Билет 18

Вопросы:

1. Какие средства антивирусной защиты вы знаете?

2. Что такое «компьютерный вирус» и какие виды вредоносного программного обеспечения вы знаете?

3. Назовите основные меры по защите от компьютерных вирусов

1. Основные методы защиты от компьютерных вирусов

Для защиты от вирусов можно использовать:

- общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

- профилактические меры, позволяющие уменьшить вероятность заражения компьютерным вирусом;

- специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств: копирование информации — создание копий файлов и системных областей дисков; разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от компьютерных вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от компьютерных вирусов. Эти программы можно разделить на несколько видов:

Программы - детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.

Программы - доктора, или фаги, " лечат вирусы " зараженные программы или диски, "выкусывая" из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы - ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий, об этом сообщается пользователю.

Доктора - ревизоры — это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.

Программы - фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы - вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от компюторных вирусов. По этому наилучшей стратегией защиты от вирусов является многоуровневая, "эшелонная" оборона. Опишем структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы - детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел "просочиться" через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда проводят лечение правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат вирусы - зараженные файлы, причем контролируют правильность лечения вирусов, а в случае невозможности лечения вирусов обязательно рекомендуют удаление вирусов (зараженных фаилов).

Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

И, наконец, в "стратегическом резерве" находятся архивные копии информации и "эталонные" дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

2. Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.

Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы-шпионы и даже спам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру, организуя вирусные эпидемии.

Вирусы распространяются, внедряя себя в исполняемый код других программ или же заменяя собой другие программы. Какое-то время даже считалось, что, являясь программой, вирус может заразить только программу — какое угодно изменение не-программы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получат управления, будучи информацией, не используемой процессором в качестве инструкций. Так, например неформатированный текст не мог бы быть переносчиком вируса.

Создание и распространение компьютерных вирусов и вредоносных программ преследуется в России согласно Уголовному Кодексу РФ.

Наиболее эффективны в борьбе с компьютерными вируса­ми антивирусные программы.

Антивирусные программы могут использовать различные принципы для поиска и лече­ния зараженных файлов.

Полифаги. Самыми популярными и эффективными анти­вирусными программами являются антивирусные програм­мы полифаги (например, Kaspersky Anti-Virus, Dr.Web). Прин­цип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.

Для поиска известных вирусов используются так называ­емые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа об­наруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лече­нию.

Для поиска новых вирусов используются алгоритмы «эв­ристического сканирования», то есть анализ последователь­ности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то полифаг вы­дает сообщение о возможном заражении объекта.

Полифаги могут обеспечивать проверку файлов в процес­се их загрузки в оперативную память. Такие программы на­зываются антивирусными мониторами.

К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используе­мых ими антивирусных баз данных, которые должны содер­жать информацию о максимально возможном количестве ви­русов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.

Ревизоры. Принцип работы ревизоров (например, ADinf) основан на подсчете контрольных сумм для присутствую­щих на диске файлов. Эти контрольные суммы затем сохра­няются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модифика­ции и пр.

При последующем запуске ревизоры сверяют данные, со­держащиеся в базе данных, с реально подсчитанными значе­ниями. Если информация о файле, записанная в базе дан­ных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.

Недостаток ревизоров состоит в том, что они не могут об­наружить вирус в новых файлах (на дискетах, при распа­ковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.

Блокировщики. Антивирусные блокировщики — это про­граммы, перехватывающие «вирусоопасные» ситуации и со­общающие об этом пользователю. К таким ситуациям отно­сится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой опера­ционной системы или при заражении загрузочным вирусом.

Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загру­зочный сектор диска и компьютер будет защищен от зара­жения загрузочными вирусами.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней ста­дии его размножения.

3 Профилактика против заражения вирусом

Рассмотрим некоторые меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все-таки произойдет.

1. Неплохо бы иметь и при необходимости обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.

2. Целесообразно так же скопировать на дискеты служебную информацию вашего диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.

3. Следует устанавливать защиту от записи на архивных дискетах.

4. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров. На них может быть вирус.

5. Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, "скачанные" из Интернета.

6. Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.

7. На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.

8. Используйте программы - фильтры для раннего обнаружения вирусов.

9. Периодически проверяйте диск программами -детекторами или докторами - детекторами или ревизорами для обнаружения возможных провалов в обороне.

10. Обновляйте базу антивирусных программ.

11. Не допускайте к компьютеру сомнительных пользователей.