Вторым типом вредоносных программ являются так называемые сетевые черви, которые размножаются, но не являются частью других файлов. Эти программы для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевых червей является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию.
Сетевые черви подразделяются на Internet-черви (распространяются по Internet путем рассылки своих копий в виде вложений в сообщения e-mail), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты). Существуют также смешанные типы, которые совмещают в себе сразу несколько технологий.
В отдельную группу вредоносных программ выделяют троянскиепрограммы, которые не размножаются и не рассылаются сами. Троянские программы подразделяют в свою очередь на несколько групп.
Эмуляторы DDoS-атак приводят к атакам на Web-серверы (См. главу, посвященную Internet ), при которых на Web-сервер из разных мест поступает большое количество пакетов, что и приводит к отказам работы системы. Похитители секретной информации воруют информацию.
Утилиты несанкционированного удаленного управления, внедряясь в ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру и возможность управления им. Это программы воруют различную системную информацию и пересылают ее хакерам. Некоторые из этих программ позволяют злоумышленникам получить доступ к какому-либо компьютеру и выполнять на нем различные операции без ведома и участия пользователя компьютера. Существенный интерес для хакеров представляют пароли, то есть хакер может заниматься своими делами, не всегда законными, под чужим именем.
Дроппер (от англ. drop — бросать) – программа, которая “сбрасывает” в систему вирус или другие вредоносные программы, при этом сама больше ничего не делая.
Классификация антивирусных программ
Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения.
Чистый антивирус отличается наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальная особенность в этом случае заключается в возможности лечения. Если вирус известен, значит, возможно лечение. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории — on access и on demand, которые соответственно осуществляют контроль по доступу или проверку по требованию. Например, в терминологии продуктов «Лаборатории Касперского» on access-продукт — это «Монитор», а on demand-продукт — это «Сканер» . Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт — это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
Кроме того, антивирусные программы, так же как и вирусы, можно разделить по платформе.
Понятие “платформа” в антивирусной терминологии немного отличается от общепринятого в компьютерной индустрии. В антивирусной индустрии -платформа — это тот продукт, внутри которого работает антивирус. То есть наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Программы двойного назначения — это программы, используемые и в антивирусах, и в ПО, которое не является антивирусом. Например, CRC-checker — ревизор изменений на основе контрольных сумм (контрольная сумма - итог сложения нескольких битов информации, используемый в качестве критерия при целостности), может использоваться не только для ловли вирусов. Часто, при хранении файлов к комбинации битов, из которых состоит файл, добавляются группы контрольных битов, образующие контрольный байт.
Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.
От классического антивируса с антивирусным ядром, “узнающим” и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом вирус всегда имеет некоторую фору (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
Основные методы определения вирусов, применяемые антивирусными программами.
Алгоритм “сравнение с эталоном”
Самый старый алгоритм — это алгоритм, в котором вирус определяется классическим ядром по некоторой маске. Смысл данного алгоритма заключается в использовании статистических методов.
Алгоритм “контрольной суммы”
Алгоритм контрольной суммы предполагает, что действия вируса изменяют контрольную сумму. Однако синхронные изменения в двух разных сегментах могут привести к тому, что контрольная сумма останется неизменной при изменении файла. Основная задача построения алгоритма состоит в том, чтобы изменения в файле гарантированно приводили к изменению контрольной суммы.
Эвристический анализ
Для того чтобы размножаться, вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор, который является частью антивирусного ядра, содержит список таких действий, просматривая выполняемый код программы, определяет, что она делает и исходя из этого приходит к выводу, является ли данная программа вирусом или нет. Принципиальное отличие эвристического анализатора от поведенческого блокиратора состоит в том, что последний не рассматривает программу как набор команд. Блокиратор отслеживает действия программы в процессе ее работы, а эвристический анализатор начинает работу до выполнения программы. Первый эвристический анализатор появился в начале 90-х годов.
Борьба с вирусами
Для того чтобы обезопасить компьютер от действий вирусов, необходимо придерживаться следующих правил:
·Не использовать автоматический запуск нового электронного письма.
Получив электронное письмо, к которому приложен исполняемый файл, не запускайте этот файл сразу, если не понимаете, что это такое, не слишком хорошо знаете отправителя или не вполне ему доверяете. По электронной почте часто распространяются "троянские кони".Лучшая защита здесь - сохранить вложение как файл, затем проверить его антивирусной программой и лишь затем открыть. .
·Проверять дискеты на вирусы.
Вирусы часто попадают в компьютер с дискет. Поэтому необходимо обязательно проверять антивирусом каждую дискету, вставляемую в дисковод, или запустить резидентную программу, которая будет делать это автоматически при каждом обращении к дискете.
Необходимо регулярно создавать резервные копии хранимой на компьютере информации. При этом нельзя забывать, что сами резервные копии зараженной информации также могут быть заражены. Обнаружив и уничтожив вирус, обязательно сотрите старые копии и создайте новую, “чистую”. Не забудьте также “продезинфицировать” все дискеты, использовавшиеся на зараженной машине.
