу. За пределы DOS. В конце 1992 года появился первый вирус для Windows, открывший, таким образом, новую страницу в истории вирусописания. Небольшого размера (менее 1K), совершенно безвредный и нерезидентный вирус вполне грамотно заражал выполняемые файлы нового формата Windows (NewEXE) и своим появлением пробил для вирусов окно в мир Windows. Через некоторое время появились вирусы для OS/2, а в январе 1996 - и первый вирус для Windows95. Коль скоро все существующие DOS-приложения будут замещены их аналогами для Windows, Win95 и OS/2, проблема DOS-вирусов сойдет на нет и оставит после себя лишь теоретический интерес для компьютерного социума. Эпидемия макро-вируса. Год 1995-й, август. Все прогрессивное человечество, компания Microsoft и Билл Гейтс лично празднуют выход новой операционной системы Windows95. На фоне шумного торжества практически незамеченным прошло сообщение о появлении вируса, использующего принципиально новые методы заражения, вируса, заражающего документы Microsoft Word. Честно говоря, это был не первый вирус, заражающий документы Word. До этого момента антивирусные фирмы уже имели на руках первый опытный образец вируса, который переписывал себя из документа в документ. Однако никто не обратил серьезного внимания на этот не вполне удачный эксперимент. В результате практически все антивирусные фирмы оказались не готовыми к последующему развитию событий - эпидемии макро-вируса - и начали спешно предпринимать полу-меры. Например, несколько фирм практически одновременно выпустили в свет документы-антивирусы, действовавшие примерно по тем же принципам, что и вирус, однако уничтожавшие его вместо размножения. Кстати, спешно пришлось править антивирусную литературу - ведь она раньше на вопрос «Можно ли заразить компьютер при чтении файла?» отвечала «Однозначно - нет!» и приводила длинные доказательства этого. Вирус «Concept», в мгновение ока завладел тысячами (если не миллионами) компьютеров. Это неудивительно, ведь передача текстов в формате MS Word стала де-факто одним из стандартов, а для того, чтобы заразиться вирусом, требуется всего-лишь открыть зараженный документ, и все остальные документы, редактируемые в зараженном Word'e также оказываются зараженными. В результате, получив по Internet зараженный файл и прочитав его, пользователь, не зная того сам, оказывался «разносчиком заразы», и вся его переписка (если, конечно же она велась при помощи MS Word) также оказывалась зараженной! Таким образом, возможность заражения MS Word, помноженная на скорость Internet, стала одной из самых серьезных проблем за всю историю существования вирусов. Не прошло и года, как летом 1996-го года появился вирус «Laroux» («Лару»), заражающий таблицы MS Excel. Как и в случае с вирусом «Concept», новый макро-вирус был обнаружен «в природе» практически одновременно в разных фирмах. Кстати, в 1997 году этот вирус стал причиной эпидемии в Москве. Защита от компьютерных вирусов.Основными мерами защиты от вирусов считаются: · резервирование (копирование FAT, ежедневное ведение архивов измененных файлов); · профилактика (раздельное хранение вновь полученных программ и эксплуатирующихся, хранение неиспользуемых программ в архивах, использование специального диска для записи новых программ); · ревизия (анализ вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическая проверка ВООТ-сектора используемых дискет и содержимого системных файлов (прежде всего сommand.com) и др.); · фильтрация (использование специальных сервисных программ для разбиения диска на зоны с установленным атрибутом read only,); · вакцинация (специальная обработка файлов, дисков, каталогов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения, заражена уже программа, диск, ЭВМ или нет, т.