Защита информации от вирусных атак

Защита  информации от вирусных атак 

   Точного научно-технического определения вирусных атак до сих пор не существует. Можно сказать, что компьютерный вирус — это программа, нарушающая нормальную работу других программи компьютерной техники. Она обладает способностью самовоспроизведения, распространения, внедрения в другие программы. Действия вируса зависят от фантазии, квалификации и нравственных принципов его создателя.

   Характеры вирусов в какой-то мере отражают сущность их творцов — иногда это простые, шутливые и безобидные программы, но встречаются и чрезвычайно коварные, агрессивные и разрушительные экземпляры. Их названия говорят сами за себя: «Марихуана», «Террорист», «Киллер», «Захватчик».

   В настоящее время насчитывается  уже свыше 50 тыс. различных вирусов и ежемесячно появляется до 300 новых экземпляров. В России издана вирусная энциклопедия, содержащая описание десятков тысяч компьютерных вирусов и даже демонстрацию эффектов, производимых ими.

   Что же реально могут сделать компьютерные вирусы? Они могут заразить только себе подобных, т. е. программы, поэтому программы надо защищать.

   Действие  большинства вирусов не ограничиваются только размножением или безобидными шутками. Вирусы могут разрушить изображение на экране, выводить на экран неприличные надписи, замедлять работу компьютера, исполнять различные мелодии, без разрешения удалять файлы и каталоги, уничтожая информацию.

   Как инфекция передается от человека к  человеку, так и компьютерные вирусы переходят от одного компьютера к другому, изменяя имеющиеся файлы и дописывая в них свой код. При запуске зараженной программы или при открытии поврежденного файла данных вирус загружается в системную память компьютера, откуда пытается поразить другие программы и файлы.

   Типы  вирусов. Рассмотрим наиболее распространенные типы вирусов, с которыми вы в любой момент можете столкнуться.

   Макровирусы, Распространяются зараженными файлами  данных и учиняют разгром, используя механизм макросов программы-хозяина. Они распространяются значительно быстрее любых других компьютерных вирусов, так как поражаемые ими файлы данных используются наиболее часто. Хакеры используют языки программирования таких популярных программ, как Word и Ехсе1, чтобы искажать написания слов, изменять содержание документов и даже удалять файлы с жестких дисков.

   Вирусы, поражающие загрузочный сектор и  главную загрузочную запись. В  качестве примера можно назвать  вирусы «Микеланджело», «Килрой», «Джек-Потрошитель». Они передаются с компьютера на компьютер через зараженные дискеты. При обращении к дисководу, в который установлена такая дискета, операционная система считывает и выполняет вирусный код.

   Файловые  вирусы. Внедряются в исполняемые  файлы и начинают действовать, когда вы запускаете зараженную программу.

   «Бомбы  замедленного действия» и «троянские кони». Поражают загрузочные секторы и файлы. Это особые разновидности вирусов до наступления определенной даты или определенного события «дремлют» на компьютере, а затем активизируются и наносят удар.

   Однако  четкого разделения между ними не существует, и все они могут использовать комбинацию вариантов взаимодействия — своеобразный вирусный «коктейль».

   Троянские программы действуют, подобны «троянскому  коню» из греческого мифа. Их основное назначение искусно маскируется  под личиной какой-либо полезной программы, но стоит заинтересованному пользователю установить и запустить подобную программу на своем компьютере, как она незаметно начинает выполнять свою скрытую вражескую функцию.

   После того как «троянец» выполнит свою задачу, программа может самоуничтожиться, тем самым, затрудняя обнаружение истинных причин «пожара» на вашем компьютере. Троянские программы часто используются для первоначального распространения вирусов.

   Логическая  бомба. При выполнении условий, определенных ее создателем, осуществляет несанкционированные действия: например, при наступлении обусловленной даты или, скажем, появлении или исчезновении какой-либо записи в базе данных (БД) происходит разрушение программ или БД.

   Полиморфные вирусы. Как подсказывает само название, каждый раз, когда такой вирус заражает систему, он меняет обличье, дабы избежать выявления антивирусными программами. Новые изощренные полиморфные вирусы значительно труднее обнаружить и куда сложнее нейтрализовать, поскольку при заражении каждого нового файла они изменяют свои характеристики.

   Вирусы  многостороннего действия. Хитроумные гибриды, одновременно с файлами поражающие загрузочные секторы или главную загрузочную запись.

    По  способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные файлы, программы, драйверы, исходный код программ и др.) разделяют на перезаписывающие, паразитические, вирусы-звенья, вирусы-черви, компаньон-вирусы, а также вирусы, поражающие исходные тексты программ и компоненты программного обеспечения.

    Перезаписывающие  вирусы. Вирусы данного типа записывают своё тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске выполняется код вируса, а не сама программа.

    Компаньон-вирусы, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе.

    Файловые  черви создают собственные копии с привлекательными для пользователя названиями (например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.

    Вирусы-звенья, как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе.

    Паразитические  вирусы – это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу.

    Вирусы, поражающие исходный код программ. Вирусы данного типа поражают исходный код программы или её компоненты. После компиляции программы оказываются встроенными в неё. В настоящее время широкого распространения не получили.

