Компьютерные вирусы

В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. ДОКТОРА-РЕВИЗОРЫ, -- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от тех, которые используют «стандартные», известные на момент написания программы, механизмы заражения файлов.

Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны. компьютерный вирус защита программа

Глава 2. Обзор современных программных средств, обеспечивающих безопасную работу компьютера

2.1 Обзор AVP

(AntiViral Toolkit Pro)

Данная программа была создана ЗАО «Лаборатория Касперского». AVP обладает одним из самых совершенных механизмов обнаружения вирусов. Сегодня

AVP практически ни в  чем не уступает западным аналогам.

AVP предоставляет пользователям  максимум сервиса - возможность обновления  антивирусных баз через Интернет, возможность задания параметров  автоматического сканирования и  лечения зараженных файлов. Обновления  на сайте AVP появляются практически  еженедельно, а база данных включает  описания уже почти 40 тысяч вирусов.

AVP состоит из нескольких  важных модулей:

1)AVP сканер проверяет жесткие  диски на предмет заражения  вирусами.

Можно задать полный поиск, при котором программа будет проверять все файлы подряд, а также задать режим проверки архивированных файлов. Одно из главных преимуществ AVP - борьба с макровирусами. Пользователь может выбрать специальный режим, при котором будут проверяться документы, созданные в формате Microsoft Office. После обнаружения вирусов или зараженных файлов, AVP предлагает на выбор несколько вариантов: удалить вирусы из файлов, удалить сами зараженные файлы или переместить их в специальную папку.

2)AVP Monitor. Эта программа автоматически загружается при запуске Windows. AVP Monitor автоматически проверяет все запускаемые на компьютере файлы и открываемые документы и в случае вирусной атаки сигнализирует об этом пользователю. Более того, в большинстве случаев AVP Monitor просто не дает зараженному файлу запуститься, блокируя процесс его выполнения. Эта функция программы очень полезна для тех, кто постоянно имеет дело со множеством новых файлов, например, для активных пользователей Интернет (т.к. каждые пять минут запускать AVP для проверки скачанных файлов невозможно, то здесь на помощь приходит AVP Monitor).

3)AVP Inspector - последний и очень важный модуль комплекта AVP, позволяющий отлавливать даже неизвестные вирусы. «Инспектор» использует метод контроля изменения размера файлов. Внедряясь в файл, вирус неизбежно увеличивает его объем, и «инспектор» легко его обнаруживает.

Кроме всего перечисленного существует так называемый Центр Управления AVP - «пульт управления» всеми программами комплекса AVP. Самая важная функция этой программы - встроенный Планировщик Задач, позволяющий осуществлять оперативную проверку (а если понадобится - и лечение системы) в автоматическом режиме, без участия пользователя, но в заданное им время.

Антивирусная поверка электронной почты.

Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства принадлежит электронной почте. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены вирусами.

К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для здоровья компьютера. В чем опасность файлов вложения? В качестве такого файла пользователю могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *.xls), зараженный компьютерным вирусом.

Запустив полученную программу на выполнение или открыв для просмотра документ, пользователь может инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем. В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на ваш компьютер - дело времени.

Возможны и другие попытки проникновения на компьютер через электронную почту. Например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое дело.

Защита от вирусов, распространяющихся по почте.

Помимо чисто административных мер, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).

Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.

Кроме того, эффективность антивирусов очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению.

Антивирусы для почтовых серверов.

Понимая актуальность проблемы распространения вирусов по электронной почте, многие компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие антивирусы анализируют поток данных, проходящий через почтовый сервер, не допуская передачи сообщений с зараженными файлами вложений. Существует и другое решение - подключение к почтовым серверам обычных антивирусов, предназначенных для проверки файлов.

Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и к тому же включит режим автоматического обновления базы данных через Интернет. Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов - к ним будут приходить сообщения, уже очищенные от вирусов.

Действия, выполняемые почтовыми серверами при отправке и получении зараженных писем, зависят от настройки антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом, защищенный почтовый север SMTP откажет ему в этом, а почтовая программа выведет на экран предупреждающее сообщение.

Если же кто-то пошлет на ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса.

