Как бороться с вирусами и другими вредоносными программами

Как бороться с вирусами и другими вредоносными программами

Вирус.Компьютерный вирус – это программа или программный код, введенные и запущенные на компьютере без ведома пользователя и приводящие к нарушению нормального функционирования системы, в том числе открывающие несанкционированный доступ к информации, записанной на машине.

Вирусы бывают загрузочными и файловыми. Загрузочный вирус «поселяется» в загрузочной части диска и активизируется при каждом запуске системы.

Файловые вирусы встроены в файлы программ, при этом в большинстве случаев программы сохраняют свою работоспособность.

В общих чертах механизм работы файлового вируса выглядит так: он запускается в начале или в середине работы программы, а затем передает команду тому файлу, которому положено передать ее при работе приложения в штатном режиме. В результате программа внешне сохраняет все свои свойства, но вирус активируется при каждой попытке пользователя ее запустить. Процесс запуска вируса настолько непродолжителен по времени, что пользователь просто не успевает его заметить.

Основные вирусы, создающие сегодня проблемы, – это Трояны и Черви. Трояны, в свою очередь, принято делить на похищающие пароли и на открывающие доступ к компьютеру. В последнем случае компьютер может превратится в «зомби», выполняющего команды удаленного пользователя.

Черви специализируются на массовой рассылке самих себя всеми возможными способами. Именно эти вирусы при попадании в машину направляются в адресную книгу, а затем создают электронные письма и рассылают сами себя по почте всем адресатам из адресной книги. Нередко Троян устанавливается своими создателями в связке с Червем, чтобы последний выступал в качестве транспортного средства для Трояна. В таком случае Червь вместе с прикрепленным к нему Трояном обеспечивает распространение этой пары на максимально большое число компьютеров, а последний выполняет разрушительную работу.

Нам приходилось наблюдать компьютер подростка, подключенный к Интернету в течение года и не защищенный никакими сервисами, предназначенными для борьбы с преступным программным обеспечением. Заплатки на операционную систему на нем также не устанавливались, поскольку копия операционной системы была нелицензионной. После установки на компьютер «Антивируса Касперского» было выявлено 460 вирусов. Половина из них была червями, а вторая половина – Троянами.

Клавиатурный перехватчик. Это группа программ, которые записывают в специальный файл все нажатия клавиш на клавиатуре. Они позволяют сохранить важный документ, если вдруг «упадет» текстовый редактор. Кроме того, эти программы помогают узнать, кто и как использовал компьютер в отсутствие его владельца. И как инструмент проверки лояльности персонала эти системы также могут быть востребованы.

Один из многочисленных представителей клавиатурных перехватчиков – GoldenKeylogger (http://www.goldenkeylogger.com). Файл журнала, в котором записаны перехваченные нажатия клавиш, может находиться где угодно в локальной сети, и получить к нему доступ реально в том числе и через Интернет.

Основные задачи, которые сегодня ставятся перед вирусами их создателями, – получение полного управления чужим компьютером, либо взлом паролей, либо кража информации. Для достижения этих целей вирусу, как правило, необходим выход в Интернет.

Существуют несколько рубежей защиты от компьютерных вирусов. Ни один из них не является абсолютно эффективным, но вместе они обеспечивают практически стопроцентную защиту.

1. Антивирус.

Антивирусные программы работают в двух режимах – Сканер и Монитор. Режим Монитор следит за открытыми на компьютере программами и блокирует вредоносные попытки вирусов помешать их работе. В режиме сканер антивирусная программа проверяет каждый файл, хранящийся на жестком диске компьютера, заглядывает внутрь каждого архива. Проверка в режиме Сканер может проводиться как по команде пользователя, так и автоматически – по расписанию. Выявить «врага» программе позволяет сравнение файлов со своей базой данных известных ей вирусов.

Однако антивирусники имеют один существенный недостаток: прежде, чем включить вирус в базу данных, программисты соответствующей лаборатории должны его увидеть и разобрать на части. То есть он должен сначала поразить кого-то из пользователей, после чего его отправят в лабораторию, и лишь затем его можно будет исследовать и включить в базу данных вирусов, с которыми и призван бороться антивирус.

Попытки научить антивирус бороться с еще неизвестными угрозами путем «объяснения» ему косвенных признаков, которые могут указывать на преступное программное обеспечение, пока что приводят к тому, что жизнь пользователя порой превращается в кошмар, так как эта программа регулярно блокирует нормальные программы.

Сегодня существует немало антивирусных программ. После того, как был устранен ряд технических проблем, «Антивирус Касперского» можно считать одним из самых удачных решений для русскоязычного пользователя. Хотя есть немало и других предложений от уважаемых и хорошо зарекомендовавших себя производителей – например, Dr.Web, Norton, Panda, McAfee.

2. Файрволл.

Мы уже достаточно подробно обсудили этот тип программ, поэтому не будем повторяться. Отметим лишь в контексте этого раздела, что файрволл способен зафиксировать факт попытки выхода вирусной программы в Интернет и заблокировать его. Это позволяет противостоять любым вирусам, в том числе тем, которые пока неизвестны специалистам. Уничтожить вирус файрволл не может, но предотвратить его выход в Интернет файрволлу по силам.

3. Сторож реестра.

Программа отслеживает попытки вируса записаться в реестр. Точнее, она информирует о каждом приложении, которое записалось в реестр Windows, и спрашивает, оставить его там или удалить. Таким образом, тайно вирус не сможет записаться в реестр операционной системы, а значит, и запускаться в ней не сможет. Он останется просто безобидным файлом на диске, который со временем будет обнаружен антивирусом и уничтожен. Хотя, скорее всего, пользователь, увидев неизвестную программу, которая самостоятельно решает записаться в реестр, сам ее удалит, не дожидаясь вмешательства антивируса. К сторожам реестра относится, в частности, простая и бесплатная программа AnVir Task Manager. Помимо функций контроля записей в реестре, сторож обладает другими полезными функциями: позволяет легко убирать программы из автозапуска, чтобы они не открывались автоматически при включении компьютера, а также показывает, какое именно приложение и на сколько процентов загружает процессор.

4. Ревизор дисков.

В общих чертах работу ревизора дисков можно представить следующим образом. Программа после ее установки анализирует все файлы, находящиеся на жестком диске компьютера, и запоминает результат. Затем при работе пользователя или операционной системы с файлами, контролирует их действия и рассчитывает, как должна измениться первоначальная картина после всех этих манипуляций. По команде пользователя ревизор дисков проводит «инвентаризацию», сравнивая плановые показатели с фактическими. Если при этом показатели сходятся, значит, все нормально. Но если видны расхождения, то это свидетельствует о том, что был осуществлен несанкционированный запуск некой программы. Таким образом, сторож дисков способен отлавливать те вирусы, которые также пока что не описаны в базах данных. Мы можем рекомендовать в качестве ревизора дисков программу Adinf32.

Работая в комплексе, эти программы способны предотвратить активность практически любого вируса.