Методи і засоби боротьби з вірусами

Масове розповсюдження вірусів, серйозність наслідків їх дії на ресурси КС викликали необхідність розробки і використання спеціальних антивірусних засобів і методів їх застосування. Антивірусні засоби застосовуються для вирішення наступних завдань [55]:

♦ виявлення вірусів в КС;

♦ блокування роботи програм-вірусів;

♦ усунення наслідків дії вірусів.
Виявлення вірусів бажано здійснювати на стадії їх

впровадження або, принаймні, до початку здійснення деструктивних функцій вірусів. Необхідно відзначити, що не існує антивірусних засобів, що гарантують виявлення всіх можливих вірусів.

При виявленні вірусу необхідно відразу ж припинити роботу програми-вірусу, щоб мінімізувати збиток від його дії на систему.

Усунення наслідків дії вірусів ведеться в двох напрямах:

| видалення вірусів;

| відновлення (при необхідності) файлів, областей пам'яті.

Відновлення системи залежить від типу вірусу, а також від моменту часу виявлення вірусу по відношенню до початку деструктивних дій. Відновлення інформації без використання дублюючої інформації може бути нездійсненним, якщо віруси при впровадженні не зберігають інформацію, на місце якої вони поміщаються в пам'ять, а також, якщо деструктивні дії вже почалися, і вони передбачають зміни інформації.

Для боротьби з вірусами використовуються програмні і апаратно-програмні засоби, які застосовуються в певній послідовності і комбінації, утворюючи методи боротьби з вірусами. Можна виділити методи виявлення вірусів і методи видалення вірусів.

Методи виявлення вірусів

Відомі наступні методи виявлення вірусів [55]:

♦ сканування;

♦ виявлення змін;

♦ евристичний аналіз;

♦ використання резидентних сторожів;

♦ вакцинація програм;

♦ апаратно-програмний захист від вірусів.
Сканування - один з найпростіших методів виявлення

вірусів. Сканування здійснюється програмою-сканером, яка проглядає файли у пошуках пізнавальної частини вірусу - сигнатури. Програма фіксує наявність вже відомих вірусів, за винятком поліморфних вірусів, які застосовують шифрування тіла вірусу, змінюючи при цьому кожного разу і сигнатуру. Програми-сканери можуть зберігати не сигнатури відомих вірусів, а їх контрольні суми. Програми-сканери часто можуть видаляти виявлені віруси. Такі програми називаються полифагами.

Метод сканування застосовний для виявлення вірусів, сигнатури яких вже виділені і є постійними. Для ефективного використання методу необхідне регулярне оновлення відомостей про нові віруси.

Найвідомішою програмою-сканером в Росії є Aidstest Дмитра Лозінського.

Метод виявлення змін базується на використанні програм-ревізорів. Ці програми визначають і запам'ятовують характеристики всіх областей на дисках, в яких зазвичай розміщуються віруси. При періодичному виконанні програм ревізорів порівнюються характеристики, що зберігаються, і характеристики, отримуються при контролі областей дисків. За наслідками ревізії програма видає зведення про гадану наявність вірусів.

Зазвичай програми-ревізори запам'ятовують в спеціальних |файлах образи головного завантажувального запису, завантажувальних секторів ^логических дисків, характеристики всіх контрольованих файлів, каталогів і номера дефектних кластерів. Можуть контролюватися також об'єм встановленої оперативної пам'яті, кількість підключених до комп'ютера дисків і їх параметри.

Головним достоїнством методу є можливість виявлення вірусів всіх типів, а також нових невідомих вірусів. Досконалі програми-ревізори виявляють навіть «стеле»-вирусы. Наприклад, програма-ревізор Adinf, розроблена Д. Ю Мостовим, працює з диском безпосередньо по секторах через BIOS. Це не дозволяє використовувати «стелс»-вирусам можливість перехоплення переривань і «підставки» для контролю потрібною вірусу області пам'яті.

Є у цього методу і недоліки. За допомогою програм-ревізорів неможливо визначити вірус у файлах, які поступають в систему вже зараженими. Віруси будуть виявлені тільки після розмноження в системі.

