• ×

    • Компьютерные вирусы: происхождение, реальная угроза и методы защиты. Источники возникновения вирусов

    22.04.2019

    Человеческий организм подвержен всякого рода заболеваниям и инфекциям, также довольно часто болеют животные и растения. Ученые прошлого века пытались выявить причину многих заболеваний, но, даже определив симптоматику и течение болезни, они не могли уверенно сказать о ее причине. И лишь в конце девятнадцатого века появился такой термин, как "вирусы". Биология, а точнее один из ее разделов - микробиология, стала изучать новые микроорганизмы, которые, как оказалось, уже давно соседствуют с человеком и вносят свою лепту в ухудшение его здоровья. Для того чтобы эффективнее бороться с вирусами, выделилась новая наука - вирусология. Именно она может рассказать о древних микроорганизмах очень много интересного.

    Вирусы (биология): что это такое?

    Только в девятнадцатом веке ученые выяснили, что возбудителями кори, гриппа, ящура и других инфекционных заболеваний не только у людей, но и у животных и растений являются микроорганизмы, невидимые человеческому глазу.

    После того как были открыты вирусы, биология не сразу смогла дать ответы на поставленные вопросы об их строении, возникновении и классификации. У человечества появилась потребность в новой науке - вирусологии. В настоящий момент вирусологи работают над изучением уже знакомых вирусов, наблюдают за их мутациями и изобретают вакцины, позволяющие уберечь живые организмы от заражения. Довольно часто с целью эксперимента создается новый штамм вируса, который хранится в "спящем" состоянии. На его основе разрабатываются препараты и проводятся наблюдения по их воздействию на организмы.

    В современном обществе вирусология является одной из самых важных наук, а самый востребованный научный сотрудник - это вирусолог. Профессия вирусолога, по прогнозам социологов, с каждым годом становится все более популярной, что хорошо отражает тенденции современности. Ведь, как считают многие ученые, скоро с помощью микроорганизмов будут вестись войны и устанавливаться правящие режимы. В таких условиях государство, имеющее высококвалифицированных вирусологов, может оказаться самым стойким, а его население наиболее жизнеспособным.

    Появление вирусов на Земле

    Ученые относят возникновение вирусов к самым древним временам на планете. Хотя с точностью сказать, каким образом они появились и какую форму имели в то время, невозможно. Ведь вирусы имеют способность проникать в абсолютно любые живые организмы, им доступны простейшие формы жизни, растения, грибы, животные и, конечно же, человек. Но вирусы не оставляют после себя никаких видимых остатков в виде окаменелостей, например. Все эти особенности жизни микроорганизмов существенно затрудняют их изучение.

    • они были частью ДНК и со временем отделились;
    • они были встроены в геном изначально и при определенных обстоятельствах "проснулись", начали размножаться.

    Ученые предполагают, что в геноме современных людей находится огромное количество вирусов, которыми были заражены наши предки, и теперь они естественным образом встроились в ДНК.

    Вирусы: когда были обнаружены

    Изучение вирусов - это достаточно новый раздел в науке, ведь считается, что он появился только в конце девятнадцатого века. На самом деле можно сказать, что неосознанно открыл сами вирусы и вакцины от них английский врач в конце девятнадцатого века. Он работал над созданием лекарства от оспы, косившей в те времена сотни тысяч людей во время эпидемии. Он сумел создать экспериментальную вакцину прямо из болячки одной из девушек, болевшей оспой. Эта прививка оказалась весьма эффективной и спасла не одну жизнь.

    Но официальным "отцом" вирусов считается Д. И. Ивановский. Этот русский ученый долгое время изучал болезни растений табака и сделал предположение о мелких микроорганизмах, которые проходят через все известные фильтры и не могут существовать самостоятельно.

    Спустя несколько лет француз Луи Пастер в процессе борьбы с бешенством выявил его возбудителей и ввел термин "вирусы". Интересен тот факт, что микроскопы конца девятнадцатого века не могли показать ученым вирусы, поэтому все предположения делались относительно невидимых микроорганизмов.

    Развитие вирусологии

    Середина прошлого века дала мощный толчок в развитии вирусологии. К примеру, изобретенный электронный микроскоп позволил, наконец, увидеть вирусы и провести их классификацию.

    В пятидесятые годы двадцатого века была изобретена вакцина от полиомиелита, ставшая спасением от этого страшного заболевания для миллионов детей по всему миру. К тому же ученые научились выращивать человеческие клетки в специальной среде, что привело к появлению возможности изучать вирусы человека в лабораторных условиях. В настоящий момент описано уже около полутора тысяч вирусов, хотя еще пятьдесят лет назад известными были всего лишь двести подобных микроорганизмов.

    Свойства вирусов

    Вирусы имеют ряд свойств, которые отличают их от других микроорганизмов:

    • Очень маленькие размеры, измеряющиеся в нанометрах. Крупные вирусы человека, например оспы, имеют размер триста нанометров (это всего лишь 0,3 миллиметра).
    • Каждый живой организм на планете содержит два вида нуклеиновых кислот, а вирусы имеют только одну.
    • Микроорганизмы не могут расти.
    • Размножение вирусов происходит только в живой клетке хозяина.
    • Существование происходит только внутри клетки, вне ее микроорганизм не может проявлять признаков жизнедеятельности.

    Формы вирусов

    К настоящему моменту ученые могут с уверенностью заявлять о двух формах данного микроорганизма:

    • внеклеточная - вирион;
    • внутриклеточная - вирус.

    Вне клетки вирион находится в "спящем" состоянии, он не поддет никаких признаков жизни. Попав в организм человека, он находит подходящую клетку и, только проникнув в нее, начинает активно размножаться, превращаясь в вирус.

    Строение вируса

    Практически все вирусы, несмотря на то что они довольно разнообразны, имеют однотипное строение:

    • нуклеиновые кислоты, образующие геном;
    • белковая оболочка (капсид);
    • некоторые микроорганизмы поверх оболочки имеют еще и мембранное покрытие.

    Ученые считают, что подобная простота строения позволяет вирусам выживать и приспосабливаться в изменяющихся условиях.

    В настоящий момент вирусологи выделяют семь классов микроорганизмов:

    • 1 - состоят из двуцепочечной ДНК;
    • 2 - содержат одноцепочечную ДНК;
    • 3 - вирусы, копирующие свою РНК;
    • 4 и 5 - содержат одноцепочечную РНК;
    • 6 - трансформируют РНК в ДНК;
    • 7 - трансформируют двуцепочечную ДНК через РНК.

    Несмотря на то что классификация вирусов и их изучение шагнули далеко вперед, ученые допускают возможность появления новых видов микроорганизмов, отличающихся от всех уже перечисленных выше.

    Типы вирусной инфекции

    Взаимодействие вирусов с живой клеткой и способ выхода из нее определяет тип инфекции :

    • Литическая

    В процессе инфицирования все вирусы одновременно выходят из клетки, и в результате она погибает. В дальнейшем вирусы "селятся" в новых клетках и продолжают их разрушать.

    • Персистентная

    Вирусы выходят из клетки хозяина постепенно, они начинают поражать новые клетки. Но прежняя продолжает свою жизнедеятельность и "рождает" все новые вирусы.

    • Латентная

    Вирус встраивается в саму клетку, в процессе ее деления он передается другим клеткам и распространяется по всему организму. В подобном состоянии вирусы могут находиться достаточно долгое время. При необходимом стечении обстоятельств они начинают активно размножаться и инфекция протекает по уже перечисленным выше типам.

