Компьютерные вирусы и методы защиты от вирусов

     Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.

     Так как инструменты типа rootkit на сегодняшний  день «прижились» и на других ОС (в том числе, на Windows), то следует  признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.

     Таким образом, rootkit — программный код  или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.

     Arcbomb – бомбы в архивах

     Представляют  собой архивы, специально оформленные  таким образом, чтобы вызывать нештатное  поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.

     Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

     Некорректный  заголовок архива или испорченные  данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

     Значительных  размеров файл, содержащий повторяющиеся  данные, позволяет заархивировать такой  файл в архив небольшого размера (например, 5Гб данных упаковываются в 200Кб RAR или в 480Кб ZIP-архив).

     Огромное  количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10¹⁰⁰ одинаковых файлов в 30Кб RAR или 230Кб ZIP-архив).

     Рекламные системы

     Рекламные системы не являются в прямом смысле вредоносными программами, но могут  доставить определённые неприятности. Чаще всего такие системы поступают  вмаесте с бесплатными программами, скопированными из Интернета (пример - рекламный агент TimeSink). Подобное дополнение служит для закачки и демонстрации рекламных баннеров и прочей рекламной мишуры, что занимает линию связи, снижает скорость соединения. Кроме того, программы-агенты могут предоставлять рекламным серверам информацию о том, к каким ресурсам Интернета обращаются через данный браузер или какие программы используются на компьютере. 

     Методы  защиты информации от вирусов

     Стопроцентной защиты от вирусов сегодня не существует, но соблюдение некоторых правил может многократно снизить риск заражения:

• По возможности избегать компьютеров «общего пользования», установленных в студенческих аудиториях, на почтах и т. п. За день таким компьютером пользуется множество людей, и любой может занести вирус со своего носителя, поэтому записывать информацию с такого компьютера на свой носитель категорически не рекомендуется;
• При получении из Интернета или локальной сети файлов приложений пакета Microsoft Office (например, Word или Excel) в первую очередь проверить их надёжной антивирусной программой и только потом открывать. Такие файлы могут содержать макровирусы;
• То же самое относится и к другим скачиваемым из Интернета файлам: дистрибутивам или исполняемым файлам приложений, самораспаковывающимся архивам и так далее. Перед выполнением их необходимо проверить антивирусной программой;
• Если используемая антивирусная программа обладает возможностью постоянного мониторинга, то при работе в Интернете данный режим должен быть включен. Это поможет своевременно обнаружить заражённые файлы;
• Время от времени нужно полностью сканировать компьютер на наличие вирусов  с помощью антивирусной программы. Периодичность сканирования зависит от загрузки компьютера, а также от того, работает ли пользователь с Интернетом;
• При работе с внешними носителями информации проверять их антивирусной программой на наличие вирусов. Особенно, если эти носители новые или чужие;
• Ни в коем случае не запускать внезапно появившиеся на Рабочем столе значки. Многие вирусы (особенно сетевые черви) специально помещают на Рабочий стол заманчивый значок. При щелчке на таком значке вирус активизируется и начинает распространяться по сети;
• После окончания работы в Интернете отключить шнур, соединяющий компьютер с телефонной линией. В противном случае злоумышленник может получить доступ даже к выключенному компьютеру;
• Для защиты информации от постороннего доступа целесообразно применять шифрование данных;
• Для сохранения наиболее важных файлов и папок необходимо делать их резервные копии, что позволяет в случае аварийного отказа системы восстановить её со всеми настройками;
• Для блокирования попыток несанкционированного проникновения   различных программ, команд или заданий как из Интернета в компьютер, так и из компьютера в Интернет, следует установить брандмауэр - своеобразный фильтр, регулятор доступа в компьютерные сети и на отдельные компьютеры.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Антивирус Касперского 7.0 

     Антивирус Касперского, разработанный компанией  Лаборатория Касперского, является одной из наиболее популярных антивирусных программ.  

 

     Рисунок 1. Интерфейс программы Антивирус Касперского

     К её достоинствам можно отнести простой  и интуитивно понятный пользовательский интерфейс, возможность гибкой настройки параметров сканирования, а также наличие богатой антивирусной базы. Антивирус Касперского обеспечивает защиту компьютера от вирусов и иных вредоносных программ.

     В состав Антивируса Касперского включен  специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения, - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы.  

     Рисунок 2. Окно Файлового антивируса

       Процесс проверки включает следующие действия:

1. Файл анализируется на присутствие вирусов. Распознавание вредоносных объектов происходит на основании баз приложения. Базы содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания.
2. В результате анализа возможны следующие варианты поведения приложения:
• Если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл, помещает его копию в резервное хранилище и пытается вылечить файл. В результате успешного лечения файл становится доступным для работы, если же лечение произвести не удалось, файл удаляется.
• Если в файле обнаружен код, похожий на вредоносный, но стопроцентной гарантии этого нет, файл подвергается лечению и помещается в специальное хранилище - карантин.
• Если в файле не обнаружено вредоносного кода, он сразу же становится доступным для работы.

