Компьютерный вирус: характеристика появления и развития.

Глава 1

Теоретическая часть

Компьютерный вирус: характеристика появления и развития.

Типы компьютерных вирусов

Компьютерные вирусы бывают следующих типов:

1. Файловые вирусы поражают файлы exe или com. Первым заражается командный процессор, а через него все остальные программы. Наиболее опасны резидентные вирусы, которые остаются в оперативной памяти постоянно.

2. Загрузочные или бутовые вирусы – поражают загрузочные секторы жестких дисков и дискет. Они наиболее опасны для компьютера, так как в результате их разрушительной деятельности компьютер перестает загружать операционную систему. Иногда заражение происходит даже при просмотре содержания зараженной дискеты.

3. Сетевые вирусы поражают компьютеры, которые работают в локальной и глобальной сети.

4. Макровирусы – программы, представляющие собой макрокоманды, использующиеся в сложных приложениях. В настоящее время макровирусы часто распространяются через программы пакета Microsoft Office, так как файлы документов и шаблонов включают макросы. В качестве примеров макровирусов можно привести Cap, Wazzu, Npad.

5. Пакетные вирусы – наиболее простой тип вирусов, у которых ядро программы содержится в командном пакетном файле с расширением bat.

 

 Признаки проявления вируса:

При заражении компьютера вирусом важно обнаружить его. Для этого необходимо знать об основных признаках проявления вирусов. К ним можно отнести следующие:

1. Прекращение работы или неправильная работа ранее успешно функционировавших программ;

2. Медленная работа компьютера;

3. Невозможность загрузки операционной системы;

4. Исчезновение файлов и каталогов или искажение их содержимого;

5. Изменение даты и времени модификации файлов;

6. Изменение размеров файлов;

7. Неожиданное значительное увеличение количества файлов на диске;

8. Существенное уменьшение размера свободной оперативной памяти;

9. Вывод на экран непредусмотренных сообщений или изображений;

10. Подача непредусмотренных звуковых сигналов;

11. Частые зависания и сбои в работе компьютера.

 

Способы борьбы с компьютерными вирусами:

Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:

1. Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса

2. Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков

3. Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры

4. Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных.

5. Создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки

6. Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках.

 

 

Способы защиты от компьютерных вирусов.

Антивирусные программы.

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных

Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.

Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим — даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться — что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера.

Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).

Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

 

 

 

Глава II

Практическая часть

Общая структура

Общая структура решения по антивирусной защите информационной системы приведена на рисунке 2. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

Рис 2. Общая структура антивирусной защиты.

Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.

1. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, поэтому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.

2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию.

Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.

3. Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.

Основные принципы построения системы антивирусной защиты

Вычислительные сети, как правило, создаются поэтапно, с использованием различного аппаратного и программного обеспечения. Очевидно, что в этом случае вопрос антивирусной защиты становится весьма сложным, причём не только в техническом, но и в финансовом плане.

Вместе с тем решение этого вопроса достигается путём сочетания организационных мер и программно-технических решений.

Данный подход не требует больших технических и немедленных финансовых затрат, и может быть применён для комплексной антивирусной защиты локальной сети любого предприятия.

В основу построения такой системы антивирусной защиты могут быть положены следующие принципы:

· принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;

· принцип полноты охвата системой антивирусной защиты всей локальной сети организации;

· принцип непрерывности контроля локальной сети предприятия, для своевременного обнаружения компьютерной инфекции;

· принцип централизованного управления антивирусной защитой;

Принцип реализации единой технической политики предусматривает использование во всех сегментах локальной сети только антивирусного ПО, рекомендуемого подразделением антивирусной защиты предприятия. Эта политика носит долгосрочный характер, утверждается руководством предприятия и является основой для целевого и долговременного планирования затрат на приобретение антивирусных программных продуктов и их дальнейшее обновление.

Принцип полноты охвата системой антивирусной защиты локальной сети предусматривает постепенной внедрение в сеть программных средств антивирусной защиты до полного насыщения в сочетании с организационно-режимными мерами защиты информации.

Принцип непрерывности контроля за антивирусным состоянием локальной сети подразумевает такую организацию ее защиты, при которой обеспечивается постоянная возможность отслеживания состояния сети для выявления вирусов.

Принцип централизованного управления антивирусной защитой предусматривает управление системой из одной органа с использованием технических и программных средств. Именно этот орган организует централизованный контроль в сети, получает данные контроля или доклады пользователей со своих рабочих мест об обнаружении вирусов и обеспечивает внедрение принятых решений по управлению системой антивирусной защиты.

С учётом этих принципов в комплексной системе информационной безопасности создаётся подразделение антивирусной защиты, которая должна решать следующие задачи:

· приобретение, установка и своевременная замена антивирусных пакетов на серверах и рабочих станциях пользователей;

· контроль правильности применения антивирусного ПО пользователями;

· обнаружение вирусов в локальной сети, их оперативное лечение, удаление зараженных объектов, локализация зараженных участков сети;

· своевременное оповещение пользователей об обнаруженных или возможных вирусах, их признаках и характеристиках.

