Компьютерные вирусы и антивирусные средства

Компьютерный вирус — это программа, ориентированная на существование и размножение в файле за счет его несанкционированного изменения, т.е. заражения, а также выполнения нежелательных действий на компьютере. Она может размножаться, внедряясь в другие программы во время запуска инфицированной программы на выполнение. Действие вируса может быть разрушительным или проявляться в виде помехи.

Вирус начинает вредить или сразу же после внедрения (загрузки в память инфицированной программы), или при наступлении определенного события.

Первые случаи заражения были обнаружены в 1987 г., и в настоящее время насчитываются сотни тысяч вирусов.

Действия вирусов могут проявляться следующим образом:

§ уменьшается объем доступной оперативной памяти;

§ изменяются размеры, содержание и количество файлов;

§ изменяется дата и время модификации файлов;

§ замедляется работа компьютера;

§ на экран выводятся непредусмотренные сообщения и изображения или подаются непредусмотренные звуковые сигналы;

§ неправильно работают прикладные программы;

§ происходят частые «зависания» и сбои компьютера;

§ и др.

Компьютерные вирусы можно классифицировать по различным признакам.

По среде обитания вирусы делятся на следующие:

§ сетевые — распространяются по компьютерным сетям (в настоящее время это наиболее распространенный тип вирусов, которые передаются чаще всего в виде присоединенных файлов почтовых сообщений);

§ файловые — заражают программные файлы;

§ загрузочные — внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;

§ файлово-загрузочные — заражают как файлы, так и загрузочные сектора дисков;

§ макровирусы — заражают файлы документов офисных пакетов (в частности, Microsoft Office), которые используют возможности макроязыков.

Макровирусы являются разновидностью скрипт-вирусов, которые привязаны к каким-либо «встроенным» языкам программирования.

По способу запуска (заражения) вирусы делятся на следующие:

§ резидентные, остающиеся после завершения выполнения инфицированной программы в оперативной памяти до выключения или перезагрузки компьютера, выполняя при этом разрушительные действия и многократно заражая программные файлы;

§ нерезидентные, запускающиеся на выполнение после загрузки инфицированной программы однократно (активные непродолжительное время) и не заражающие память компьютера.

По степени воздействия вирусы делятся на следующие:

§ неопасные — уменьшают память, дают звуковые или графические эффекты, но не мешают работе компьютера;

§ опасные — приводят к нарушениям в работе компьютера;

§ очень опасные — уничтожают данные, стирают информацию в системной области диска.

По способу маскировки вирусы делятся на следующие:

§ самошифрующиеся — имеют большую часть вируса в зашифрованном виде;

§ невидимые («стелс-вирусы») — присутствуют в оперативной памяти или в программах, но обнаружить и обезвредить их очень трудно, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Эти вирусы могут удалить свое тело из файла-вирусоносителя при его чтении с диска или вместо истинного размера файла, увеличенного вследствие внедрения вируса в этот файл, выдать уменьшенный (оригинальный) размер инфицированного файла;

§ мутирующие — со временем автоматически видоизменяются (мутируют), что затрудняет их поиск, обнаружение и разработку антивирусных средств;

§ не маскирующиеся.

Существуют также квазивирусные программы, которые так же, как и вирусы, наносят вред, но отличаются способом распространения. К ним можно отнести троянские программы и программы репликаторы («черви»).

Троянские программы («трояны», «троянцы», «троянские кони») маскируются под программы или игры, при запуске которых дополнительно производят запрограммированные в них действия. Основное отличие их от вирусов в том, что вирусы самодостаточны, а трояны должны «связываться» со своим автором. Сегодняшние троянцы воруют пароли для доступа в Интернет и другую конфиденциальную информацию (пароли, номера кредитных карт и т.п.) и пересылают ее «хозяину» либо устанавливают различные сервера для удаленного доступа. В Интернете легко подцепить «троянские звонилки», которые автоматически звонят на номера, за «разговор» по которым абонент платит дополнительные деньги.

Программы-репликаторы («черви») распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Сами они разрушительных действий не производят, но они могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов.

Основными источниками заражения вирусами и вирусоподобными программами являются электронная почта, Интернет, локальная сеть, накопители (flash, диски).

Существуют три меры защиты от компьютерных вирусов:

– профилактика — перекрытие путей проникновения, исключение возможности заражения;

– диагностика — обнаружение вирусов;

– лечение — удаление вирусов и восстановление поврежденных файлов.

Главные направления профилактики заражения вирусами:

1. Периодическая проверка дисков на наличие вирусов с использованием свежих версий антивирусных программ.

2. Проверка поступающих извне данных.

3. Копирование информации и жесткое разграничение доступа.