Програми-ревізори непридатні для виявлення зараження макровірусами, оскільки документи і таблиці дуже часто змінюються.

Евристичний аналіз порівняно недавно почав використовуватися для виявлення вірусів. Як і метод виявлення змін, даний метод дозволяє визначати невідомі віруси, але не вимагає попереднього збору, обробки і зберігання інформації про файлову систему.

Суть евристичного аналізу полягає в перевірці можливих місць існування вірусів і виявлення в них команд (груп команд), характерних для вірусів. Такими командами можуть бути команди створення резидентних модулів в оперативній пам'яті, команди прямого звернення до дисків, минувши ОС. Евристичні аналізатори при виявленні «підозрілих» команд у файлах або завантажувальних секторах видають повідомлення про | можливому зараженні. Після отримання таких повідомлень необхідно ретельно перевірити імовірно заражені файли і завантажувальні сектори всіма наявними антивірусними засобами. Евристичний аналізатор є, наприклад, в антивірусній програмі Doctor Web.

Метод використання резидентних сторожів заснований на застосуванні програм, які постійно знаходяться в ОП ЕОМ і відстежують всі дії решти програм.

У разі виконання якою-небудь програмою підозрілих дій (звернення для запису в завантажувальні сектори, приміщення в ОП резидентних модулів, спроби перехоплення переривань і т. п.) резидентний сторож видає повідомлення користувача. Програма-сторож може завантажувати на виконання інші антивірусні програми для перевірки «підозрілих» програм, а також для контролю всіх файлів, що поступають ззовні (із змінних дисків, по мережі).

Істотним недоліком даного методу є значний відсоток помилкових тривог, що заважає роботі користувача, викликає роздратування і бажання відмовитися від використання резидентних сторожів. Прикладом резидентного сторожа може служити програма Vsafe, що входить до складу MS DOS.

Під вакцинацією програм розуміється створення спеціального модуля для контролю її цілісності. Як характеристика цілісності файлу зазвичай використовується контрольна сума. При зараженні вакцинованого файлу, модуль контролю виявляє зміна контрольної суми і повідомляє про це користувача. Метод дозволяє виявляти всі віруси, у тому числі і незнайомі, за винятком «стеле»- вірусів.

Найнадійнішим методом захисту від вірусів є використання апаратно-програмних антивірусних засобів. В даний час для захисту ПЕВМ використовуються спеціальні контроллери і їх програмне забезпечення. Контроллер встановлюється в роз'єм розширення і має доступ до загальної шини. Це дозволяє йому контролювати всі звернення до дискової системи. У програмному забезпеченні контроллера запам'ятовуються області на дисках, зміна яких в звичайних режимах роботи не допускається. Таким чином, можна встановити захист на зміну головного завантажувального запису, завантажувальних секторів, файлів конфігурації, виконуваних файлів і ін.

При виконанні заборонених дій будь-якою програмою кон-| троллер видає відповідне повідомлення користувача і бло-| кирует роботу ПЕВМ.

Апаратно-програмні антивірусні засоби володіють | поряд достоїнств перед програмними:

♦ працюють постійно;

♦ виявляють всі віруси, незалежно від механізму їх дії;

♦ блокують недозволені дії, роботи вірусу або некваліфікованого Користувача, що є результатом.

Недолік у цих засобів один - залежність від апаратних засобів ПЕВМ. Зміна останніх веде до необхідності заміни контроллера.

Прикладом апаратно-програмного захисту від вірусів може служити комплекс Sheriff.

Методи видалення наслідків зараження вірусами

В процесі видалення наслідків зараження вірусами здійснюється видалення вірусів, а також відновлення файлів і областей пам'яті, в яких знаходився вірус. Існує два методи видалення наслідків дії вірусів антивірусними програмами.

Перший метод припускає відновлення системи після дії відомих вірусів. Розробник програми-фага, що видаляє вірус, повинен знати структуру вірусу і його характеристики розміщення в місці існування.

