Программы с потенциально опасными последствиями. Компьютерные вирусы.


Содержание

Компьютерные вирусы

Стремительное развитие информационных технологий и их проникновение во все сферы человеческой деятельности привело к развитию информационной или кибер-преступности, направленной против информационной безопасности. Ежегодно миллионы людей и компаний теряют ценную информацию и данные в результате вирусных атак, действия троянов и других вредоносных программ. Часто информация бывает утеряна безвозвратно.

Информация в современном обществе является ценным достоянием и подлежит защите, но в то же время информация должна быть доступной для определенного круга пользователей (например, сотрудникам, клиентам и партнерам предприятия). Поэтому актуальной задачей современного общества является создание комплексной системы информационной безопасности. Такая система должна учитывать все возможные источники угроз и использовать весь комплекс защитных мер, таких как физические, административные и программно-технические средства защиты. На сегодняшний день угрозы безопасности для компьютера могут принять любую форму и масштаб.

Развитие современных компьютерных технологий и средств связи добавляет различные источники распространения угроз, а именно: программное обеспечение, пиринговые сети, CD/DVD/др. диски, flash-накопители, а также электронная почта, локальная сеть и весь Интернет в целом.

Первостепенной задачей для сегодняшних пользователей становится защита компьютера от вирусов. Вирусы поражают не только данные, но и системные настройки, а также загружают(блокируют) ресурсы операционной системы и Интернет-соединений. Вирусы сокращают производительность компьютера и расходуют Интернет-трафик, не давая возможности пользователям полноценно работать на компьютере. Следовательно, защита компьютера от вирусов – это основа безопасной и продуктивной работы.

Итак, как защитить компьютер и какие средства можно применить для защиты информационной системы организации и пользовательских данных при таких многочисленных угрозах безопасности, исходящих из самых разных источников?

Антивирусная программа

От вирусов защита компьютера обеспечивается установкой антивирусной программы и ее регулярным обновлением. Они проверяют программное обеспечение компьютера на наличие всевозможных вирусов, Worms (червей) и Trojan (троянов). Антивирусная программа должна иметь возможность сканировать электронную почту и файлы, загружаемые из Интернета, для предотвращения действия вируса или вредоносной программы до их попадания в программное обеспечение компьютера. Обновлять антивирусную базу нужно только с сайта производителя антивирусного программного обеспечения.

Постарайтесь установить лучший антивирусный пакет, так как вирус отправляется разработчикам программы и до момента обновления антивирусных баз может пройти несколько дней.

Носители информации

Оптические-диски, flash-накопители, внешние жесткие диски – эти внешние носители информации часто используются в незаконных целях по добыванию информации. Например, “потерянный” flash-накопитель с вирусом и подключенный к компьютеру, может отсылать конфиденциальную информацию, извлекая ее из персонального компьютера пользователя данные о паролях, Web -кошельках и многое другое. Или наоборот, flash-накопитель с вредоносной программой, вставленный в персональный компьютер, может начать сливать всю информацию на него.

Проверка всех внешних носителей и способность антивирусной программы вычислять USB-шпионов позволит защитить компьютер.

FireWall (брандмауэр)

Если Ваш компьютер имеет выход в Интернет, одной антивирусной программы мало, т.к она может удалить вирус только, когда он непосредственно находится на компьютере пользователя.

В переводе с английского языка слово firewall , переводится как «горящая стена». Многие пользователи называют его стеной или брандмауэром. Использование firewall в сети Интернет позволяет ограничивать количество нежелательных подключений извне к компьютеру, и значительно снижает вероятность его заражения. Кроме защиты от вирусов, затрудняется доступ злоумышленников (хакеров) к информации и попытке загрузить потенциально опасную программу на компьютер.

F irewall может пропускать в Интернет или запускать из Интернета только те программы, которые ему разрешены. Все остальные программы будут заблокированы для доступа как на вход с Интернета, так и на выход.

Получается пользователь устанавливает сторожа между компьютером и Интернетом, который будет пропускать только нужное и важное, все остальное он будет задерживать

Когда firewall используется в сочетании с антивирусной программой и обновлениями операционной системы, защита компьютера поддерживается на максимально высоком уровне безопасности.

Обновление операционной системы и программ

Обновления – это исправления найденных со временем ошибок в программном обеспечении.

