Защита от заражения компьютерными вирусами

В наше время никого уже не надо убеждать в необходимости защиты информации, хранящейся и обрабатываемой в компьютере, от вирусов. Однако далеко не все знают, что и как нужно делать, чтобы защитить свою информациюотвозможных деструктивных последствий.

История возникновения проблемы связана с именем Фрэда Коэна (Fred Cochen), известного специалиста в области компьютерной безопасности, научного сотрудника Лехайского университета.

Работая над проблемой защиты от несанкционированного копирования программного продукта, Коэн написал небольшую программу, которая обладала способностью к быстрому самовоспроизведению и совершению различных негативных действий: стиранию важной информации на системном диске, уничтожению файлов, изменению переменных в операционной системе ЭВМ и т. д. Программа активизировалась в случае незаконного копирования исходной авторской программы. Им же были проведены первые серьезные работы, посвященные математическим исследованиям жизненного цикла и механизма размножения компьютерных вирусов.

Работа Коэна была опубликована в материалах 7-й Национальной конференции США по компьютерной безопасности, состоявшейся в 1984 году. В то время это выступление не нашло отклика у специалистов по компьютерной безопасности, которые не придали сообщению большого значения. Однако уже в

1985 году стали появляться сообщения о реальных фактах проявления компьютерных вирусов.

В современном пониманиикомпьютерный вирус - это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам, то есть «заражать» их, а также выполнять различные нежелательные действия (например, портить файлы или таблицу размещения файлов, «засорять» оперативную память и т. д.).

Характерной особенностью воздействия вирусов на компьютерную систему, отличающей ее от других видов потенциально опасных воздействий, является то обстоятельство, что происхождение вирусов имеет преднамеренный характер, а попадание в конкретный компьютер, как правило, случайный.

Одна из причин, из-за которых стало возможным такое явление, как компьютерный вирус, - это отсутствие эффективных универсальных способов защиты. В связи с последним обстоятельством различные фирмы и программисты постоянно работают над созданием средств, восполняющих указанный недостаток.

Как результат, в современных вычислительных системах реализовано огромное количество аппаратных и программных методов защиты.

К простейшим аппаратным методам относится, например, блокировка возможности записи на гибкий диск путем закрытия (заклеивания) отверстия защиты от записи. Это достаточно эффективный способ, но применение его распространяется только на особо важные дискеты, несущие неизменяемую информацию (копии системных файлов, идентификационные признаки и т. п.).

Более сложным аппаратным методом является применение специальных дополнительных плат, устанавливаемых в компьютер и выполняющих функции контроля зараженности системных файлов, загрузочных (boot) секторов, опасных действий с портами жестких и гибких дисков, попыток записи в память CMOS. Строго говоря, это уже не аппаратный, а программно-аппаратный метод, который все же вытесняется программными методами в связи с быстрым развитием компьютерных технологий и, в частности, с существенным увеличением оперативной памяти, что делает неактуальным применение дополнительных устройств.

К основным видам программных методов защиты можно отнести следующие:

• использование специальных резидентных программ в оперативной памяти компьютера;

• установка атрибутов «Только для чтения» (Read Only) на отдельные области памяти и файлы;

•проведение тестирований на Наличие вирусов;

• архивирование.

Использование резидентных программ - один из эффективных методов, основанный на применении специальных программ, которые постоянно находятся в оперативной памяти (являются «резидентами») и перехватывают все

запросы к операционной системе на выполнение различных «подозрительных» действий, то есть операций, которые используют компьютерные вирусы для своего размножения и порчи информации в компьютере.

При каждом запросе на такое действие на экран монитора выводится сообщение о том, какое действие затребовано и какая программа желает его выполнить. Пользователь может разрешить либо запретить его выполнение.

Достоинством такого способа является возможность свести к минимуму возможные потери, так как он позволяет обнаруживать вирус на ранней стадии, когда тот еще не успел размножиться и совершить разрушающие действия. Но способ не лишен и недостатков. Прежде всего резидентная программа защиты от вирусов постоянно занимает часть оперативной памяти, что, естественно, к достоинствам не отнесешь. Кроме того, при частых запросах отвечать на них может надоесть даже самому терпеливому пользователю. И наконец, имеются виды вирусов, работа которых не обнаруживается резидентными программами защиты, впрочем этот недостаток характерен для любой антивирусной программы.

Установка атрибутов «Только для чтения» (Read Only) на отдельные области памяти и файлы позволяет защитить операционную систему и наиболее важные файлы от заражения. С этой целью необходимо провести несколько операций.

1. При помощи специальных программ разбить жесткий диск на несколько частей - условных логических дисков, например, на два. Один или несколько логических дисков отвести для хранения изменяемых программ и данных, а другой (другие) с защитой от записи - только для программ и данных, которые будут использоваться, но не изменяться.

2. Защитить от записи CMOS-память системнойBIOS.

Дело в том, что одной из возможных модификаций компьютера является обновление системной BIOS. Ранее эта процедура требовала обязательной ее физической замены на материнской плате, но примерно с 1994 года стали предлагаться обновленные версии, так называемые flash BIOS, которые можно просто стирать и перезаписывать.