·Иметь аварийную загрузочную дискету.
Рекомендуется всегда иметь под рукой загрузочную дискету, с которой можно будет загрузиться, если система откажется сделать это обычным образом (увы, некоторые вирусы дают такой эффект). Для этого можно воспользоваться функцией антивирусной программы (она есть практически у всех антивирусов).
·Использовать защиту от макровирусов.
Рекомендуется обезопасить себя при работе с документами Word и Excel и включить встроенную защиту от макровирусов. Для этого нужно выбрать в меню “Сервис” пункт “Параметры”, на странице “Общие” поставить галочку против режима “Защита от вирусов в макросах” и нажать кнопку OK.
·Использовать защиту шаблона Normal в Word.
Большинство макровирусов внедряются в шаблон документов Normal. Например, Word 97, 2000 этот шаблон можно закрыть для изменений. Для этого войдите в редактор Visual Basic ("Сервис"-"Макрос"-"Редактор Visual Basic" или <Alt>+<F11>), выделите в окне проекта (не нашел вWord XP!) проект Normal и выберите в меню "Сервис" пункт "Свойства Normal". Перейдите на закладку "Защита", включите режим "Блокировать просмотр проекта", затем введите и подтвердите пароль. Теперь доступ к Normal.dot закрыт.
·Обязательным условием защиты от вирусов является использование антивирусных программ с постоянным обновлением антивирусных баз этих программ.
Антивирусные программы.
1. Линейка продуктов “Лаборатории Касперского”
1.1. Продукты для малого и среднего бизнеса
1.1. Антивирус Касперского (AVP) Business Optimal предназначен для борьбы с вирусами всех типов в сетях малого и среднего масштаба, содержащих до 100 рабочих станций и использующих в основном однородные операционные среды, и включает следующие элементы:
1.1.1.Антивирус Касперского (AVP) для Windows 95/98/Me и Windows 2000/NT (Wintel) рабочих станций
2.1.1.Антивирус Касперского для OS/2
3.1.1.Антивирус Касперского (AVP) для Linux Workstation
4.1.1.Антивирус Касперского для Windows NT/2000 Server
5.1.1.Антивирус Касперского для Linux Server
6.1.1.Антивирус Касперского для Novell NetWare
7.1.1.Антивирус Касперского для FreeBSD/BSDi UNIX
8.1.1.Антивирус Касперского для Microsoft Exchange Server
9.1.1.Антивирус Касперского (AVP) для Lotus Notes/Domino
10.1.1.Антивирус Касперского (AVP) для Sendmail/Qmail/Postfix
1. для домашних пользователей
1. 1. Антивирус Касперского (AVP) Personal Pro
1. 2. Антивирус Касперского (AVP) Personal
1. 3. Антивирус Касперского (AVP) Lite
1. 4. Антивирус Касперского для Palm OS
1. для корпоративных пользователей
1. Kaspersky Corporate Suite служит для обеспечения полномасштабной структуры компьютерной безопасности для систем корпоративного масштаба.
1. Программный пакет обеспечивает создание независимой от платформенного обеспечения, централизованно управляемой структуры защиты от вирусов и хакерских атак для корпоративных сетей любой топологической сложности, с возможным подключением удаленных участков сети, расположенных на любом конце земного шара.
1. Линейка антивирусных программ от компании «ДиалогНаука»
2.1. Семейство программ Doctor Web
2.1.1. Сканер Doctor Web
· для Windows 95/98/Me/NT/2000;
· для DOS/386 и Windows 3.1x;
· для Novell NetWare;
· для OS/2;
· для Linux/FreeBSD (сканер + daemon).
Cуперсовременный, простой в использовании и исключительно надежный антивирусный сканер, регулярно показывающий отличные результаты в авторитетных международных тестах.
2.1.1. Сторож SpIDer Guard
· для Windows 95/98/Me/NT/2000
Антивирусный сторож нового поколения обеспечивает пользователям максимальный комфорт и безопасность. Постоянно контролируя состояние системы, он не станет беспокоить вас по пустякам, но обязательно предотвратит вторжение компьютерного вируса и при необходимости пресечет вирусную активность.
2.1. Семейство программ ADinf
2.1.1. Ревизор дисков Adinf
· для Windows 95/98/Me/NT/2000;
· для DOS.
Антивирусный ревизор обеспечивает быстрый, полный и исключительно удобный контроль за состоянием файловой системы. В паре со сканером Doctor Web позволяет на 1-2 порядка ускорить процесс сканирования жестких дисков большого объема.
2.1.1. Универсальный лекарь
ADinf Cure Module
· для Windows 3.1x
· для DOS
Лечащий модуль ревизора дисков, позволяющий в подавляющем большинстве случаев восстановить зараженные файлы.
