Методы обнаружения и удаления вирусов
Прежде всего существуют организационные меры обнаружения и удаления компьютерных вирусов.
Основными каналами распространения компьютерных вирусовявляются следующие:
электронная почта, сообщения которой могут содержать зараженные присоединенные файлы;
телеконференции и электронные доски объявлений в сети Интернет;
свободное и условно свободное программное обеспечение, размещенное на общедоступных узлах сети Интернет и случайно или намеренно зараженное вирусами;
размещенные на общедоступных узлах сети Интернет информационные ресурсы, содержащие ссылки на зараженные файлы с элементами управления Active–X;
локальные компьютерные сети организаций, создающие удобную среду для заражения вирусами объектов на других рабочих станциях и серверах;
обмен зараженными файлами на дискетах или дисках между пользователями КС;
использование нелицензионных дисков с программным обеспечением и другими информационными ресурсами.
Для предупреждения вирусного заражения локальной сети организации или компьютера отдельного пользователя необходимо максимально перекрыть возможность проникновения вирусов с использованием перечисленных каналов.
В частности могут использоваться следующие профилактические меры:
физическое или логическое (для отдельных учетных записей) отключение накопителей на гибких магнитных дисках и компакт-дисках;
разграничение прав отдельных пользователей и групп на доступ к папкам и файлам операционной системы и других пользователей;
ограничение времени работы в КС привилегированных пользователей (для выполнения действий в КС, не требующих дополнительных полномочий, администраторы должны использовать вторую учетную запись с обычными привилегиями);
использование, как правило, только лицензионного программного обеспечения, приобретенного у официальных представителей фирм-правообладателей;
выделение не подсоединенного к локальной сети компьютера для тестирования полученного из ненадежных источников программного обеспечения и т.д.
В качестве профилактической меры предупреждения заражения файлов пользователей макровирусами в программах пакета MS Office предусмотрена встроенная защита от потенциально опасных макросов. Эта защита устанавливается (в пакете MS Office XP) с помощью команды меню Сервис / Параметры / Безопасность и кнопки «Защита от макросов» или команды меню Сервис / Макрос / Безопасность.
Возможет выбор одного из трех уровней защиты:
высокая безопасность, при установке которой будет разрешено выполнение только макросов, снабженных ЭЦП и полученных из надежных источников, список которых содержится на вкладке «Надежные источники» окна выбора уровня безопасности (макросы без ЭЦП будут автоматически отключаться);
средняя безопасность, при выборе которой при открытии содержащего макросы документа решение об отключении этих макросов будет приниматься самим пользователем;
низкая безопасность, при установке которой все макросы в открываемом документе будут выполняться (корпорация Microsoft рекомендует устанавливать данный уровень безопасности только при наличии антивирусных программ на компьютере пользователя и полной уверенности в безопасности открываемых документов).
Для получения подписи под макросами документа MS Office необходимо открыть окно системы программирования Microsoft Visual Basic с помощью команды меню любой из программ этого пакета Сервис / Макрос / Макросы, выбрать имя макроса и нажать кнопку «Изменить». В окне системы программирования затем выполняется команда Tools | Digital Signature и в появившемся окне цифровой подписи выбирается сертификат открытого ключа ЭЦП, который в дальнейшем будет использован для проверки подписи.
В качестве дополнительной меры защиты можно отменить автоматическое выполнение макросов, полученных из надежных источников. Если снять флажок «Доверять всем установленным надстройкам и шаблонам», то вывод предупреждения о наличии макросов в открываемых документах будет производиться и для макросов, находящихся в уже установленных на компьютере пользователя шаблонах и надстройках MS Office.
Установка защиты от потенциально опасных макросов не позволяет отделить макросы, расширяющие функциональность приложений MS Office, от макросов, содержащих вирусы. Кроме того, некоторые из макровирусов, получив однажды управление, могут понизить уровень безопасности до самого низкого и тем самым блокировать встроенную защиту от макросов.
Для защиты от несанкционированного изменения файла общих шаблонов normal.dot, что требуется для распространения в КС многих макровирусов, доступ к этому файлу может быть защищен с помощью специального пароля. Для его установки необходимо:
1) открыть окно системы программирования Visual Basic for Applications с помощью команды меню программы пакета MS Office Сервис / Макрос / Редактор Visual Basic;
2) в окне структуры проекта выделить узел Normal и выполнить команду его контекстного меню Normal Properties;
3) открыть вкладку Protectoin, установить флажок Lock project for viewing и внести в поле Password (с подтверждением в поле Confirm password) пароль для доступа к файлу общих шаблонов.
Для снижения риска заражения вирусами при просмотре информационных ресурсов сети Интернет могут быть использованы свойства обозревателя Microsoft Internet Explorer (вкладка «Безопасность» окна свойств). Узлам зоны Интернет можно назначить разные уровни безопасности.