    Россия: где изучают вирусы?

    В нашей стране вирусы изучают уже достаточно давно, и именно российские специалисты лидируют в этой области. В Москве расположен НИИ вирусологии имени Д. И. Ивановского, специалисты которого вносят существенный вклад в развитии науки. На базе НИИ работаю научно-исследовательские лаборатории, содержится консультативный центр и кафедра вирусологии.

    Параллельно российские вирусологи работают с ВОЗ и пополняют свою коллекцию штаммов вирусов. Специалисты НИИ работают по всем разделам вирусологии:

    • общей:
    • частной;
    • молекулярной.

    Стоит отметить, что в последние годы наметилась тенденция к объединению усилий вирусологов всего мира. Такая совместная работа является более эффективной и позволяет серьезно продвинуться в изучении вопроса.

    Вирусы (биология как наука это подтвердила) - это микроорганизмы, сопровождающие все живое на планете на протяжении всего их существования. Поэтому их изучение является столь важным для выживания многих видов на планете, в том числе и человека, который уже не раз в истории становился жертвой различных эпидемий, вызванных вирусами.

    Источники вирусов

    компьютерный вирус программа червь

    На данный момент существует множество источников, откуда возможно получение вируса:

    1. Глобальные сети - электронная почта

    2. Электронные конференции, файл-серверы ftp и BBS

    3. Локальные сети

    4. Пиратское программное обеспечение

    5. Персональные компьютеры "общего пользования"

    6. "Случайные" пользователи компьютера

    Проще всего вирусы распространяются во вложениях сообщений электронной почты и мгновенных сообщений. Поэтому очень важно никогда не открывать вложения, если вы не ожидали их получить или не знаете, кто их отправил.

    Вирусы могут распространяться под видом забавных картинок, поздравительных открыток, звуковых и видеофайлов.

    Кроме того, их можно загрузить из Интернета вместе с нелицензионным программным обеспечением или другими файлами и программами.

    А как определить, имеется ли в вашем компьютере вирус? Это возможно узнать с помощью следующих признаков.

    Признаки проявления вирусов:

    1. Неправильная работа нормально работавших программ;

    2. Медленная работа компьютера;

    3. Частые зависания и сбои в работе компьютера;

    4. Изменение размеров файлов;

    5. Исчезновение файлов и папок;

    6. Неожиданное увеличение количества файлов на диске;

    7. Уменьшение размеров свободной оперативной памяти;

    8. Вывод на экран неожиданных сообщений и изображений;

    9. Подача непредусмотренных звуковых сигналов;

    10. Невозможность загрузки операционной системы.

    И конечно же, для предотвращения заражения компьютера вирусами важно своевременно устанавливать последние обновления и антивирусные средства, быть в курсе последних угроз (EN) и следовать основным правилам при работе в Интернете, загрузке файлов и открытии вложений.

    Неважно, какую разновидность имеет вирус и как он попал на компьютер, прежде всего следует удалить его и предотвратить дальнейшее заражение.

    А при помощи каких программ "спасти" свой компьютер от вирусов вы найдёте в следующей главе.

    Разновидности антивирусных программ

    Антивирусные программы развивались параллельно с эволюцией вирусов. По мере того как появлялись новые технологии создания вирусов, усложнялся и математический аппарат, который использовался в разработке антивирусов.

    Первые антивирусные алгоритмы строились на основе сравнения с эталоном. Речь идет о программах, в которых вирус определяется классическим ядром по некоторой маске. Смысл алгоритма заключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, а с другой -- достаточно большой, чтобы избежать ложных срабатываний (когда "свой" воспринимается как "чужой", и наоборот).

    Первые антивирусные программы, построенные по этому принципу (так называемые сканеры-полифаги), знали некоторое количество вирусов и умели их лечить. Создавались эти программы следующим образом: разработчик, получив код вируса (код вируса поначалу был статичен), составлял по этому коду уникальную маску (последовательность 10-15 байт) и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность байтов, делала заключение о том, что файл инфицирован. Данная последовательность (сигнатура) выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.

    Описанные подходы использовались большинством антивирусных программ вплоть до середины 90-х годов, когда появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен так называемым эмулятором процессора, позволяющим находить шифрующиеся и полиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.

    Рис. 1.

    Принцип эмуляции процессора демонстрируется на рис. 1. Если обычно условная цепочка состоит из трех основных элементов: ЦПУ®ОС®Программа, то при эмуляции процессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве и реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.

    Второй механизм, появившийся в середине 90-х годов и использующийся всеми антивирусами, -- это эвристический анализ. Дело в том, что аппарат эмуляции процессора, который позволяет получить выжимку действий, совершаемых анализируемой программой, не всегда дает возможность осуществлять поиск по этим действиям, но позволяет произвести некоторый анализ и выдвинуть гипотезу типа "вирус или не вирус?".

    В данном случае принятие решения основывается на статистических подходах. А соответствующая программа называется эвристическим анализатором.

    Для того чтобы размножаться, вирус должен совершать какие-либо конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра) содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является данная программа вирусом или нет.

    При этом процент пропуска вируса, даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.

    Классификация антивирусных программ

    Классифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения (рис. 2).


    Рис. 2.

    Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты -- сканерами.

    Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт -- это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.

    Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

    Программы двойного назначения -- это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker -- ревизор изменений на основе контрольных сумм -- может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

    Обзор наиболее популярных персональных антивирусов

    В обзор вошли наиболее популярные антивирусы для персонального использования от пяти известных разработчиков. Следует отметить, что некоторые из рассмотренных ниже компаний предлагают несколько версий персональных программ, различающихся по функциональности и соответственно по цене. В нашем обзоре мы рассмотрели по одному продукту от каждой компании, выбрав наиболее функциональную версию, которая, как правило, носит название Personal Pro. Другие варианты персональных антивирусов можно найти на соответствующих сайтах.

    Антивирус Касперского

    Personal Pro v. 4.0

    Разработчик: "Лаборатория Касперского". Web-сайт: http://www.kaspersky.ru/. Цена 69 долл. (лицензия на 1 год).

    Антивирус Касперского Personal Pro (рис. 3) -- одно из наиболее популярных решений на российском рынке и содержит целый ряд уникальных технологий.

    Рис. 3.

    Поведенческий блокиратор модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.

    Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

    Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

    Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

    Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.

    Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

    Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

    Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

    Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

    Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

    Разработчик: "Лаборатория Данилова" и "ДиалогНаука". Web-сайт: http://www.dialognauka.ru/, http://www.Dr.Web.ru/.

    Цена 50 долл. (лицензия на 1 год).

    Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

    Известный антивирус (рис. 4) представляет собой комбинацию антивирусного сканера Doctor Web и резидентного сторожа SpIDer Guard, интегрированного в операционную систему компьютера. Один из самых совершенных в мире эвристических анализаторов Doctor Web в сочетании с ежедневно обновляющимися вирусными базами представляет собой надежную защиту от вирусов, троянских коней, почтовых червей и иных видов вредоносного программного кода.


    Рис. 4.

    Программа построена по модульному принципу, то есть разделена на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависимое от среды. Подобная организация позволяет использовать одни и те же файлы вирусной базы Dr.Web для разных платформ, подключать ядро к различным оболочкам и приложениям, реализовывать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.

    Программа предлагает наглядные средства выбора объектов тестирования путем просмотра дерева подкаталогов. Обновление антивирусной базы производится автоматически через Интернет.