Несмотря на постоянно растущую популярность платформы Microsoft Windows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных UNIX-подобных систем. Основное преимущество Linux - очень низкая стоимость приобретения. Каждый может загрузить через Интернет дистрибутив Linux и установить его на любое количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернета, в том числе и серверы электронной почты. Среди други преимуществ Linux и подобных ОС следует отметить открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.

Doctor Web для UNIX-систем.

Для защиты почтовых серверов, работающих под управлением операционных систем Linux, FreeBSD и Solaris, с успехом можно использовать антивирусную программу Doctor Web Игоря Данилова. В комплект антивируса входят программа- демон DrWebD и программа-сканер DrWeb, а также решения для интеграции с почтовыми системами: CommuniGate Pro, Sendmail, Qmail, Exim, Postfix. Демон DrWebD снабжен открытым документированным интерфейсом и может использоваться практически во всех системах обработки данных в качестве подключаемого внешнего антивирусного фильтра. Открытые исходные тексты некоторых компонентов интеграции позволяют проводить аудит, модифицировать интерфейсные компоненты для более полного удовлетворения требованиям разработчика. Кроме того, эти исходные тексты могут служить примером для написания собственных компонентов интеграции. В процессе своей работы демон DrWebD автоматически проверяет все сообщения электронной почты, проходящие через сервер. При этом проверяются файлы вложений (даже упакованные), а также все объекты, встроенные в документы. При обнаружении вируса в почтовом сообщении тело вируса изымается и перемещается в зону “карантина”, после чего получателю сообщения и администратору сервера посылается извещение. Таким образом пользователи Sendmail будут надежно защищены от вредоносных программ, распространяющихся через электронную почту. Аналогичный механизм взаимодействия предусмотрен и для других почтовых серверов. Doctor Web автоматически загружает через Интернет обновления антивирусных баз данных, что необходимо для надежной антивирусной защиты. Помимо антивирусной проверки демон может выполнять фильтрацию сообщений по содержимому различных полей заголовков, что может быть использовано для защиты от несанкционированной рассылки сообщений - спама. Одним из несомненных достоинств программы является высокая производительность работы демона DrWebD и сканера DrWeb, достигнутая благодаря использованию совершенных алгоритмов. Это имеет особое значение в том случае, если сервер обладает малой вычислительной мощностью.

