Защита информации от вирусных атак
Говоря о безопасности информации, мы пока не затрагивали проблему компьютерных вирусов, поскольку борьба с вирусами — это тема отдельного разговора.
Точного научно-технического определения этого явления до сих пор не существует. Можно сказать, что компьютерный вирус — это специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера. Действия вируса зависят от фантазии, квалификации и нравственных принципов его создателя.
Характеры вирусов в какой-то мере отражают сущность их творцов — иногда это простые, шутливые и безобидные программы, но встречаются и чрезвычайно коварные, агрессивные и разрушительные экземпляры. Их названия говорят сами за себя: «Марихуана», «Террорист», «Киллер», «Захватчик».
В настоящее время насчитывается уже свыше 50 тыс. различных вирусов и ежемесячно появляется до 300 новых экземпляров. В России издана вирусная энциклопедия, содержащая описание десятков тысяч компьютерных вирусов и даже демонстрацию эффектов, производимых ими.
Классификация компьютерных вирусов.
Компьютерные вирусы можно классифицировать по следующим признакам:
1) по среде обитания:
• сетевые — распространяются по различным сетям;
• файловые — внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения СОМ и ЕХЕ. Могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах они не получают управление, а следовательно, теряют способность к размножению;
• загрузочные — внедряются в загрузочный сектор диска (Boot-сектор);
• файлово-загрузочные — заражают файлы и загрузочные сектора дисков;
2) по способу заражения:
• резидентные вирусы — при заражении (инфицировании) компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Являются активными вплоть до выключения или перезагрузки компьютера;
• нерезидентные вирусы — не заражают память компьютера и являются активными ограниченное время;
3) по степени воздействия:
• неопасные — не мешают работе компьютера, но уменьшают объем оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
• опасные — могут привести к различным нарушениям в работе компьютера;
• очень опасные — их воздействие может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска;
4) по особенностям алгоритма:
• простейшие вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;
• вирусы-репликаторы (черви) — распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии;
• вирусы-невидимки (стелс-вирусы) — очень трудно обнаружить и обезвредить, так как они перехватывают обращение операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска;
• вирусы-мутанты — содержат алгоритмы шифровки — расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов;
• квазивирусные или троянские вирусы — программы, которые, хотя и не способны к самораспространению, но очень опасны, так как маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус.
Для обнаружения, удаления вирусов и защиты от них разработано несколько видов специальных антивирусных программ.
Классификация антивирусных программ.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры (последовательность байтов, которая вполне определенно его характеризует) в оперативной памяти и в файлах и при обнаружении выдают соответствующие сообщения.
Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора (фаги), а также программы-вакцины не только находят зараженные вирусами файлы, возвращая файлы в исходное состояние.
В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известны программы Norton Antivirus, DrWeb, Антивирус Касперского.
Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаружение изменения выводится на экран монитора.
Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие материалы. Эти программы имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов: попытка коррекции файлов с расширениями СОМ и ЕХЕ; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы. При попытке вирусной атаки «сторож» посылает сообщение и предлагает запретить или разрешить соответствующие действия. Эти программы весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования — до размножения. Но они не лечат файлы и диски.
К недостаткам можно отнести возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe.
Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрятся. В настоящее время программы-вакцины имеют ограниченное применение.
Организация антивирусной защиты.
Защиту от вирусов обеспечивают антивирусные программы.
Перечислим, что умеет делать антивирусная программа:
• проверять системные области на загрузочном диске при включении компьютера;
• проверять файлы на установленных в дисковод сменных носителях;
• предоставлять возможность выбора графика периодичности проверки жесткого диска;
• автоматически проверять загружаемые файлы;
• проверять исполняемые файлы перед их запуском;
• обеспечивать возможность обновления версии через Интернет.
В России антивирусными проблемами уже много лет профессионально занимаются в основном две серьезные фирмы: «ДиалогНаука» (рис. 16.1) (программы Aidstest, Dr.Web, ADinf, комплекс Sheriff) и «Лаборатория Касперского» (Kami, программы серии AVP). Все новые вирусы в первую очередь попадают к ним. Эти фирмы имеют большой авторитет и на международной арене.
Рис. 16.1. Программа Dr.Web
Продукция компании «ДиалогНаука» хорошо знакома большому числу владельцев компьютеров. Первая версия антивирусной программы Dr.Web с графическим интерфейсом появилась в апреле 1998 г., после чего пакет постоянно развивался и дополнялся. Сегодняшняя версия программы Dr.Web имеет удобный, интуитивно понятный и наглядный графический интерфейс. Что касается возможностей по поиску вирусов, то их высокая оценка подтверждается победами в тестах авторитетного международного журнала «Virus Bulletin».