Важным шагом по защите Вашего компьютера и данных является систематическое обновление операционной системы новейшими патчами безопасности. Рекомендуется делать это, по меньшей мере, один раз в месяц. Последние обновления для ОС и программ позволят создать условия, при которых защита компьютера от вирусов будет на достаточно высоком уровне (справка Windows http :// windows . microsoft . com / ru — ru / windows -8/ how — protect — pc — from — viruses ).

Пароль входа в систему

Пароль для входа на персональный компьютер, особенно для учетной записи “Администратор”, поможет защитить информацию от несанкционированного доступа локально или по сети, к тому же создаст дополнительную преграду вирусам и шпионским программам.

Безопасный web-серфинг

Интернет – это одно из самых распространенных мест, чтобы получить вирус или шпионское программное обеспечение при просмотре веб-страниц. Просто блуждая по Интернету с помощью браузера, каждый из нас рискует подцепить заразу, целью которой становится как электронная наличность, так и содержимое жесткое диска. Практикуйте безопасный веб-серфинг.

Обеспечение собственной безопасности требует целого комплекса защитных мер, которые делятся на серверные и клиентские. К серверным в первую очередь относится выбор надежного proxy, а пользователям необходимо определяться с браузером.

E-mail

Вся почта может быть разделена на внешнюю и внутреннюю с различными схемами маршрутизации (выделяется два сервера либо один и тот же сервер обслуживает два различных домена).

При использовании двух и более почтовых серверов с выделенным релейным сервером с установленным на нем антивирусным комплексом, поможет избежать проникновения вирусов во внутреннюю сеть организации. Такой вариант поможет предотвратить утечку информации вовне при поражении одного из узлов вирусом, рассылающим свои копии электронной почтой. Некоторые вирусы прикрепляют к зараженному письму документы с зараженного компьютера, что так же может привести к потере конфиденциальной информации. Поэтому, крайне важно не выпустить такую рассылку за пределы организации.

Отсутствие антивирусного комплекса на внутренних почтовых серверах, может привести к переполнению ящиков пользователей зараженными письмами, что негативно скажется на функционировании сети. Работая в автоматическом режиме червь способен рассылать десятки копий в минуту. Поэтому, установка антивирусного комплекса только на релейный сервер не является достаточной для обеспечения антивирусной безопасности организации. Необходимо чтобы все сообщения, доставляемые пользователям, проходили как минимум однократную, а в случае доставки сообщений извне — двукратную и даже трехкратную проверку на наличие вирусов.

Программы обнаружения и защиты от вирусов

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Различают следующие виды антивирусных программ:

1. Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение.

2. Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифага¬ми являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.

3. Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным.

4. Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

5. Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Современные антивирусные программы совмещают в себе средства обнаружения и защиты от вирусов.

Профилактика заражения

Подведем итог, сформулировав правила безопасности, выполнение которых позволит избежать риска вирусных атак.

Правило № 1: защитите компьютер с помощью антивирусных программ и программ безопасной работы в интернете. Для этого:

Регулярно обновляйте сигнатуры угроз, входящие в состав приложения. Обновление можно проводить раз в день при возникновении вирусных эпидемий .

Установите рекомендуемые параметры защиты компьютера. Защита начинает действовать сразу после включения компьютера и затрудняет вирусам проникновение на компьютер.

Установите рекомендуемые экспертами параметры для полной проверки компьютера и запланируйте ее выполнение не реже одного раза в неделю.

Правило № 2: будьте осторожны при записи новых данных на компьютер:

Проверяйте на присутствие вирусов все съемные диски (дискеты, CD/ DVD -диски, flash -карты и пр.) перед их использованием.

Осторожно обращайтесь с почтовыми сообщениями. Не запускайте никаких файлов, пришедших по почте, если вы не уверены, что они действительно должны были прийти к вам.

Внимательно относитесь к информации, получаемой из интернета. Если с какого-либо веб-сайта предлагается установить новую программу, обратите внимание на наличие у нее сертификата безопасности.

Если вы копируете из интернета или локальной сети исполняемый файл, обязательно проверьте его с помощью Антивируса.

Внимательно относитесь к выбору посещаемых интернет-ресурсов. Некоторые из сайтов заражены опасными скрипт-вирусами или интернет-червями.

Правило № 3: внимательно относитесь к информации от антивирусного ПО.

В большинстве случаев оно сообщает о начале новой эпидемии задолго до того, как она достигнет своего пика. Вероятность заражения в этом случае еще невелика, и, скачав обновленные сигнатуры угроз, защитите себя от нового вируса заблаговременно.

Правило № 4: пользуйтесь сервисом Windows Update и регулярно устанавливайте обновления операционной системы Microsoft Windows.