Для решения этих задач в комплексной системе информационной безопасности кроме администраторов информационной безопасности создаются администраторы антивирусной защиты.

Если ЛВС небольшая или достаточно хорошо оснащена антивирусным ПО, то назначение специального администратора антивирусной защиты чаще всего нецелесообразно, так как его функции может выполнять администратор безопасности сети.

Для организации функционирования антивирусной защиты необходима разработка внутренних организационно-распорядительных документов.

Кроме того, должны быть определены порядки передачи сообщений о вирусах от пользователей и оповещений администраторов о фактах и возможностях вирусных заражений локальной сети.

Эффективность создаваемой подсистемы антивирусной защиты зависит также от выполнения следующих дополнительных условий:

· подключение ПК пользователей в корпоративную сеть должно производиться только по заявке с отметкой администратора антивирусной защиты об установке лицензионного антивирусного ПО (заявка заносится в базу данных с фиксацией сроков действия лицензии);

· передачу ПК от одного пользователя другому необходимо производить с переоформлением подключения к сети;

· обнаруженные вирусы целесообразно исследовать на стенде подразделения защиты информации с целью выработки рекомендаций по их корректному обезвреживанию;

· в удаленных структурных подразделениях следует назначить внештатных сотрудников, ответственных за антивирусную защиту.

 

 

В небольшой компании

Организация антивирусной защиты небольшого и крупного предприятия отличаются друг от друга. Для сегмента крупного бизнеса более характерно внедрение отдельного продукта для решения конкретной задачи. Лучшие мировые практики рекомендуют, а требования законодательства заставляют (например, 382-П для банковского сектора) использовать антивирусное ПО разных производителей для защиты сегмента пользовательских АРМ и серверного сегмента. Также, как правило, для контроля мобильных устройств, съемных устройств, интернет-трафика и т. д. внедряются отдельные решения, пусть и от одного производителя.

Для малого бизнеса производители антивирусного ПО, на которых приходится основная доля рынка, пошли намного дальше антивируса в традиционном его понимании и предлагают пакеты «всё в одном», куда могут входить:

• Антивирус. Обеспечивает защиту от вредоносного ПО. В зависимости от производителя и от продукта различаются базы данных вирусов, способы борьбы с вирусами (карантин, удаление, лечение) и способы обнаружения вирусов.

• Брандмауэр. Позволяет контролировать активность сотрудников в интернете, запрещать или ограничивать доступ сотрудников к конкретным веб-сайтам или категориям (социальные сети, игровые сайты, торрент-трекеры).

• Контроль устройств. С помощью этого механизма можно запретить сотрудникам использовать флеш-карты, разрешить использовать только корпоративные флеш-накопители и жесткие диски, или ограничить доступ к сетевому принтеру.

 

• Контроль работающих в корпоративной сети программ.

• Управление мобильными устройствами. Позволяет контролировать мобильные устройства, подключаемые к корпоративной сети, обеспечивая безопасность данных при работе с такими устройствами.

• Шифрование данных в корпоративной сети, в том числе для передачи файлов по почте.

• Антиспам. Обеспечивает сканирование почты на наличие вирусов, спама, фишинговых писем и других угроз.

• Консоль управления. Дает возможность централизованно управлять всеми компонентами антивирусного ПО.

Выше перечислены основные функции, которые предлагают в пакетах антивирусного ПО для малого офиса большинство крупных игроков на рынке антивирусов, среди которых знакомые всем бренды, также как Kaspersky, Dr.Web, ESET, avast, Symantec, Trend Micro и многие другие.

Таким образом, при выборе средства антивирусной защиты нужно решить, какие компоненты нужны для обеспечения защиты именно вашего бизнеса. Если в вашем предприятии сеть из 10 компьютеров, то тратиться на модуль централизованного управления не имеет большого смысла.

Если в вашем офисе нет своего почтового сервиса, и вы пользуетесь почтой хостинга веб-сайта или решениями gmail, или yandex для корпоративной почты, то антиспам-модуль не нужен – вся почта фильтруется на серверах поставщика услуг. Другими словами, исходя из финансовых возможностей, нужно выбрать набор необходимых требований к системе антивирусной защиты и изучать рынок на предмет того, кто сможет их наилучшим образом удовлетворить.

Однозначного лидера на рынке систем антивирусной защиты нет. Если с основной задачей, защитой компьютера пользователя от вредоносного ПО, популярные антивирусы справляются практически одинаково хорошо, то характеристики дополнительных функций заметно отличаются.

Решение одного производителя может лучше подойти к вашей архитектуре, а другой производитель предложит более гибкую и удобную настройку компонентов. Стоимость пакета с нужными именно вам набором функций также может отличаться от производителя к производителю.

Глава 1

Теоретическая часть

Компьютерный вирус: характеристика появления и развития.