    Сторож SpIDer осуществляет анализ всех опасных действий работающих программ и блокирует вирусную активность практически всех известных и еще неизвестных вирусов. Благодаря технологии SpIDer-Netting программа сводит к нулю процент ложных срабатываний и пресекает все виды вирусной активности. Данная технология позволяет не допустить заражения компьютера вирусом, даже если этот вирус не сможет быть определен сканером Doctor Web с включенным эвристическим анализатором. В отличие от ряда других существующих резидентных сторожей, реагирующих на каждое проявление вирусоподобной активности и тем самым быстро утомляющих пользователя своей назойливой подозрительностью, SpIDer проводит эвристический анализ по совокупности вирусоподобных действий, что позволяет избежать большинства случаев ложных реакций на вирус.

    Ознакомительную версию программы Dr.Web32 можно получить по адресу http://www.dialognauka.ru/download/. По сравнению с полнофункциональной коммерческой версией она имеет следующие ограничения:

    при старте выдается сообщение о том, что версия является ознакомительной;

    не проверяются архивы и почтовые файлы;

    невозможно лечение зараженных файлов.

    Чтобы превратить ознакомительную версию в полнофункциональную рабочую, ее необходимо зарегистрировать и получить регистрационный ключ. Подробную информацию об условиях приобретения индивидуальных ключей для программы Dr.Web32 можно получить по адресу: http://www.dialognauka.ru/commerce/.

    Разработчик: Компания Symantec. Web-сайт: http://www.symantec.ru/.

    Цена 89,95 евро.

    Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

    Norton AntiVirus 2003 Professional Edition (рис. 5) компании Symantec"s является одним из наиболее надежных и продаваемых решений в мире. Последняя версия программы имеет ряд новых возможностей: защиту от вирусов в приложениях Instant messenger; блокировку червей (Worm Blocking), которая позволяет защитить исходящую почту и предотвратить инфицирование компьютеров третьих лиц, а также парольную защиту настройки опций в Norton AntiVirus. Системы Worm Blocking (блокирование червей) и Script Blocking (блокирование скриптов) способны предотвращать угрозы от еще неизвестных вирусов, что позволяет проводить профилактику быстро распространяющихся вирусов-червей типа "I Love You" или "Anna Kournikova" даже в промежутке между обновлениями базы вирусных описаний.

    Рис. 5.

    Norton AntiVirus 2003 сканирует входящие вложения сообщений Instant Message. Сканер сообщений Instant Messaging scanning поддерживает Yahoo! Instant Messenger, AOL Instant Messenger, MSN Messenger и Windows Messenger. Norton Antivirus обеспечивает надежную защиту входящей и исходящей почты, не требуя от пользователя дополнительных действий.

    Эксклюзивная эвристическая модель блокировки червей (Heuristics-based Worm Blocking technology) дает программе возможность детектировать почтовых червей, не допуская их попадания в рассылку. В дополнение к функциям автоматического удаления вирусов Norton AntiVirus 2003 позволяет также удалять троянских коней и червей в фоновом режиме, не прерывая работы.

    Единственным недостатком данного продукта является его достаточно высокая цена.

    Разработчик: McAfee Associates. Web-сайт: http://www.mcafee.ru/.

    Цена 40 долл.

    Программа работает под управлением Microsoft Windows 95/98/Mе/NT4/2000/XP.

    Загрузить 30-дневную версию можно по адресу: http://www.mcafee.ru/reg.html.

    McAfee VirusScan Professional 6.0 (рис. 6) обеспечивает обнаружение и удаление около 60 тыс. вирусов, троянских программ, червей, вредоносных Java-аплетов и ActiveX.

    Особенности программы:

    постоянная проверка всех точек входа, включая сетевые диски, CD-ROM, электронную почту и загружаемые из Интернета файлы;

    ядро обнаружения подозрительной активности сигнализирует о необычных действиях, предотвращая разрушительныеипоследствия и обеспечивая бесперебойную работу ПК;

    Рис.6.

    автоматическое обновление антивирусных баз через Интернет;

    сканирование при синхронизации с карманными компьютерами (PDA);

    модуль для Palm OS для обеспечения полной защиты карманного компьютера;

    Shredder -- безопасное удаление конфиденциальной информации с дисков ПК;

    QuickClean Lite -- удаление ненужных файлов и программ с диска, очистка реестра Windows;

    гибкие возможности настройки расписания сканирования;

    передача подозрительных файлов в AVERT для получения оперативной помощи при обнаружении неизвестных вирусов;

    возможность помещения зараженных файлов в карантин для обеспечения их полной изоляции;

    бесплатная техническая поддержка по электронной почте или в режиме реального времени (Chat);

    новый, значительно усовершенствованный и легко настраиваемый интерфейс делает защиту компьютера более простой и очевидной.

    Разработчик: Panda Software. Web-сайт: http://www.pandasoftware.com/.

    Цена 39,95 долл.

    Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

    Panda Antivirus Titanium (рис. 7) надежно защищает от вирусов, троянских коней, червей, вредоносных ActiveX- и Java-аплетов, а также имеет эвристическую технологию, способную защитить от неизвестных вирусов, которые могут появиться в будущем.Программа имеет автоматизированную систему обновлений и специальную технологию для защиты от вирусов, проникающих на ваш компьютер посредством электронной почты.

    Рис. 7.

    Одна из основных задач, которая ставилась перед разработчиками Panda Antivirus Titanium, заключалась в создании продукта для домашних пользователей, обладающего максимально дружественным интерфейсом, основанном на принципе "включил и забыл".

    Panda Antivirus Titanium производит обновления в фоновом режиме без запроса к пользователю. Каждый раз, когда вы подключаетесь к Интернету, программа автоматически производит обновление антивирусных баз данных.

    Новый высокоскоростной антивирусный "движок" -- new UltraFast virus scan engine -- один из наиболее быстрых и экономичных на рынке.

    Программа дает возможность избежать неприятных сюрпризов при работе с почтой или при скачивании Интернет-файлов. Технология Panda Antivirus Titanium позволяет обнаружить и удалить вирус в почтовом послании до того, как вы его откроете, так что вирус не сможет проникнуть на ваш компьютер. Panda Antivirus Titanium работает с большинством наиболее распространенных почтовых клиентов, доступных сегодня на рынке: Microsoft Outlook, Outlook Express, Eudora, Pegasus, MSN Mail, Netscape Mail.

    Многие современные вирусы не только инфицируют файлы, но и изменяют параметры операционной системы. Panda Antivirus Titanium обладает собственной технологией SmartClean technology, позволяющей исправлять даже серьезные повреждения, нанесенные вирусом, в сложных случаях.

    Наличие клиентов из 40 стран позволяет оперативно обновлять антивирусные базы на основе вирусов, появляющихся в разных концах света.

    В работе указаны наиболее популярные решения, однако число антивирусных программ этим не ограничивается, в таблице перечислены антивирусные программы, которые, наряду с рассмотренными, входят в десятку наиболее популярных в мире антивирусных программ.

    Таблица. Популярные антивирусные программы, не вошедшие в обзор

    За последние лет 10-15 инновационные технологии прочно вошли в нашу жизнь. Мы уже слабо представляем, как жили когда-то без мобильных телефонов, компьютеров, социальных сетей и электронной почты. С одной стороны, такой ИТ-бум - это прекрасно, все вышеперечисленные «блага цивилизации» дают нам доступ к информации, о которой мы ранее и подумать не могли. Но, с другой, растущая интернет-зависимость провоцирует и рост угроз, которые поджидают нас в сети.

