Компьютерные вирусы и средства борьбы с ними

Этот весьма печальный  список можно продолжать весьма долго. С каждым днем вирусы модифицируются или создаются все новые виды, которые приносят вред персональным компьютерам, вплоть до того, что летят  материнские платы.

Обнаружение компьютерных вирусов и

средства борьбы с ними.

При заражении  компьютера вирусом важно его  обнаружить. Для этого следует  знать об основных признаках проявления вирусов. К ним можно отнести  следующие:

• прекращение работы или неправильная работа ранее успешно функционировавших программ,
• медленная работа компьютера,
• невозможность загрузки операционной системы,
• исчезновение файлов и каталогов или искажение их содержимого,
• изменение даты и времени модификации файлов,
• изменение размеров файлов,
• неожиданное значительное увеличение количества файлов на диске,
• существенное уменьшение размера свободной оперативной памяти,
• вывод на экран непредусмотренных сообщений или изображений,
• подача непредусмотренных звуковых сигналов,
• частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные  явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому  всегда затруднена правильная диагностика  состояния компьютера.

Итак, некий  вирусописатель создает вирус и  запускает его в "жизнь". Некоторое время он, возможно, погуляет вволю, но рано или поздно "лафа" закончится. Кто-то заподозрит что-нибудь неладное. Как правило, вирусы обнаруживают обычные пользователи, которые замечают те или иные аномалии в поведении компьютера. Они, в большинстве случаев, не способны самостоятельно справиться с заразой, но этого от них и не требуется. Необходимо лишь, чтобы как можно скорее вирус попал в руки специалистов. Профессионалы будут его изучать, выяснять, "что он делает", "как он делает", "когда он делает" и пр. В процессе такой работы собирается вся необходимая информация о данном вирусе, в частности, выделяется сигнатура вируса - последовательность байтов, которая вполне определенно его характеризует. Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса, например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового - способ заражения файла. Полученная информация позволяет выяснить:

• как обнаружить вирус, для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки - файлах и \ или загрузочных секторах;
• как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько  видов специальных программ, которые  позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

• программы-сканеры,
• программы-мониторы,
• программы-ревизоры,
• программы-вакцины или иммунизаторы.

Виды и методы защиты совершенствовались параллельно с развитием вирусов. Нижеприведенные варианты программ в чистом виде сегодня практически  не встречаются, так как современный  мир вредоносных объектов вынуждает  разработчиков антивирусов включать в свои продукты практически все  основные типы антивирусных программ, которые по отношению к нынешним решениям безопасности правильнее было бы назвать компонентами или составляющими, нежели самостоятельными приложениями: 

• сканеры – основной элемент любого антивируса, осуществляет, если можно так выразиться, пассивную защиту. По запросу пользователя или заданному распорядку производит проверку файлов в выбранной области системы. Вредоносные объекты выявляет путем поиска и сравнения программного кода вируса. Примеры программных кодов содержатся в заранее установленных сигнатурах (наборах, характерных последовательностей байтов для известных вирусов). В первую очередь к недостаткам данных программ относится беззащитность перед вирусами, не имеющими постоянного программного кода и  способными видоизменяться при сохранении основных функций. Также сканеры не могут противостоять разновидностям одного и того же вируса, что требует от пользователя постоянного обновления антивирусных баз. Однако наиболее уязвимое место этого инструмента – неспособность обнаруживать новые и неизвестные вирусы, что особенно актуально, когда посредством e-mail новоявленная угроза способна заразить тысячи компьютеров по всему миру за считаные часы; 
• мониторы – в совокупности со сканерами образуют базовую защиту компьютера. На основе имеющихся сигнатур проводят проверку текущих процессов в режиме реального времени. Осуществляют предварительную проверку при попытке просмотра или запуска файла. Различают файловые мониторы, мониторы для почтовых клиентов (MS Outlook, Lotus Notes, Pegasus, The Bat и другие, использующие протоколы POP3, IMAP, NNTP и SMTP) и специальные мониторы для отдельных приложений. Как правило, последние представлены модулями проверки файлов Microsoft Office. Основное их достоинство – способность обнаруживать вирусы на самой ранней стадии активности; 
• ревизоры – сохраняют в отдельную базу данные о состоянии на определенный момент критических для работы областей системы. Впоследствии сравнивает текущие файлы с зарегистрированными ранее, позволяя таким образом выявлять любые подозрительные изменения. Преимущество ревизоров заключается в низких аппаратных требованиях и высокой скорости работы. Дело в том, что ревизору вообще не требуется антивирусная база, восприятие и различие производятся только на уровне неизменности изначальных файлов. Это позволяет эффективно восстанавливать систему, поврежденную деятельностью вредоносных модулей. Недостаток ревизоров состоит в невозможности оперативно реагировать на появление вируса в системе. Кроме того, при проверке исключаются новые файлы, чем пользуются многие вирусы, заражающие только заново создаваемые файлы; 
• вакцины (иммунизаторы) – имитируют заражение файлов определенными вирусами. Таким образом, настоящие вирусы сталкиваются со своими "собратьями" и прекращают попытки заражения. Это не самый эффективный способ защиты компьютера, так как некоторые вирусы вообще не проверяют, заражена система или нет, причем способы проверки у разных вирусов могут существенно отличаться. В настоящее время данный тип программ практически не используется. 