2.2 Norton Antivirus

Norton Internet Security - комплексное решение, направленное на защиту интернета, а также всех данных вашего компьютера. Он один из самых «укомплектованных» в плане компонентов защиты, тем не менее, при его тестировании мы не замечали никаких значительных подвисаний. Говоря проще, в NIS вы, возможно, найдете все, что требовали от комплексного антивируса. Предлагаем посмотреть, из чего же состоит Norton Internet Security: * Антивирус Анивирусная защита Norton интересна многим пользователям, чьи убеждения направлены категорически против продукции Symantec. На самом деле, практически никто из них не знает о том, каков реальный уровень защиты этого антивируса. Наше независимое тестирование, мы надеемся, поможет по-настоящему разобраться в мощности антивирусного анализа NIS. * Антишпион Среди вредоносных программ (именуемых на профессиональном языке «malware»), существует такой класс, как шпионы. Эти программы способны замаскироваться под легальные (не путайте с руткитами - они маскируются полностью под другое ПО, вроде Photoshop или ICQ ) программы и воровать ваши секретные данные, передавая их злоумышленнику. Компонент «Антишпион», встроенный в Norton Internet Security, обладает возможностью пресекать любые попытки кражи ваших данных, а то и вовсе удаляет программы - шпионы безо всяких негативных последстий. * Антиспам Этот компонент защищает вашу почту от поступления на нее нежелательных писем, когда такое письмо приходит, об этом сообщает этот компонент. Легко встраивается в любые почтовые клиенты, создавая отличный барьер от нежелательной информации. * Norton Safe Web Очень хорошо продуманным средством сетевой атаки являются мошеннические сайты и сайты-клоны, из-за которых неопытный пользователь может очень сильно навредить компьютеру. NSW блокирует вредоносные сайты, защищая компьютер от возможных сетевых атак, имеет в наличии огромную и постоянно обновляемую базу вредоносных веб-сайтов, благодаря которым даже самый новый из них может быть заблокирован. * Антифишинг Фишинг, происходит от слова «fishing» (ловить рыбу), - это попытки мошенников фактически заманить вас на крючок. Они делают это, рассылая поддельные письма якобы от законных организаций, с целью выудить обманным путем личную информацию, такие как номера кредитных карт или пароли к сервисам управления банковскими счетами. Антифишинг Norton пресекает все попытки подобного рода мошенничества. * Norton Reputation Service Очень полезный сервис, отображающий дату создания и количество пользователей, использующих какую-либо программу. Не даст угрозе попасть на компьютер, имеет преимущество над аналогами, поскольку там, как в немногих антивирусных решениях, базы пополняются за счет пользователей, то есть «живого интеллекта». * Родительский контроль Всесторонняя защита от любопытных ребятишек, пытающихся попасть на сайты непристойного содержания. Также вы сами можете указать, когда ребенок сможет вообще включить интернет. * "Умный" фаервол Почему умный? Да потому что пользователь практически не замечает его работы, так как он сам выбирает, какие права дать программе, запущенной на компьютере. Если пользователя не устроит что-то, он может сам поменять уровень доверия к своим программам. * Эвристическая защита SONAR Это гордость кампании Symantec. Эвристика SONAR является аналогом многим средствам проактивной защиты, поскольку по факту выполняет те же функции - проверяет файлы и отслеживает угрозы по поведению, а не по наличию, либо их отсутствию в базах. Отличие SONAR от других эвристических движков в том, что сама технология зародилась по счету одной из самых первых и имеет богатейший опыт разработки. * Импульсные обновления Это те же самые обновления, только проходящие не фиксировано в определенное время, а как только выйдут новые базы. Данные об этом получает сам антивирус, если компьютер постоянно подключен к интернету. Нагрузку на сетевое соединение этот компонент не оказывает. * Схема и мониторинг сети Этот модуль позволит вам с легкостью просмотреть данные о сетевых соединениях, сознанных программами на вашем компьютере с учетом их нагрузки на сеть. Также мониторинг сети может выявить причину возможного отсутствия или сбоев в работе интернета, но разобраться сможет только любитель, новичку это будет тяжело. * Защита от ботов Система защиты от ботов не позволит искусственному интеллекту взять верх над живым, уговорив дать пароль от какой-нибудь программы или свои данные. Norton Internet Security не даст роботу продолжать обмениваться с вами информацией, оборвав сетевое соединение. Такой компонент защиты направлен на спасение вашего компьютера от критического заражения. * Norton Bootable Recovery Tool Утилита восстановления, помогающая поднять на ноги фатально зараженный компьютер. У вас есть возможность записи на загрузочный диск или USB данных для восстановления именно вашего компьютера, пока система еще не заражена. Это еще один модуль защиты, способный спасти ваш ПК и сохранить все данные в целости и сохранности. * Антируткит Этот компонент не даст вирусу, замаскировавшемуся под легальную программу, навредить вашей операционной системе. Работает так же, как и антивирус - полностью нейтрализует руткит, а затем безвозвратно удаляет. * Norton Identity Safe Позволит вам сохранить все свои конфиденциальные данные и пароли в специальном изолированном от внешних попыток доступа секторе. Хранит неограниченное количество паролей и данных. * Norton Identity Safe On-The-Go Этот компонент работает вкупе с предыдущим, позволяя сохранять всю секретную информацию на USB, в котором также будет создан изолированный сектор. * Norton File Insight Эта технология позволит получить наиболее подробную информацию о любом файле - с какого сайта он был скачан, когда к нему производился доступ, как часто он используется и многое другое. * Norton Download Insight Этот модуль позволит вам определить уровень опасности любого загружаемого файла, даже если тот загрузился не полностью. Предотвращает заражение компьютера по неопытности использования интернета. * Norton Protection System Это система многоуровневой защиты от любых типов угроз и атак. Многоуровневой - потому что угроза определяется не только по наличию ее в базе вирусных сигнатур, но и по поведению, классификации и многим другим критериям. * Norton System Insight Эта программа служит для оптимизации работы компьютера при использовании антивируса Norton. Показывает на весьма доступном языке диаграммы и графики, демонстрирующие использование процессора и оперативной памяти. Доступна даже новичкам, поскольку ко всему дается подробное описание. * Norton Insight Система Norton Insight позволит избавить антивирус от повторного сканирования файлов, не подверженных заражению, например, документов. В итоге второе, третье и все последующие сканирования компьютера будут проводиться куда быстрее, нежели в первый раз. * Средства устранения уязвимостей Система устранения уязвимостей сканирует параметры операционной системы на наличие потенциальных изъянов, а также проверяет ее на наличие критических обновлений. Этот модуль позволит финализировать вашу защиту и избавить вас даже от малейшего подозрения на ее отсутствие, вопреки многим высказываниям различных пользователей в интернете.