    В 1994 году антивирусные программы детектировали один новый вирус каждый час, в 2006 году эта цифра выросла до одного вредоносного кода в минуту, в 2011-м – до одного нового вируса в секунду. Объемы зловредов увеличиваются экспоненциально. В нынешнем году, как сообщает Kaspersky Lab, ежедневно обнаруживается 325 000 образцов нового вредоносного ПО. Колоссальный рост за последние 20 лет.

    Три угрозы в секунду – столько раз, если пересчитать, подвергались вредоносным атакам пользователи интернета. Это в разы большая вероятность получить ущерб, чем когда вы перебегаете дорогу. Последствия инфицирования разные: от участия в бот-сети (кто знает, может это ваш компьютер был в числе тех, кто ддосил сайт президента) до кражи всех сбережений с вашего банковского счета.

    Украина по числу киберугроз входит в тройку стран, где риск заражения наиболее высок, согласно данным Kaspersky Lab, полученным за последние девять месяцев 2015 года. Почти 36% украинских пользователей сталкивались с веб-угрозами. Если бы компьютеры не были защищены, то пользователи подверглись бы заражению.

    Несмотря на этот факт, политике безопасности не уделяется должного внимания. Базовые правила безопасного поведения в сети игнорируют (не постоянно) все без исключения. Но стоит помнить, что злоумышленники не дремлют и постоянно совершенствуют свои инструменты. Мы видим, как приемы, используемые при осуществлении целевых атак, постепенно осваиваются традиционными киберпреступниками. А это значит, что атаки на пользователя становятся умными, а значит более опасными.

    Для того чтобы донести важность ИТ-гигиены, мы подготовили подборку главных каналов, которые используют злоумышленники для распространения вредоносного кода.

    Мобильные гаджеты

    В 2016 году, по прогнозам компании Ericsson, общее число подключенных смартфонов достигнет 5,6 млрд. Это практически по одному мобильному устройству на каждого взрослого человека на планете*. Однако у такой любови к мобильным гаджетам есть печальные последствия.

    Мы используем смартфоны для выполнения финансовых операций, в том числе для приобретения товаров и услуг и отправки различных платежей. При этом, как правило, мы в меньшей степени уделяем внимание безопасности мобильных устройств. Быстрое принятие и доверие к мобильным технологиям не остались незамеченными киберпреступниками. Разработчики используют мобильные устройства для монетизации своих угроз, как никогда раньше.

    «До 2011 года было немного программ для мобильных устройств. Массированное внедрение мобильных устройств, как в корпоративном секторе, так и индивидуально, спровоцировало появление буквально миллионов мобильных зловредов», – говоритДэвид Эмм , старший антивирусный эксперт Kaspersky Lab.

    По подсчетам компании Pulse Secure, в 2014 году было обнаружено почти миллион вредоносных приложений. При этом самыми уязвимыми являются пользователи Android, 97% всех новых угроз создаются для этой платформы. Среди них программы-вымогатели, шпионские программы, просто вредоносные приложения. Зараженный смартфон может рассылать платные SMS и спам, звонить на платные номера, через него злоумышленники могут подслушивать, а то и подглядывать за вами.

    Совет : Устанавливайте мобильные приложения из только из официальных источников. Обновляйте мобильное ПО. Настройте права приложений.

    USB

    USB-устройства для хранения данных могут таить в себе огромную угрозу. Помимо той информации, которую вы записываете на устройство, на флешках может содержаться вредоносное и шпионское программное обеспеченье. В отчете лаборатории PandaLabs за 2010 год говорится, что 25% всех новых вирусов было разработано специально для распространения через USB-устройства.

    «На съемных накопителях передаются не только данные, но и вредоносное ПО. Эти механизмы активно используются для распространения вредоносных программных кодов», – подтверждает Дэвид Эмм.

    Принцип работы USB-зловредов заключается в том, что при подключении флешки к зараженному компьютеру вредоносная программа модифицирует загрузочный файл Autorun.inf, который определяет параметры автозапуска таким образом, чтобы путь к запускаемой автоматически программе ввел именно на исполняемый модуль вируса. В результате вредоносное ПО на съемном устройстве автоматически запускается при подключении к компьютеру и сразу же заражает компьютер.

    Примечательно, что в качестве носителя вируса могут выступать не только привычные нам флешки, но и фотоаппараты, смартфоны, планшеты, плееры.

    Совет : Не подключайте чужие флешки к своему компьютеру без предварительной проверки на вирусы.

    Почта

    Электронная почта уже давно перестала быть простым каналом коммуникации. По данным Forrester Research & MarketingPRO за 2014 год, в мире насчитывается 4,1 млрд почтовых акканутов. Каждый час отправляется 122,5 млрд писем. Из этого огромнейшего массива писем меньше половины приходится на личную переписку (55 млрд писем). Все остальное – рекламная рассылка, за которой может скрываться спам и фишинг.

    По данным Kaspersky Lab, во втором квартале 2015 года доля спама в мировом почтовом трафике составила 53,5%. Украина в списке стран-источников спама занимает третье место, после США и России.

    «Электронная почта также используется для распространения вредоносного ПО. Мы знаем, что молодежь электронной почтой не очень пользуется, но на предприятиях по-прежнему активно используется корпоративная почта, через которую распространяется приложения или ссылки на зараженные сайты», – поясняет антивирусный эксперт.

    Один из примеров зловредных писем – фишинговые письма, когда вас, как пользователя почты, пытаются обманным путем вынудить перейти по ссылке, ведущей на зараженный сайт, или открыть зараженное вложение. Такое письмо могут прислать от имени вашего банка или сотрудника. Фишеры рассчитывают, что на поддельной веб-странице пользователь введет свои конфиденциальные данные, которые сразу же будут доступны киберпреступникам.

    Совет : Не открывайте подозрительные письма и их вложения. Если очень надо, то проверьте содержимое письма на вирусы. Не переходите по подозрительным ссылкам, которые есть в письме от адресата, которому вы не доверяете.

    Веб-браузеры

    Браузеры являются главным окном во Всемирную паутину, что делает эти программы одними из самых ненадежных. Уязвимости браузеров и плагинов успешно используются так называемыми эксплойтами.

    Эксплойт – это форма вредоносного кода (по сути, последовательность команд), которая использует существующие дыры в защите программы, чтобы получить несанкционированный доступ к системе или нарушить ее функциональность. Посредством эксплуатирования слабых мест злоумышленники могут украсть личные данные, в том числе пароли к банковским системам, использовать компьютер в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак.

    По словам Дэвида Эмма , подхватить вирус можно просто посетив веб-сайт, на который загружено вредоносное ПО. «Те, кто заходят на инфицированную веб-страницу, автоматически заражают свои компьютеры. Разумеется, если они не установили вовремя обновления», – отмечает эксперт. Простое обновление браузера и популярных плагинов, таких как Adobe Flash, Adobe Acrobat и Java, исправляет известные уязвимости.

    Совет : Регулярно обновляйте браузер и плагины. Не заходите на сайты, вызывающие сомнения. Проверяйте веб-страницы на подлинность перед вводом конфиденциальной информации на них.

    Соцсети

    Доступность, скорость, масштабность – эти условия привлекают не только пользователей соцсетей, но и киберпреступников.

    Во-первых, пользователи достаточно откровенно ведут себя в социальных сетях, неосознанно передавая все козыри в руки киберпреступников. Отсюда развитие социальной инженерии, взломы и преследования. Во-вторых, в соцсетях информация распространяет почти мгновенно. И в-третьих, соцсети обеспечивают огромное покрытие – количество пользователей исчисляется миллиардами. Только пользователей Facebook по состоянию на второй квартал 2015 года насчитывается 1,49 млрд человек.

    «Социальные сети используют для сбора информации для целевых атак и распространению вредоносного ПО в широких масштабах. Они как воры-карманники, которые орудуют в толпе. А толпа сегодня – это социальные сети», – говорит Дэвид Эмм .

    Только в отличие от реальной жизни, мы еще не научились держать виртуальный кошелек при себе.

    Совет : Личные данные должны оставаться личными. Не открывайте доступ к данным на своей страничке незнакомцам. Ограничьте круг друзей.

    * по оценкам ЦРУ, на сегодняшний день на Земле проживает около 5,4 млрд людей в возрасте от 15 лет.

    Е. КАСПЕРСКИЙ и Д. ЗЕНКИН

    Вспыхнувшая в мае этого года эпидемия компьютерного вируса "LoveLetter" ("Любовные письма") еще раз подтвердила опасность, которую таит в себе подобная "компьютерная фауна". Проникнув в сотни тысяч компьютеров по всему миру, вирус уничтожил огромное количество важной информации, буквально парализовав работу крупнейших коммерческих и государственных организаций.

    Так выглядят "любовные письма", рассылаемые вирусом "LoveLetter" no электронной почте. Чтобы запустить вирус, достаточно нажать на иконку.

    Такой рисунок показывает вирус "Tentacle" ("Щупальце") при попытке просмотреть любой файл с расширением GIF на зараженных компьютерах. Надпись на рисунке: "Я вирус Щупальце".

    Вирус "Marburg" показывает эти прелестные крестики и... удаляет файлы с дисков.

    Скрипт-вирус "Monopoly" поиздевался над главой компании Microsoft Биллом Гейтсом. Помимо показа забавной картинки вирус незаметно отсылает с компьютера секретную информацию.

    К сожалению, феномен "компьютерного вируса" до сих пор вызывает скорее суеверный трепет, нежели желание трезво разобраться в ситуации и принять меры безопасности. Какие они - эти вирусы? Насколько они опасны? Какие методы антивирусной защиты существуют сегодня и насколько они эффективны? На эти и другие темы рассуждают специалисты ведущего российского производителя антивирусных программ "Лаборатории Касперского".

    ЧТО ТАКОЕ КОМПЬЮТЕРНЫЙ ВИРУС?

    На этот, казалось бы, простой вопрос до сих пор не найден однозначный ответ. В специализированной литературе можно найти сотни определений понятия "компьютерный вирус", при этом многие из них различаются чуть ли ни диаметрально. Отечественная "вирусология" обычно придерживается следующего определения: компьютерным вирусом называется программа, без ведома пользователя внедряющаяся в компьютеры и производящая там различные несанкционированные действия. Это определение было бы неполным, если бы мы не упомянули еще одно свойство, обязательное для компьютерного вируса. Это его способность "размножаться", то есть создавать свои дубликаты и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. Причем дубликаты вируса могут и не совпадать с оригиналом.

    Способность вирусов к "размножению" вызывает у некоторых людей желание сравнивать их с "особой формой жизни" и даже наделять эти программы неким "злым интеллектом", заставляющим их совершать мерзкие выходки ради достижения поставленной цели. Однако это не более чем вымысел и игра фантазии. Подобное восприятие событий напоминает средневековые представления о злых духах и ведьмах, которых никто не видел, но все боялись. "Размножение" вирусов ничем не отличается от, например, копирования программой файлов из одной директории в другую. Отличие лишь в том, что эти действия производятся без ведома пользователя, то есть на экране не появляется никаких сообщений. Во всем остальном вирус - самая обычная программа, использующая те или иные команды компьютера.

    Компьютерные вирусы - один из подвидов большого класса программ, называемых вредоносными кодами. Сегодня эти понятия часто отождествляют, однако, с научной точки зрения это не верно. В группу вредоносных кодов входят также так называемые "черви" и "Троянские кони". Их главное отличие от вирусов в том, что они не могут "размножаться".

    Программа-червь распространяется по компьютерным сетям (локальным или глобальным), не прибегая к "размножению". Вместо этого она автоматически, без ведома пользователя, рассылает свой оригинал, например, по электронной почте.

    "Троянские" программы вообще лишены каких-либо встроенных функций распространения: они попадают на компьютеры исключительно "с помощью" своих авторов или лиц, незаконно их использующих. Вспомним "Илиаду" Гомера. После многих безуспешных попыток взять Трою штурмом, греки прибегли к хитрости. Они построили статую коня и оставили ее троянцам, сделав вид, что отступают. Однако конь был внутри пустым и скрывал отряд греческих солдат. Троянцы, поклонявшиеся божеству в образе коня, сами втащили статую в ворота города. "Троянские" программы используют похожий способ внедрения: они попадают в компьютеры под видом полезных, забавных и, зачастую, весьма прибыльных программ. Например, пользователю приходит письмо по электронной почте с предложением запустить присланный файл, где лежит, скажем, миллион рублей. После запуска этого файла в компьютер незаметно попадает программа, совершающая различные нежелательные действия. Например, она может шпионить за владельцем зараженного компьютера (следить, какие сайты он посещает, какие использует пароли для доступа в Интернет и т. п.) и затем отсылать полученные данные своему автору.

    В последнее время участились случаи появления так называемых "мутантов", то есть вредоносных кодов, сочетающих в себе особенности сразу нескольких классов. Типичный пример - макровирус "Melissa", вызвавший крупную эпидемию в марте прошлого года. Он распространялся по сетям как классический Интернет-червь. "LoveLetter" - также помесь сетевого червя и вируса. В более сложных случаях вредоносная программа может содержать в себе характеристики всех трех типов (таков, например, вирус "BABYLONIA").

    ПРОИСХОЖДЕНИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

    Как это ни странно, идея компьютерных вирусов возникла задолго до появления персональных компьютеров. В1959 году американский ученый Л. С. Пенроуз (L. С. Penrose) опубликовал в журнале "Scientific American" статью, посвященную самовоспроизводящимся механическим структурам. В этой статье была описана простейшая модель двухмерных структур, способных к активации, размножению, мутациям, захвату. Вскоре исследователь из США Ф. Г. Сталь (F. G. Stahl) реализовал эту модель с помощью машинного кода на IBM 650.

    В те времена компьютеры были огромными, сложными в эксплуатации и чрезвычайно дорогими машинами, поэтому их обладателями могли стать лишь крупные компании или правительственные вычислительные и научно-исследовательские центры. Но вот 20 апреля 1977 года с конвейера сходит первый "народный" персональный компьютер Apple II. Цена, надежность, простота и удобство в работе предопределили его широкое распространение в мире. Общий объем продаж компьютеров этой серии составил более трех миллионов штук (без учета его многочисленных копий, таких, как Правец 8М/С, Агат и др.), что на порядок превышало количество всех других ЭВМ, имевшихся в то время. Тем самым доступ к компьютерам получили миллионы людей самых различных профессий, социальных слоев и склада ума. Неудивительно, что именно тогда и появились первые прототипы современных компьютерных вирусов, ведь были выполнены два важнейших условия их развития - расширение "жизненного пространства" и появление средств распространения.