Правило № 5: покупайте лицензионные копии программного обеспечения у официальных продавцов.

Правило № 6: уменьшите риск неприятных последствий возможного заражения:

Своевременно делайте резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий. Дистрибутивные диски, дискеты, флеш-карты и другие носители с программным обеспечением и ценной информацией должны храниться в надежном месте.

Обязательно создайте диск аварийного восстановления, с которого при необходимости можно будет загрузиться, используя «чистую» операционную систему.

Программы с потенциально опасными последствиями, определения и классификация.

Программой с потенциально опасными последствиями назовем программу или часть программы, которая способна выполнить одно из следующих действий:

скрыть признаки своего присутствия в программной среде ПЭВМ;

самодублироваться, ассоциировать себя с другими программами и/или переносить свои фрагменты в какие-либо области оперативной или внешней памяти, не принадлежащие программе;

изменять код программ в оперативной или внешней памяти;

сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти (локальных или удаленных);

искажать произвольным образом, блокировать и/или подменять выводимый во внешнюю память или канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Программы с потенциально опасными последствиями можно условно подразделить на:

программы типа «программный червь» или «троянский конь» и фрагменты программ типа «логический люк»;

программы типа «логическая бомба»;

программные закладки — обобщенный класс программ с потенциально опасными последствиями.

Признаки зараженных компьютеров:

Резко снизившейся скорость работы

Непонятные и ранее не встречавшийся ошибки в работе ОС

Потребление большого количества интернет трафика

Обнаружение файлов не в тех местах, где были раньше

Жалобы знакомых, что от вас приходят непонятные email-сообщения

Неожиданное сообщение от администрации online серверов, что ваш аккаунт заблокирован

Неожиданное прекращение антивирусной защиты

Различные проблемы с установлением ПО

Не создаются папки, документы, ярлыки

Странная работа мыши, клавиатуры

Появление непонятных папок, файлов

Резкие сбои в работе USB

Самопроизвольное изменение прав пользователей

Необъяснимые загрузки в безопасном режиме

Вирусы и варианты их классификации.

Компьютерным вирусом — программа, которая может создавать свои копии (не обязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, сети и так далее. При этом копии сохраняют способность дальнейшего распространения.

Вирусы можно разделить на классы по следующим признакам:

по среде обитания вируса(сетевые, файловые, загрузочные, специальные и их сочетания);

по способу заражения среды обитания;

резидентные— оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряются в них (остаются активными до выключения или перезагрузки комп-ра)

нерезидентные — не заражают память компьютера и долго являются активными время(вирусы, что оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус)

по деструктивным возможностям.


Безвредные(уменьшение свободной памяти на диске);

Неопасные (уменьшение свободной памяти на диске, графические, звуковые и прочие эффекты);

опасныевирусы, которые могут привести к серьезным сбоям в работе компьютера;

очень опасные вирусы, которые могут привести к потере программ, уничтожить данные, способствовать ускоренному износу или повреждению частей механизмов(например, головок винчестеров).

11.3. «Люк», «троянский конь», «логическая бомба», программные закладки.

Люкназывается не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности — выход в привилегированный режим). Таким образом, люк (или люки) может присутствовать в программе ввиду того, что программист: забыл удалить его; умышленно оставил его в программе для обеспечения тестирования или выполнения оставшейся части отладки; умышленно оставил его в программе в интересах облегчения окончательной сборки конечного программного продукта; умышленно оставил его в программе с тем, чтобы иметь скрытое средство доступа к программе уже после того, как она вошла в состав конечного продукта.

Троянский коньСуществуют программы, реализующие, помимо функций, описанных в документации, и некоторые другие функции, в документации не описанные. Такие программы называются «троянскими конями».

Логическая бомба»Логической бомбой» обычно называют программу или даже участок кода в программе, реализующий некоторую функцию при выполнении определенного условия.

Программные закладкиДля того чтобы закладка смогла выполнить какие-либо функции по отношению к другой прикладной программе, она должна получить управление на себя, то есть процессор должен начать выполнять инструкции, относящиеся к коду закладки.

Это возможно только при одновременном выполнении двух условий:

1,закладка должна находиться в оперативной памяти до начала работы программы, на которую направлено ее воздействие; 2,закладка должна активизироваться по некоторому общему для закладки и для прикладной программы событию.

