КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Компьютерные вирусы. Методы защиты от компьютерных вирусов. Антивирусные программы
ЛЕКЦИЯ 19
Защита от компьютерных вирусов. Определение компьютерного вируса. Авторы вирусных программ. Классификация компьютерных вирусов. Методы обнаружения и удаления компьютерных вирусов. Комплекс боязни вирусов. Основные методы защиты от компьютерных вирусов. Источники заражения. Основные правила защиты. Проблема защиты от макровирусов. Антивирусные программы. Критерии оценки антивирусных программ. Антивирусные программы ведущих разработчиков, наиболее известные в России. Антивирусные программы компании «Лаборатория Касперского» для домашнего пользователя. Антивирус Касперского Personal/Реrsonal Pro для среднего и малого бизнеса. Компания 3AO «ДИАЛОГНАУКА» для малого и среднего бизнеса. Doctor Web для Windorvs 95/98/Ме/ХТ/2000/ХР. Антивирусная защита домашнего ПК и рабочих станций. Действия при заражении вирусом. Лечение компьютера. Лечение дисков. Профилактика против заражения вирусом
Защита от компьютерных вирусов
Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации.
Факт возникновения компьютерных вирусов поставлен в один ряд с исследованиями космоса, атомного ядра и развитием электроники. Это можно объяснить следующим.
Во-первых, компьютерные вирусы – серьезная и довольно заметная проблема, возникновения которой никто не ожидал. Даже всевидящие фантасты-футурологи прошлого ни разу не упомянули о ней.
Тема вируса в произведениях писателей появилась уже после того, как первый реальный вирус поразил первый компьютер.
Во-вторых, компьютерные вирусы – это первая вполне удачная попытка создать искусственную жизнь. Попытка удачная, но нельзя сказать, что полезная, современные компьютерные «микроорганизмы» более всего напоминают насекомых-вредителей, приносящих только проблемы и неприятности.
Но все-таки – жизнь, поскольку компьютерным вирусам присущи все атрибуты живого: способность к размножению, движению, приспособляемость к среде и т. д. (естественно, только в пределах компьютеров, так же как все вышесказанное верно для биологических вирусов в пределах клеток организма). Более того, существуют «двуполые» вирусы (см. вирус RMNS), а примером «многоклеточности» могут служить, например, макровирусы, состоящие из нескольких независимых макросов.
И, в-третьих, тема вирусов стоит несколько особняком от всех остальных задач, решаемых при помощи компьютера (забудем о таких специфичных задачах, как взлом защиты от копирования и криптография). Практически все проблемы, решаемые при помощи вычислительной техники, являются продолжением целенаправленной борьбы человека с окружающей его природой. Человек решает задачи, которые ставит ему природа, привлекая для этого самые разнообразные средства, в том числе и ЭВМ.
А вот борьба с компьютерными вирусами является борьбой человека с человеческим же разумом (в некотором смысле тоже проявлением природных сил, хотя на этот счет имеется более одного мнения). Эта борьба является борьбой умов, поскольку задачи перед вирусологами ставят такие же люди. Они придумывают новый вирус, с ним разбираются. Затем они придумывают вирус, в котором разобраться очень тяжело. И опять идет поиск путей его нейтрализации.
Определение компьютерного вируса
Специалистам не представляется возможным дать точное определение компьютерного вируса и провести четкую грань между программами по принципу «вирус – невирус».
Следует отметить два фактора.
Во-первых: Вирусы не возникают сами собой – их создают программисты-хакеры и рассылают, затем по сети передачи данных или подкидывают на компьютеры знакомых. Вирус не может сам собой появиться на вашем компьютере: либо его подсунули на дискетах или даже на компакт-диске, либо вы его случайно «скачали» из компьютерной сети передачи данных, либо вирус жил у вас в компьютере с самого начала.
Во-вторых: компьютерные вирусы заражают только компьютер и ничего больше, поэтому не надо бояться – через клавиатуру и мышь они не передаются.
Вирус – саморазмножающаяся искусственная конструкция
Первые исследования саморазмножающихся искусственных конструкций проводились в середине 20 века. В работах фон Неймана, Винера и других авторов дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин «компьютерный вирус» появился позднее, официально считается, что его впервые употребил сотрудник Лехайского университета (США) Ф. Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. С тех пор прошло немало времени, острота проблемы вирусов многократно возросла, однако строгого определения, что же такое компьютерный вирус, так и не дано, несмотря на то, что многие пытались это сделать неоднократно.
Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и пр.) либо присущи другим программам, которые никоим образом вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения).
Например, если в качестве отличительной характеристики вируса принимается скрытность, то легко привести пример вируса, не скрывающего своего распространения. Такой вирус перед заражением любого файла выводит сообщение, гласящее, что в компьютере находится вирус и этот вирус готов поразить очередной файл, затем выводит имя этого файла и запрашивает разрешение пользователя на внедрение вируса в файл.
Если в качестве отличительной черты вируса приводится возможность уничтожения им программ и данных на дисках, то в качестве контрпримера к данной отличительной черте можно привести десятки совершенно безобидных вирусов, которые кроме своего распространения ничем больше не угрожают.
Основная же особенность компьютерных вирусов – возможность их самопроизвольного внедрения в различные объекты ОС – присуща многим программам, которые не являются вирусами.
Таким образом, первой из причин, не позволяющих дать точное определение вирусу, является невозможность однозначно выделить отличительные признаки, соответствующие только вирусам.
Вторая же трудность, возникающая при формулировке определения компьютерного вируса, – то, что данное определение должно быть привязано к конкретной Операционной Системе, в которой этот вирус распространяется. Теоретически могут существовать операционные системы, где наличие вируса просто невозможно, например системы, в которых запрещено создавать и изменять области выполняемого кода.
Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом.
Примечание: Обязательное (необходимое) свойство компьютерного вируса – возможность создавать свои дубликаты (не всегда совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Авторы вирусных программ
Основную их массу создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения. Такие вирусы пишутся, скорее всего, только для самоутверждения.
Вторую группу составляют также молодые люди (чаще – студенты), еще не полностью овладевшие искусством программирования, но уже решившие посвятить себя написанию и распространению вирусов. Единственная причина, толкающая подобных людей на написание вирусов, – комплекс неполноценности, который проявляет себя в компьютерном хулиганстве. Они создают либо многочисленные модификации «классических» вирусов, либо вирусы крайне примитивные и с большим числом ошибок. Создание программ – конструкторов вирусов, при помощи которых можно создавать новые вирусы даже при минимальных знаниях об ОС и ассемблере или вообще, не имея о них никакого представления. Еще проще для них все стало после появления макровирусов, поскольку вместо сложного языка Ассемблер для написания макровирусов достаточно изучить довольно простой Бейсик.
Третья, наиболее опасная группа создает и запускает в мир «профессиональные» вирусы. Эти очень тщательно продуманные и отлаженные программы создаются профессиональными, часто весьма талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных. «Профессиональные» вирусы часто выполнены по технологии «стелс» и (или) являются полиморфик-вирусами, заражают не только файлы, но и загрузочные сектора дисков, а иногда и выполняемые файлы Windows и OS/2.
Несколько отдельно стоит четвертая группа авторов вирусов – «исследователи». Эта группа состоит из довольно сообразительных программистов, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые ОС, конструкторы вирусов и полиморфик - генераторы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциала «компьютерной фауны».
Часто авторы подобных вирусов не запускают свои творения в жизнь, однако очень активно пропагандируют свои идеи через многочисленные электронные издания, посвященные созданию вирусов. При этом опасность от таких «исследовательских» вирусов не падает, так как, попав в руки «профессионалов» из третьей группы, новые идеи очень быстро реализуются в новых вирусах.
Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим основным признакам:
· среда обитания;
· операционная система (ОС);
· особенности алгоритма работы;
· деструктивные возможности.
В зависимости от среды обитания вирусы можно разделить на:
· файловые;
· загрузочные;
· макровирусы;
· сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (вирусы-компаньоны), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макровирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют «стелс-» полиморфик-технологии. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС – DOS, Windows, Win95/NT, OS/2 и т. д. Макровирусы заражают файлы форматов Word, Excel, Office 97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
Среди особенностей алгоритма работы вирусов выделяются следующие:
· резидентность;
· использование «стелс»-алгоритмов;
· самошифрование и полиморфичность;
· использование нестандартных приемов.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Резидентными можно считать макровирусы, поскольку они также присутствуют в памяти компьютера в течение всего времени работы зараженной редактора. При этом роль ОС берет на себя редактор, а понятие «перезагрузи операционной системы» трактуется как выход из редактора.
Использование «стелс»-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным «стелс»-алгоритмом является перехват запросов ОС на чтение-запись зараженных объектов и затем «стелс»-вирусы либо временно лечат их, либо подставляют вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов. Один из первых файловых «стелс»-вирусов – вирус Frodo, первый загрузочный «стелс»-вирус – Brain.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы достаточно трудно поддаются обнаружению; они не имеют сигнатур, т. е. не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы – расшифровщика.