е. обманывающих вирус); · лечение (дезактивацию конкретного вируса с помощью специальной программы или восстановление первоначального состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков). Как говорят в медицине болезнь легче предупредить, чем лечить. Наиболее важный принцип, которого следует придерживаться после обнаружения вируса и во время анализа зараженных им программ и действий по их очистке или восстановлению, состоит в следующем: все действия следует выполнять только с защищенной от записи системной дискеты и использовать антивирусные и другие программы предварительно записанные на ней. Выполнение действий по анализу и восстановлению на зараженной операционной системе является грубой ошибкой и может иметь катастрофические последствия. Антивирусные программы предназначены для предотвращения заражения компьютера вирусом и ликвидации последствий заражения. В зависимости от назначения и принципа действия различают следующие антивирусные программы: - сторожа или детекторы – предназначены для обнаружения файлов зараженных известными вирусами, или признаков указывающих на возможность заражения. - доктора – предназначены для обнаружения и устранения известных им вирусов, удаляя их из тела программы и возвращая ее в исходное состояние. Наиболее известными представителями являются Dr.Web, AidsTest, Norton Anti Virus. - ревизоры – они контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю. - резидентные мониторы или фильтры – постоянно находятся в памяти компьютера для обнаружения попыток выполнить несанкционированные действия. В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций. - вакцины – имитируют заражение файлов вирусами. Вирус будет воспринимать их зараженными и не будет внедряться. Чаще всего используются Aidstest Лозинского, Drweb, Dr.Solomon. Полезные советы: 1. Применение комплекса антивирусных программ 2. Необходимо периодическое обновление антивирусных программ 3. Проверка информации поступающей из вне. 4. Периодическая проверка всего компьютера. 5. Осторожность с незнакомыми файлами. Их действия могут не соответствовать названию. В современных антивирусных продуктах используются различные методики обнаружения вирусов: сканирование сигнатур (для борьбы с вирусами, использующими неизменный код), проверка целостности (путём создания и использования базы контрольных сумм файлов), эвристические методы (анализ программы по выявлению таких действий, как форматирование жёсткого диска), полиморфный анализ (в специальной защищённой области), анализ на наличие макровирусов (они распространяются, например, с файлами MS Word, MS Excel, MS Access). Наряду с этоми средствами ряд пакетов содержат дополнительные функции защиты от почтовых вирусов и вирус-модулей ActiveX и Java-аплетов. Некоторые антивирусные пакеты (например, Panda Antivirus Platinum и PC-cillm) блокируют доступ компьютера к подозрительным Web-страницам. Определенным недостатком всех антивирусных пакетов является то, что они сильно загружают систему при работе. Это может проявляться в замедлении работы компьютера, в особенности, если часть модулей активизируются по умолчанию. Избежать большой загрузки процессора и оперативной памяти поможет отключение ряда не слишком необходимых функций сложных мониторингов, оставляя лишь самые простые (например, антивирусный монитор). Наряду с классическими методами борьбы с вирусами появляются инновациионные методы. К примеру, ряд фирм предлагают проверку на вирусы через Интернет, так называемых, «электронных больницах». Из числа последних можно выделить McAfee Clinic. Технология работы следующая. Компьютер пользователя через Интернет проводит программный модуль ActiveX, который берет сигнатуры со специального сайта. В России также оказываются подобные услуги, но в этом случае следует направить зараженный файл или сектор начальной загрузки на сервер компании-производителя антивирусного продукта. Другим современным методом обеспечения антивирусной защиты писем электронной почты считается их автоматическая проверка у Интернет-провайдера. В США уже практикуются подобные меры, которые стали определенным оружием в конкурентной борьбе за клиентов Интернет-провайдеров. Делу борьбы с вирусами также посвящена разработка, так называемой, «иммунной системы». Ее задача состоит в распознавании новых вирусов и автоматической разработке методов борьбы с ними. Данная разработка уже применяется в больших корпоративных