Следовательно, можно рассматривать три основные группы деструктивных функций, которые могут выполняться закладками:

· сохранение фрагментов информации, возникающей при работе пользователей, прикладных программ, вводе-выводе данных, во внешней памяти сети (локальной или удаленной) или выделенной ПЭВМ, в том числе различных паролей, ключей и кодов доступа, собственно конфиденциальных документов в электронном виде;

· изменение алгоритмов функционирования прикладных программ (то есть целенаправленное воздействие во внешней или оперативной памяти), например, программа разграничения доступа станет пропускать пользователей по любому паролю;

· навязывание некоторого режима работы (например, при уничтожении информации — блокирование записи на диск, при этом информация, естественно, не уничтожается), либо замена записываемой информации информацией, навязанной закладкой (например, при выводе на экран слово «неверно» заменяется словом «верно», а «рубль» — «доллар» и т.д.).Отметим четыре основных метода воздействия программных закладок на ЭЦП: 1,Метод навязывания входной информации — связан с искажением поступающего на подпись файла. 2,Метод навязывания результата проверки — связан с влиянием на признак правильности подписи независимо от результатов работы. 3,Метод навязывания длины сообщения — предъявление программе ЭЦП электронного документа меньшей длины, следовательно, производится подпись только части документа. 4,Метод искажения программы ЭЦП — связан с изменением исполняемого кода самой программы ЭЦП.

Программы с потенциально опасными последствиями

Программой с потенциально опасными последствиями называют программу или часть программы, которая способна выполнить одно из следующих действий:

— скрыть признаки своего присутствия в программной среде
компьютера;

—самодублироваться, ассоциировать себя с другими программами и/или переносить свои фрагменты в какие-либо области оперативной или внешней памяти, не принадлежащие программе;

—изменять код программ в оперативной или внешней памяти;

—сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти (локальных или удаленных);

—искажать произвольным образом, блокировать и/или подменять выводимый во внешнюю память или канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Программы с потенциально опасными последствиями обычно классифицируют следующим образом:

—программы типа «программный червь» или «троянский конь», программы типа «логическая бомба», фрагменты программ типа «логический люк»;

—программные закладки — обобщенный класс программ с потенциально опасными последствиями.

Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия: в работах фон Неймана, Винера и др. дано определение и проведен математический анализ конечных автоматов, в том числе самовоспроизводящихся. Термин «компьютерный вирус» появился позднее— официально считается, что его впервые употребил сотрудник одного из американских университетов Фред Коэн в 1984 году на 7-й конференции по безопасности информации, проходившей в США.

Компьютерным вирусомназывается программа, которая может создавать свои копии (не обязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, сети и так далее. При этом копии сохраняют способность дальнейшего распространения.

Вирусы можно разделить на классы по следующим признакам:

—по среде обитания вируса;

—по способу заражения среды обитания;

—по деструктивным возможностям.

По среде обитания различают вирусы сетевые, файловые, загрузочные и специальные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные — в загрузочный сектор диска или сектор, содержащий системный загрузчик винчестера. Специальные ориентированы на конкретные особенности ПО, например вирус, заражающий документы редактора Word. Существуют сочетания — например, файлово-загрузочные вирусы, заражающие и файлы и загрузочные сектора дисков. Кроме того, по сети могут распространяться вирусы любых типов.

Способы зараженияделятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и остаются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По деструктивным возможностям вирусы можно классифицировать следующим образом:

—безвредные, никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

—неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

—опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

—очень опасные вирусы, которые могут привести к потере программ, уничтожить данные, способствовать ускоренному износу или повреждению частей механизмов (например, головок винчестеров).

Наиболее распространенным типом вирусов сейчас являются так называемые Интернет-черви.Именно они представляют главную угрозу для всех пользователей глобальной сети. Почти все Интернет-черви — это почтовые черви, и лишь малая доля — это непочтовые черви, использующие уязвимость серверного программного обеспечения. Почтовые черви делятся на два основных класса:

—черви, которые запускаются сами (без ведома пользователя);

—черви, которые активизируются, только если пользователь сохранит присоединенный к письму файл и запустит его.

Применяя соответствующий код, почтовые черви первого типа могут при просмотре письма автоматически сохранить присоединенный к письму файл на диск и запустить его. Почтовые черви второго типа рассчитаны на то, что пользователь, по каким то соображениям сам запустит программу, присоединенную к письму.

