Методы защиты от вирусов

Существующие методы защиты от вирусов и прочих вредоносных программ можно разделить на следующие группы:

– профилактические меры;

– специализированные программы;

– программно-аппаратные средства.

Применение профилактических мер значительно снижает вероятность как угрозы заражения вирусом, так и угрозы утраты данных. В этих целях рекомендуется соблюдать следующие правила:

1. Обязательно делать регулярное резервное копирование важных данных (в порядке убывания соотношения ценность/объём: пользовательских файлов, системных настроек, содержимого рабочего и системного дисков), в том числе и на альтернативные носители (компакт- и флеш-диски, сетевые ресурсы).

2. Не допускать работы с непроверенными программами, файлами, носителями, ссылками, особенно если в этом нет необходимости.

3. Приобретать программное обеспечение только у официальных распространителей, обеспечивая впоследствии регулярную установку обновлений.

4. Круг лиц, допускаемых к работе на конкретном компьютере, и набор соответствующих прав доступа должен быть ограничен до минимума.

5. На случай заражения, приводящего к полной неработоспособности операционной системы, следует предусмотреть альтернативный способ загрузки, обеспечивающий к тому же запуск антивирусных программ. Например, посредством LiveCD или LiveUSB («живого» носителя, с которого возможна загрузка операционной системы, не требующей для своего функционирования установки на жёсткий диск).

 

Специализированные программы противодействия вредоносным угрозам часто называют просто антивирусами. На самом деле их защитные функции могут существенно различаться. Охарактеризуем некоторые из них.

Детекторы только ищут в памяти и в файлах характерные коды (сигнатуры) вирусов и выдают соответствующее сообщение при их обнаружении.

Доктора (фаги, полифаги) не только детектируют, но и удаляют из зараженных объектов коды вирусов. В начале своей работы фаги ищут и уничтожают вирусы в оперативной памяти, затем переходят к «лечению» файлов на дисках.

В зависимости от режима запуска среди антивирусных программ можно выделить сканеры и мониторы.

Сканеры запускаются пользователем и позволяют задать область (диск, папку, файлы) и параметры сканирования. Обычно сканеры по окончании работы генерируют отчет, записываемый в текстовый файл.

Мониторы являются резидентными (постоянно находящимися в оперативной памяти и выполняющими проверку «на лету») программами. Обычно они помещаются в оперативную память после загрузки операционной системы, находятся в памяти во время всего сеанса работы и отслеживают операции с дисками и памятью. При обнаружении подозрительного объекта монитор выдает сообщение, либо выполняет действие по умолчанию. К недостаткам можно отнести значительный объем занимаемой памяти, что может замедлять работу ПК.

Классические антивирусные продукты обнаруживают фиксированный набор известных вирусов, сигнатуры которых содержатся в их вирусных базах. Из-за огромного постоянно растущего количества новых вирусов и их модификаций сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту.

Поэтому неотъемлемым компонентом современного антивирусного программного обеспечения являются проактивные технологии защиты, основанные на анализе поведения, эвристическом анализе, эмуляции кода и других, позволяющих предотвратить заражение системы неизвестными вирусами. К таким наиболее известным антивирусным продуктам относятся современные комплексы программ под марками Dr. Web, Антивирус Касперского, Norton AntiVirus и другие.

Вакцины (иммунизаторы) – программы, предотвращающие заражение файлов некоторыми определёнными вирусами. Вакцина модифицирует программы или диск таким образом, чтобы это не отражалось на работе программ, а вирус воспринимает их как заражённые и не внедряется.

Ревизоры относятся к самым надежным средствам защиты от неизвестных вирусов. Они запоминают исходное состояние заведомо не зараженных программ, каталогов и системных областей диска, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным и выводят обнаруженные изменения на экран монитора. При сравнении проверяются длина файла, контрольная сумма, дата и время модификации. Из российских программ-ревизоров наиболее известной является Adinf32.