    В дальнейшем условия становились все более и более благоприятными для вирусов. Ассортимент доступных рядовому пользователю персональных компьютеров расширялся, помимо гибких 5-дюймовых магнитных дисков появились жесткие, бурно развивались локальные сети, а также технологии передачи информации при помощи обычных коммутируемых телефонных линий. Возникли первые сетевые банки данных BBS (Bulletin Board System), или "доски объявлений", значительно облегчавшие обмен программами между пользователями. Позднее многие из них переросли в крупные онлайновые справочные системы (CompuServe, AOL и др.). Все это способствовало выполнению третьего важнейшего условия развития и распространения вирусов - стали появляться отдельные личности и группы людей, занимающиеся их созданием.

    Кто пишет вирусные программы и зачем? Этот вопрос (с просьбой указать адрес и номер телефона) особенно волнует тех, кто уже подвергся вирусной атаке и потерял результаты многолетней кропотливой работы. Сегодня портрет среднестатистического "вирусописателя" выглядит так: мужчина, 23 года, сотрудник банка или финансовой организации, отвечающий за информационную безопасность или сетевое администрирование. Однако по нашим данным, его возраст несколько ниже (14-20 лет), он учится или не имеет занятия вообще. Главное, что объединяет всех создателей вирусов - это желание выделиться и проявить себя, пусть даже на геростратовом поприще. В повседневной жизни такие люди часто выглядят трогательными тихонями, которые и мухи не обидят. Вся их жизненная энергия, ненависть к миру и эгоизм находят выход в создании мелких "компьютерных мерзавцев". Они трясутся от удовольствия, когда узнают, что их "детище" вызвало настоящую эпидемию в компьютерном мире. Впрочем, это уже область компетенции психиатров.

    90-е годы, ознаменовавшиеся расцветом глобальной сети Интернет, оказались наиболее благодатным временем для компьютерных вирусов. Сотни миллионов людей по всему миру волей-неволей сделались "пользователями", а компьютерная грамотность стала почти так же необходима, как умение читать и писать. Если раньше компьютерные вирусы развивались в основном экстенсивно (то есть росло их число, но не качественные характеристики), то сегодня благодаря совершенствованию технологий передачи данных можно говорить об обратном. На смену "примитивным предкам" приходят все более "умные" и "хитрые" вирусы, гораздо лучше приспособленные к новым условиям обитания. Сегодня вирусные программы уже не ограничиваются порчей файлов, загрузочных секторов или проигрыванием безобидных мелодий. Некоторые из них способны уничтожать данные на микросхемах материнских плат. При этом технологии маскировки, шифрации и распространения вирусов подчас удивляют даже самых бывалых специалистов.

    КАКИЕ БЫВАЮТ ВИРУСЫ

    На сегодняшний день зарегистрировано около 55 тысяч компьютерных вирусов. Их число постоянно растет, появляются совершенно новые, ранее неизвестные типы. Классифицировать вирусы становится труднее год от года. В общем случае их можно разделить на группы по следующим основным признакам: среда обитания, операционная система, особенности алгоритма работы. Согласно этим трем классификациям известный вирус "Чернобыль", к примеру, можно отнести к файловым резидентным неполиморфичным Windows-вирусам. Поясним подробнее, что это значит.

    1. Среда обитания

    В зависимости от среды обитания различают файловые, загрузочные и макровирусы.

    Поначалу самой распространенной формой компьютерной "заразы" были файловые вирусы , "обитающие" в файлах и папках операционной системы компьютера. К ним относятся, например, "overwriting"-вирусы (от англ. "записывать поверх"). Попадая в компьютер, они записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Однако это довольно примитивные вирусы: они, как правило, очень быстро себя обнаруживают и не могут стать причиной эпидемии.

    Еще более "хитро" ведут себя "companion"-вирусы (от англ. "приятель", "компаньон"). Они не изменяют сам файл, но создают для него файл-двойник таким образом, что при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Например, "companion"-вирусы, работающие под DOS, используют особенность этой операционной системы в первую очередь выполнять файлы с расширением СОМ, а потом уже с расширением ЕХЕ. Такие вирусы создают для ЕХЕ-файлов двойники, имеющие то же самое имя, но с расширением СОМ. Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске зараженного файла DOS первым обнаружит и выполнит именно СОМ-файл, то есть вирус, а уже потом вирус запустит файл с расширением ЕХЕ.

    Иногда "соmpanion"-вирусы просто переименовывают заражаемый файл, а под старым именем записывают на диск свой собственный код. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске файла управление получает код вируса, который затем уже запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Подобного типа вирусы были обнаружены во многих операционных системах - не только в DOS, но и в Windows и OS/2.

    Есть и другие способы создавать файлы-двойники. Например, вирусы типа "path-companion" "играют" на особенностях DOS PATH - иерархической записи местоположения файла в системе DOS. Вирус копирует свой код под именем заражаемого файла, но помещает его не в ту же директорию, а на один уровень выше. В этом случае DOS первым обнаружит и запустит именно файл-вирус.

    Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы. Эти вирусы заражают загрузочный сектор (boot-сектор) дискеты или винчестера - специальную область на диске, содержащую программу начальной загрузки компьютера. Если изменить содержимое загрузочного сектора, то, возможно, вы даже не сможете запустить ваш компьютер.

    Макровирусы - разновидность компьютерных вирусов, созданных при помощи макроязыков, встроенных в популярные офисные приложения наподобие Word, Excel, Access, PowerPoint, Project, Corel Draw и др. (см. "Наука и жизнь" № 6, 2000 г.). Макроязыки используются для написания специальных программ (макросов), позволяющих повысить эффективности работы офисных приложений. Например, в Word можно создать макрос, автоматизирующий процесс заполнения и рассылки факсов. Тогда пользователю достаточно будет ввести данные в поля формы и нажать на кнопку - все остальное макрос сделает сам. Беда в том, что, кроме полезных, в компьютер могут попасть и вредоносные макросы, обладающие способностью создавать свои копии и совершать некоторые действия без ведома пользователя, например изменять содержание документов, стирать файлы или директории. Это и есть макровирусы.

    Чем шире возможности того или иного макроязыка, тем более хитрыми, изощренными и опасными могут быть написанные на нем макровирусы. Самый распространенный сегодня макроязык - Visual Basic for Applications (VBA). Его возможности стремительно возрастают с каждой новой версией. Таким образом, чем более совершенными будут офисные приложения, тем опаснее будет в них работать. Поэтому макровирусы представляют сегодня реальную угрозу компьютерным пользователям. По нашим прогнозам, с каждым годом они будут становиться все более неуловимыми и опасными, а скорость их распространения скоро достигнет небывалых величин.

    2. Используемая операционная система .

    Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем - DOS, Windows, OS/2, Linux, MacOS и т.д. На этом основан второй способ классификации вирусов. Например, вирус "BOZA", работающий только в Windows и нигде более, относится к Windows-вирусам. Вирус "BLISS" - к Linux-вирусам и т.д.

    3. Алгоритмы работы.

    Вирусы можно также различать по используемым ими алгоритмам работы, то есть различным программным хитростям, делающим их столь опасными и трудноуловимыми.

    Во-первых, все вирусы можно разделить на резидентные и нерезидентные . Резидентный вирус подобен шпиону, постоянно работающему в чужой стране. Попав при загрузке в оперативную память компьютера, вирус остается в ней до тех пор, пока компьютер не будет выключен или перезагружен. Именно оттуда вирус-резидент и совершает все свои деструктивные действия. Нерезидентные вирусы не заражают память компьютера и способны "размножаться" только если их запустить.