Кроме основной функции, размножения, черви почти всегда имеют конкретное назначение. Вложенные функции чрезвычайно разнообразны. Так, например, очень часто почтовые черви призваны для того, чтобы установить на зараженный компьютер троянскую программу или утилиту скрытого администрирования и сообщить адрес компьютера автору червя. Нередко они уничтожают информацию или просто делают невозможной дальнейшую работу на компьютере. При размножении черви загружают каналы связи, и нередко настолько, что полностью парализуют работу человека или целой организации.

Троянские программывыполняют активные действия (уничтожение данных, сбор данных и их отправка через Интернет, выполнение каких-либо действий в определенное время), а утилиты скрытого администрирования открывают удаленный доступ к компьютеру и ожидают команды злоумышленника. Троянские программы не размножаются сами. Они однократно устанавливаются на компьютер и долгое время (как правило, либо до момента обнаружения, либо до переустановки операционной системы) выполняет свои функции.

Все троянские программы можно разделить на три основных класса по выполняемым действиям:

—логические (временные) бомбы — программы, различными методами удаляющие или модифицирующие информацию либо в определенное время, либо по какому-то условию.

—шпионы — собирающие информацию (имена, пароли, нажатия на клавиши) и складирующие ее определенным образом, а нередко и отправляющие собранные данные по электронной почте или другим методом.

Собственно утилиты скрытого администрирования обеспечивают удаленное управление компьютером или получение команд от злоумышленника (через локальную или глобальную сеть, по электронной почте, в файлах, от других приложений).

Контрольные вопросы

1. Что понимают под информационными ресурсами?

2. Назовите цели защиты информации

3. Раскройте аспекты информационной безопасности

4. Основные типы систем защиты информации

5. Канальное шифрование и оконечное (абонентское) шифрование

6. Что представляют код аутентификации сообщения и электронная цифровая подпись?

7. Стойкость и трудоемкость криптографических методов

8. Защита программного обеспечения от копирования

9. Методы идентификации и аутентификации пользователей

10. Программы с потенциально опасными последствиями

Потенциально опасное ПО. Почему от него тоже надо защищаться?

Существует немало разновидностей вредоносного и опасного программного обеспечения – трояны, вирусы, шифровальщики и т.п. Специалисты часто выделяют в отдельную категорию потенциально опасное программное обеспечение. Что это такое? Что надо делать, если вы обнаружили на своем компьютере потенциально опасную программу? Попробуем разобраться.

Скрытая угроза

Если вредоносное ПО, как правило, имеет деструктивные функции и может «размножаться» в системе или скачивать трояны из Интернета, то потенциально опасные программы не причиняют очевидного вреда. Эти программы выполняют определенные функции, реализованные разработчиками. При этом все функции нередко документированы, и создатели программ честно предупреждают, что злонамеренное использование разработанных ими инструментов может причинить вред операционной системе.

К потенциально опасным программам относят сразу несколько разновидностей утилит и инструментов. Некоторые подобные программы распространяются через официальные сайты разработчиков, а другие поставляются в комплекте с другими утилитами. Рассмотрим несколько подробнее виды потенциально опасных программ.

Виды потенциально опасного ПО

Инструменты удаленного администрирования

К этим программам относят средства, позволяющие получить контроль над системой. Примерами таких программ могут служить PuTTY, TeamViewer, Radmin и их различные модификации. Если вы сознательно установили программу подобного рода, чтобы вам помог сотрудник службы технической поддержки или друг, все в порядке. Но если программы для удаленного управления системой появились на компьютере без вашего согласия – это повод насторожиться.

Утилиты для подбора и восстановления паролей

Их, конечно, можно использовать не только для того, чтобы подобрать забытый пароль от своего архива с документами, но и для получения чужой конфиденциальной информации.

FTP-серверы и инструменты для обмена файлами

Скрытая установка подобных программ позволяет получить доступ к вашим файлам.

Программы для массовой рассылки электронных писем

Они могут использоваться сознательно, например, для создания информационных рассылок, но с их помощью злоумышленник может превратить ваше устройство в часть ботнета, распространяющего спам.

Программы мониторинга, а также утилиты, позволяющие отслеживать действия пользователя в системе

Как и прочие потенциально опасные программы, они могут использоваться с согласия пользователя и быть вполне полезны, но в руках злоумышленника такие программы превращаются в средство наблюдения за частной жизнью пользователя.

Кейлоггеры – клавиатурные шпионы, записывающие информацию о нажатых клавишах

Могут использоваться для перехвата паролей, которые вводит пользователь. Впрочем, бывают и полезные кейлоггеры – например, встроенные в программы для обучения технике «слепой» десятипальцевой печати.