Другий метод дозволяє відновлювати файли і завантажувальні сектори, заражені невідомими вірусами. Для відновлення файлів програма відновлення повинна завчасно створити і зберігати інформацію про файли, отриману в умовах відсутності вірусів. Маючи інформацію про незаражений файл і використовуючи зведення про загальні принципи роботи вірусів, здійснюється відновлення файлів. Якщо вірус піддав файл необоротним змінам, то відновлення можливе тільки з використанням резервної копії або з дистрибутива. При їх відсутності існує тільки один вихід - знищити файл і відновити його уручну.

Якщо антивірусна програма не може відновити головний завантажувальний запис або завантажувальні сектори, то можна спробувати це зробити уручну. У разі невдачі слід відформатувати диск і встановити ОС.

Існують віруси, які, потрапляючи в ЕОМ, стають частиною його ОС. Якщо просто видалити такий вірус, то система стає непрацездатною.

Одним з таких вірусів є вірус One Half. При завантаженні ЕОМ вірус поступово зашифровує жорсткий диск. При зверненні до вже зашифрованих секторів резидентний вірус One Half перехоплює звернення і розшифровує інформацію. Видалення вірусу приведе до неможливості використовувати зашифровану частину диска. При видаленні такого вірусу необхідно спочатку розшифрувати інформацію на диску. Для цього необхідно знати механізм дії вірусу.

Профілактика зараження вірусамикомп'ютерних систем

Щоб забезпечити ЕОМ від дії вірусів, користувач, перш за все, повинен мати уявлення про механізм дії вірусів, щоб адекватно оцінювати можливість і наслідки зараження КС. Головною ж умовою безпечної роботи в КС є дотримання ряду правив, які апробовані на практиці і показали свою високу ефективність.

Правило перше. Використання програмних продуктів, отриманих законним офіційним шляхом.

Вірогідність наявності вірусу в піратській копії у багато разів вище, ніж в офіційно отриманому програмному забезпеченні.

Правило друге.Дублювання інформації.

Перш за все, необхідно зберігати дистрибутивні носії програмного забезпечення. При цьому запис на носії, що допускають виконання цієї операції, повинна бути, по можливості, заблокована. Слід особливо поклопотатися про збереження робочої інформації. Переважно регулярно створювати копії робочих файлів на знімних машинних носіях інформації із захистом від запису. Якщо створюється копія на незнімному носієві, то бажано її створювати на інших ВЗУ або ЕОМ. Копіюється або весь файл, або зміни, що тільки вносяться. Останній варіант застосовний, наприклад, при роботі з базами даних.

Правило третє. Регулярно використовувати антивірусні засоби. Перед початком роботи доцільно виконувати програми-сканери і програми-ревізори (Aidstest і Adinf). Антивірусні засоби повинні регулярно оновлюватися.

Правило четверте. Особливу обережність слід проявляти при використанні нових знімних носіїв інформації і нових файлів. Нові дискети обов'язково повинні бути перевірені на відсутність завантажувальних і файлових вірусів, а отримані файли - на наявність файлових вірусів. Перевірка здійснюється програмами-сканерами і програмами, що здійснюють евристичний аналіз (Aidstest, Doctor Web, AntiVirus). При першому виконанні виконуваного файлу використовуються резидентні вартуючи. При роботі з отриманими документами і таблицями доцільно заборонити виконання макрокоманд засобами, вбудованими в текстові і табличні редактори (MS Word, MS Excel), до завершення повної перевірки цих файлів.

Правило п'яте. При роботі в розподілених системах або в системах колективного користування доцільно нові змінні носії інформації і файли, що вводяться в систему, перевіряти на спеціально виділених для цієї мети ЕОМ. Доцільно для цього використовувати автоматизоване робоче місце адміністратора системи або особи, що відповідає за безпеку інформації. Тільки після всесторонньої антивірусної перевірки дисків і файлів вони можуть передаватися користувачам системи.

Правило шосте. Якщо не передбачається здійснювати запис інформації носій, то необхідно заблокувати виконання цієї операції. На магнітних дискетах 3,5 дюйма для цього досить відкрити квадратний отвір.

Постійне проходження всім приведеним рекомендаціям дозволяє значно зменшити вірогідність зараження програмними вірусами і захищає користувача від безповоротних втрат інформації.

У особливо відповідальних системах для боротьби з вірусами необхідно використовувати апаратно-програмні засоби (наприклад, Sheriff).