Вирусы и защита ЭВМ от них

Классификация вирусов

Основными путями заражения  компьютеров вирусами являются съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера может произойти при загрузке компьютера с дискеты, содержащей вирус. Для усиления безопасности необходимо обращать внимание на то, как и откуда получена программа (из сомнительного источника, имеется ли наличие сертификата, эксплуатировалась ли раньше и т.д.). Однако главная причина заражения компьютеров вирусами - отсутствие в операционных системах эффек­тивных средств защиты информации от несанкционированного доступа.

По данным специальной  литературы, к концу 1998 г. в мировой  практике было зарегистрировано более 20 тыс. компьютерных вирусов    (на сегодняшний день известно около 50 000 вирусов) и каждую неделю появляется около десяти новых вирусов.

В зависимости от среды  обитания вирусы классифицируются на загрузочные, файловые, системные, сетевые, файлово-загрузочные.

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

Файловые вирусы внедряются в основном в исполняемые файлы с расширением .СОМ и .ЕХЕ.

Системные вирусы проникают в системные модули и драйверы периферийных устройств, поражают программы-интерпретаторы.

Сетевые вирусы обитают в компьютерных сетях; файлово-загрузочные поражают загрузочные сектора дисков и файлы прикладных программ.

Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем при каждом обращении к операционной системе и к дру­гим объектам внедряется в них и выполняет свои разрушительные действия до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают оперативную память.

Алгоритмическая особенность  построения вирусов оказывает влияние  на их проявление и функционирование. Так, репликаторные программы благодаря  своему быстрому воспро­изводству приводят к переполнению основной памяти, при  этом уничтожение программ-репликаторов усложняется, если воспроизводимые  программы не являются точными копиями  оригинала. В компьютерных сетях  распространены программы-«черви». Они  вычисляют адреса сетевых компьютеров  и «записываются по ним», поддерживая  между собой связь. В случае прекращения  существования «червя» на каком-либо ПК оставшиеся отыскивают свободный  компьютер и внедряют в него такую  же программу

" Троянский конь" - это программа, которая, маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь и не догадывается (например, собирает информацию об именах и паролях, записывая их в специальный файл, доступный лишь создателю данного вируса), либо разрушает файловую систему.

Логическая бомба - это программа, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм. Например, такая вирусная программа начинает работать после некоторого числа запусков прикладной программы, комплекса, при наличии или отсутствии определенного файла или записи файла и т.д.

Программы-мутанты, самовоспроизводясь, воссоздают копии, которые явно отличаются от оригинала.

Вирусы-невидимки перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо них незараженные объекты.

По степени воздействия  на ресурсы компьютерных систем и  сетей выделяются безвредные, опасные  и разрушительные вирусы.

Массовое распространение компьютерных вирусов вызвало разработку антивирусных программ, позволяющих обнаруживать и уничножать. Программы-фильтры, или «сторожа», постоянно находятся в оперативной памяти, являясь резидентными, и «перехватывают» все запросы к операционной системе на выполнение «подозрительных действий», т.е. операции, используемых вирусами для своего размножения и порчи информационных и других системных ресурсов в компьютере. Такими действиями могут быть. попытки изменения атрибутов файлов, коррекции исполняемых BAT- СОМ- или ЕХЕ-файлов, записи в загрузочные сектора диска и др. При каждом запросе на такое действие на экран компьютера выдается cообщение о каких либо действий и какая программа желает его выполнять. Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся «назойливость», раздражающая пользователя, и то, что объем опе­ративной памяти уменьшается из-за необходимости постоянного нахождения в ней «сторожа», являются главными недостатками этих программ. К тому же программы-фильтры не «лечат» файлы или диски, для этого необходимо использовать другие антивирусные программы. Примером программ- сторожей являются Vsefe, входящая в пакет утилит MS-DOS, и программы, работающие в среде Windows, - AVP, Norton AntiVirus for Windows 95, McAfee Virus Scan 95, Thunder Byte Professional for Windows 95.

Надежным средством защиты от вирусов считаются программы-ревизоры. Они запоминают исходное состояние программ, каталогов и системных областей диска, когда компьютер еще не был заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. При выявлении несоответствий (по длине файла, дате модификации, коду циклического контроля файла и др.) сообщение об этом выдается пользователю. Примером программ-ревизоров являются программа Adinf фирмы «Диалог-Наука» и дополнение к ней в виде Adinf Cure Module.

