Способы распространения компьютерных вирусов

Возможными каналами проникновения вирусов в компьютер являются накопите­ли на сменных носителях информации, главным образом на дискетах, а также средства межкомпьютерной связи. К последним относятся компьютерные сети, электронная почта, система BBS (Bulletin Board System — доска объявлений) и любая другая непосредственная связь между компьютерами. Наиболее опасным является распространение вирусов по компьютерной сети, так как в этом случае за короткий промежуток времени может быть заражено большое количество компьютеров. Имеются даже специальные сетевые вирусы, предназначенные для функционирования в сетях. При запуске инфицированной программы вирус ста­рается отыскать незараженные программы и внедриться в них, а затем производит разрушительные действия.

 

 Защита от компьютерных вирусов

Уже было сказано, что компьютерный вирус аналогичен природному вирусу. По­этому меры защиты от него включают в себя аналогичный комплекс средств:

• профилактика:

• диагностика;

• лечение.

К профилактическим средствам относятся:

• перекрытие путей проникновения вирусов в компьютер;

• исключение возможности заражения и порчи вирусами, проникшими в компь­ютер, других файлов.

Диагностические средства позволяют обнаруживать вирусы в компьютере и распознавать их тип.

Лечение состоит в удалении вирусов из зараженных программных средств и восстановлении пораженных файлов.

Защитный комплекс основывается на применении антивирусных программ и про­ведении организационных мероприятии.

 

Антивирусные программы

Программные средства антивирусной защиты обеспечивают диагностику (обнару­жение) и лечение (нейтрализацию) вирусов. Эти средства можно классифицировать следующим образом:

• вирус-фнльтры;

• детекторы;

• дезинфекторы.

Вирус-фильтром (сторожем) называется резидентная программа, обнару­живающая свойственные для вирусов действия и требующая от пользователя подтверждение на их выполнение. Это позволяет обеспечить определенный уро­вень защиты ПК от деструктивных действии вирусов. В качестве проверяемых действии выступают:

• обновление программных файлов и системной области диска;

• форматирование диска;

• резидентное размещение программы в оперативной памяти.

Обнаружив попытку выполнения таких действий, вирус-фильтр сообщает об этом пользователю и требует от него подтверждение или отказ на их выполнение. К широко распространенным вирус-фильтрам относятся FluShotPlus, Floserem, VSafe.

Детектором (сканером) называется программа, осуществляющая поиск ви­русов на машинных носителях информации. Детекторы делятся на универсаль­ные и специализированные.

Универсальные детекторы производят подсчет контрольной суммы файла и ее сравнение с эталонной. Эталонная контрольная сумма указывается в документации на программный продукт или подсчитывается в самом начале эксплуатации, например, при помощи вирус-фильтра. Универсальный детектор не всегда может обнаружить модификацию файла, инфицированного стелс-вирусом. В то же вре­мя только универсальный детектор способен обнаружить неизвестный вирус.

Специализированные детекторы выявляют один или несколько конкретных ви­русов. Детектор, способный обнаруживать несколько различных вирусов, называ­ется полидетектором. Среди специализированных детекторов большой популяр­ностью пользуется полидетектор ViruScan фирмы McAfee Associates.

Дезинфектором (фагом, доктором) называется программа, осуществляю­щая удаление вируса из программного файла пли памяти ПК. Если это возможно, то дезинфектор восстанавливает нормальное функционирование ПК. Однако ряд вирусов искажает систему так, что ее исходное состояние дезинфектор восстано­вить не может. Широко используемыми дезинфекторами являются Clean-Up фирмы McAfee Associates и M-DISK.

Среди антивирусных программ имеются интегрированные программы. Это - по-лидетекторы-дезинфекторы. К ним относятся:

• универсальный полидетектор-дезинфектор MSAV фирмы Microsoft;

• специализированный полидетектор-дезинфектор AIDSTEST Д. Н. Лозинского;

• универсальный полидетектор-дезинфектор Dr.Web (авторы: И. Данилов и В.Лутовинов);

• полидетектор-дезинфектор VPA Евгения Касперского.

 Главным достоинством последних трех антивирусных программных продуктов и их преимуществом перед «импортными» является защита программного обеспе­чения ПК от вирусов отечественного производства. В этом смысле импортные программы антивирусной защиты служат хорошим дополнением к программам AIDSTEST, Dr. Web и VPA. Перечисленные выше полидетекторы-дезинфекторы постоянно модифицируются (практически ежемесячно), чтобы обеспечить защиту ПК от вновь появившихся компьютерных вирусов.

Полидетектор-дезинфектор MSAV входит в состав пакета Microsoft AntiVirus. Он может выполнять следующие функции:

• проверку целостности программных файлов по контрольным суммам во вре­мя обнаружения вирусов;

• вычисление контрольной суммы программного файла с помещением ее в файл   CHKLIST.MS, если она на момент проверки отсутствует;

• резервирование инфицированного файла с дальнейшей его дезинфекцией;

• интерактивную дезинфекцию системы;

• использование методов проверки целостности программных файлов, что по­зволяет обнаружить неизвестные стелс-вирусы:

• обнаружение вируса не только в программных, но и во всех остальных файлах.