Для предотвращения заражения, диагностики и лечения (ликвидации последствий заражения вирусом) предназначены антивирусные программы.

Хорошая антивирусная программа должна обладать следующими возможностями:

§ обеспечивать эффективную защиту в режиме реального времени. Резидентная часть (монитор) программы должна постоянно находиться в оперативной памяти и производить проверку всех файловых операций (при создании, редактировании, копировании файлов, запуске их на исполнение), сообщений электронной почты, данных и программ, получаемых из Интернета;

§ позволять проверять все содержимое локальных дисков «по требованию», запуская проверку вручную или автоматически по расписанию;

§ защищать ваш компьютер даже от неизвестных вирусов: программа должна включать в себя технологии поиска неизвестных вирусов, основанные на принципах эвристического анализа;

§ уметь проверять и лечить архивированные файлы;

§ давать возможность регулярно (ежедневно!) обновлять антивирусные базы.

При обнаружении вируса антивирусная программа (в зависимости от настройки) производит следующие действия:

§ только выдает отчет;

§ лечит зараженные файлы (если вылечить невозможно, то удаляет зараженные файлы либо перемещает зараженные файлы или запрашивает пользователя о дальнейших действиях);

§ сразу удаляет зараженные файлы.

Рекомендуется устанавливать режим — «лечить зараженные файлы; если вылечить невозможно, запрашивать пользователя о дальнейших действиях».

Среди антивирусных средств можно отметить: MSAV фирмы Microsoft, VirusScan от фирмы McAfee, Norton Antivirus от Symantec, NOD32 от Eset, AIDSTEST Д. Лозинского, Doctor Web (Dr.Web) И. Данилова и В. Лутовинова, AntiViral Toolkit Pro (AVP) и AVP for Novell NetWare (AVPN) Е. Касперовского и другие. «Вирусные базы» этих программ постоянно обновляются.

Разрабатываются также специальные антитроянские утилиты, как, например: Trojan Remover от компании Simply Super Software и Tauscan от компании Agnitum.

В качестве примера возможностей антивирусных программ можно привести следующие.

Программа Norton AntiVirus автоматически защищает от вирусов, злонамеренных программ ActiveX, апплетов Java при пользовании Internet и работе с дискетами, CD или сетью, проверяет входящие приложения в самых распространенных программах электронной почты, обнаруживает вирусы и лечит сжатые файлы. Norton AntiVirus 2003 автоматически удаляет опасные программные коды, а также защищает от вирусов вложения в сообщениях и электронных письмах, гарантирует максимальный уровень безопасности благодаря возможности постоянного автоматического обновления антивирусных баз и созданию всесторонней защиты пользователей от проникновения опасных программных кодов.

Программа Norton AntiVirus обеспечивает:

§ поиск и уничтожение десятков тысяч известных вирусов;

§ поиск и уничтожение макровирусов и полиморфных вирусов (мутантов);

§ обнаружение неизвестных вирусов и некоторых «троянских» модулей;

§ бесплатное ежемесячное обновление вирусных баз;

§ постоянный контроль проникновения вирусов и вирусоподобной деятельности, выполняемый в фоновом режиме работы операционной системы;

§ проверку на вирус сетевых и сжатых дисков;

§ автоматическую проверку на вирус дискет, CD и DVD дисков, Flash-накопителей и т.п. при обращении к ним;

§ перехват сообщений и обработку электронной почты на полпути к почтовому ящику, а также проверку исходящей почты;

§ и др.

Программа Norton AntiVirus распространяется и как отдельная программа и в составе известных утилитных пакетов от Symantec: Norton System Works и Norton Internet Security Professional.

Компания ESET — международный разработчик программного обеспечения в области компьютерной безопасности, предлагает антивирусные решения семейства NOD32 для защиты компьютеров, серверов и сетей от широкого круга угроз, связанных с вредоносным кодом: включая вирусы, троянские программы (трояны), черви, шпионские программы, рекламные программы, phishing-атаки, руткиты.

Среди других ведущих антивирусных пакетов NOD32 отличается малым использованием системных ресурсов. Имеет очень мощный эвристический анализатор, позволяющий с большой точностью выявлять неизвестные вирусы, а также не менее мощный и надежный встроенный виртуальный эмулятор для обнаружения полиморфных вирусов.

Некоторые производители антивирусных программ выпускают утилиты, позволяющие производить проверку и лечение без установки антивирусной программы или отдельные модули-сканеры, блокирующие подозрительные файлы на подключаемых устройствах. Например, утилита Dr.Web CureIt! на основе сканера Dr.Web — быстро и эффективно проверяет и лечит без установки антивируса Dr.Web. Она содержит самый последний набор дополнений к вирусной базе Dr.Web и обновляется один или несколько раз в час. Dr.Web CureIt! определяет и удаляет: