Основные каналы распространения вредоносных программ
Классические способы распространения. Файловые вирусы распространяются вместе с файлами программ в результате обмена дискетами и программами, загрузки программ из сетевых каталогов, с Web- или FТР-серверов. Загрузочные вирусы попадают на компьютер, когда пользователь подключает зараженный USB Flash-накопитель, а затем перезагружает ОС. Загрузочный вирус также может быть занесен на компьютер вирусами других типов. Макрокомандные вирусы распространяются в результате обмена зараженными файлами офисных документов, такими как файлы Microsoft Word, Excel, Access.
Если зараженный компьютер подключен к локальной сети, вирус легко может оказаться на дисках файл-сервера, а оттуда через каталоги, доступные для записи, попасть на все остальные компьютеры сети. Так начинается вирусная эпидемия. Системному администратору следует помнить, что вирус имеет в сети такие же права, что и пользователь, на компьютер которого вирус пробрался. Поэтому он может попасть во все сетевые каталоги, доступные пользователю. Если же вирус завелся на рабочей станции администратора сети, последствия могут быть очень тяжелыми.
Электронная почта. Большое число заражений вирусами происходит при обмене письмами по электронной почте в форматах Microsoft Word. Электронная почта служит каналом распространения макрокомандных вирусов, так как вместе с сообщениями часто отправляются офисные документы.
Заражения вирусами могут осуществляться как непреднамеренно, так и по злому умыслу. Например, пользователь зараженного макровирусом редактора, сам того не подозревая, может рассылать зараженные письма адресатам, которые, в свою очередь, отправляют новые зараженные письма и т.д. С другой стороны, злоумышленник может преднамеренно послать по электронной почте вместе с вложенным файлом исполняемый модуль вирусной или «троянской» программы, вредоносный программный сценарий Visual Basic, зараженную или «троянскую» программу заставки экрана монитора или любой опасный программный код.
Распространители вирусов часто пользуются для маскировки тем фактом, что диалоговая оболочка Microsoft Windows по умолчанию не отображает расширения зарегистрированных файлов. Например, файл с именем FreeCreditCard.txt.exe, будет показан пользователю как FreeCreditCard.txt. Если пользователь попытается открыть такой файл, будет запущена вредоносная программа.
Сообщения электронной почты часто приходят в виде документов HTML, которые могут включать ссылки на элементы управления ActiveX и другие активные компоненты. При получении сообщения в формате HTML почтовый клиент показывает его содержимое в своем окне. Если сообщение содержит вредоносные активные компоненты, они сразу же запускаются и выполняют заложенные в них функции. Чаще всего таким способом распространяются «троянские» программы и черви.
«Троянские» Web-сайты. Пользователи могут получить вирус или «троянскую» программу во время простой навигации по сайтам Интернета, посетив «троянский» Web-сайт. Ошибки в браузерах пользователей зачастую приводят к тому, что активные компоненты «троянских» Web-сайтов (элементы управления ActiveX или апплеты Java) внедряют на компьютеры пользователей вредоносные программы. Здесь используется тот же самый механизм, что и при получении сообщений электронной почты в формате HTML. Но заражение происходит незаметно: активные компоненты Web-страниц могут внешне никак себя не проявлять. Приглашение посетить «троянский» сайт пользователь может получить в обычном электронном письме.
Локальные сети. Локальные сети также представляют собой путь быстрого заражения. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в локальную сеть заражает один или несколько служебных файлов на сервере. В качестве таких файлов могут выступать служебный файл LOGIN.COM, Excel-таблицы и стандартные документы-шаблоны, применяемые в организации. Пользователи при входе в эту сеть запускают зараженные файлы с сервера, и в результате вирус получает доступ на компьютеры пользователей.
Другие каналы распространения вредоносных программ. Одним из серьезных каналов распространения вирусов являются пиратские копии программного обеспечения. Часто нелегальные копии на дискетах и компакт-дисках содержат файлы, зараженные разнообразными типами вирусов. К источникам распространения вирусов следует также отнести электронные конференции и файл-серверы FTP и BBS. Часто авторы вирусов закладывают зараженные файлы сразу на несколько файл-серверов FTP/BBS или рассылают одновременно по нескольким электронным конференциям, причем зараженные файлы обычно маскируют под новые версии программных продуктов и даже антивирусов. Компьютеры, установленные в учебных заведениях и интернет-центрах и работающие в режиме общего пользования, также могут легко оказаться источниками распространения вирусов. Если один из таких компьютеров оказался зараженным вирусом с внешнего носителя очередного пользователя, тогда внешние носители и всех остальных пользователей, работающих на этом компьютере, окажутся зараженными.
Антивирусные программы
Для защиты от компьютерных вирусов могут использоваться следующие методы и средства:
· общие методы и средства защиты информации;
· специализированные программы для защиты от вирусов;
· профилактические меры, позволяющие уменьшить вероятность заражения вирусами.
Общие средства защиты информации полезны не только для защиты от вирусов. Они используются также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя. Существует две основных разновидности этих средств:
· средства копирования информации – применяются для создания копий файлов и системных областей дисков;
· средства разграничения доступа – предотвращают несанкционированное использование информации, в частности обеспечивают защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
При заражении компьютера вирусом важно его обнаружить. К внешним признакам проявления деятельности вирусов можно отнести следующие:
· вывод на экран непредусмотренных сообщений или изображений;
· подача непредусмотренных звуковых сигналов;
· изменение даты и времени модификации файлов;
· исчезновение файлов и каталогов или искажение их содержимого;
· частые зависания и сбои в работе компьютера;
· медленная работа компьютера;
· невозможность загрузки операционной системы;
· существенное уменьшение размера свободной оперативной памяти;
· прекращение работы или неправильная работа ранее успешно функционировавших программ;
· изменение размеров файлов;
· неожиданное значительное увеличение количества файлов на диске.
Перечисленные явления необязательно вызываются действиями вируса, они могут быть следствием и других причин. Поэтому правильная диагностика состояния компьютера всегда затруднена и обычно требует привлечения специализированных программ.