 Сегодня на рынке компьютерной безопасности предлагаются десятки самых разнообразных средств защиты. Остановить свой выбор на каком-либо решении становится весьма трудным делом. Познакомимся с некоторыми из них.

1. BitDefender Antivirus Plus v10

BitDefender Antivirus пока не слишком популярен среди отечественных пользователей, однако стабильно занимает первые места практически во всех западных топ-рейтингах антивирусов. Надежность BitDefender подтверждают сертификаты ICSA Labs, CheckMark и Virus Bulletin. Последняя ежемесячно проверяет, насколько защита антивирусов соответствует новым угрозам. За последние пять месяцев BitDefender Antivirus регулярно получал рейтинг VB 100%.

Минимальные системные требования: процессор Intel Pentium II 350 МГц, 128 MB RAM, 60 MB свободного места на жестком диске, наличие системы Windows 98/NT/Me/2000/XP.

Основные функциональные особенности:

• функция Heuristics in Virtual Environment – эмуляция виртуальной машины, с помощью которой проходят проверку потенциально опасные объекты с использованием эвристических алгоритмов;
• автоматическая проверка данных, передаваемых по протоколу POP3, поддержка наиболее популярных почтовых клиентов (MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Lotus Notes, Pegasus, The Bat и другие);
• защита от вирусов, распространяющихся через файлообменные Peer-2-Peer сети;
• формирование личного спам-листа пользователя. 

BitDefender Antivirus один из немногих антивирусов, который заставляет уважать себя буквально с первого экрана установки. BitDefender предлагает на выбор варианты "Typical" (рекомендуемая большинству пользователей), "Custom" (выбираем компоненты самостоятельно) и "Complete" (все доступные возможности программы). А возможности более чем впечатляющие: BitDefender предлагает защиту не только от вирусов, но и от спама и программ-шпионов. Вдобавок имеется встроенный фаервол, дополняющий "оборонные" силы антивируса. 

Интерфейс BitDefender подходит для любой категории пользователей: он не перегружен всевозможными настройками, но при этом позволяет сформировать работу каждого компонента по собственным требованиям. Доступен интерфейс в двух цветовых гаммах: синей и красной (видимо, пользователи могу выбирать его по принадлежности к тому или иному полу). Компоненты BitDefender содержат от трех до пяти уровней защиты, самостоятельно настроить его можно лишь в модулях Antispyware и Antivirus. В противном случае, любой компонент можно отключить. Стоит отдать должное фаерволу, который не оставлял без внимания любое более-менее значимое событие в системе. Даже попытки Opera и Internet Explorer установить связь с Интернетом у BitDefender Firewall вызвали подозрение. Обновление BitDefender производит ежечасно, причем только с централизованного сервера. При желании в закладке Update можно получить список известных на данный момент вирусов в формате txt. Среди дополнительных "плюшек" BitDefender – блокировка набора номера без ведома пользователя и функция ограничения доступа к определенным участкам Интернета, которая будет явно не лишней для многих родителей. 

2. Esest NOD32 2.5

NOD32 –один из примеров  практически безупречной работы  антивируса, который гарантирован  неоднократным получением награды  VB100%, а также сертификатами ICSA и CheckMark (включая категорию AntiSpyware). Минимальные системные требования: процессор Intel Pentium, 32 MB RAM, 30 MB свободного места на жестком диске, наличие системы Windows 95/98/NT/Me/2000/XP. 

