Защита информации от вирусных атак

Говоря о безопасности информации, мы пока не затрагивали проблему компьютерных вирусов, поскольку борьба с вируса­ми — это тема отдельного разговора.

Точного научно-технического определения этого явления до сих пор не существует. Можно сказать, что компьютерный ви­рус — это специально написанная программа, способная само­произвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьюте­ра и в вычислительные сети с целью нарушения работы про­грамм, порчи файлов и каталогов, создания всевозможных помех в работе компьютера. Действия вируса зависят от фантазии, ква­лификации и нравственных принципов его создателя.

Характеры вирусов в какой-то мере отражают сущность их творцов — иногда это простые, шутливые и безобидные про­граммы, но встречаются и чрезвычайно коварные, агрессивные и разрушительные экземпляры. Их названия говорят сами за себя: «Марихуана», «Террорист», «Киллер», «Захватчик».

В настоящее время насчитывается уже свыше 50 тыс. различ­ных вирусов и ежемесячно появляется до 300 новых экземпля­ров. В России издана вирусная энциклопедия, содержащая описа­ние десятков тысяч компьютерных вирусов и даже демонстра­цию эффектов, производимых ими.

Классификация компьютерных вирусов.

Компьютерные вирусы можно классифицировать по следующим признакам:

1) по среде обитания:

• сетевые — распространяются по различным сетям;

• файловые — внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения СОМ и ЕХЕ. Могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах они не получают управление, а следовательно, теряют способность к размножению;

• загрузочные — внедряются в загрузочный сектор диска (Boot-сектор);

• файлово-загрузочные — заражают файлы и загрузочные сектора дисков;

2) по способу заражения:

• резидентные вирусы — при заражении (инфицировании) компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Являются активными вплоть до выключения или перезагрузки компьютера;

• нерезидентные вирусы — не заражают память компьютера и являются активными ограниченное время;

3) по степени воздействия:

• неопасные — не мешают работе компьютера, но уменьшают объем оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

• опасные — могут привести к различным нарушениям в ра­боте компьютера;

• очень опасные — их воздействие может привести к потере программ, уничтожению данных, стиранию информации в сис­темных областях диска;

4) по особенностям алгоритма:

• простейшие вирусы — паразитические, они изменяют со­держимое файлов и секторов диска и могут быть достаточно лег­ко обнаружены и уничтожены;

• вирусы-репликаторы (черви) — распространяются по ком­пьютерным сетям, вычисляют адреса сетевых компьютеров и за­писывают по этим адресам свои копии;

• вирусы-невидимки (стелс-вирусы) — очень трудно обнару­жить и обезвредить, так как они перехватывают обращение опе­рационной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска;

• вирусы-мутанты — содержат алгоритмы шифровки — рас­шифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов;

• квазивирусные или троянские вирусы — программы, кото­рые, хотя и не способны к самораспространению, но очень опас­ны, так как маскируясь под полезную программу, разрушают за­грузочный сектор и файловую систему дисков.

Основными путями проникновения вирусов в компьютер яв­ляются съемные диски (гибкие и лазерные), а также компьютер­ные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус.

Для обнаружения, удаления вирусов и защиты от них разрабо­тано несколько видов специальных антивирусных программ.

Классификация антивирусных программ.

Программы-де­текторы осуществляют поиск характерной для конкретного ви­руса сигнатуры (последовательность байтов, которая вполне оп­ределенно его характеризует) в оперативной памяти и в файлах и при обнаружении выдают соответствующие сообщения.

Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разра­ботчикам таких программ.

Программы-доктора (фаги), а также программы-вакцины не только находят зараженные вирусами файлы, возвращая файлы в исходное состояние.

В начале своей работы фаги ищут вирусы в оперативной памя­ти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, пред­назначенные для поиска и уничтожения большого количества вирусов. Наиболее известны программы Norton Antivirus, DrWeb, Антивирус Касперского.

Программы-ревизоры запоминают исходное состояние про­грамм, каталогов и системных областей диска тогда, когда компью­тер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обна­ружение изменения выводится на экран монитора.

Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие материалы. Эти про­граммы имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяе­мой программы от изменений, внесенных вирусом. К числу про­грамм-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой не­большие резидентные программы, предназначенные для обнару­жения подозрительных действий при работе компьютера, харак­терных для вирусов: попытка коррекции файлов с расширениями СОМ и ЕХЕ; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; за­грузка резидентной программы. При попытке вирусной атаки «сторож» посылает сообщение и предлагает запретить или разре­шить соответствующие действия. Эти программы весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования — до размножения. Но они не лечат файлы и диски.

К недостаткам можно отнести возможные конфликты с дру­гим программным обеспечением. Примером программы-фильтра является программа Vsafe.

Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакци­нация возможна только от известных вирусов. Вакцина модифи­цирует программу или диск таким образом, чтобы это не отража­лось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрятся. В настоящее время программы-вакцины имеют ограниченное применение.

Организация антивирусной защиты.

Защиту от вирусов обеспечивают антивирусные программы.

Перечислим, что умеет делать антивирусная программа:

• проверять системные области на загрузочном диске при включении компьютера;

• проверять файлы на установленных в дисковод сменных но­сителях;

• предоставлять возможность выбора графика периодичности проверки жесткого диска;

• автоматически проверять загружаемые файлы;

• проверять исполняемые файлы перед их запуском;

• обеспечивать возможность обновления версии через Интернет.