По деструктивным возможностям вирусы можно разделить на:
· безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
· неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
· опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
· очень опасные – в алгоритм их работы заведомо заложены процедуры которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов – вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус в полной мере нельзя назвать безвредным, так как его проникновение в компьютер может вызвать непредсказуемые последствия.
Методы обнаружения и удаления компьютерных вирусов
Комплекс боязни вирусов
У многих пользователей персональных компьютеров из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати создается своеобразный комплекс боязни вирусов («вирусофобия»). Этот комплекс имеет два проявления.
1. Склонность приписывать любое повреждение данных или необычное явление на компьютере действию вирусов. Например, если у «вирусофоба» не форматируется дискета, то он объясняет это не дефектами дискеты или дисковода, а действием вирусов. Если на жестком диске появляется сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования, чем действием вирусов.
2. Преувеличенные представления о возможностях вирусов. Некоторые пользователи думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров, объединенных в сеть, или даже просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приведет к заражению остальных.
Вирусофобия вовсе не так уж безобидна, как это может показаться на первый взгляд. Она приводит, например, к следующим последствиям.
1. Принятие неадекватных мер при появлении вируса или даже при подозрении на наличие вируса. Известен случай, когда в организации по приказу начальства были переформатированы жесткие диски на полусотне компьютеров из-за сообщений программы Aidstest о том, что в оперативной памяти находится что-то похожее на вирус. Никакие доводы специалистов, что к таким мерам прибегать нет необходимости, услышаны не были. В спешке были потеряны сотни человеко-дней работы и множество важных документов. А потом оказалось, что никакого вируса вообще не было, а Aidstest «ругался» на русификатор Microsoft Word фирмы «ПараГраф». Кстати, в более новой версии Aidstest никаких сообщений по поводу этого русификатора уже не выдавалось.
2. Неоправданная изоляция от окружающего мира из-за боязни заражения вирусами.
Лучшим лекарством от вирусофобии является знание того, как работают вирусы, чего они могут и чего они не могут. Вирусы являются обычными программами и не могут совершать никаких сверхъестественных действий.
Для того чтобы компьютер заразился вирусом, необходимо, чтобы на нем хотя бы один раз была выполнена программа, содержащая вирус. Поэтому первичное заражение компьютера вирусом может произойти в одном из следующих случаев:
· на компьютере была выполнена зараженная программа типа *.COM, *.EXE, *.BAT или зараженный модуль оверлейной программы;
· компьютер загружался с дискеты, содержащий зараженный загрузочный сектор;
· на компьютере был установлен зараженный драйвер устройства;
· открывались для просмотра в соответствующей среде документы зараженные макровирусом.
Отсюда следует, что нет, никаких оснований бояться заражения компьютера вирусом, если на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер «здоров», то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации это копирование зараженного файла: при этом его копия, разумеется, тоже будет «заражена», но ни компьютер, ни какие-то другие файлы заражены не будут.
Основные методы защиты от компьютерных вирусов
Для защиты от вирусов можно использовать:
· общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
· профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
· специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вируса. Имеются две разновидности этих средств:
· копирование информации – создание копий файлов и системных областей дисков;
· разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Профилактика вирусного заражения
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика предполагает соблюдение некоторых правил, позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных. Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети.
Источники заражения
Глобальные сети – электронная почта.
Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word. Пользователь зараженного макровирусом редактора рассылает зараженные письма адресатам, а они, в свою очередь, отправляют новые зараженные письма.
Нередки случаи, когда зараженный файл-документ или таблица Excel по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании – тогда заражению подвергаются тысячи пользователей.
Электронные конференции, файл-серверы ftp и BBS
Файл-серверы общего пользования и электронные конференции также служат одним из основных источников распространения вирусов. Зараженные файлы «закладываются» автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно. Эти файлы маскируются под новые версии программного обеспечения или под новые версии антивирусов.
Локальные сети
Третий путь заражения – локальные сети. Зараженная рабочая станция при входе в сеть заражает служебные файлы, различное программное обеспечение, установленное на сервере, стандартные документы-шаблоны и т.д.
Пиратское программное обеспечение
Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных зон риска. Часто пиратские копии на дискетах и дал» на CD-ROM содержат файлы, зараженные самыми разнообразными типам вирусов.