2.3 Dr. Web

В целях повышения быстродействия продуктов Dr.Web их архитектура была значительным образом модифицирована в версии 7.0: появились новые сервисы, оптимизирована работа всех компонентов. Специалисты «Доктор Веб» усовершенствовали сканер с графическим интерфейсом. Наиболее важным следствием внесенных в сканер изменений стала возможность многопоточной обработки данных с распределением задач между ядрами процессора. Как следствие, общая производительность продуктов новой версии существенным образом выросла. О всех улучшениях и изменениях вы можете прочитать в официальном пресс-релизе. Поскольку в последнее время мы не получаем информацию о сравнительных тестированиях с участием антивируса Dr.Web, любая информация, представленная здесь, может быть очень ценна. Мнение Comss.ru - этот антивирусный продукт ничем не хуже других, и мы смело готовы это обосновать. Но давайте вначале разберемся, чем нас защищает Dr.Web: * Сканер Dr.Web для Windows - главный компонент антивируса, позволяющий выявить вредоносные файлы и программы. Версия 7.0 претерпела множество улучшений интерфейса, о которых предлагаем прочесть в соответствующем разделе. Также возможен запуск с командной строки - полезная функция, если внезапно отказывают процессы, отвечающие за графическую оболочку Windows. Однако стоит отметить, что зачастую при проверке некоторых веб-страниц этот компонент конфликтует с сервером, выдавая ошибки. Результаты антивирусного сканирования мы постараемся предоставить в наиболее подробном виде. * SpIDer Guard - антивирусный сканер, обеспечивающий компьютер проверкой real-time - то есть, в реальном времени. Этот компонент постоянно находится в оперативной памяти компьютера, причем практически не влияет на быстродействие системы. При тестировании дискомфорта не было замечено вообще, а это большой плюс. * SpIDer Mail - почтовый антивирус, блокирующий получение на ваш почтовый ящик писем, содержащих вредоносные файлы. Работает вместе с антиспамом, что способствует усилению защиты любых почтовых клиентов. * SpIDer Gate - защитник вашего интернета. Борется с вредоносными ссылками и файлами, которые последнее время так и норовят заразить ваш компьютер. Имеет встроенный компонент Dr.Web LinkChecker - это отлично зарекомендовавший себя модуль, который может встраиваться в любой браузер и проверять все открываемые вами ссылки средствами своего «родителя» SpIDer Gate. Вредоносная веб-страница блокируется намертво, защищая вас от заражения. * Родительский контроль - создан специально для ваших непосед. Не дает им проникнуть на ненужные сайты. Также от них можно ограничивать любые файлы на вашем компьютере. * Dr.Web Firewall - сканер сетевой активности, не дает нехорошим людям взломать или закидать вирусами ваш компьютер через интернет, а также регулирует уровень доверия к любой программе, запускаемой на компьютере. Увы, параноидален, для каждой программы делает особое приглашение, и вам постоянно приходится разрешать или запрещать ее запуск. * Модуль обновления - говоря простым языком, компонент, позволяющий вам вручную обновить антивирус. Заметим, что разработчики Dr.Web внедрили в передаваемые файлы обновлений уникальную технологию сжатия, благодаря которой более 10 тысяч определений умещаются в маленький файл размером чуть более 150 кб. Антивирус обновляется раз в 3 часа автоматически, поэтому вам нет особой необходимости использовать этот компонент. * SpIDer Agent - компонент, позволяющий даже не очень опытному пользователю настроить работу Dr.Web Security Space. В отличие от простого «Антивируса Dr.Web», в состав Dr.Web Security Space не входят такие компоненты, как «Планировщик заданий» и «Сканер Dr.Web для DOS». Так что, если вы хотите запланировать какое-либо задание для антивируса Dr.Web Security Space, то воспользуйтесь стандартным планировщиком Windows.