В России антивирусными проблемами уже много лет профес­сионально занимаются в основном две серьезные фирмы: «ДиалогНаука» (рис. 16.1) (программы Aidstest, Dr.Web, ADinf, комп­лекс Sheriff) и «Лаборатория Касперского» (Kami, программы серии AVP). Все новые вирусы в первую очередь попадают к ним. Эти фирмы имеют большой авторитет и на международной арене.

Рис. 16.1. Программа Dr.Web

Продукция компании «ДиалогНаука» хорошо знакома боль­шому числу владельцев компьютеров. Первая версия антивирус­ной программы Dr.Web с графическим интерфейсом появилась в апреле 1998 г., после чего пакет постоянно развивался и допол­нялся. Сегодняшняя версия программы Dr.Web имеет удобный, интуитивно понятный и наглядный графический интерфейс. Что касается возможностей по поиску вирусов, то их высокая оценка подтверждается победами в тестах авторитетного международ­ного журнала «Virus Bulletin».

«Лаборатория Касперского» является крупнейшим россий­ским разработчиком антивирусных систем безопасности — к при­меру, в 1999 г. 50% российских пользователей выбрали качество и надежность антивирусных программ этой фирмы. Разработка основного продукта «Лаборатории Касперского» — антивирус­ного комплекса «Антивирус Касперского» серии AVP (рис. 16.2) началась еще в 1989 г.

Рис. 16.2. Программа «Антивирус Касперского»

«Лаборатория Касперского» — признанный лидер в антиви­русных технологиях. Многие функциональные особенности практически всех современных антивирусов были впервые раз­работаны именно в этой компании. Исключительные надежность и качество антивирусных программ подтверждаются многочис­ленными наградами и сертификатами российских и зарубежных компьютерных изданий, независимых тестовых лабораторий.

Антивирусную программу можно использовать периодически или запускать в фоновом режиме, чтобы отлавливать вирусы не­посредственно при загрузке файлов или копировании со сменно­го носителя. Проверка в фоновом режиме — более надежный способ защиты (контроль ведется постоянно), требующий, одна­ко, увеличенного объема памяти и повышенной производитель­ности системы.

Можно установить на компьютере антивирусный монитор (сторож) — резидентную антивирусную программу, которая по­стоянно находится в оперативной памяти и контролирует опера­ции обращения к файлам и секторам. Прежде чем разрешить до­ступ к объекту (программе, файлу), сторож проверяет его на на­личие вируса. Таким образом, он позволяет обнаружить вирус до момента реального заражения системы.

Примерами таких программ являются McAfee VirusShield (ан­тивирусный комплект McAfee VirusScan) и AVP Monitor (комп­лект Antiviral Toolkit Pro. Касперского). Необходимо учитывать, что далеко не все программы-мониторы снабжены «лечащим» блоком, поэтому, чтобы обезвредить вирус, придется либо уда­лять зараженный файл, либо установить соответствующий леча­щий блок (антивирусную программу).

Популярные антивирусные программы позволяют выбрать ре­жим защиты от вирусов. Кроме того, фирмы — разработчики та­ких программ постоянно обновляют используемую для обнару­жения вирусов базу данных и, как правило, размещают ее на Web-узле в открытом доступе для зарегистрированных пользова­телей. Если вы принадлежите к числу таковых, ежемесячно за­глядывайте на узел, чтобы сделать свежую «прививку».

Обобщим все вышеперечисленные советы. Итак, как защи­тить данные от вирусной атаки?

• Если вы хотите избежать больших затрат и потерь, сразу пре­дусмотрите приобретение и установку комплексной антивирусной программно-аппаратной защиты для вашей компьютерной систе­мы. Если таковая пока не установлена, не забывайте регулярно проверять свой компьютер свежими версиями антивирусных про­грамм и установите программу — ревизор диска, которая будет отслеживать все изменения, происходящие на вашем компьютере, и вовремя сигнализировать о вирусной опасности.

• Не разрешайте посторонним работать на вашем компьюте­ре, по крайней мере без вашего разрешения.

• Возьмите за строгое правило обязательно проверять все дис­кеты, которые вы используете на своем компьютере, несмотря на все уверения их владельца, последними версиями антивирусных программ (Dr.Web, AVP и др.).

• Если вы не собираетесь ничего записывать на дискеты (ГМД), особенно при их использовании на «чужом» компьютере, непременно защитите дискеты от записи, поставив защелку за­щиты от записи на ГМД-3,5" вниз (на себя) так, чтобы полностью открыть оконце. Этим вы закроете доступ на них вирусам с чужо­го компьютера. Все дистрибутивы программного обеспечения, записанные на дискетах, следует также защитить от записи.

• Настоятельно советуем проверять на наличие вирусов все CD-ROM, в том числе и фирменные, но особенно купленные с рук или взятые со стороны.

• Соблюдайте осторожность, обмениваясь файлами с други­ми пользователями. Этот совет особенно актуален, когда дело касается файлов, загружаемых вами из сети Интернет или прило­женных к электронным посланиям. Поэтому лучше сразу прове­рять все входящие файлы (документы, программы) на наличие вируса, что неплохо умеют делать антивирусные мониторы, на­пример AVP Monitor.

• Делайте резервные копии своих данных. Это поможет вос­становить информацию в случае воздействия вируса, сбоя в сис­теме или выхода из строя жесткого диска.

• Проверяйте на наличие вирусов старые файлы и диски. Обычные вирусы, равно как и макровирусы, пробуждаются толь­ко в тот момент, когда вы открываете или загружаете инфициро­ванный файл. Таким образом, вирусы могут долгое время неза­метно храниться на жестком диске в зараженных программах и файлах данных, приложениях к непрочитанным электронным письмам и сжатых файлах…