Персональные компьютеры общего пользования
Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную «заразу» при «скачивании» данных с этого ПК получат и дискеты всех остальных студентов, работающих на этом компьютере. То же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда дети-студенты, работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус попадает в компьютерную сеть фирмы, где работают родители.
Ремонтные службы
Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре.
Основные правила защиты
Правило первое. Крайне осторожно относитесь к программам и документ Word/Excel 97, которые получаете из глобальных сетей. Перед тем как запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте их на наличие вирусов. Используйте специализированные антивирусы – для проверки на лету всех файлов, приходящих по электронной почте (и по Internet в целом). K сожалению не все антивирусы достаточно надежно ловят вирусы в приходящих из Internet файлах.
Правило второе – защита локальных сетей. Для уменьшения риска заразить файл на сервере администраторам сетей следует активно использовать стандартные возможности защиты сети: ограничение прав пользователей, установку атрибутов "только на чтение" или даже "только на запуск' для всех выполняемых файлов и т. д. При запуске нового программного обеспечения его целесообразно проверить на автономном компьютере.
Правило третье. Лучше покупать дистрибутивные копии программного обеспечения (ПО) у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников или покупать пиратские копии. При этом значительно снижается вероятность заражения, хотя известны случаи покупки инфицированных дистрибутивов. Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий ПО (в том числе копий операционной системы), причем копии желательно хранить на защищенных от записи дискетах.
Правило четвертое. Старайтесь не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно использовать программы только из надежных источников. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами.
Желательно также, чтобы при работе с новым программным обеспечением (ПО) в памяти резидентно находился какой-либо антивирусный монитор. Если запускаемая программа заражена вирусом, то такой монитор поможет обнаружить вирус и остановить его распространение.
Правило пятое. Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т. д.). Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие может служить сигналом о появлении вируса или «троянской» программы.
Правило шестое. Периодически сохраняйте файлы, с которыми ведется работа, на внешнем носителе, т. е. делайте резервные копии (backup-копии). Затраты на копирование файлов, содержащих исходные тексты программ, базы данных, документацию, значительно меньше затрат на восстановление этих файлов при проявлении вирусом агрессивных свойств или при сбое компьютера. При наличии стримера или какого-либо другого внешнего носителя большого объема имеет смысл копировать все содержимое винчестера. Но поскольку времени на создание подобной копии требуется значительно больше, чем сохранение только рабочих файлов, имеет смысл делать такие копии реже.
Прочие правила. Если нет нужды каждый день грузить систему с дискеты, поставьте в BIOS Setup порядок загрузки «сначала - С:, потом - А:». Это надежно защитит компьютер от загрузочных вирусов. Не обольщайтесь встроенной в BIOS защитой от вирусов, она достаточно просто обходится многими вирусами. То же верно для систем антивирусной защиты, встроенных в Word и Office: они могут быть отключены вирусом (или самим пользователем, поскольку эти системы могут сильно мешать в работе).
Проблема защиты от макровирусов
Поскольку проблема макровирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами, на ней следует остановиться подробнее. Существует несколько приемов и встроенных в Word и Excel функций направленных на предотвращение запуска вируса. Наиболее действенно из них является защита от вирусов, встроенная в Word и Excel (начиная с версий 7.00). Эта защита при открытии файла, содержащего любой макрос сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но он даже не виден средствами Word и Excel.
Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от невируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает, некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее.
Существуют и другие методы противодействия вирусам, например функция DisableAutoMacros, однако она не запрещает выполнение прочих макросов и блокирует только те вирусы, которые для своего распространения пользуют один из автомакросов.
Запуск Word с опцией /М (или с нажатой клавишей Shift) отключает только один макрос – AutoExec – и таким образом также не может служить надежной защитой от вируса.
Антивирусные программы
Критерии оценки антивирусных программ
Наиболее эффективны в борьбе с компьютерными вирусами – антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как-либо недобросовестную рекламу, либо как непрофессионализм. Таких систем не существует, поскольку любому алгоритму антивируса всегда можно противопоставить контр алгоритм вируса, невидимого для этого антивируса. Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства – Фред Коэн.
Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ.
Ложное срабатывание (False positive) – детектирование вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин – False negative, т. е. недетектирование вируса в зараженном объекте.
Сканирование по запросу (on-demand) – поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler).
Сканирование на лету (real-time, on-the-fly) – постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т. п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя.
Качество антивирусной программы определяется по следующим позициям, приведенным в порядке убывания их важности.
