Защита от вредоносных программ

 

Антивирус– это программа, предназначенная для борьбы с вредоносными программами.

Антивирусы выполняют три основные задачи:

1) не допустить заражения компьютера вирусом;

2) обнаружить присутствие вируса в системе;

3) удалить вирус без ущерба для остальных данных.

Код большинства вирусов содержит характерные цепочки байт – сигнатуры (от лат. Signare – «подписать»). Если в файле обнаруживается сигнатура какого‐то вируса, можно предположить,что файл заражен. Такой подход используется всеми антивирусными программами. Сигнатуры известных вирусов хранятся в базе данных антивируса, которую нужно регулярно обновлять через Интернет.

Современные антивирусы – это программные комплексы, состоящие из нескольких программ.

Чаще всего они включают антивирус‐сканер (иногда его называют антивирус‐доктор) и антивирус‐монитор. Для того, чтобы антивирус‐сканерначал работу, пользователь должен его запустить и указать, какие файлы и папки нужно проверить. Это «защита по требованию». Сканеры используют два основныхметода поиска вирусов:

• поиск в файлах сигнатур вирусов, которые есть в базе данных; после обнаружения файл с вирусом можно вылечить, а если это не получилось – удалить;

• эвристический анализ (греч. ευρηκα – «нашёл!»), при котором программа ищет в файле код, похожий на вирус.

Эвристический анализ часто позволяет обнаруживать полиморфные вирусы (изменяющие код с каждым новым заражением), но не гарантирует это. Кроме того, случаются ложные срабатывания, когда «чистый» файл попадает под подозрение.

Главный недостаток сканеров состоит в том, что они не могут предотвратить заражение компьютера, потому что начинают работать только при ручном запуске.

Антивирусы‐мониторы– это программы постоянной защиты, они находятся в памяти в активном состоянии. Их основная задача – не допустить заражения компьютера и получения зараженных файлов извне. Для этого мониторы

• проверяют «на лету» все файлы, которые копируются, перемещаются или открываются в различных прикладных программах;

• проверяют используемые дискеты и флэш‐диски;

• перехватывают действия, характерные для вирусов (форматирование диска, замена и изменение системных файлов) и блокируют их;

• проверяют весь поток данных, поступающий из Интернета (сообщения электронной почты, веб‐страницы, сообщения ICQ).

Мониторы ведут непрерывное наблюдение, блокируют вирус в момент заражения. Иногда они могут перехватить и неизвестный вирус (сигнатуры которого нет в базе), обнаружив его подозрительные действия.

Главный недостаток антивирусов‐мониторов – значительное замедление работы системы, особенно на маломощных компьютерах. Кроме того, мониторы фактически встраиваются в операционную систему, поэтому ошибки разработчиков антивируса могут привести к печальным последствиям (вплоть до вывода ОС из строя). Бывает и так, что при запущенном мониторе некоторые программы работают неправильно или вообще не работают. Тем не менее, не рекомендуется отключать монитор, особенно если вы работаете в Интернете или переносите файлы с помощью

флэш‐дисков.

Кроме вредоносных программ, современные антивирусы частично защищают компьютер от

• фишинга– выманивания паролей для доступа на сайты Интернета с помощью специальносделанных веб‐страниц, которые внешне выглядят так же, как «официальные» сайты;

• рекламных баннеров и всплывающих окон на веб‐страницах;

• спама – рассылки нежелательных рекламных сообщений по электронной почте.

Большинство антивирусных программ – условно‐бесплатные (shareware), пробные версии с ограниченным сроком действия можно свободно загрузить из Интернета. Наиболее известны антивирусы AVP (www.kaspersky.ru), DrWeb (www.drweb.com), Nod32 (www.eset.com), McAfee (home.mcafee.com).

На многих сайтах (www.kaspersky.ru, www.freedrweb.com) доступны для скачивания лечащие программы‐сканеры, которые бесплатны для использования на домашних компьютерах. В отличие от полных версий, в них нет антивируса‐монитора, и базы сигнатур не обновляются.

Существуют бесплатные антивирусы, например, MicrosoftSecurityEssentials(www.microsoft.com), Avast Home (www.avast.com), Antivir Personal (free‐av.com), AVG Free (free.grisoft.com). Антивирус ClamAV (www.clamav.net) – бесплатный и поставляется с исходнымкодом.

На сайтах некоторых компаний можно найти онлайновые антивирусы (например, http://www.kaspersky.ru/virusscanner). Они устанавливают на компьютер специальный сканирующий модуль и проверяют файлы и оперативную память. Как правило, онлайновые антивирусы могут обнаружить вирусы, но не удаляют их, предлагая приобрести коммерческую версию.

Для защиты отдельных компьютеров и сетей от атак из Интернета (в том числе и вирусных) используются брандмауэры(нем. Brandmauer – стена между зданиями для защиты от распространения огня). Их также называют «сетевые экраны» или «фаейрволы» (от англ. firewall). Брандмауэры запрещают передачу данных по каналам связи, которые часто используют вирусы и программы для взлома сетей.

Брандмауэр входит в состав современных версий ОС Windows, в ядро Linux также включен встроенный брандмауэр Netfilter. Иногда устанавливают дополнительные брандмауэры, например, Agnitum Outpost (www.agnitum.com), Kerio Winroute Firewall (kerio.ru) или бесплатную программу Comodo Personal Firewall (www.personalfirewall.comodo.com).

Главные вред, который могут нанести вредоносные программы – это потеря данных или паролей доступа к закрытой информации.

Чтобы уменьшить возможный ущерб, рекомендуется регулярно делать резервные копии важных данных на CD(DVD)‐дисках или флэш‐дисках.

Если вы работаете в сети, желательно включать антивирус‐монитор и брандмауэр. Монитор также сразу сообщит об опасности, если вставленный флэш‐диск содержит вирус. Все новые файлы (особенно программы!) нужно проверять с помощью антивируса‐сканера.

Не рекомендуется открывать подозрительные сообщения электронной почты, полученные с неизвестных адресов, особенно файлы‐приложения (помните про методы социальной инженерии – заинтересовать жертву и заставить запустить программу). Опасно также переходить по ссылкам в тексте писем, с большой вероятностью они ведут на сайты, зараженные вирусами.

Если компьютер заражен, нужно отключить его от сети и запустить антивирус‐сканер. Очень часто это позволяет удалить вирус, если его сигнатура есть в базе данных. Если антивирус не был установлен раньше, можно попробовать установить его на зараженный компьютер, но это не всегда приводит к успеху (вирус может блокировать установку антивируса).

Если антивирус‐сканер не обнаруживает вирус или не может его удалить, можно попытаться (желательно с другого компьютера) найти в Интернете бесплатную утилиту для лечения с новыми базами сигнатур. Например, утилита CureIt (www.freedrweb.com) не требует установки и может быть запущена с флэш‐диска. Даже если удалить вирус не удалось, скорее всего, он будет обнаружен, и программа покажет его название. Следующий шаг – искать в Интернете утилиту для удаления именно этого вируса (например, ряд утилит можно найти на сайте support.kaspersky.ru).

В особо тяжелых случаях для уничтожения вирусов приходится полностью форматировать жесткий диск компьютера, при этом все данные теряются.