Локальные сети

Локальные сети также представляют собой путь быстрого за­ражения. Если не принимать необходимых мер защиты, то зара­женная рабочая станция при входе в локальную сеть заражает один или несколько служебных файлов на сервере. В качестве таких файлов могут выступать служебный файл LOGIN.COM, Excel-таблицы и стандартные документы-шаблоны, применяе­мые в фирме. Пользователи при входе в эту сеть запускают зара­женные файлы с сервера, и в результате вирус получает доступ на компьютеры пользователей.

Другие каналы распространения вредоносных программ

Одним из серьезных каналов распространения вирусов явля­ются пиратские копии ПО. Часто нелегальные копии на дискетах и CD-дисках содержат файлы, зараженные разнообразными ти­пами вирусов. К источникам распространения вирусов следует также отнести электронные конференции и файл-серверы ftp и BBS. Часто авторы вирусов закладывают зараженные файлы сра­зу на несколько файл-серверов ftp/BBS или рассылают одновре­менно по нескольким электронным конференциям, причем зара­женные файлы обычно маскируют под новые версии программ­ных продуктов и даже антивирусов. Компьютеры, установленные в учебных заведениях и Интернет-центрах и работающие в режи­ме общего пользования, также могут легко оказаться источника­ми распространения вирусов. Если один из таких компьютеров оказался зараженным вирусом с дискеты очередного пользовате­ля, тогда дискеты и всех остальных пользователей, работающих на этом компьютере, окажутся зараженными.

По мере развития компьютерных технологий совершенству­ются и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. В любой момент может появиться компь­ютерный вирус, троянская программа или «червь» нового, неизвестного ранее типа, либо известного типа, но нацеленного на новое компьютерное оборудование. Новые вирусы могут ис­пользовать неизвестные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компь­ютерные системы. Чтобы исключить угрозу вирусного зараже­ния, системный администратор корпоративной сети должен вне­дрять методики антивирусной защиты и постоянно отслеживать новости в мире компьютерных вирусов.
15.2. Антивирусные программы и комплексы

Для защиты от компьютерных вирусов могут использоваться:

• 
  общие методы и средства защиты информации;
  
• 
  специализированные программы для защиты от вирусов;
  

---

• 
  профилактические меры, позволяющие уменьшить вероят­ность заражения
  

вирусами.

Общие средства защиты информации полезны не только для защиты от вирусов. Они используются также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя. Существуют две основ­ные разновидности этих средств:

• 
  средства копирования информации (применяются для соз­дания копий файлов и системных областей дисков);
  
• 
  средства разграничения доступа (предотвращают несанк­ционированное использование информации, в частности обеспечивают защиту от изменений программ и данных ви­русами, неправильно работающими программами и оши­бочными действиями пользователей).
  

При заражении компьютера вирусом важно его обнаружить. К внешним признакам проявления деятельности вирусов можно отнести следующие:

• 
  вывод на экран непредусмотренных сообщений или изо­бражений;
  

• 
  подача непредусмотренных звуковых сигналов;
  
• 
  изменение даты и времени модификации файлов;
  

• 
  исчезновение файлов и каталогов или искажение их содер­жимого;
  

• 
  частые зависания и сбои в работе компьютера;
  
• 
  медленная работа компьютера;
  
• 
  невозможность загрузки ОС;
  

• 
  существенное уменьшение размера свободной оперативной памяти;
  
• 
  прекращение работы или неправильная работа ранее ус­пешно функционировавших программ;
  
• 
  изменение размеров файлов;
  
• 
  неожиданное значительное увеличение количества файлов на диске.
  

Однако следует заметить, что перечисленные выше явления необязательно вызываются действиями вируса, они могут быть следствием и других причин. Поэтому правильная диагностика состояния компьютера всегда затруднена и обычно требует при­влечения специализированных программ.

Антивирусные программы

Для обнаружения и защиты от компьютерных вирусов разра­ботано несколько видов специальных программ, которые позво­ляют обнаруживать и уничтожать компьютерные вирусы. Такие программы называются антивирусными. Практически все анти­вирусные программы обеспечивают автоматическое восстанов­ление зараженных программ и загрузочных секторов. Антиви­русные программы используют различные методы обнаружения вирусов.

Методы_обнаружения_вирусов'>Методы обнаружения вирусов

К основным методам обнаружения компьютерных вирусов можно отнести следующие:

---

• 
  метод сравнения с эталоном;
  
• 
  эвристический анализ;
  
• 
  антивирусный мониторинг;
  
• 
  метод обнаружения изменений;
  
• 
  встраивание антивирусов в BIOS компьютера и др. [85].
  

Метод сравнения с эталоном. Самый простой метод обнаруже­ния заключается в том, что для поиска известных вирусов ис­пользуются так называемые маски. Маской вируса является не­которая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последова­тельно просматривает (сканирует) проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны най­ти только уже известные вирусы, для которых определена маска.

Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примене­ние простых сканеров не защищает компьютер от проникнове­ния новых вирусов. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить мас­ку, поэтому антивирусные сканеры их не обнаруживают.

Эвристический анализ. Для того чтобы размножаться, компь­ютерный вирус должен совершать какие-то конкретные дейст­вия: копирование в память, запись в секторы и т. д. Эвристиче­ский анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и за­грузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавлива­ет резидентный модуль в памяти или записывает данные в ис­полнимый файл программы. Обнаружив зараженный файл, ана­лизатор обычно выводит сообщение на экране монитора и дела­ет запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети. Эвристический ана­лиз позволяет обнаруживать неизвестные ранее вирусы. Первый эвристический анализатор появился в начале 1990-х гг. Практи­чески все современные антивирусные программы реализуют собственные методы эвристического анализа. В качестве приме­ра такой программы можно указать сканер McAffee VirusScan.

Антивирусный мониторинг.

---

Суть данного метода состоит в том, что в памяти компьютера постоянно находится антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг позволяет проверять все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопи­рованные на жесткий диск с дискеты либо компакт диска. Анти­вирусный монитор сообщит пользователю, если какая-либо про­грамма попытается выполнить потенциально опасное действие. Пример такой программы — сторож Spider Guard, который вхо­дит в комплект сканера Doctor Web и выполняет функции анти­вирусного монитора.

Метод обнаружения изменений. При реализации этого метода антивирусные программы, называемые ревизорами диска, запоминают предварительно характеристики всех областей диска, ко­торые могут подвергнуться нападению, а затем периодически проверяют их. Заражая компьютер, вирус изменяет содержимое жесткого диска: например, дописывает свой код в файл про­граммы или документа, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. При сопоставлении значений характеристик об­ластей диска антивирусная программа может обнаружить изме­нения, сделанные как известным, так и неизвестным вирусом.

Встраивание антивирусов в BIOS компьютера. В системные платы компьютеров встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загру­зочным секторам дисков и дискет. Если какая-либо программа пытается изменить содержимое загрузочных секторов, срабаты­вает защита, и пользователь получает соответствующее преду­преждение. Однако эта защита не очень надежна. Известны ви­русы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Виды антивирусных программ

Различают следующие виды антивирусных программ [85]:

• 
  программы-фаги (сканеры);
  
• 
  программы-ревизоры (CRC-сканеры);
  
• 
  программы-блокировщики;
  
• 
  программы-иммунизаторы.
  

Программы-фаги_(сканеры)'>Программы-фаги (сканеры) используют для обнаружения ви­русов метод сравнения с эталоном, метод эвристического анали­за и некоторые другие методы. Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем скани­рования в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Программы-фаги не толь­ко находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале работы программы-фаги сканиру­ют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к «лечению» файлов. Среди фагов вы­деляют полифаги — программы-фаги, предназначенные для по­иска и уничтожения большого числа вирусов.

---

Программы-фаги можно разделить на две категории — уни­версальные и специализированные сканеры. Универсальные ска­неры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от ОС, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, на­пример макровирусов. Специализированные сканеры, рассчи­танные только на макровирусы, оказываются более удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Программы-фаги делятся также на резидентные мониторы, производящие сканирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. Резидент­ные мониторы обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус толь­ко во время своего очередного запуска.

К достоинствам программ-фагов всех типов относится их универсальность. К недостаткам следует отнести относительно небольшую скорость поиска вирусов и относительно большие размеры антивирусных баз.

Наиболее известные программы-фаги: Aidstest, Scan, Norton Antivirus, Doctor Web. Учитывая, что постоянно появляются но­вые вирусы, программы-фаги быстро устаревают, и требуется ре­гулярное обновление версий.

Программы-ревизоры (CRC-сканеры) используют для поиска ви­русов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы, а также некоторая другая информация (длины файлов, даты их последней модификации и др.) затем сохраняются в БД ан­тивируса. При последующем запуске CRC-сканеры сверяют дан­ные, содержащиеся в БД, с реально подсчитанными значениями. Если информация о файле, записанная в БД, не совпадает с реаль­ными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Как правило, сравнение состоя­ний производят сразу после загрузки ОС.

CRC-сканеры, использующие алгоритмы антистелс, явля­ются довольно мощным средством против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у CRC-сканеров имеется недостаток, заметно снижающий их эффективность: они не мо­гут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распа­ковке файлов из архива), поскольку в их БД отсутствует инфор­мация об этих файлах.

---

Смотрите также файлы

• Коммерциялы емес ашы акционерлік оамы.docx

• Б Соглашение о деятельности государств на Луне, марсе и других небесных телах.docx

• Отчет по данной теме. Содержание задания.docx

• Практикум по методике преподавания русского языка как иностранного методические рекомендации и задания.pdf

• Психология и педагогика Психология.pptx