1. Надежность и удобство работы – отсутствие зависаний антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов документов/таблиц (MS Word, Excel, Of6ce 97), упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. Для сканеров, как следствие, важной является также периодичность появления новых версий.
3. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows 95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т. д.), присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий с возможностью администрирования сети.
4. Скорость работы и прочие полезные особенности, функции.
Надежность работы антивируса является наиболее важным критерием, поскольку даже абсолютный антивирус может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца и не проверит часть дисков и файлов и, таким образом, оставит вирус незамеченным в системе. Если же антивирус требует от пользователя специальных знаний, то он также окажется бесполезным, большинство пользователей просто проигнорируют сообщения антивируса и нажмут ОК либо Cancel случайным образом, в зависимости от того, к какой кнопке ближе находится курсор мыши в данный момент. Ну, а если антивирус будет чересчур часто задавать сложные вопросы рядовому пользователю, то, скорее всего, он (пользователь) перестанет обращаться к такому антивирусу или удалит его с диска.
Качество детектирования вирусов стоит следующим пунктом по вполне естественной причине: антивирусные программы потому и называются антивирусными, что их прямая обязанность – ловить и лечить вирусы. Антивирус бесполезен, если он не в состоянии ловить вирусы или делает это не вполне качественно. Например, если антивирус не детектирует 100% какого-либо полиморфного вируса, то при заражении системы этим вирусом такой антивирус обнаружит только часть (допустим, 99%) всех зараженных на диске файлов. Необнаруженным останется всего 1%, но когда вирус снова проникнет в компьютер, то антивирус опять обнаружит 99%, но уже не от всех файлов, а только от вновь зараженных. В результате на диске будет заражено уже 1,99% файлов. И так далее, пока все файлы на диске не будут заражены при полном молчании антивируса.
Поэтому качество детектирования вирусов является вторым по важности критерием «качества» антивирусной программы, более важным, чем многоплатформенность, наличие разнообразного сервиса и т. д.. Однако если при этом антивирус с высоким качеством детектирования вирусов вызывает большое количество ложных срабатываний, то его уровень полезности падает, поскольку пользователь вынужден либо уничтожать незараженные файлы, либо самостоятельно производить анализ подозрительных файлов, либо привыкает к частым ложным срабатываниям – перестает обращать внимание на сообщения антивируса и в результате пропускает сообщение реальном вирусе.
Многоплатформенность антивируса является следующим пунктом в списке, поскольку только программа, рассчитанная на конкретную ОС, может полностью использовать функции этой системы. Одноплатформенные антивирусы то оказываются неработоспособными, а иногда даже разрушительными. Например, вирус OneHalf поразил компьютер с установленными на нем Windows 95 или Windows NT. Если для расшифровки диска (данный вирус шифрует секторы диска) воспользоваться DOS-антивирусом, то результат может оказаться плачевным: информация на диске будет безнадежно испорченной, поскольку Windows 95/NT не позволит антивирусу пользоваться прямыми вызовами чтения/записи секторов при расшифровке секторов.
Возможность проверки файлов на лету также является достаточно важной чертой антивируса. Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет является практически 100%-ной гарантией от заражения вирусом, если, конечно, антивирус в состоянии детектировать этот вирус. Очень полезными являются антивирусы, способные постоянно следить за «здоровьем» серверов – Novell NetWare, Windows NT, а в последнее время, после массового распространения макровирусов, и за почтовыми серверами, сканируя входящую/исходящую почту. Если же в серверном варианте антивируса присутствует возможность антивирусного администрирования сети, то его ценность еще более возрастает.
Следующим по важности критерием является скорость работы. Если на полную проверку компьютера требуется несколько часов, то вряд ли большинство пользователей будут запускать его достаточно часто. При этом медленность антивируса совсем не говорит о том, что он ловит вирусов больше и делает это лучше, чем более быстрый антивирус. В разных антивирусах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой – медленным и менее качественным. Все зависит от способностей и профессионализма разработчиков конкретного антивируса.
Наличие дополнительных функций и возможностей стоит в списке качеств антивируса на последнем месте, поскольку очень часто эти функции никак не сказываются на уровне полезности антивируса. Однако эти дополнительные функции значительно упрощают жизнь пользователя и, может быть, даже побуждают его запускать антивирус почаще.
Антивирусные программы ведущих разработчиков,
наиболее известные в России
Антивирусные программы компании «Лаборатория Касперского»
|
|
Дата добавления: 2014-01-06; Просмотров: 5554; Нарушение авторских прав?; Мы поможем в написании вашей работы!