Первый компьютерный вирус

-     поиск и уничтожение известных вирусов;

-     поиск и уничтожение неизвестных вирусов;

-     блокировка проявления вирусов [6].

Уровни  и средства антивирусной защиты схематично представлены на рис. 2.1.  

Рис. 2.1. Уровни и средства антивирусной защиты   

2.1.1. Защита  от известных вирусов

При поиске и уничтожении известных вирусов  наиболее распространенным является метод  сканирования. Указанный метод заключается  в выявлении компьютерных вирусов  по их уникальному фрагменту программного кода (сигнатуре, программному штамму). Для этого создается некоторая  база данных сканирования с фрагментами  кодов известных компьютерных вирусов. Обнаружение вирусов осуществляется путем сравнения данных памяти компьютера с фиксированными кодами базы данных сканирования. В случае выявления  и идентификации кода нового вируса, его сигнатура может быть введена  в базу данных сканирования. В виду того, что сигнатура известна, существует возможность корректного восстановления (обеззараживания) зараженных файлов и  областей. Следует добавить, что  некоторые системы хранят не сами сигнатуры, а, например, контрольные  суммы или имитоприставки сигнатур.

Антивирусные  программы, выявляющие известные компьютерные вирусы, называются сканерами или  детекторами. Программы, включающие функции  восстановления зараженных файлов, называют полифагами (фагами), докторами или  дезинфекторами. Принято разделять  сканеры на следующие:

-        транзитные, периодически запускаемые для выявления и ликвидации вирусов,

-        резидентные (постоянно находящиеся в оперативной памяти), проверяющие заданные области памяти системы при возникновении связанных с ними событий (например, проверка файла при его копировании или переименовании).

К недостаткам  сканеров следует отнести то, что  они позволяют обнаружить только те вирусы, которые уже проникали  в вычислительные системы, изучены  и для них определена сигнатура. Для эффективной работы сканеров необходимо оперативно пополнять базу данных сканирования. Однако с увеличением  объема базы данных сканирования и  числа различных типов искомых  вирусов снижается скорость антивирусной проверки. Само собой, если время сканирования будет приближаться ко времени восстановления, то необходимость в антивирусном контроле может стать не столь  актуальной.

Некоторые вирусы (мутанты и полиморфные) кодируют или видоизменяют свой программный  код. Это затрудняет или делает невозможным  выделить сигнатуру и, следовательно, обнаружить вирусы методом сканирования.

Для выявления  указанных маскирующихся вирусов  используются специальные методы. К  ним можно отнести метод эмуляции процессора. Метод заключается в  имитации выполнения процессором программы  и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.   

2.1.2. Защита  от неизвестных вирусов

Выявление и ликвидация неизвестных вирусов  необходимы для защиты от вирусов, пропущенных  на первом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности системы (обнаружение  изменений). Данный метод заключается  в проверке и сравнении текущих  параметров вычислительной системы  с эталонными параметрами, соответствующими ее незараженному состоянию. Понятно, что контроль целостности не является прерогативой системы антивирусной защиты. Он обеспечивает защищенность информационного ресурса от несанкционированных  модификации и удаления в результате различного рода нелегитимных воздействий, сбоев и отказов системы и  среды.

Для реализации указанных функций используются программы, называемые ревизорами. Работа ревизора состоит из двух этапов: фиксирование эталонных характеристик вычислительной системы (в основном диска) и периодическое  сравнение их с текущими характеристиками. Обычно контролируемыми характеристиками являются контрольная сумма, длина, время, атрибут «только для чтения»  файлов, дерево каталогов, сбойные кластеры, загрузочные сектора дисков. В  сетевых системах могут накапливаться  среднестатистические параметры функционирования подсистем (в частности исторический профиль сетевого трафика), которые сравниваются с текущими параметрами.

Ревизоры, как и сканеры, делятся на транзитные и резидентные.                К недостаткам ревизоров, в первую очередь резидентных, относят создаваемые ими различные неудобства и трудности в работе пользователя. Например, многие изменения параметров системы вызваны не вирусами, а работой системных программ или действиями пользователя-программиста. По этой же причине ревизоры не используют для контроля зараженности текстовых файлов, которые постоянно меняются. Таким образом, необходимо соблюдение некоторого баланса между удобством работы и контролем целостности системы.

Ревизоры  обеспечивают высокий уровень выявления  неизвестных компьютерных вирусов, однако они не всегда обеспечивают корректное лечение зараженных файлов. Для лечения файлов, зараженных неизвестными вирусами, обычно используются эталонные характеристики файлов и предполагаемые способы их заражения.

Разновидностью  контроля целостности системы является метод программного самоконтроля, именуемый  вакцинацией. Идея метода состоит в  присоединении к защищаемой программе  модуля (вакцины), контролирующего характеристики программы, обычно ее контрольную сумму.

Помимо  статистических методов контроля целостности, для выявления неизвестных и  маскирующихся вирусов используются эвристические методы. Они позволяют  выявить по известным признакам (определенным в базе знаний системы) некоторые маскирующиеся или  новые модифицированные вирусы известных  типов. В качестве примера признака вируса можно привести код, устанавливающий резидентный модуль в памяти, меняющий параметры таблицы прерываний и др. Программный модуль, реализующий эвристический метод обнаружения вирусов, называют эвристическим анализатором. Примером сканера с эвристическим анализатором является программа Dr Web фирмы «Диалог-Наука».

К недостаткам  эвристических анализаторов можно  отнести ошибки 1-го и 2-го рода: ложные срабатывания и пропуск вирусов. Соотношение указанных ошибок зависит  от уровня эвристики.

Понято, что если для обнаруженного эвристическим  анализатором компьютерного вируса сигнатура отсутствует в базе данных сканирования, то лечение зараженных данных может быть некорректным.  