   Организация антивирусной защиты. Защиту от вирусов обеспечивают антивирусные программы. Они должны уметь:

• проверять системные области на загрузочном диске при включении компьютера;
• проверять файлы на установленных в дисковод сменных носителях;
• предоставлять возможность выбора графика периодичности 
  проверки жесткого диска;
• автоматически проверять загружаемые файлы;
• проверять исполняемые файлы перед их запуском;

   В России антивирусными проблемами уже  много лет профессионально занимаются в основном две серьезные фирмы: «Диалог Наука» (рис. 9.1) и «Лаборатория Касперского». Все новые вирусы в первую очередь попадают к ним. Эти фирмы имеют большой авторитет и на международной арене.

   Продукция компании «Диалог Наука» хорошо знакома  большому числу владельцев компьютеров. Первая версия антивирусной программы с графическим интерфейсом появилась в апреле 1998 г., после чего пакет постоянно развивался и • дополнялся. Сегодняшняя версия программа  имеет удобный, интуитивно понятный и наглядный графический интерфейс. Что касается возможностей по поиску вирусов, то их высокая оценка подтверждается победами в тестах авторитетного международного журнала «VirusBulletin».

   Компания  «Лаборатория Каcперского» является крупнейшим российским разработчиком антивирусных систем безопасности. Например, в 1999 г. 50 % российских пользователей выбрали качество и надежность антивирусных программ этой фирмы. Разра-

ботка основного продукта «Лаборатории Касперского» — антивирусного комплекса «Антивирус Касперского» серии АVР (рис. 9.2) началась еще в 1989 г.

   Компания  «Лаборатория Касперского» — признанный лидер в антивирусных технологиях. Многие функциональные особенности практически всех современных антивирусов были впервые разработаны именно в этой компании. Исключительные надежность и качество антивирусных программ подтверждаются многочисленными наградами и сертификатами российских и зарубежных компьютерных изданий, независимых тестовых лабораторий.

   Антивирусную  программу можно использовать периодически или запускать в фоновом режиме, чтобы отлавливать вирусы непосредственно при загрузке файлов или копировании со сменного носителя. Проверка в фоновом режиме — более надежный способ защиты (контроль ведется постоянно), требующий, однако, увеличенного объема памяти и повышенной производительности системы.

   Можно установить на компьютере антивирусный монитор (сторож) — резидентную антивирусную программу, которая постоянно находится в оперативной памяти и контролирует операции обращения к файлам и секторам. Прежде чем разрешить доступ к объекту (программе, файлу), сторож проверяет его на наличие

вируса. Таким образом, он позволяет обнаружить вирус до момента реального заражения системы.

   Примерами таких программ являются McAfeeVirusShieldи AVPMonitor. Необходимо учитывать, что далеко не все программы-мониторы снабжены «лечащим» блоком, поэтому, чтобы обезвредить вирус, придется либо удалять зараженный файл, либо устанавливать соответствующий лечащий блок (антивирусную программу).

   Популярные  антивирусные программы позволяют  выбрать режим защиты от вирусов. Кроме того, фирмы-разработчики таких программ постоянно обновляют используемую для обнаружения вирусов базу данных и, как правило, размещают ее на Web-узле в открытом доступе для зарегистрированных пользователей. Если вы принадлежите к числу таковых, ежемесячно заглядывайте на узел, чтобы сделать свежую «прививку».

   Обобщим все вышеперечисленные советы. Итак, как защитить данные от вирусной атаки?

• Если хотите избежать больших затрат и потерь, сразу предусмотрите приобретение и установку комплексной антивирусной 
  программно-аппаратной защиты для вашей компьютерной системы. Если таковая пока не установлена, не забывайте регулярно 
  проверять свой компьютер свежими версиями антивирусных программ, и установите программу-ревизор диска, которая будет отслеживать все изменения, происходящие на вашем компьютере, 
  и вовремя сигнализировать о вирусной опасности.
• Не разрешайте посторонним работать на вашем компьютере, 
  по крайней мере, без вашего разрешения.
• Возьмите за строгое правило обязательно проверять все дискеты, которые вы используете на своем компьютере (несмотря на 
  все уверения их владельца), последними версиями антивирусных 
  программ.
• Если вы не собираетесь ничего записывать на дискеты, особенно при их использовании на «чужом» компьютере, непременно защитите дискеты от записи, поставив защелку защиты от записи на диске вниз (на себя) так, чтобы полностью открыть маленькое окошко. Этим вы закроете доступ на них вирусам с чужого компьютера. Все дистрибутивы программного обеспечения, записанные на дискетах, следует также защитить от записи.
• Настоятельно советуем проверять на наличие вирусов все CD-ROM, в том числе и фирменные, но особенно купленные с рук 
  или взятые со стороны.
• Соблюдайте осторожность, обмениваясь файлами с другими 
  пользователями. Этот совет особенно актуален, когда дело касается файлов, загружаемых вами из сети Интернет или приложенных 
  к электронным посланиям. Поэтому лучше сразу проверять все входящие файлы (документы, программы) на наличие вируса, что неплохо умеют делать антивирусные мониторы.
• Делайте резервные копии своих данных. Это поможет восстановить информацию в случае воздействия вируса, сбоя в системе 
  или выхода из строя жесткого диска.
• Проверяйте на наличие вирусов старые файлы и диски. Обычные вирусы, равно как и макровирусы, пробуждаются только в 
  тот момент, когда вы открываете или загружаете инфицированный файл. Таким образом, вирусы могут долгое время незаметно 
  храниться на жестком диске в зараженных программах и файлах 
  данных, приложениях к непрочитанным электронным письмам и 
  сжатых файлах.