«Лаборатория Касперского» является крупнейшим российским разработчиком антивирусных систем безопасности — к примеру, в 1999 г. 50% российских пользователей выбрали качество и надежность антивирусных программ этой фирмы. Разработка основного продукта «Лаборатории Касперского» — антивирусного комплекса «Антивирус Касперского» серии AVP (рис. 16.2) началась еще в 1989 г.
Рис. 16.2. Программа «Антивирус Касперского»
«Лаборатория Касперского» — признанный лидер в антивирусных технологиях. Многие функциональные особенности практически всех современных антивирусов были впервые разработаны именно в этой компании. Исключительные надежность и качество антивирусных программ подтверждаются многочисленными наградами и сертификатами российских и зарубежных компьютерных изданий, независимых тестовых лабораторий.
Антивирусную программу можно использовать периодически или запускать в фоновом режиме, чтобы отлавливать вирусы непосредственно при загрузке файлов или копировании со сменного носителя. Проверка в фоновом режиме — более надежный способ защиты (контроль ведется постоянно), требующий, однако, увеличенного объема памяти и повышенной производительности системы.
Можно установить на компьютере антивирусный монитор (сторож) — резидентную антивирусную программу, которая постоянно находится в оперативной памяти и контролирует операции обращения к файлам и секторам. Прежде чем разрешить доступ к объекту (программе, файлу), сторож проверяет его на наличие вируса. Таким образом, он позволяет обнаружить вирус до момента реального заражения системы.
Примерами таких программ являются McAfee VirusShield (антивирусный комплект McAfee VirusScan) и AVP Monitor (комплект Antiviral Toolkit Pro. Касперского). Необходимо учитывать, что далеко не все программы-мониторы снабжены «лечащим» блоком, поэтому, чтобы обезвредить вирус, придется либо удалять зараженный файл, либо установить соответствующий лечащий блок (антивирусную программу).
Популярные антивирусные программы позволяют выбрать режим защиты от вирусов. Кроме того, фирмы — разработчики таких программ постоянно обновляют используемую для обнаружения вирусов базу данных и, как правило, размещают ее на Web-узле в открытом доступе для зарегистрированных пользователей. Если вы принадлежите к числу таковых, ежемесячно заглядывайте на узел, чтобы сделать свежую «прививку».
Обобщим все вышеперечисленные советы. Итак, как защитить данные от вирусной атаки?
• Если вы хотите избежать больших затрат и потерь, сразу предусмотрите приобретение и установку комплексной антивирусной программно-аппаратной защиты для вашей компьютерной системы. Если таковая пока не установлена, не забывайте регулярно проверять свой компьютер свежими версиями антивирусных программ и установите программу — ревизор диска, которая будет отслеживать все изменения, происходящие на вашем компьютере, и вовремя сигнализировать о вирусной опасности.
• Не разрешайте посторонним работать на вашем компьютере, по крайней мере без вашего разрешения.
• Возьмите за строгое правило обязательно проверять все дискеты, которые вы используете на своем компьютере, несмотря на все уверения их владельца, последними версиями антивирусных программ (Dr.Web, AVP и др.).
• Если вы не собираетесь ничего записывать на дискеты (ГМД), особенно при их использовании на «чужом» компьютере, непременно защитите дискеты от записи, поставив защелку защиты от записи на ГМД-3,5" вниз (на себя) так, чтобы полностью открыть оконце. Этим вы закроете доступ на них вирусам с чужого компьютера. Все дистрибутивы программного обеспечения, записанные на дискетах, следует также защитить от записи.
• Настоятельно советуем проверять на наличие вирусов все CD-ROM, в том числе и фирменные, но особенно купленные с рук или взятые со стороны.
• Соблюдайте осторожность, обмениваясь файлами с другими пользователями. Этот совет особенно актуален, когда дело касается файлов, загружаемых вами из сети Интернет или приложенных к электронным посланиям. Поэтому лучше сразу проверять все входящие файлы (документы, программы) на наличие вируса, что неплохо умеют делать антивирусные мониторы, например AVP Monitor.
• Делайте резервные копии своих данных. Это поможет восстановить информацию в случае воздействия вируса, сбоя в системе или выхода из строя жесткого диска.
• Проверяйте на наличие вирусов старые файлы и диски. Обычные вирусы, равно как и макровирусы, пробуждаются только в тот момент, когда вы открываете или загружаете инфицированный файл. Таким образом, вирусы могут долгое время незаметно храниться на жестком диске в зараженных программах и файлах данных, приложениях к непрочитанным электронным письмам и сжатых файлах…
Дата добавления: 2015-08-21; просмотров: 1512;