Антивирусные программы. Классификация вирусов
Классификация вирусов
Компьютерный вирус – это небольшая по размерам программа, ориентированная на существование и размножение в файле за счет его несанкционированного изменения, т.е. заражения, а также выполнения нежелательных действий на компьютере. Признаками заражения являются: невозможность загрузки операционной системы; некоторые программы перестают работать или начинают работать неправильно; на экран выводятся посторонние символы, сообщения; работа на компьютере существенно замедляется; некоторые файлы оказываются испорченными или исчезают; изменяется размер файлов; дата и время их модификации; увеличивается количество файлов на диске и т.д.
Основными источниками заражения являются электронная почта, Интернет, локальная сеть, съемные диски (дискеты и CD-ROM). Не следует запускать на исполнение файлы, полученные из сомнительного источника и предварительно не проверенные антивирусными программами, устанавливать общий доступ к папкам и файлам компьютера, работающего в сети.
Главные направления профилактики заражения вирусами:
1. Периодическая проверка на наличие вирусов с использованием свежих версий антивирусных программ;
2. Проверка поступающих извне данных;
3. Копирование информации и жесткое разграничение доступа.
Объектами вирусной атаки являются загрузчик ОС, главная загрузочная запись диска, драйверы устройств, программы и документы.
По «среде обитания» вирусы делятся на файловые, системные, загрузочные, файлово-загрузочные, макровирусыи сетевые.
Файловые вирусы в основном заражают исполняемые файлы с расширением имени .com и .exe; системные вирусы – модули операционной системы, драйверы устройств, таблицы размещения файлов и таблицы разделов; загрузочные внедряются в сектор начальной загрузки. Многофункциональные вирусы – файлово-загрузочные – повреждают загрузочные секторы дисков и файлы.
Средой обитания сетевых вирусов являются компьютерные сети. В настоящее время это наиболее распространенный тип вирусов, которые передаются чаще всего в виде присоединенных файлов почтовых сообщений.
Очень распространены в настоящее время так называемые макровирусы, которые используют возможности макроязыков, встроенных в офисные пакеты.
По “степени воздействия” вирусы подразделяются на: безвредные, неопасные, опасные и разрушительные.
На проявление и функционирование вируса большое влияние оказывает “особенность алгоритма”, реализованного в программе-вирусе. Например, так называемые вирусы-репликаторы очень быстро размножаются и заполняют оперативную память своими копиями, причем, обычно копия не полностью соответствует оригиналу, что затрудняет нахождение и уничтожение вируса. Аналогично действуют вирусы-черви, которые обитают в компьютерных сетях и рассылают свои копии по компьютерам сети. При уничтожении вируса на каком-либо компьютере происходит его повторное заражение.
Некоторые вирусы маскируются под полезные программы, но дополнительно выполняют разрушительные действия (например, сбор конфиденциальной информации – паролей, имен) вплоть до уничтожения системы. Такие вирусы называют «троянскими конями».
Программы-вирусы могут встраиваться в программные комплексы. Обычно они бездействуют до наступления определенного события, после чего реализуются заложенные в них функции. Такие вирусы называют логическими бомбами.
Вирусы-невидимки (стелс-вирусы) очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные объекты.
По способу заражения среды обитания вирусы подразделяются на резидентные и нерезидентные. Первые характеризуются тем, что вирус постоянно размещается в оперативной памяти, перехватывает обращения ОС к другим объектам и заражает их. Вторые – активны ограниченное время и память не заражают.
Широкое распространение компьютерных вирусов, вирусные атаки в глобальной сети Internet привели к развитию такого направления в разработке программного обеспечения как создание антивирусных программ.
Классификация антивирусных программ
Антивирусные программы предназначены для предотвращения заражения и ликвидации последствий заражения вирусом. Они могут контролировать обращения к жесткому диску и предупреждать пользователя о подозрительной активности, а также обеспечивают надежную защиту почтовых сообщений от вирусов.
По выполняемым функциям антивирусные программы подразделяют на следующие типы: детекторы; доктора; ревизоры; фильтры или сторожа; вакцины или иммунизаторы.
Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей до заражения компьютера и периодически его сравнивают с текущим состоянием. При обнаружении несоответствия пользователю выдается предупреждение.
Программы-фильтры представляют собой резидентные программы, которые обеспечивают обнаружение подозрительных действий при работе компьютера, например, попыток изменения исполняемых файлов, изменения атрибутов файлов, записи в загрузочный сектор диска и др.
Программы-детекторы настроены на обнаружение заражения одним или несколькими известными вирусами. Большинство программ-детекторов выполняют также функцию «доктора», т.е. они пытаются вернуть зараженные файлы и области диска в исходное состояние, те файлы, которые не удалось восстановить, обычно делаются неработоспособными и удаляются.
Программы-доктора обнаруживают и лечат зараженные объекты путем «выкусывания» тела вируса. Программы этого типа подразделяются на фаги и полифаги (обнаружение и уничтожение большого количества разнообразных вирусов).
Программы-вакцины выполняют модификацию файла или диска таким образом, чтобы это не отражалось на их работе, но вирус считал бы их уже зараженными. Вакцинация осуществляется только от известных вирусов.