Основные функциональные особенности:

• эвристический анализ, позволяющий обнаруживать неизвестные угрозы;
• технология ThreatSense – анализ файлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы (adware), phishing-атак и других угроз;
• проверка и удаление вирусов из заблокированных для записей файлов (к примеру, защищенные системой безопасности Windows библиотеки DLL);
• поверка протоколов HTTP, POP3 и PMTP. 

Для защиты системы вниманию пользователя предложены следующие  модули: 

• Antivirus MONitor (AMON). Сканер, автоматически проверяющий файлы перед их запуском или просмотром;
• NOD32. Сканирование всего компьютера или выбранных разделов. Отличительная особенность – программирование на запуск в часы с наименьшей загрузкой;
• Internet MONitor (IMON). Резидентный сканер, проверяющий Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3;
• Email MONitor (EMON). Модуль для работы с почтовыми клиентами, сканирует входящие и исходящие электронные сообщения через интерфейс MAPI (применяется в Microsoft Outlook и Microsoft Exchange);
• Document MONitor (DMON). Основан на использовании запатентованного интерфейса Microsoft API, проверяет документы Microsoft Office.

Интерфейс NOD32 организован  максимально эргономично и эффективно. Основные пункты меню содержат подзаголовки, которые в свою очередь открывают  справа от основного окна область  работы с выбранным модулем или  компонентом. Каждый подпункт (кроме  сканера NOD32) предлагает подробнейшую настройку, которая подойдет скорее специалисту или администратору, нежели рядовому пользователю. Тем  не менее, при желании разобраться  во всех тонкостях модулей NOD32 вам  будет предложена справка, наглядно демонстрирующая и объясняющая назначение настроек.

Обновление – одна из сильных сторон NOD32. Первоначально  на выбор предложены целых 3 сервера  с возможностью последующего добавления адресов. Также поддерживаются локальные  обновления с сетевых ресурсов. Присутствует возможность создания дискет или CD с обновлениями. Обновление происходит каждые несколько часов.

3. . Антивирус Касперского 6.0

Антивирус Касперского 6.0 –  один из нынешних лидеров в сфере  безопасности – имеет сертификат ICSA Labs и постоянно входит в тройку лучших антивирусов по версиям различных изданий и исследовательских центров. Минимальные системные требования: процессор Intel Pentium 133 МГц, 32 MB RAM, 50 MB свободного места на жестком диске, наличие системы Microsoft Windows 98/NT/2000/Me/XP.

Основные функциональные особенности:

• проверка трафика на уровне протоколов POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих, специальные плагины для Microsoft Outlook, Microsoft Outlook Express и The Bat!;
• предупреждение пользователя в случае обнаружения изменения как в нормальных процессах, так и при выявлении скрытых, опасных и подозрительных;
• контроль изменений, вносимых в системный реестр;
• блокирование опасных макросов Visual Basic for Applications в документах Microsoft Office.

Складывается впечатление, что интерфейс Касперского создавался с первостепенной целью: "убить" у пользователей всякую боязнь вирусов, чему активно способствует элемент "детского" анимационного оформления. Разобраться и освоиться в  здешнем "интерьере" не составит труда как начинающему, так и опытному пользователю.

Выбор настроек антивируса организован таким образом, что  позволяет специалисту в считаные минуты установить необходимые параметры, а не слишком опытному пользователю –  внимательно разобраться и при желании внести изменения без дополнительной помощи со стороны справки, которая при необходимости организует вам подробную и доступную для понимания любого пользователя экскурсию по "недрам" Касперского.

Безопасность представлена в виде трех уровней, на каждом из которых  пользователь может добавить или  убрать те или иные параметры. Ежедневное обновление производится автоматически.

4. Panda Antivirus 2007 

Минимальные системные требования: процессор Intel Pentium 150 МГц, 64 MB RAM, 110 MB свободного места на жестком диске, наличие системы Windows 98/Me/2000 Pro/XP.

Panda 2007 - однозначный пример идеального домашнего антивируса, который работает по принципу "установил и забыл". Присутствующие настройки обеспечивают минимальный уровень изменений, в наличии только самое необходимое. Вообще, самостоятельная настройка в данном случае не является обязательной: параметры по умолчанию вполне подойдут большинству пользователей, обеспечивая защиту от фишинговых атак, spyware, вирусов, хакерских приложений и других угроз.