Программа MSAV поддерживает два режима взаимодействия с пользователем:

интерактивный и командный.

Полидетектор-дезинфектор AIDSTEST является наиболее популярным отечественным антивирусным средством. AIDSTEST выполняет следующие фун­кции:

• проверку, не заражен ли вирусом он сам;

• проверку памяти на наличие резидентных вирусов;

• тестирование заданных пользователем объектов (дисков, каталогов, файлов) на наличие компьютерных вирусов или подозрительных файлов;

• нейтрализацию вирусов в ОЗУ;

• удаление вирусов с восстановлением инфицированной программы (если это возможно) или уничтожение инфицированного файла.

Благодаря наличию первой функции AIDSTEST можно использовать с целью обнаружения новых вирусов. Для этого следует разместить AIDSTEST в до­ступном каталоге и запускать его без аргументов.

Универсальный полидетектор-дезинфектор Dr. Web также является популярным отечественным программным продуктом. Он выполняет следующие функции:

• тестирование памяти на наличие резидентных вирусов в любой момент тести­рования дисков;

• тестирование заданных пользователем объектов (дисков, каталогов, файлов) на наличие компьютерных вирусов или подозрительных файлов;

• лечение, то есть удаление найденных вирусов из файлов или загрузочных секторов дисков;

• эвристический анализ, включающий режим проверки файлов и загрузочных секторов дисков на наличие новых и неизвестных компьютерных вирусов. В данном режиме программа Dr.Web анализирует программный код и пытается определить его принадлежность вирусу;

• контроль за изменением размера тестируемых программой файлов непосред­ственно в момент их поиска и/или открытия. Многие резидентные вирусы пытаются заразить открываемые на чтение или запись файлы, а резидентные стелс-вирусы, наоборот, стремятся скрыть свое наличие в инфицированных открываемых файлах;

• тестирование упакованных файлов внутри архивных файлов ARJ, PKZIP, RAR, LHA, ZOO, ICE, НА и др.;

• удаление не подлежащих полному восстановлению инфицированных или раз­рушенных вирусами файлов.

Появление сетевых вирусов привело к необходимости разработки специальных программ для защиты от них. Среди антивирусных средств можно отметить сете­вую антивирусную программу AVP for Novell NetWare (AVPN), разработанную Е.Касперским и его коллегами из антивирусного отдела научно-технического центра Каmi.

Этот программный продукт является универсальным полидетектором-дезинфек­тором, который позволяет:

• обнаруживать и лечить зараженные файлы;

• производить эвристический анализ тестируемых файлов для нахождения не­известных AVPN вирусов;

• выявлять стелс-вирусы;

• обнаруживать вирусы внутри архивных файлов (ARJ, ZIP) и в файлах, упако­ванных программами типа PKLITE, LZEXE, DIET и т. п.

AVPN предназначен главным образом для борьбы с вирусами, поражающими ма­шины-клиенты. При выявлении вируса AVPN выдает (рассылает) сообщение всем пользователям сети или заданной группе. Если обнаруженный вирус неизве­стен, то в зависимости от настройки утилиты пораженный файл либо автоматичес­ки уничтожается, либо помещается в специальный каталог, доступный только администратору сети. Если же файл заражен известным вирусом, то зачастую AVPN его вылечивает. Во время фильтрации утилита проверяет считываемые и записываемые на сервер файлы. В состав AVPN входит база данных с информа­цией о вирусах, еженедельно обновляемой ее авторами. Программа позволяет использовать общую базу данных для всех версий AVPN (под MS-DOS, Windows 95, Windows NT и Novell NetWare).

Использование средств антивирусной защиты в среде Windows имеет некоторые особенности, и поэтому для нее разработаны свои антивирусные средства, среди которых следует отметить антивирусный пакет Microsoft AntiVirus for Windows. Он отличается от MS-DOS-варианта применением полидетектора-дезинфектора MWAV.EXE вместо файла MSAV.EXE.

Для поиска и уничтожения вирусов в среде Windows 95 имеется ряд программ­ных продуктов, среди которых можно отметить следующие.

Norton AntiVirus 2.0 for Windows 95 фирмы Symantec. Утилита является одной из лучших систем антивирусной защиты.

Она обеспечивает:

• защиту от более 8200 известных вирусов;

• поиск и уничтожение макро-вирусов, заражающих файлы Word и Excel;

• бесплатное ежемесячное обновление базы данных вирусов;

• защиту от неизвестных вирусов;

• уничтожение полиморфных вирусов (мутантов);

• постоянный контроль проникновения вирусов и вирусоподобной деятельнос­ти, выполняемый в фоновом режиме работы ОС;

• проверку на вирус сетевых и сжатых дисков;

• автоматическую проверку на вирус дискет, вставляемых в дисковод;

• использование модуля Repair Wizard, облегчающего восстановление повреж­денных файлов.

Antiviral Toolkit Pro for Windows 95 (антивирус Касперского для Windows 95). Основным преимуществом этой утилиты является возможность использования ее сразу в нескольких операционных системах. Утилита распозна­ет свыше 8 тысяч вирусов; фирма постоянно обновляет базу данных. Утилита имеет удобный интерактивный интерфейс пользователя.