Методы защиты от вирусов

Существующие методы защиты от вирусов и прочих вредоносных программ можно разделить на следующие группы:

• профилактические меры;

• специализированные программы;

• программно-аппаратные средства.

Применение профилактических мер значительно снижает вероятность как угрозы заражения вирусом, так и угрозы утраты данных. В этих целях рекомендуется соблюдать следующие правила:

1. Обязательно делать регулярное резервное копирование важных данных (в порядке убывания соотношения ценность/объём: пользовательских файлов, системных настроек, содержимого рабочего и системного дисков), в том числе и на альтернативные носители (компакт- и флеш-диски, сетевые ресурсы).

2. Не допускать работы с непроверенными программами, файлами, носителями, ссылками, особенно если в этом нет необходимости.

3. Приобретать программное обеспечение только у официальных распространителей, обеспечивая впоследствии регулярную установку обновлений.

4. Круг лиц, допускаемых к работе на конкретном компьютере, и набор соответствующих прав доступа должен быть ограничен до минимума.

5. На случай заражения, приводящего к полной неработоспособности операционной системы, следует предусмотреть альтернативный способ загрузки, обеспечивающий к тому же запуск антивирусных программ. Например, посредством LiveCDилиLiveUSB(«живого» носителя, с которого возможна загрузка операционной системы, не требующей для своего функционирования установки на жёсткий диск).

Специализированные программы противодействия вредоносным угрозам часто называют просто антивирусами. На самом деле их защитные функции могут существенно различаться. Охарактеризуем некоторые из них.

Детекторытолько ищут в памяти и в файлах характерные коды (сигнатуры) вирусов и выдают соответствующее сообщение при их обнаружении.

Доктора(фаги, полифаги) не только детектируют, но и удаляют из зараженных объектов коды вирусов. В начале своей работы фаги ищут и уничтожают вирусы в оперативной памяти, затем переходят к «лечению» файлов на дисках.

В зависимости от режима запуска среди антивирусных программ можно выделить сканеры и мониторы.

Сканерызапускаются пользователем и позволяют задать область (диск, папку, файлы) и параметры сканирования. Обычно сканеры по окончании работы генерируют отчет, записываемый в текстовый файл.

Мониторыявляются резидентными (постоянно находящимися в оперативной памяти и выполняющими проверку «на лету») программами. Обычно они помещаются в оперативную память после загрузки операционной системы, находятся в памяти во время всего сеанса работы и отслеживают операции с дисками и памятью. При обнаружении подозрительного объекта монитор выдает сообщение, либо выполняет действие по умолчанию. К недостаткам можно отнести значительный объем занимаемой памяти, что может замедлять работу ПК.

Классические антивирусные продукты обнаруживают фиксированный набор известных вирусов, сигнатуры которых содержатся в их вирусных базах. Из-за огромного постоянно растущего количества новых вирусов и их модификаций сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту.

Поэтому неотъемлемым компонентом современного антивирусного программного обеспечения являются проактивные технологии защиты, основанные на анализе поведения, эвристическом анализе, эмуляции кода и других, позволяющих предотвратить заражение системы неизвестными вирусами. К таким наиболее известным антивирусным продуктам относятся современные комплексы программ под марками Dr. Web, Антивирус Касперского, Norton AntiVirus и другие.

Вакцины(иммунизаторы) – программы, предотвращающие заражение файловнекоторымиопределёнными вирусами. Вакцина модифицирует программы или диск таким образом, чтобы это не отражалось на работе программ, а вирус воспринимает их как заражённые и не внедряется.

Ревизорыотносятся к самым надежным средствам защиты от неизвестных вирусов. Они запоминают исходное состояние заведомо не зараженных программ, каталогов и системных областей диска, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным и выводят обнаруженные изменения на экран монитора. При сравнении проверяются длина файла, контрольная сумма, дата и время модификации. Из российских программ-ревизоров наиболее известной является Adinf32.

Фильтры, или «сторожа», представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

• попытки изменения исполнимых файлов (с расширением ЕХЕ, СОМ);

• изменение атрибутов файла;

• прямая запись на диск по абсолютному адресу;

• запись в загрузочные сектора диска;

• запись в BIOS.

При попытке совершить указанные действия «сторож» посылает на экран сообщение и просит разрешения на их выполнение, что может раздражать пользователя.

К программам-фильтрам также относятся межсетевыеилисетевые экраны, называемые такжебрандмауэрамиилифайерволами(нем.Brandmauer, англ.firewall– стена, разделяющая смежные здания и предохраняющая от распространения пожара). Они реализуют централизованное управление доступом к сети и могут обеспечивать несколько типов защитных функций:

• блокировать нежелательный трафик;

• направлять входящий трафик только к надежным внутренним системам;

• протоколировать входящий и исходящий трафик;

• скрывать уязвимые системы, которые нельзя обезопасить от атак из внешней сети другим способом;

• скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей;

• реализовывать дополнительную аутентификацию приложений.

Программно-аппаратные антивирусные средствапредставляют собой специальные устройства с соответствующим программным обеспечением. Например, шлюз доступа в Интернет Dr.Web Office Shield позволяет организовать централизованную антивирусную защиту рабочих станций и файловых серверов Windows, почтового и интернет-трафика. СоставDr.WebOfficeShield: Центр управленияDr.WebEnterpriseSecuritySuite; Комплексная защитаDr.WebDesktopSecuritySuite; Антивирус + Антиспам +SMTPproxyDr.WebMailSecuritySuite; АнтивирусDr.WebGatewaySecuritySuite; Корпоративный межсетевой экран; сервер VPN; сервер DHCP&DNS; Точка доступа Wi-Fi.

При заражении вирусом (или подозрении) рекомендуются выполнить следующие действия:

1. отключить компьютер от локальной сети и интернета, чтобы не допускать заражения других компьютеров и возможной утечки информации;

2. сохранить важные данные, желательно на внешний носитель (CD-диск, флэш-карту и др.);

3. просканировать компьютер «свежим» антивирусом (например, c сайта www.drweb.ru всегда можно скачать лечащую утилиту с последними обновлениями вирусных баз);

4. для ОС Windows сканирование желательно проводить, загрузив Безопасный режим (Safe Mode);

5. если действия вредоносных программ сделали загрузку зараженной системы невозможной, то для восстановления работоспособности следует использовать альтернативный загрузочный носитель (например, LiveCD или LiveUSB, что позволяет к тому же выполнить копирование важных данных).