Фильтры, или «сторожа», представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

– попытки изменения исполнимых файлов (с расширением ЕХЕ, СОМ);

– изменение атрибутов файла;

– прямая запись на диск по абсолютному адресу;

– запись в загрузочные сектора диска;

– запись в BIOS.

При попытке совершить указанные действия «сторож» посылает на экран сообщение и просит разрешения на их выполнение, что может раздражать пользователя.

К программам-фильтрам также относятся межсетевые или сетевые экраны, называемые также брандмауэрами или файерволами (нем. Brandmauer, англ. firewall – стена, разделяющая смежные здания и предохраняющая от распространения пожара). Они реализуют централизованное управление доступом к сети и могут обеспечивать несколько типов защитных функций:

– блокировать нежелательный трафик;

– направлять входящий трафик только к надежным внутренним системам;

– протоколировать входящий и исходящий трафик;

– скрывать уязвимые системы, которые нельзя обезопасить от атак из внешней сети другим способом;

– скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей;

– реализовывать дополнительную аутентификацию приложений.

 

Программно-аппаратные антивирусные средства представляют собой специальные устройства с соответствующим программным обеспечением. Например, шлюз доступа в Интернет Dr.Web Office Shield позволяет организовать централизованную антивирусную защиту рабочих станций и файловых серверов Windows, почтового и интернет-трафика. Состав Dr.Web Office Shield: Центр управления Dr.Web Enterprise Security Suite; Комплексная защита Dr.Web Desktop Security Suite; Антивирус + Антиспам + SMTP proxy Dr.Web Mail Security Suite; Антивирус Dr.Web Gateway Security Suite; Корпоративный межсетевой экран; сервер VPN; сервер DHCP&DNS; Точка доступа Wi-Fi.

 

При заражении вирусом (или подозрении) рекомендуются выполнить следующие действия:

1) отключить компьютер от локальной сети и интернета, чтобы не допускать заражения других компьютеров и возможной утечки информации;

2) сохранить важные данные, желательно на внешний носитель (CD-диск, флэш-карту и др.);

3) просканировать компьютер «свежим» антивирусом (например, c сайта www.drweb.ru всегда можно скачать лечащую утилиту с последними обновлениями вирусных баз);

4) для ОС Windows сканирование желательно проводить, загрузив Безопасный режим (Safe Mode);

5) если действия вредоносных программ сделали загрузку зараженной системы невозможной, то для восстановления работоспособности следует использовать альтернативный загрузочный носитель (например, LiveCD или LiveUSB, что позволяет к тому же выполнить копирование важных данных).

 

Вопросы и тестовые задания для самоконтроля

 

1. Действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства, называется...

1) угрозой безопасности информации

2) компрометацией информации

3) раскрытием конфиденциальной информации

4) несанкционированным использованием информационных ресурсов

5) вирусная атака

2. Источником случайных угроз могут быть...

1) ошибки в программном обеспечении

2) программные вирусы

3) программы типа "троянский конь"

4) действия злоумышленников

5) все ответы верны

3. По характеру возникновения угрозы безопасности информации принято делить на...

1) случайные (непреднамеренные) и умышленные

2) случайные и непреднамеренные

3) случайные, умышленные, и пассивные

4) случайные, умышленные, и активные

5) умышленные, пассивные и активные

4. Источником случайных угроз могут быть...

1) выходы из строя аппаратных средств

2) программные вирусы

3) программы типа "троянский конь"

4) действия злоумышленников

5) все ответы верны

5. Источником случайных угроз могут быть...

1) все ответы верны

2) выходы из строя аппаратных средств

3) ошибочные действия пользователей

4) ошибочные действия администраторов

5) ошибки в программном обеспечении

6. Источником случайных угроз могут быть...

1) ошибочные действия пользователей

2) программные вирусы

3) программы типа "троянский конь"

4) действия злоумышленников

5) все ответы верны

 

вернуться к содержанию