сетях, а это значит, что в ближайшие годы инновация найдет применение и в индивидуальных компьютерах. Среди антивирусных программных продуктов можно отметить, прежде всего, пакеты: Norton Antivirus (Symantec), Vims Scan (McAfee), Dr.Solomon AV Toolkit (S&S IntL), AntiVirus (IBM), InocuLAN (Computer Associates) и AntiViral Toolkit Pro (Лаборатория Касперского). Данные программные продукты отвечают требованиям ICSA, отслеживая 300 наиболее распространённых и хотя бы 9 из каждых 10 остальных вирусов. В той или иной степени данные антивирусные программы обладают функциями проверки на вирусы и удаления их в реальном времени, отключения заражённых рабочих станций от сети, определения источника заражения, проверки сжатых файлов в режимах сканирования и реального времени. Кроме того, эти программы позволяют проводить удаленное сканирование ПК с Windows NT и ведут единый журнал событий, a Norton Antivirus и InocuLAN -позволяют также обновлять клиентские программы с сервера и устанавливать уровень загрузки процессора на сервере при фильтрации проходящих сетевых пакетов. По проведенным специалистами исследованиям антивирусных сканеров и резидентных перехватчиков (мониторов) для ОС Windows NT (Windows 2000), были определены лучшие программные продукты. Ими оказались AVP («Лаборатория Касперского»), NAI McAfee VirusScan, Symantec Norton AntiVirus, CA InnoculateIT, Dr Web («ДиалогНаука»), Norman Virus Control, Command AntiVirus и Sophos Anti-Virus. Ряд антивирусных пакетов обладает возможностью проверки различных типов ресурсов Интернет до того, как они пройдут через почтовый шлюз и попадут в корпоративную сеть (HTTP, FTP, SMTP). При этом конфигурация проверки поддерживает различные сценарии для внутреннего и внешнего траффика, направляя защиту от вирусов туда, где она необходима. Проводится проверка и восстановление сообщений электронной почты, вложенных в нее архивов ZIP и MIME -кодированных файлов. Такие системы не требует установки и конфигурации программ на клиентских машинах, пользователи могут не отключать антивирусную защиту, так как прокси- сканером не задействуется. Norton AntiVirus — пакет, предназначенный для защиты компьютера от вирусов во время работы в Интернете, обмена файлами по сети, загрузки файлов с дискет и CD. Программа может автоматически сканировать входящие почтовые сообщения, содержащие различного рода прикрепленные данные, в таких популярных почтовых программах, как MS Outlook, MS Outlook Express, Eudora Pro, Eudora Lite, Netscape Messenger, Netscape Mail. Программа защищает систему от опасных ActiveX-кодов, Java-апплетов и так называемых «троянов», а также определяет и удаляет вирусы из сжатых файлов (в том числе и из многократно сжатых файлов). Поддерживаемые форматы: MIME/UU; LHA/LZH; ARJ; CAB; PKLite; LZEXE; ZIP. Общий вид Norton Antivirus Основные особенности. В версии Norton AntiVirus 2000 для Windows 95/98/2000/NT усовершенствован пользовательский интерфейс. Программа имеет сходный вид с другими продуктами семейства Norton, такими как Norton SystemWorks и NortonUtilities. Как и раньше, Norton AntiVirus дает простые и понятные инструкции о том, что делать, когда обнаружен вирус. Для обнаружения новых и неизвестных вирусов используется передовая технология Bloodhound Heuristic: программы-анализаторы изучают структуру файла, программную логику, инструкции, данные файлов и прочие атрибуты, а затем используют эвристическую логику, чтобы определить вероятность инфицирования. «Чистые» файлы беспрепятственно проходят сквозь этот фильтр, а подозрительные задерживаются. Эта технология обеспечивает очень высокую степень защиты, автоматически определяя и обезвреживая до 95% всех новых и неизвестных вирусов. Улучшены проверка архивов и исправление ошибок: автоматически обнаруживаются вирусы, скрытые в многоуровневых архивах (например, в Zip-файле, находящемся внутри другого Zip-файла). Можно сконфигурировать программу таким образом, чтобы она автоматически выдавала сообщение в том случае, когда обнаружен новый вирус или когда созданы новые методы обезвреживания. Когда