2.1.3. Защита  от проявлений вирусов

Блокировка  проявления вирусов предназначена  для защиты от деструктивных действий и размножения компьютерных вирусов, которым удалось преодолеть первые два уровня защиты. Методы основаны на перехвате характерных для  вирусов функций. Известны два вида указанных антивирусных средств:

-        программы-фильтры,

-        аппаратные средства контроля.

Программы-фильтры, называемые также резидентными сторожами  и мониторами, постоянно находятся  в оперативной памяти и перехватывают  заданные прерывания с целью контроля подозрительных действий. При этом они могут блокировать «опасные» действия или выдавать запрос пользователю.

Действия, подлежащие контролю, могут быть следующими: модификация главной загрузочной  записи (MBR) и загрузочных записей  логических дисков и ГМД, запись по абсолютному адресу, низкоуровневое форматирование диска, оставление в  оперативной памяти резидентного модуля и др. Как и ревизоры, фильтры  часто являются «навязчивыми» и  создают определенные неудобства в  работе пользователя.

Встроенные  аппаратные средства ПК обеспечивают контроль модификации системного загрузчика и таблицы разделов жесткого диска, находящихся в главной загрузочной  записи диска (MBR). Включение указанных  возможностей в ПК осуществляется с  помощью программы Setup, расположенной в ПЗУ. Следует указать, что программу Setup можно обойти в случае замены загрузочных секторов путем непосредственного обращения к портам ввода-вывода контроллеров жесткого и гибкого дисков.

Наиболее  полная защита от вирусов может быть обеспечена с помощью специальных  контроллеров аппаратной защиты. Такой  контроллер подключается к ISA-шине ПК и  на аппаратном уровне контролирует все  обращения к дисковой подсистеме компьютера. Это не позволяет вирусам  маскировать себя. Контроллер может  быть сконфигурирован так, чтобы  контролировать отдельные файлы, логические разделы, «опасные» операции и т. д. Кроме того, контроллеры могут  выполнять различные дополнительные функции защиты, например, обеспечивать разграничение доступа и шифрование.

К недостаткам  указанных контроллеров, таких как ISA-плат, относят отсутствие системы  автоконфигурирования, и, как следствие, возможность возникновения конфликтов с некоторыми системными программами, в том числе антивирусными.

При работе в глобальных сетях общего пользования, в частности в Internet, кроме традиционных способов антивирусной защиты данных компьютеров, становится актуальным антивирусный контроль всего проходящего трафика. Это может быть осуществлено путем реализации антивирусного прокси-сервера, либо интеграции антивирусной компоненты с межсетевым экраном. В последнем случае межсетевой экран передает антивирусной компоненте (или серверу) допустимый, например, SMTP, FTP и HTTP-трафик. Содержащиеся в нем файлы проверяются на предмет наличия вирусов и, затем, направляются пользователям. Можно сказать, мы имеем дело с новым уровнем антивирусной защиты – уровнем межсетевого экранирования.  

2.1.4. Обзор  возможностей  антивирусных средств

В настоящее  время наблюдается тенденция  в интегрировании различных антивирусных средств с целью обеспечения  надежной многоуровневой защиты. На российском рынке наиболее мощными являются антивирусный комплект DialogueScience’s Anti-Virus kit (DSAV) АО «ДиалогНаука» и интегрированная антивирусная система AntiViral Toolkit Pro (AVP) ЗАО «Лаборатория Касперского». Указанные комплексы высоко зарекомендовали себя в нашей стране, особенно при обеспечении антивирусной защиты информационных систем малого и среднего офиса. Рассмотрим возможности средства «Лаборатория Касперского». 

Указанный программный продукт декларирует: «Одной из главных задач специалистов «Лаборатории Касперского» при создании Антивируса Касперского являлась оптимальная  настройка всех параметров приложения. Это дает возможность пользователю с любым уровнем компьютерной грамотности, не углубляясь в параметры, обеспечить безопасность компьютера сразу  же после установки приложения». Окно-приглашение (главное окно) указанного антивирусного средства доступно для  понимания пользователю любого уровня.

В случае  необходимости  пользователь может обратиться за помощью к справочной системе, нажав кнопку  «? Справка» и получить ответ на интересующий его вопрос. Приведем без купюр содержание одного из информационных окон программного продукта.

Антивирус Касперского – это принципиально  новый подход к защите информации. Главное в приложении – это  объединение и заметное улучшение  текущих функциональных возможностей всех продуктов компании в одно комплексное  решение защиты. Приложение обеспечивает не только антивирусную защиту, но и  защиту от неизвестных угроз. Больше не нужно устанавливать несколько  продуктов на компьютер, чтобы обеспечить себе полноценную защиту. Достаточно просто установить Антивирус Касперского.

Комплексная защита обеспечивается на всех каналах  поступления и передачи информации. Гибкая настройка любого компонента приложения позволяет максимально  адаптировать Антивирус Касперского  под нужды конкретного пользователя. Предусмотрена также единая настройка всех компонентов защиты.

Рассмотрим  детально нововведения Антивируса Касперского.

Новое в защите

-        Теперь Антивирус Касперского защищает не только от уже известных вредоносных программ, но и от тех, что еще не известны. Наличие компонента проактивной защиты – основное преимущество приложения. Его работа построена на анализе поведения приложений, установленных на вашем компьютере, на контроле изменений системного реестра, отслеживании выполнения макросов и борьбе со скрытыми угрозами. В работе компонента используется эвристический анализатор, позволяющий обнаруживать различные виды вредоносных программ. При этом ведется история вредоносной активности, на основе которой обеспечивается откат действий, совершенных вредоносной программой, и восстановление системы до состояния, предшествующего вредоносному воздействию.