    К резидентным можно также отнести все макровирусы. Они присутствуют в памяти компьютера в течение всего времени работы зараженного ими приложения.

    Во-вторых, вирусы бывают видимыми и невидимыми . Для простого обывателя невидимость вируса - пожалуй, самое загадочное его свойство. Однако ничего демонического в этом нет. "Невидимость" заключается в том, что вирус посредством программных уловок не дает пользователю или антивирусной программе заметить изменения, которые он внес в зараженный файл. Постоянно присутствуя в памяти компьютера, вирус-невидимка перехватывает запросы операционной системы на чтение и запись таких файлов. Перехватив запрос, он подставляет вместо зараженного файла его первоначальный неиспорченный вариант. Таким образом пользователю всегда попадаются на глаза только "чистые" программы, в то время как вирус незаметно вершит свое "черное дело". Одним из первых файловых вирусов-невидимок был "Frodo", а первым загрузочным невидимкой - вирус "Brain".

    Чтобы максимально замаскироваться от антивирусных программ, практически все вирусы используют методы самошифрования или полиморфичности , то есть они могут сами себя зашифровывать и видоизменять. Меняя свой внешний вид (программный код), вирусы полностью сохраняют способность совершать те или иные вредоносные действия. Раньше антивирусные программы умели обнаруживать вирусы только "в лицо", то есть по их уникальному программному коду. Поэтому появление вирусов-полиморфиков несколько лет назад произвело настоящую революцию в компьютерной вирусологии. Сейчас уже существуют универсальные методы борьбы и с такими вирусами.

    МЕТОДЫ БОРЬБЫ С КОМПЬЮТЕРНЫМИ ВИРУСАМИ

    Необходимо помнить главное условие борьбы с компьютерными вирусами - не паниковать. Круглосуточно на страже компьютерной безопасности находятся тысячи высококлассных антивирусных специалистов, профессионализм которых многократно превосходит совокупный потенциал всех компьютерных хулиганов - хакеров. В России антивирусными исследованиями занимаются две компьютерные компании - "Лаборатория Касперского" (www.avp.ru) и "СалД" (www.drweb.ru).

    Для того чтобы успешно противостоять попыткам вирусов проникнуть в ваш компьютер, необходимо выполнять два простейших условия: соблюдать элементарные правила "компьютерной гигиены" и пользоваться антивирусными программами.

    С тех пор как существует антивирусная индустрия, было изобретено множество способов противодействия компьютерным вирусам. Пестрота и разнообразие предлагаемых сегодня систем защиты поистине поражает. Попробуем разобраться, в чем преимущества и недостатки тех или иных способов защиты и насколько они эффективны по отношению к различным типам вирусов.

    На сегодняшний день можно выделить пять основных подходов к обеспечению антивирусной безопасности.

    1. Антивирусные сканеры.

    Пионер антивирусного движения - программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с цепью обнаружения в них вирусных сигнатур, то есть уникального программного кода вируса.

    Главный недостаток сканера - неспособность отслеживать различные модификации вируса. К примеру, существует несколько десятков вариантов вируса "Melissa", и почти для каждого из них антивирусным компаниям приходилось выпускать отдельное обновление антивирусной базы.

    Отсюда вытекает и вторая проблема: на время между появлением новой модификации вируса и выходом соответствующего антивируса пользователь остается практически незащищенным. Правда, позднее эксперты придумали и внедрили в сканеры оригинальный алгоритм обнаружения неизвестных вирусов - эвристический анализатор, который проверял код программы на возможность присутствия в нем компьютерного вируса. Однако этот метод имеет высокий уровень ложных срабатываний, недостаточно надежен и, кроме того, не позволяет ликвидировать обнаруженные вирусы.

    И, наконец, третий недостаток антивирусного сканера - он проверяет файлы только тогда, когда вы его об этом "попросите", то есть запустите программу. Между тем пользователи очень часто забывают проверять сомнительные файлы, загруженные, например, из Интернета, и в результате своими собственными руками заражают компьютер. Сканер способен определить факт заражения только после того, как в системе уже появился вирус.

    2. Антивирусные мониторы.

    По своей сути антивирусные мониторы - это разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

    3. Ревизоры изменений.

    Работа этого вида антивирусных программ основана на снятии оригинальных "отпечатков" (CRC-сумм) с файлов и системных секторов. Эти "отпечатки" сохраняются в базе данных. При следующем запуске ревизор сверяет "отпечатки" с их оригиналами и сообщает пользователю о произошедших изменениях.

    У ревизоров изменений тоже есть недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того как вирус разошелся по компьютеру. Во-вторых, они не могут обнаружить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии, или при распаковке файлов из архива), поскольку в базах данных ревизоров информация об этих файлах отсутствует. Этим и пользуются некоторые вирусы, заражая только вновь создаваемые файлы и оставаясь, таким образом, невидимыми для ревизоров. В-третьих, ревизоры требуют регулярного запуска - чем чаще это делать, тем надежнее будет контроль за вирусной активностью.

    4. Иммунизаторы.

    Антивирусные программы-иммунизаторы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

    Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: они абсолютно не способны обнаруживать вирусы-невидимки, хитро скрывающие свое присутствие в зараженном файле.

    Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Например, чтобы предотвратить заражение СОМ-файла вирусом "Jerusalem" достаточно дописать в него строку MsDos. А для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена и можно ею не заниматься.

    Конечно, нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности. Именно поэтому иммунизаторы не получили большого распространения и в настоящее время практически не используются.

    5. Поведенческие блокираторы.

    Все перечисленные выше типы антивирусов не решают главной проблемы - защиты от неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитны перед ними до тех пор, пока производители антивирусов не разработают противоядия. Иногда на это уходит несколько недель. За это время можно потерять всю важную информацию.

    Однозначно ответить на вопрос "что же делать с неизвестными вирусами?" нам удастся лишь в грядущем тысячелетии. Однако уже сегодня можно сделать некоторые прогнозы. На наш взгляд, наиболее перспективное направление антивирусной защиты - это создание так называемых поведенческих блокираторов. Именно они способны практически со стопроцентной гарантией противостоять атакам новых вирусов.

    Что такое поведенческий блокиратор? Это программа, постоянно находящаяся в оперативной памяти компьютера и "перехватывающая" различные события в системе. В случае обнаружения "подозрительных" действий (которые может производить вирус или другая вредоносная программа), блокиратор запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор не ищет код вируса, но отслеживает и предотвращает его действия.

    Теоретически блокиратор может предотвратить распространение любого как известного, так и неизвестного (написанного после блокиратора) вируса. Но проблема заключается в том, что "вирусоподобные" действия может производить и сама операционная система, а также полезные программы. Поведенческий блокиратор (здесь имеется в виду "классический" блокиратор, который используется для борьбы с файловыми вирусами) не может самостоятельно определить, кто именно выполняет подозрительное действие - вирус, операционная система или какая-либо программа, и поэтому вынужден спрашивать подтверждения у пользователя. Таким образом пользователь, принимающий конечное решение, должен обладать достаточными знаниями и опытом для того, чтобы дать правильный ответ. Но таких людей мало. Именно поэтому блокираторы до сих пор не стали популярными, хотя сама идея их создания появилась довольно давно. Достоинства этих антивирусных программ зачастую становились их недостатками: они казались слишком навязчивыми, утруждая пользователя своими постоянным запросами, и пользователи их просто удаляли. К сожалению, эту ситуацию может исправить лишь использование искусственного интеллекта, который самостоятельно разбирался бы в причинах того или иного подозрительного действия.

