Антивирусные программы Административные меры борьбы с вирусами

Антивирусные программы

Административные меры борьбы с вирусами Принципы работы антивирусных программ Как эволюционируют антивирусные программы Популярные антивирусные программы "Антивирус Касперского Personal" 5. 0 Антивирус Dr. Web для Windows

Административные меры борьбы с вирусами n n n Если в некоторой компании есть сеть, не связанная с Интернетом, то вирус извне туда не проникнет, а чтобы вирус случайно не попал в корпоративную сеть изнутри, можно просто не давать пользователям возможности самостоятельно считывать носители информации, такие как CD-диски, USB-флэш. Например, если кому-то из сотрудников необходимо считать что-либо с CD, он должен обратиться к администратору, который имеет право установить CD и считать данные. При этом за проникновение вирусов с этого CD

n n При нормальной организации безопасности в офисе именно администратор контролирует установку любого ПО; там же, где сотрудники бесконтрольно устанавливают софт, в сети рано или поздно появляются вирусы.

n n Большинство случаев проникновения вирусов в корпоративную сеть связано с выходом в Интернет с рабочей станции. Существуют режимные организации, где доступ к Интернету имеют только неподключенные к корпоративной сети станции.

n n n В коммерческих организациях такая система неоправданна. Там Интернет-канал защищается межсетевым экраном и прокси-сервером. Во многих организациях разрабатывается политика, при которой пользователи имеют доступ лишь к тем ресурсам Интернета, которые нужны им для работы.

n n n Конечно, поддержка политики жесткого разграничения прав доступа требует дополнительных инвестиций, а в ряде случаев приводит к замедлению выполнения некоторых работ. Поэтому каждая компания должна искать для себя разумный компромисс, сопоставляя финансовые потери от порчи информации и замедления бизнес -процессов. В ситуации, когда документы содержат важные стратегические данные, например государственную тайну, именно степень ущерба в

n n n Помимо антивирусной защиты важно не забывать о таком важном средстве защиты данных, как система резервного копирования. Резервное копирование является стратегическим компонентом защиты данных. Если данные уничтожены вирусом, но у администратора есть вовремя сделанная резервная копия, потери будут минимальными.

Принципы работы антивирусных программ n n В России первые вирусы появились в 1988 году, но до середины 90 -х годов они не получили широкого распространения. В то время персональных компьютеров, имеющих доступ в Интернет, было очень мало. Пользователи обменивались друг с другом данными и программами с помощью дискет. Объемы информации были невелики, и емкости обычных дискет вполне хватало.

n n n Таким же способом распространялись и вирусы. Попав на персональный компьютер, вирус быстро размножался. Но чтобы заразить еще один компьютер, вредителю приходилось долго ждать, пока инфицированный файл запишут на дискету и передадут другому пользователю.

n n Борьба с вирусами тоже велась очень просто: пользователи защищали каждый персональный компьютер отдельно с помощью антивируса, который мог находить вирусы и лечить инфицированные файлы. Каждый пользователь знал, что перед тем, как переписать новые файлы с какой-либо дискеты, саму дискету надо обязательно проверить на вирусы.

Схема рассылки вирусов с использованием адресной книги зараженного компьютера. С зараженного компьютера (пункт 1) посредством электронной почты червь попадает на компьютер (пункт 2) и использует данные его адресной книги. В результате (пункт 3) будет атаковано сразу несколько компьютеров - заражение идет в геометрической прогрессии

n n n Благодаря операционной системе Microsoft Windows и офисному пакету Microsoft Office значительно расширилась функциональность программ и возрос объем данных, например мультимедиа. Пользователям приходилось распространять информацию уже на компакт-дисках. К этому времени также возросло и число компьютеров, объединенных локальной сетью или имеющих доступ в Интернет. Первая серьезная эпидемия, которая привлекла к проблеме вирусов внимание всего мирового сообщества, случилась в 1996 -м году. Это был макровирус Cap, распространявшийся в документах Microsoft Word. Ему удалось парализовать работу десятков компаний по всему миру.