антивирусные базы устаревают, программа сама предлагает запустить функцию LiveUpdate. Функции обнаружения вирусов и восстановления зараженных файлов. Программа защищает от вирусов, полученных через Интернет, Intranet, e-mail, содержащихся на дискетах, жестких дисках, CD, сетевых дисках. Функция «Автозащита» обеспечивает постоянную, не требующую больших системных ресурсов фоновую защиту, которая автоматически сканирует файлы во время загрузки, открытия, создания и модификации (только NT) и запуска файлов. Функция «Карантин» позволяет переложить зараженный файл в «безопасную» область. Функция «Сканирование и обезвреживание» (Scan and Deliver) дает возможность отправлять подозрительные файлы в Symantec AntiVirus Research Center (SARC) для изучения. В том случае, если SARC определит, что файл содержит новый, неизвестный ранее вирус, будет создан новый антивирус, и можно будет незамедлительно получить обновление. Технология Striker32 обеспечивает обнаружение вирусов и восстановление данных, поврежденных сложными полиморфными вирусами. Опция LiveUpdate предлагает быстрый и надежный способ для обновления антивирусных баз: достаточно запустить первую сессию LiveUpdate во время инсталляции и составить график, по которому будут автоматически запускаться все последующие сессии. Если учесть, что ежедневно обнаруживается порядка 10-15 новых вирусов, необходимость функции LiveUpdate становится очевидной. Поддержка микроопределений при обновлении позволяет загружать только новые описания вирусов, что значительно ускоряет процесс обновления. Программа предлагает еженедельное обновление антивирусных баз, обеспечивая защиту от самых последних вирусов. Антивирусный пакет AVP, является расширенной версией известного антивирусного комплекта «Доктор Касперский». Комплекс содержит программу-фаг, тестирующую и восстанавливающую файлы и загрузочные сектора дисков, поврежденные вирусами. В процессе работы программы производится тестирование на неизвестные вирусы. Также в комплект входит резидентная программа, отслеживающая подозрительные действия, совершаемые на компьютере, и дающая возможность просматривать карту памяти. Специальный набор утилит помогает обнаруживать новые вирусы и разбираться в них. В стандартную поставку антивирусного комплекта АО «ДиалогНаука» входят четыре программных продукта: еженедельно обновляемый полифаг Aidstest, ревизор диска ADinf, лечащий блок ADinf Cure Module и программа Doctor Web, отслеживающая и уничтожающая сложношифруемые и полиморфные вирусы. В расширенный вариант поставки комплекта входит аппаратный комплекс Sheriff, гарантированно предотвращающий на аппаратном уровне проникновение вирусов в систему. Наиболее популярным средством против вирусов является, как известно, Aidstest, но, используя его, всегда надо помнить, что он предохраняет только от вирусов, с которыми он уже знаком. Для обеспечения большей безопасности использование Aidstest необходимо сочетать с повседневным использованием ревизора диска Adinf. Ревизор ADinf позволяет обнаружить появление любого вируса, включая Stealth-вирусы, вирусы-мутанты и неизвестные на сегодняшний день вирусы. При установленной программе ADinf Cure Module (лечащий блок ревизора ADinf) можно немедленно удалить до 97% из них. ADinf берет под контроль все участки винчестера, куда возможно проникновение вируса. Такой способ проверок полностью исключает маскировку Stealth-вирусов и обеспечивает весьма высокую скорость проверки диска. Расширение ревизора ADinf — программа ADinf Cure Module (файл ADinfExt.exe) дополнительно поддерживает небольшую базу данных, описывающую файлы, хранящиеся на диске. В случае обнаружения вируса она позволяет немедленно и надежно вылечить машину. Doctor Web борется с известными программе полиморфными вирусами. Кроме того, Doctor Web может проводить эвристический анализ файлов в целях выявления неизвестных вирусов, в том числе сложношифруемых и полиморфных вирусов. Успех такого анализа — в среднем 82%. Программа может распаковывать и проверять исполняемые файлы, обработанные архиваторами LZEXE, PKLite и Diet. |