    Однако уже сегодня поведенческие блокираторы могут успешно применяться для борьбы с макровирусами. В программах, написанных на макроязыке VBA, можно с очень большой долей вероятности отличать вредоносные действия от полезных. В конце 1999 года "Лаборатория Касперского" разработала уникальную систему защиты от макровирусов пакета MS Office (версий 97 и 2000), основанную на новых подходах к принципам поведенческого блокиратора, - AVP Office Guard. Благодаря проведенному анализу поведения макровирусов, были определены наиболее часто встречающиеся последовательности их действий. Это позволило внедрить в программу блокиратора новую высокоинтеллектуальную систему фильтрации действий макросов, практически безошибочно выявляющую те из них, которые представляют собой реальную опасность. Благодаря этому блокиратор AVP Office Guard, с одной стороны, задает пользователю гораздо меньше вопросов и не столь "навязчив", как его файловые собратья, а с другой - практически на 100% защищает компьютер от макровирусов как известных, так и еще не написанных.

    AVP Office Guard перехватывает и блокирует выполнение даже многоплатформенных макровирусов, то есть вирусов, способных работать сразу в нескольких приложениях. Кроме того, программа AVP Office Guard контролирует работу макросов с внешними приложениями, в том числе и с почтовыми программами. Тем самым исключается возможность распространения макровирусов через электронную почту. А ведь именно таким способом в мае этого года вирус "LoveLetter" поразил десятки тысяч компьютеров по всему миру.

    Эффективность блокиратора была бы нулевой, если бы макровирусы могли произвольно отключать его. (В этом состоит один из недостатков антивирусной защиты, встроенной в приложения MS Office.) В AVP Office Guard заложен новый механизм противодействия атакам макровирусов на него самого с целью его отключения и устранения из системы. Сделать это может только сам пользователь. Таким образом, использование AVP Office Guard избавит вас от вечной головной боли по поводу загрузки и подключения обновлений антивирусной базы для защиты от новых макровирусов. Однажды установленная, эта программа надежно защитит компьютер от макровирусов вплоть до выхода новой версии языка программирования VBA с новыми функциями, которые могут быть использованы для написания вирусов.

    Хотя поведенческий блокиратор и решает проблему обнаружения и предотвращения распространения макровирусов, он не предназначен для их удаления. Поэтому его надо использовать совместно с антивирусным сканером, который способен успешно уничтожить обнаруженный вирус. Блокиратор позволит безопасно переждать период между обнаружением нового вируса и выпуском обновления антивирусной базы для сканера, не прерывая работу компьютерных систем из-за боязни навсегда потерять ценные данные или серьезно повредить аппаратную часть компьютера.

    ПРАВИЛА "КОМПЬЮТЕРНОЙ ГИГИЕНЫ"

    " Ни в коем случае не открывайте файлы, присылаемые по электронной почте неизвестными вам людьми. Даже если адресат вам известен - будьте осторожны: ваши знакомые и партнеры могут и не подозревать, что в их компьютере завелся вирус, который незаметно рассылает свои копии по адресам из их адресной книги.

    " Обязательно проверяйте антивирусным сканером с максимальным уровнем проверки все дискеты, компакт-диски и другие мобильные носители информации, а также файлы, получаемые из сети Интернет и других публичных ресурсов (BBS, электронных конференций и т. д.).

    " Проводите полную антивирусную проверку компьютера после получения его из ремонтных служб. Ремонтники пользуются одними и теми же дискетами для проверки всех компьютеров - они очень легко могут занести "заразу" с другой машины!

    " Своевременно устанавливаете "заплатки" от производителей используемых вами операционных систем и программ.

    " Будьте осторожны, допуская других пользователей к вашему компьютеру.

    " Для повышения сохранности ваших данных периодически проводите резервную архивацию информации на независимые носители.

    Вирусы могут проникнуть в компьютер из следующих источников:

    · глобальные сети - электронная почта;

    · электронные конференции;

    · локальные сети;

    · пиратское программное обеспечение;

    · компьютеры общего пользования;

    · ремонтные службы

    Глобальные сети - электронная почта. Основным источником вирусов на сегодняшний день является глобальная сеть Интернет. Наибольшее число заражений вирусом происходит при обмене письмами форматах Word/Оffiсе. Пользователь зараженного макровирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, а они, в свою очередь, отправляют новые зараженные письма и т. д.

    Предположим, что пользователь ведет переписку с пятью адресатами, каждый из которых также переписывается с пятью адресатами. После посылки зараженного письма все 5 компьютеров, получивших его, оказываются зараженными.

    Затем с каждого вновь зараженного компьютера отправляется еще пять писем. Одно уходит назад на уже зараженный компьютер, а четыре - новым.

    Рис. 4.1. Заражение первых пяти компьютеров

    Таким образом, на втором уровне рассылки заражено уже 1+5+20=26 компьютеров (рис. 4.2). Если адресаты сети обмениваются письмами раз в день, то к концу рабочей недели (за 5 дней) зараженными окажутся как минимум 1+5+20+80+320=426 компьютеров. Нетрудно подсчитать, что за 10 дней заразится более ста тысяч компьютеров! Причем каждый день их количество будет учетверяться.

    Рис. 4.2. Второй уровень заражения

    Описанный случай распространения вируса является наиболее часто регистрируемым антивирусными компаниями. Нередки случаи, когда заражен файл-документ или таблица Ехсе1 по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании - в этом случае страдают не пять, а сотни или даже тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысячам своих абонентов.

    Электронные конференции

    Файл-серверы общего пользования и электронные конференции также служат одним из основных источников распространения вирусов. Зараженные файлы рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо ПО (иногда под новые версии антивирусов).

    Локальные сети

    Третий путь быстрого заражения - локальные сети. Если не принимать мер защиты, то зараженная рабочая станция при входе в сеть заражает несколько служебных файлов на сервере (рис. 4.3).

    Рис. 4.3. Заражение служебных файлов на сервере

    На следующий день пользователи при входе в сеть запускают зараженные файлы и таким образом вирус получает доступ на незараженные компьютеры.


    Рис. 4.4. Заражение на компьютере

    Пиратское программное обеспечение

    Нелегальные копии программного обеспечения являются одной из основных зон риска. Часто пиратские копии содержат файлы, зараженные самыми разнообразными вирусами.

    Компьютеры общего пользования

    Опасность представляют компьютеры, установленные в учебных заведениях. Студент может нести на своем съемном диске компьютерный вирус и заразить учебный компьютер. Этот вирус разнесется по всем учебным компьютерам локальной сети. При скачивании данных с учебного компьютера локальной сети вирусом будут заражены съемные диски других студентов, которые заразят свои домашние компьютеры и компьютеры своих товарищей.

    По такой цепочке компьютерные вирусы могут попасть в компьютерную сеть фирмы, где работают родители.

    Ремонтные службы

    Вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре. Ремонтники - тоже люди, и некоторым из них свойственно наплевательское отношение к элементарным правилам компьютерной безопасности. Однажды забыв закрыть защиту от записи на одном из своих гибких дисков, такой ремонтник довольно быстро разнесет заразу по машинам своей клиентуры и, скорее всего, потеряет ее (клиентуру).

    Похожие статьи
     
    Категории
    Видеоматериалы
    Популярное
    Новое