n n n Поворотной точкой стал 2000 год, когда появились эпидемии сетевых червей. В отличие от всех остальных компьютерных паразитов, они очень быстро распространялись в почтовых сообщениях. Число домашних пользователей и компаний, подключенных к Интернету, к 2000 году сильно возросло.

n n n Люди обменивались между собой электронными почтовыми сообщениями и еще не подозревали, какую это таит опасность. Первый современный сетевой червь был создан в самом начале 1999 года (это был Happy 99), а первый сетевой червь, вызвавший небывалую по тем временам эпидемию, появился в мае 2000 года. Это был червь, известный под двумя названиями: I love you и Love. Letter. "Любовные письма" только в мае заразили более 40 млн. компьютеров по всему миру.

n n n Исследовательский центр Computer Economics оценил убытки мировой экономики за первые пять дней эпидемии этого паразита в 6, 7 млрд. долл. Червь рассылал свои копии сразу же после заражения системы по всем адресам электронной почты, найденным в адресной книге почтовой программы Microsoft Outlook. В качестве адреса отправителя червь указывал адрес электронной почты владельца зараженного компьютера и адресной книги Outlook.

n n n К каждому сообщению червь прикреплял вредоносный файл с расширением "txt. vbs". Такой ход дезориентировал пользователей, так как расширение "txt" соответствует текстовым файлам, а "vbs" - программам на языке Visual Basic Script. Текст электронного письма представлял собой любовное послание, приглашающее пользователя открыть прикрепленный инфицированный файл.

n n n Электронная почта и Интернет оказались идеальной средой для передачи вредоносных кодов. Сегодня 98% всех вредителей попадает на компьютер именно через электронную почту. Через электронную почту распространяются не только сетевые черви, но также "троянцы" и

n n n Как эволюционируют антивирусные программы Антивирусные программы развивались параллельно с вредоносными кодами. Первые антивирусные алгоритмы строились на основе сравнения с эталоном (часто эти алгоритмы называют сигнатурным поиском). Каждому вирусу ставилась в соответствие некоторая сигнатура или маска. С одной стороны, маска должна была быть небольшого размера, чтобы база данных всех таких масок не приняла угрожающих

n С другой стороны, чем больше размер сигнатуры, тем ниже вероятность ложного срабатывания (когда достоверно незараженный файл определяется антивирусом как инфицированный).

n n На практике разработчики антивирусных программ использовали маску длиной 10 -30 байт. Первые антивирусы знали какое-то количество сигнатур, могли находить и лечить определенное число вирусов. Получив новый вирус, разработчики анализировали его код и составляли уникальную маску.

n n n Эта маска добавлялась в базу данных антивирусных сигнатур, а само обновление распространялось на дискете. Если при сканировании подозрительного файла антивирус находил код, соответствующий маске, то исследуемый файл признавался инфицированным. Описанный алгоритм применяется в большинстве антивирусных программ до сих пор.

n n n В середине 90 -х годов появились первые полиморфные вирусы. Эти вредители изменяли свое тело по непредсказуемым алгоритмам, что значительно затрудняло анализ кода вируса и составление сигнатуры. Для борьбы с полиморфными вирусами метод сигнатурного поиска был дополнен средствами эмуляции среды выполнения.

n n n Антивирус не исследовал подозрительный файл статически, а запускал его в специальной искусственно созданной среде. Специалисты по антивирусам называют ее песочницей. Дело в том, что песочница абсолютно безопасна. Вирус в ней не сможет размножиться или нанести вред. Он также не сможет отличить песочницу от настоящей среды. В этом виртуальном пространстве антивирус следил за исследуемым объектом, ждал, пока код

n n Второй базовый механизм - эвристический анализ. Данный метод представляет собой существенно усложненный эмулятор, только в результате анализируется не код подозрительного файла, а его действия. Для того чтобы размножаться, файловый вирус должен копировать свое тело в память, открывать другие исполняемые файлы и записывать туда свое тело, записывать данные в секторы жесткого диска и т. д.