       Антивирус Касперского включает также специальный компонент, обеспечивающий защиту входящей и исходящей почты на наличие опасных объектов, - Почтовый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все почтовые сообщения по протоколам POP3, SMTP, IMAP, MAPI1 и NNTP, а также через защищенные соединения (SSL) по протоколам POP3 и IMAP.  

Рисунок 3. Окно Почтового антивируса

       По  умолчанию защита почты осуществляется по следующему алгоритму:

1. Каждое письмо, принимаемое или отправляемое пользователем, перехватывается Почтовым Антивирусом.
2. Почтовое сообщение разбирается на составляющие его части: заголовок письма, тело, вложения.
3. Тело и вложения почтового сообщения (в том числе вложенные OLE-объекты) проверяются на присутствие в нем опасных объектов. Распознавание вредоносных объектов происходит на основании баз, используемых в работе приложения, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.
4. В результате проверки на вирусы возможны следующие варианты поведения:

• Если тело или вложение письма содержит вредоносный код, Почтовый Антивирус блокирует письмо, помещает копию зараженного объекта в резервное хранилище и пытается обезвредить объект. В результате успешного лечения письмо становится доступным для пользователя, если же лечение произвести не удалось, зараженный объект из письма удаляется. В результате антивирусной обработки в тему письма помещается специальный текст, уведомляющий о том, что письмо обработано Антивирусом Касперского.

• Если тело или вложение письма содержит код, похожий на вредоносный, но стопроцентной гарантии этого нет, подозрительная часть письма помещается в специальное хранилище - карантин.
• Если в письме не обнаружено вредоносного кода, оно сразу же становится доступным для пользователя.

     Для обеспечения безопасности работы в Интернете Антивирус Касперского содержит - Веб-Антивирус.  

Рисунок 4. Окно Веб-Антивируса

     Этот  компонент защищает информацию, поступающую на компьютер по HTTP-протоколу, а также предотвращает запуск на компьютере опасных скриптов.

       Защита HTTP-трафика обеспечивается по следующему алгоритму:

1. Каждая веб-страница или файл, к которому происходит обращение пользователя или некоторой программы по протоколу HTTP, перехватывается и анализируется Веб-Антивирусом на присутствие вредоносного кода. Распознавание вредоносных объектов происходит на основании баз, используемых в работе Антивируса Касперского, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.
2. В результате анализа возможны следующие варианты поведения:
• Если веб-страница или объект, к которому обращается пользователь, содержат вредоносный код, доступ к нему блокируется. При этом на экран выводится уведомление о том, что запрашиваемый объект или страница заражены.
• Если файл или веб-страница не содержат вредоносного кода, они сразу же становятся доступны для пользователя.

     Проверка скриптов выполняется по следующему алгоритму:

1. Каждый запускаемый на веб-странице скрипт перехватывается Веб-Антивирусом и анализируется на присутствие вредоносного кода.
2. Если скрипт содержит вредоносный код, Веб-Антивирус блокирует его, уведомляя пользователя специальным всплывающим сообщением.
3. Если в скрипте не обнаружено вредоносного кода, он выполняется.

 

     Программа  защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах приложения. Это обеспечивает специально разработанный компонент - Проактивная защита.

Рисунок 5. Окно Проактивной защиты

     Превентивные  технологии, на которых построена  Проактивная защита «Антивируса Касперского», позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред вашему компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется на основании записей баз приложений, превентивные технологии распознают новую угрозу на вашем компьютере по последовательности действий, выполняемой некоторой программой. В поставку программы включен набор критериев, позволяющих определять, насколько активность той или иной программы опасна. Если в результате анализа активности последовательность действий какой-либо программы вызывает подозрение, Антивирус Касперского применяет действие, заданное правилом для активности подобного рода.

     По  мнению экспертов Anti-Malware.ru (компании по тестированию и сравнительным анализам антивирусных программ), к достоинствам Антивируса Касперского относятся:

• Высокая скорость реакции на новые угрозы;
• Высокая частота обновлений антивирусных баз;
• Отличный поведенческий блокиратор, не имеющий аналогов у конкурентов;
• Возможности эффективного удаления руткитов;
• Хорошая самозащита
• Широкая поддержка упаковщиков (большинство исполняемых файлов хранятся в упакованном виде, перед тем как проверять такой файл на содержание сигнатуры вируса, его следует распаковать);
• Широкая функциональность: поиск активных руткитов, проверка трафика HTTP "на лету", возможность отмены изменений, сделанных вредоносными программами, включенное в состав средство аварийного восстановления, автоматическая настройка нагрузки на центральный процессор, организация доверенной зоны и ещё некоторые возможности.