Программы-доктора не только обнаруживают, но и "лечат" зараженные программы или диски, «выкусывая» из зараженных программ тело вируса. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов. Наибольшее распространение в России имеют такие полифаги, как MS AntiVirus, Aidstest и Doctor Web, которые непрерывно обновляются для борьбы с появляющимися новыми вирусами.

Программы-детекторы позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

Антивирусные  программы

Как известно, вирус может содержаться только в файлах, которым передаётся управление: программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др. Таким образом, например, обычный текстовый файл (с расширением TXT) можно запускать без опасений получить заразу - TXT-файл будет просто открыт в Блокноте.

Охарактеризуем некоторые антивирусные программы. К настоящему времени зарубежными и отечественными фирмами и специалистами разработано большое количество антивирусных программ. Многие из них, получившие широкое признание, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.

У российских пользователей персональных компьютеров популярен антивирусный комплект АО «Диалог-Наука», в который входят программа-ревизор диска Adinf и лечащий блок Adinf Cure Module. Одна из последних версий этой программы-полифага Aidstest (конец 1997 г.) обнаруживает более 1700 вирусов. Aidstest для своего нормального функционирования требует, чтобы в оперативной памяти не было других резидентных антивирусных программ, блокирующих запись в программные файлы, поэтому их следует предварительно выгрузить.

При запуске программы Aidstest проверяет оперативную память на наличие известных вирусов и обезвреживает их. При этом парализуются функции вируса, связанные с размноже­нием, а другие побочные эффекты могут оставаться, в связи с чем после окончания обезвреживания вируса программа выдает запрос о перезагрузке. Перезагрузку рекомендуется осуществить кнопкой RESET, так как при перезагрузке клавишами [CTRL]+[Alt]+[Del] некоторые вирусы могут сохраняться. Кроме того, компьютер и антивирусную программу лучше запустить с защищенной от записи дискеты, чтобы при запуске с зараженного диска вирус не смог записаться в память резидентом и препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов, а также судит по искажению в своем коде о своем заражении неизвестным вирусом. При этом возможны случаи «ложной тревоги», например при сжатии антивируса программой- упаковщиком. Программа не имеет графического интерфейса, режимы ее 1 работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог. Оптимальный режим для ежедневной работы задается ключами /g (проверка всех файлов) и /s (медленная проверка). Увеличение времени при таких опциях практически неощутимо (полностью запол­ненный жесткий диск емкостью 520 Мбайт на ПК с процессором 486DX2 тестируется менее чем 2 мин), зато вероятность обнаружения вирусов резко повышается.

Ключ If следует использовать тогда, когда Aidstest, а также другие программы-антивирусы указывают на наличие вируса в каком-либо файле. При обнаружении вируса в ценном для пользователя файле этот файл следует переписать на дискету и  попытаться вылечить с помощью ключа /f. Если попытка не увенчается успехом, надо удалить все зараженные копии  файла и проверить диск снова. Если в файле содержится важная информация, которую нежелательно удалять, можно  заархивировать файл или найти другую антивирусную программу, способную  лечить этот тип вируса.

Для создания в файле протокола работы программы Aidstest служит ключ /р. Протокол нужен, если пользователь не успевает просмотреть имена зараженных файлов. Для под­держки антивирусного программно- аппаратного комплекса Sheriff предназначен ключ /z.

Программа-полифаг Doctor Web необходима прежде всего для борьбы с полиморфными вирусами, которые появились сравнительно недавно. Так же как и Aidstest, Doctor Web об­новляется не реже раза в месяц, а в промежутках между версиями выходят 1-3 дополнения вирусной базы Doctor Web.

Использование программы Doctor Web для проверки дисков и удаления обнаруженных вирусов в целом подобно Aidstest, в связи с чем эту программу можно запускать сразу после (или до) запуска Aidstest. При этом практически не происходит «дублирования», так как Aidstest и Doctor Web работают на разных наборах вирусов. В режиме эвристического анализа программа Doctor Web способна эффективно определять файлы, зараженные новыми, неизвестными вирусами. Применяя одновременно Aidstest и Doctor Web для контроля дискет и получаемых по сети файлов, можно почти наверняка избежать заражения.