n n n Есть характерные действия и у сетевого червя. Это прежде всего доступ к адресной книге и сканирование жесткого диска на предмет обнаружения любых адресов электронной почты. Благодаря этому эвристический анализатор способен обнаружить даже те вредоносные коды, сигнатуры которых еще неизвестны.

n n n Таким образом, сегодня двумя основными способами борьбы с вирусами являются сигнатурный поиск и эвристический анализатор. Все сигнатуры размещены в антивирусной базе - специальном хранилище, в котором антивирус хранит маски вредоносных программ. Эффективность сигнатурного поиска сильно зависит от объема антивирусной базы и от частоты ее пополнения. Именно поэтому сегодня разработчики антивирусных программ выпускают обновления для своих баз как минимум раз в сутки. Чтобы повысить скорость доставки этих обновлений на защищаемые компьютеры, используется Интернет.

n n На рис. представлена схема получения антивирусными компаниями информации о новых вирусах и выпуска соответствующих обновлений. Вредоносный код после попадания на компьютер, где установлена устаревшая антивирусная программа, заражает его (пункт 1). Пользователь зараженного компьютера, если его антивирус не справляется с новым вирусом, обычно не может справиться с паразитом самостоятельно и обращается в антивирусную компанию (пункт 2). Специалисты компании изучают код вируса и выпускают обновление антивирусной базы (пункт 3). Антивирусные программы, установленные у пользователя, время от времени проверяют наличие обновлений на Webсервере антивирусной компании, и, как только обновление появляется, они его сразу же переписывают и устанавливают (пункт 4).

Схема обновления антивируса по Интернету

n n n На практике проблема борьбы с вредоносными программами возникает и у домашних пользователей, и на предприятиях. В каждом случае используется своя версия антивируса: в первом - персональная, во втором - корпоративная. Основное отличие между ними в том, что персональный антивирус защищает только домашний компьютер, а корпоративный - рабочие станции

n n n Популярные антивирусные программы Существует целый ряд программ, которые обеспечивают комплексную антивирусную защиту персонального компьютера: "Антивирус Касперского Personal" (www. kaspersky. ru), Dr. Web для Windows (www. drweb. ru), Norton Anti. Virus (www. symantec. com), Mc. Afee Virus. Scan Professional (www. mcafee. ru), Panda Antivirus Titanium (www. pandasoftware. com) и др. Наиболее популярными программами у нас в стране являются "Антивирус Касперского Personal", (www. kaspersky. ru) и Dr. Web для Windows (www. drweb. ru) о которых мы расскажем подробнее.

n n "Антивирус Касперского Personal" 5. 0 Разработчик: "Лаборатория Касперского" (www. kaspersky. ru) "Антивирус Касперского Personal" разработан "Лабораторией Касперского" и предназначен для защиты персональных компьютеров от вредоносных кодов. Программа контролирует все возможные пути, по которым вредоносные коды могут проникнуть на персональный компьютер: съемные и постоянные файловые носители, электронная почта, Интернет и локальная сеть.

n n проверка всех типов данных (включая электронную почту и информацию из Интернета) производится в реальном времени, то есть "на лету". В случае необходимости пользователь может выполнять проверку и лечение почтовых баз различных почтовых систем.

n n n Большинство получаемых по электронной почте или скачиваемых из Интернета программ упаковано или заархивировано. Поэтому для эффективной защиты домашнего компьютера необходимо, чтобы антивирус умел работать с заархивированными и запакованными файлами. Продукт "Лаборатории Касперского" поддерживает более 900 различных форматов упаковщиков и архиваторов, умеет проверять многотомные архивы и лечить запакованные файлы.