Однако это удобство таит в себе и серьезную опасность: возможность заражения BIOS компьютерными вирусами и, как следствие, невозможность загрузки операционной системы. Так, именно система BIOS, как один из объектов для нанесения удара, использована в вирусе, получившем название «Чернобыльский» по дате своей первой активизации (26 апреля 1999 года). По этой причине разделBIOS FEATURES SETUP менюустановок CMOS (см. п. 1.6) содержит функциюVirus Warning (Защита от вирусов). Она предохраняет загрузочный сектор (boot sector) CMOS и таблицу разделов (partion table) жесткого диска от инфицирования программами-вирусами.

По умолчанию (при первоначальной поставке компьютера) эта функция «Disabled» (отключена) и имеется возможность записи в указанные разделы.

Для того чтобы активизировать систему защиты, необходимо перевести опциюVirus Warning (Защита от вирусов) в состояние«Enabled»(активна), воспользовавшись для этого клавишейPgUp илиPgDn.

В последнем случае функционирование компьютера приостанавливается при попытке изменения вышеуказанных разделов и появляется предупредительное сообщение. Пользователь при этом должен принять решение: санкционировать доступ к указанньм разделам или прекратить выполнение задачи, чтобы с помощью антивирусного программного обеспечения проверить компьютер на ин-фицированность.

Однако при инсталляции Windows'95 указанная настройка BIOS может доставить вам некоторые проблемы, например, установка Windows'95 может не стартовать нормальным путем. Для того чтобы разрешить сложившуюся ситуацию, необходимо блокировать функцию защиты загрузочного сектора CMOS.

3. Установить атрибуты «Только для чтения» (Read Only) на наиболее важные файлы. Для этой цели с помощью меню кнопки «Пуск» (Start) откройте окно «Проводник» (Explorer) Панели задач. Выберите по очереди файлы, которые хотите защитить от записи, и щелкните по ним правой кнопкой мыши. В раскрывшемся меню выберите опцию «Свойства» и войдите в нее. Установите атрибут «Только для чтения».

Проведение тестирований на наличие вирусов включает в себя как входной контроль всех поступающих программных продуктов, так и периодический контроль жесткого диска.

Практически во всех руководствах по защите компьютерной информации первым пунктом всегда присутствует предупреждение о неиспользовании программного обеспечения с других компьютеров и нелицензионных источников. Трудно что-либо возразить против этого предупреждения, однако-, реалии нашей жизни таковы, что для многих пользователей основной вид поступлений новых прикладных программ - это товарищеский обмен и пиратские компакт-диски, со всеми вытекающими отсюда последствиями, включая компьютерные вирусы. И ситуацию вряд ли исправит тот факт, что именно нелицензионные компакт-диски явились путем распространения выше упомянутого «Чернобыльского» вируса. Хотя справедливости ради надо отметить, что в истории известны случаи, когда вирусы распространялись и в лицензионных запечатанных дисках прямо с завода-изготовителя.

Поэтому независимо от вида носителя и источника программного продукта подвергайте все программные изделия входному контролю!

Существуют три основных вида антивирусных программ: программы-фильтры; программы-вакцины; программы-фаги.

Программы-фильтры (иногда их называют программы-детекторы) проверяют, имеются ли в файлах на указанном пользователем диске специфические для определенных вирусов комбинации байтов.

Программы-вакцины имитируют сочетание условий, в которых должен заработать тот или иной тип вируса и проявить себя. Их применение позволяет выявлять вирус на ранней стадии - до того как он начал функционировать обычным путем, поэтому программы-вакцины часто используют в качестве резидентных программ.

Программы-фаги предназначены для удаления конкретных вирусов из зараженных программ, кроме того они выполняют с зараженными файлами действия обратные тем, которые производятся вирусом при заражении файла. То есть они делают попытку восстановления (лечения) зараженных файлов. Если это не удается, то файлы считаются неработоспособными и, как правило, удаляются.

Необходимо отметить, что следует стараться избегать одновременного использования фагов и вакцин. Дело в том, что вакцина тем качественнее, чем более точно она имитирует вирус. Но из этого следует, что многие антивирусные программы будут принимать эти вакцины за настоящие вирусы. Возможно даже некоторые фаги попытаются обезвредить эти вакцины. Ведь в «представлении» фагов вакцины - это настоящие вирусы. Это противоречие может привести к нарушению нормальной работы операционной системы.

Уже отмечалось, что, к сожалению, отсутствуют универсальные антивирусные средства, поэтому любая антивирусная программа работает только с известными ей типами вирусов, общее количество которых обычно указывается в описании к соответствующей программе. Поэтому если вы приобрели новый программный продукт, то, вероятнее всего, он имеет «знания» о большем числе вирусов, чем ваш предыдущий инструмент. Используйте новую антивирусную программу для тестирования жесткого диска компьютера па наличие пропущенных при входном контроле вирусов.

Архивирование - не менее важное средство защиты от вирусов, чем все предыдущие. Другие методы заменить его не могут, так как архивирование -это создание копий используемых файлов, которые окажутся незаменимыми в том случае, если вы обнаружите, что рабочие файлы заражены и не поддаются лечению.

Делайте архивирование регулярно, используя для этих целей специально разработанные программы-архиваторы, которые позволяют существенно экономить место на архивных дискетах. Не забывайте делать копии и с файлов реестра. Их резервирование важно не только как средство защиты от вирусов, но и необходимо на случай аварийных ситуаций, связанных с ошибками пользователей,

Наши рекомендации