Программа-полифаг Doctor Web (разработчик: И. Данилов) выполняет поиск и удаление известных ему вирусов из памяти и с дисков компьютера. Наличие интеллектуального эвристического анализатора позволяет обнаружить новые, ранее неизвестные вирусы и модификации известных. Антивирус Dr.Web проверяет почту, приходящую по протоколу POP3, до обработки ее почтовым клиентом, а также проверяет почту, исходящую по протоколу SMTP. Антивирусный сторож (монитор), работая автоматически, проверяет файлы «на лету» при обращении к ним из какой-либо программы, оповещает пользователя при обнаружении инфицированных и подозрительных файлов. В программе используется интеллектуальная технология контроля вирусной активности, заключающаяся в анализе действий, которые совершают программы. Анализ построен таким образом, что практически полностью исключает «ложную тревогу» и вместе с тем позволяет пресечь любые действия, которые может совершить вредоносная программа. Антивирусный сканерпозволяет обнаруживать зараженные объекты на всех носителях и в оперативной памяти компьютера, а также обезвреживать вирусы.
AVP (AntiVirus Protect, разработчик – Лаборатория Касперского) позволяет лечить и проверять упакованные и архивные файлы, сетевые диски. Благодаря уникальной технологии сканирования она обнаруживает и удаляет вирусы в архивированных и сжатых файлах более чем 700 различных форматов. Кроме этого в архивах формата ZIP Антивирус Касперского способен удалять из зараженного сжатого файла вредоносные коды и лечить файлы. Интегрированный модуль Office Guard™ создает максимально защищенное пространство для приложений Microsoft Office. Благодаря этому Антивирус Касперского Personal Pro обеспечивает полный контроль над всеми офисными документами и гарантирует стопроцентную защиту даже от неизвестных макровирусов.
Norton AntiVirus автоматически защищает от вирусов, злонамеренных программ ActiveX, апплетов Java при пользовании Internet и работе с дискетами, CD или сетью, проверяет входящие приложения в самых распространенных программах электронной почты, обнаруживает вирусы и лечит сжатые файлы. Беспрепятственно пропускает незараженные файлы, но задерживает файлы с вирусами еще до того, как они могут войти в вашу систему и нанести ей вред. Norton AntiVirus 2003 автоматически удаляет опасные программные коды, а также защищает от вирусов вложения в сообщениях и электронных письмах, гарантирует максимальный уровень безопасности благодаря возможности постоянного автоматического обновления антивирусных баз и созданию всесторонней защиты пользователей от проникновения опасных программных кодов. Уникальная эвристическая технология способна выявлять почтовых «червей», подобных Nimda и Badtrans, и останавливать их еще до того, как они получат возможность для дальнейшего распространения с исходящей почтой.
Профессиональная версия (Pro) помимо всех функциональных возможностей стандартного выпуска включает еще средства восстановления данных и очистки системы, предусмотренные специально для профессионалов в области информационных технологий и предприятий малого бизнеса. Эти инструменты позволяют пользователям защищать и восстанавливать критически важные файлы, а также сохранять должный уровень конфиденциальности путем фрагментирования ненужных более файлов.
Panda Titanium Antivirus 2004 (разработчик Panda Software) – антивирусная программа последнего поколения с улучшенной технологией обнаружения и удаления вирусов любого типа, обеспечивает защиту от любой программы, документа или электронного письма, которые могут нанести вред системе компьютера. Благодаря эффективным эвристическим технологиям программное обеспечение Panda особенно эффективно в борьбе против новых неизвестных вирусов, которые могут появиться в будущем, автоматически обнаруживает и удаляет все типы вирусов во время получения/отправки электронной почты, загрузки файлов или работы в Internet, защищает от «дозвонщиков» – программ, которые незаметно подключают модем к платным номерам, утилит скрытого управления, опасных скрытых файлов, программ с опасными скрытыми файлами и других угроз безопасности. Программа выявляет и уничтожает ошибки в программном обеспечении, установленном на компьютере, и проводит самодиагностику, чтобы гарантировать бесперебойную и продуктивную работу антивируса.
Рассмотрим работу программы Kaspersky Anti-Virus при проверке на наличие вирусов личной дискеты и папки Мои документы.
1. Загрузите программуKaspersky Anti-Virus Scannerкомандой Пуск► Программы►Kaspersky Аnti-Virus►Kaspersky Anti-Virus Scanner.
2. Для отображения проверяемых объектов в окне Kaspersky Anti-Virus Scanner в левой части выберите категорию Объекты,щелкните на кнопке[Эксперт] и установите флажки для диска А: и папки Мои документы (вложенные папки можно открыть так же, как в Проводнике).
3. В правой области окна укажите порядок действий программы в случае обнаружения вируса. Рекомендуется отметить флажками следующие пункты:
· Лечить, а если лечение невозможно, то удалять объект.
· Сканировать файлы следующих типов: все файлы.
· Сканировать составные файлы: здесь отметить все пункты.
4. Запустите сканирование, выбрав команду Сканирование►Начать сканирование.
5. Для наблюдения за процессом проверки на вирусы и лечения дисков нажмите кнопку [Статистика].
Проверим на наличие вирусов личную дискету и папку Мои документы с помощью программы Norton AntiVirus Professional Edition.
1. Загрузите Norton AntiVirus Professional Edition командой Пуск► Программы►Norton AntiVirus►Norton AntiVirus 2003 Professional Edition
2. Установите параметры проверки.
3. Перейдите на вкладку Scan for Virus для задания объектов проверки: для проверки дискеты щелкните на кнопке [Scan all floppy disks].
4. Внизу окна в области Actions выберите [Scan].
5. Для проверки папки Мои документы дважды щелкните на кнопке [Scan folders] и в открывшемся окне выберите нужную папку и нажмите кнопку [Scan].
На вкладке Reports просмотрите в виде отчетов результаты проверки.