С программой Doctor Web можно работать как в режиме полноэкранного интерфейса с использованием меню и диалоговых окон, так и в режиме командной строки. В командной строке задаются диск, путь и необходимые ключи. Среди ключей: /al - диагностика всех файлов на заданном устройстве;

/р - удаление вирусов  с подтверждением пользователя; /dl -удаление файлов, корректное "лечение"  которых невозможно; /CU - "лечение"  дисков и файлов; /zp - запись протокола  работы в файл. При работе в  режиме полноэкранного интерфейса  после запуска антивирусной программы  пользователь использует необходимые  установки через пункты основного  меню: Dr. Web. Тест Настройки Дополнения.

Программа-ревизор Adinf позволяет обнаружить любой вирус, включая вирусы, вирусы-мутанты и неизвестные на сегодняшний день вирусы. Время проверки одного логического диска крайне мало, что дает возможность использовать Adinf повседневно без существенной потери времени.

Переход на применение операционной системы Windows 95 породил проблемы с защитой от вирусов, создаваемых специально для этой среды. Кроме того, появилась новая разновид­ность инфекции - макровирусы, «вживляемые» в документы, подготавливаемые текстовым процессором Word. АО "Диалог-Наука" предложен программно-аппаратный комплекс Sheriff, предназначенный для антивирусного мониторинга и защиты, но он предполагает установку в ПК дополнительней платы расширения и может работать только на серверах и рабочих станциях, оперирующих большими объемами данных. Известными антивирусными программами являются Antiviral Toolkit Pro (AVP32), Norton AntiVirus for Windows 95, McAffee VirusScan95, Sophos SWEEP for Windows 95, ThunderBY ТЕ Ai.dVirus Utilities и др. Эти программы работают в виде программ-сканеров и проводят антивирусный контроль оператив­ной памяти, папок и дисков, содержат алгоритмы для распознавания новых типов вирусов, позволяют в процессе проверки лечить файлы и диски.

Программа Antiviral Toolkit Pro (AVP32) является 32-разрядным приложением, работающим в среде Windows 95 и Windows NT, имеет удобный пользовательский интерфейс, гибкую систему настроек и позволяет распознавать более 50 тыс. различных вирусов. Для работы этой программы компьютер должен иметь не менее 4 Мбайт оперативной памяти и не менее 2 Мбайт свободного места на жестком диске. Antiviral Toolkit Pro распознает и удаляет полиморфные вирусы, вирусы невидимки, макро вирусы в документах, подготовленных в Word и Excel, "троянские кони".

Интерфейс программы AllMicro AntiVirus for Windows 95 довольно прост и не требует от пользователя дополнительных знаний о продукте - просто требуется нажать кнопку «Scan», после чего начинается проверка памяти, загрузочных секторов жесткого диска, а затем и всех дисков компьютера. Но простота работы не означает плохое качество: в базе данных программы содержится более 8000 сигнатур, и она может проверять не только традиционные исполняемые файлы, но и архивы, и новые типы файлов Windows 95, при этом пользователь имеет возможность задать строку условий для поиска не знакомых программе вирусов.

Программа Vscan 95 каждый раз в процессе начальной загрузки проверяет память компьютера, загрузочные сектора системного диска и все файлы в корневом каталоге. Две другие программы пакета (McAfee Vshield и Vscan) созданы как приложения Windows 95. Первая обеспечивает после загрузки Windows 95 слежение за вновь подключенными дисками, контроль исполняемых программ и копируемых файлов, вторая программа служит для дополнительной проверки памяти, дисков и файлов. Пакет McAfee VirusScan 95 умеет находить макро вирусы в MS Word учитывая развитие локальных компьютерных сетей элект­ронной почты и сети Интернет и внедрение сетевой ОС Windows NT, разработчиками антивирусных программ разработаны и поставляются на рынок такие программы, как Mail Checker, для проверки входящей и исходящей электронной почты, AntiViral Toolkit Pro - для обнаружения, лечения, удаления и перемещения в специальный каталог пораженных ви­русом файлов при работе с сетевой ОС Novell NetWare версий З.х и 4.х. Программа F-Secure для Windows NT Server обеспечивает в реальном масштабе времени защиту сервера, автоматически проверяя на наличие вирусов каждый файл, к которому обращаются рабочие станции, выполняет расширенное автоматическое протоколирование в специальный журнал событий, оповещает о проявлениях вирусов системного администратора.