n n n графическом интерфейсе пользователя Антивирусом можно управлять при помощи системы рекомендаций экспертов "Лаборатории Касперского". При возникновении нештатной ситуации "экспертный совет", имеющий вид набора рекомендаций по настройке и использованию программы, в большинстве случаев позволяет владельцу компьютера самостоятельно исправить положение. В главном окне программы всегда доступны встроенные указания по выполнению тех или иных действий и обоснования для их совершения. Все технические подробности защиты органично адаптированы для понимания даже начинающими пользователями и реализованы в трехкомпонентном графическом меню.

n "Лаборатория Касперского" оперативно реагирует на появление новых вирусов: регулярные обновления антивирусных баз выпускаются ежечасно, а в случае появления опасного вредоносного кода, способного вызвать эпидемию, время выпуска критического обновления сокращается до 20 минут.

n n n Совершенный механизм обновлений значительно укрепляет защиту персонального компьютера. В первую очередь это достигнуто за счет существенного расширения набора баз данных, определяющих программы нелегального удаленного администрирования, клавиатурные шпионы, программы вскрытия паролей, а также программы автоматического дозвона на платные серверы. Пользователи антивируса могут получать круглосуточную техническую поддержку семь дней в неделю.

n n Антивирус Dr. Web для Windows Разработчик: OOO Dr. Web, www. drweb. ru Dr. Web служит для защиты компьютеров, работающих под управлением операционных систем Windows. Программа позволяет проверять все носители информации на наличие вирусов и троянских программ, обнаруживать и обезвреживать вирусы

n n n Продукт способен обнаруживать вирусы даже в заархивированных файлах, защищенных паролем. Dr. Web может находить еще неизвестные вирусы на базе эвристической технологии. Приложение нетребовательно к системным ресурсам. Полный размер дистрибутива Dr. Web занимает всего около 6 Мбайт, а еженедельные дополнения к вирусной базе - примерно 15 Кбайт. Программа имеет простой и удобный графический интерфейс, а также интерфейс командной строки.

n n n n n Антивирус Dr. Web для Windows включает следующие компоненты: сканер Dr. Web для Windows с графическим интерфейсом пользователя; сканер Dr. Web для Windows с интерфейсом командной строки; сканер Dr. Web для DOS; сторож (монитор) Sp. IDer Guard для Windows; почтовый сторож Sp. IDer Mail; планировщик заданий; утилита (модуль) обновления; установщик дополнений.

n Антивирусный сканер позволяет обнаруживать зараженные объекты на всех носителях и в оперативной памяти компьютера, а также обезвреживать вирусы и лечить зараженные файлы.

n n n Сторож (монитор), работая автоматически и незаметно для пользователя, проверяет файлы на лету при обращении к ним из какой-либо программы и оповещает пользователя в случае обнаружения инфицированных и подозрительных файлов. В программе используется интеллектуальная технология контроля вирусной активности, которая заключается в анализе действий программ. Анализ построен таким образом, что практически полностью исключает возможность ложной тревоги и вместе с тем позволяет пресечь любые действия вредоносной программы.

n Антивирус Dr. Web проверяет почту, приходящую по протоколу POP 3, до обработки ее почтовым клиентом, а также проверяет почту, исходящую по протоколу SMTP.

n n Планировщик заданий дает пользователю возможность указывать действия, которые программа должна производить согласно расписанию, что избавляет пользователя от необходимости выполнять однотипные операции по управлению антивирусом. Так, например, используя утилиту обновления, планировщик заданий позволяет организовать периодическое обновление вирусных баз в автоматическом режиме или, запуская сканер Dr. Web, проводить регулярные антивирусные проверки жестких дисков.

n n n Антивирус Dr. Web обновляется несколько раз в день. Обновления становятся доступны через Интернет сразу после того, как очередной образец вируса проанализирован и его описание добавлено в базу. Пользователь имеет возможность задавать частоту автоматического обновления вирусных баз через Интернет. Предусмотрена возможность автоматического обновления и самой программы после выпуска очередной ее версии.