К программно-аппаратным методам защиты от заражения загрузочными вирусами можно отнести защиту, устанавливаемую с помощью программы BIOS Setup (параметр Anti-Virus Protection или аналогичный функции Advanced BIOS Features). Включение этой защиты (задание значения Enable указанному параметру) обеспечит выдачу предупреждающего сообщения при попытке записи в загрузочные сектора дисковой памяти. К недостаткам подобной защиты от заражения вирусами относится то, что она может быть отключена кодом вируса прямым редактированием содержимого энергозависимой CMOS-памяти, хранящей настройки, которые были установлены программой BOIS Setup.
Другим способом программно-аппаратной защиты от заражения компьютерными вирусами может быть использование специального контроллера, вставляющегося в один из разъемов для расширений аппаратного обеспечения компьютера, и драйвера для управления работой контроллера. Поскольку контроллер подключается к системной шине компьютера, он получает полный контроль всех обращений к его дисковой памяти. С помощью драйвера контроллера могут быть указаны недоступные для изменения области дисковой памяти (загрузочные сектора, области установленного на компьютере системного и прикладного программного обеспечения и т.п.). В этом случае заражение указанных областей любыми вирусами будет невозможно. К недостаткам подобной защиты относится то, что в указанные области дисковой памяти будет невозможна и легальная запись данных.
Обязательным средством антивирусной защиты является использование специальных программ для обнаружения и удаления вирусов в различных объектах КС. Рассмотрим методы обнаружения компьютерных вирусов.
1. Просмотр (сканирование) проверяемых объектов (системных областей дисковой и оперативной памяти, а также файлов заданных типов) в поиске сигнатур (уникальных последовательностей байтов) известных вирусов. Соответствующие программные средства называют сканерами, а при наличии дополнительной функции удаления обнаруженных вирусов – полифагами. Обычно сканеры запускаются при загрузке операционной системы или после обнаружения признаков вирусного заражения другими средствами.
К недостаткам программ-сканеров относятся:
необходимость постоянного обновления баз данных сигнатур известных вирусов, которые используются при поиске;
неспособность обнаружения новых компьютерных вирусов;
недостаточная способность обнаружения сложных полиморфных вирусов.
2. Обнаружение изменений в объектах КС путем сравнения их вычисленных при проверке хеш-значений с эталонными (или проверки ЭЦП для этих объектов). При вычислении хеш-значений объектов могут учитываться и характеристики (атрибуты) проверяемых файлов. Подобные программные средства называют ревизорами, или инспекторами. Потенциально они могут обнаружить и новые вирусы. Однако не все изменения проверяемых объектов вызываются вирусным заражением: обновление отдельных компонентов операционной системы, легальное изменение файлов документов и пакетных командных файлов и т.п. Программы-ревизоры не могут помочь при записи на жесткий диск компьютера пользователя уже зараженного файла, но могут обнаружить заражение вирусом новых объектов. Обычно программы-ревизоры выполняются при загрузке операционной системы.
3. Эвристический анализ – проверка системных областей памяти и файлов с целью обнаружения фрагментов исполнимого кода, характерного для компьютерных вирусов (например, установка резидентной части кода вируса). Потенциально эвристические анализаторы способны обнаружить (с определенной вероятностью) любые новые разновидности компьютерных вирусов. В Российской Федерации наиболее известным программным средством такого рода является программа DrWeb И. Данилова.
4. Постоянное присутствие в оперативной памяти компьютера с целью контроля всех подозрительных действий других программ – попыток изменения загрузочных секторов дисков, установки резидентного модуля и т.п. Подобные программы получили название мониторов. Мониторы также автоматически проверяют на наличие известных вирусов все устанавливаемые дискеты и компакт-диски, открываемые файлы и т.п. Обычно мониторы используют общую со сканерами базу сигнатур вирусов и загружаются в оперативную память в процессе загрузки операционной системы.
5. Вакцинирование – присоединение к защищаемому файлу специального модуля контроля, следящего за целостностью данного файла с помощью вычисления его хеш-значения и сравнения с эталоном. После заражения файла вирусом его целостность будет нарушена. Однако вирусы-невидимки способны обнаруживать присоединенный код программы-вакцины и обходить реализуемую им проверку. Кроме того, данный метод плохо применим для защиты файлов документов MS Office.
Большинство современных комплексов антивирусных программ включают в свой состав сканеры (с дополнительной функцией избыточного сканирования или эвристического анализа), мониторы и, реже, инспекторы.
Сложные разновидности даже известных вирусов не всегда могут быть удалены, а зараженные ими файлы восстановлены. Поэтому для обязательной подготовки к возможному заражению объектов КС вирусами необходимо:
подготовить защищенную от записи системную дискету или загрузочный компакт-диск, записав на них последние версии антивирусных программ и баз сигнатур известных вирусов:
постоянно обновлять версии установленного в КС антивирусного программного обеспечения;
регулярно проверять объекты КС всеми имеющимися антивирусными программами (в том числе и инспекторами);
обязательно проверять на наличие вирусов все входящие сообщения электронной почты и присоединенные к ним файлы;
регулярно выполнять резервное копирование наиболее важных системных и прикладных файлов;
отключить максимально возможное число каналов распространения вирусов.