Также к категории потенциально опасных программ временами относят рекламные приложения, некоторые браузерные расширения и т.д. Многие подобные программы создаются по заказу крупных компаний, собирающих информацию о потребительских предпочтениях своих клиентов. Анализируются посещаемые сайты, данные об используемых программах и т.п.

В чем опасность?

Разумеется, в тех случаях, когда вы установили, например, инструменты для удаленного администрирования системы самостоятельно, даете доступ к файлам только знакомым специалистам и понимаете, как подобные программы работают, можно не волноваться. Но нередко потенциально опасные программы устанавливаются без оповещений, вместе с полезными утилитами. Подобное ПО можно скачать как на официальных сайтах разработчиков, так и в различных файлообменных сетях. Поэтому от потенциально опасных программ надо защищаться.

Использование потенциально опасного ПО может приводить к проблемам. В лучшем случае компьютер начнет работать немного медленнее, например, из-за того, что в фоновом режиме работает утилита для мониторинга системных ресурсов. В худшем случае управление устройством окажется в руках злоумышленников, что позволит им получить доступ ко всей вашей информации, уничтожить или зашифровать данные.

Как распознать угрозу и устранить ее?

Наиболее эффективный способ защиты от потенциально опасных программ – качественный антивирус.

От множества опасных программ вас защитит, например, антивирус ESET NOD32. Антивирусные базы этого программного продукта постоянно обновляются и содержат сведения о тысячах потенциально опасных утилит. Абоненты ОнЛайм могут приобрести лицензию для базовой защиты ПК всего за 890 рублей в год (90 рублей в месяц с 61 дня использования). Также можно использовать ESET NOD32 Smart Security за 1390 рублей в год (139 рублей в месяц с 61 дня использования) – в этот набор программ дополнительно включен сетевой экран, антиспам, модуль родительского контроля и другие полезные компоненты.

Хороший антивирус определит, что в системе установлено потенциально опасное ПО, и поможет его удалить. Отметим, что и собственная внимательность, разумеется, не повредит. Некоторые косвенные признаки могут свидетельствовать о том, что на вашем компьютере появились нежелательные программы:

  1. В списке процессов Windows (он вызывается нажатием комбинации клавиш Shift+Ctrl+Esc) появились неизвестные программы.
  2. Постоянно происходит передача данных по Сети, даже если вы ничего не скачиваете.
  3. Появляются предупреждения об удаленных подключениях к вашему компьютеру.
  4. В браузере появились новые тулбары или кнопки, изменился поисковик, используемый по умолчанию, или домашняя страница.

В этих случаях необходимо проверить свое устройство с помощью антивируса. Также не помешает проверить список установленных программ, выполнив команду control appwiz.cpl (для этого нажмите клавиши Win+R и введите команду в появившееся поле) и поискать описания незнакомых приложений в Интернете, чтобы проверить, нет ли среди них потенциально опасных.

Итак, хороший антивирус и бдительность защитят вас от потенциально опасных программ. Стоит напомнить, что доступ к своим данным можно предоставлять только тем людям, которым вы полностью доверяете. Даже с помощью безвредных инструментов злонамеренный пользователь может уничтожить ваши данные или причинить иной вред компьютеру.

Глава 6

Потенциально опасные программы

Терминология и теория


Борьба с потенциально опасными программами

До этой главы речь шла в основном о программах, наносящих компьютеру явный вред. Однако в последнее время в прессе все чаще появляется информация не о вирусах и хакерских атаках, а о шпионских и рекламных модулях. Разберемся, что представляют собой продукты этого класса, и научимся с ними бороться.

6.1. Терминология и теория

В начале 1990-х годов были популярны вирусы и другие программы, целью которых было разрушение информации или просто шутка. Интернет развивался, количество пользователей быстро увеличивалось, и, главное, в Интернет пришли большие деньги. Появились организации и компании, заинтересованные в сборе маркетинговой информации и рекламе пользователю. Бизнес освоил новую сферу – Интернет. Чтобы совершить покупку, уже не нужно ехать с деньгами в магазин: достаточно зайти на сайт, заполнить форму и указать номер кредитной карточки – товар доставят домой. Естественно, появились желающие завладеть такой информацией.

Спрос порождает предложение, поэтому появились программы, предназначенные для вышеописанных целей. Прежде всего необходимо разобраться с терминологией. Устоявшихся терминов пока нет, и категорию опасности различным классам программ каждый производитель присваивает по-своему. Термин Malware произошел от слияния двух английских слов – malicious (плохое, злобное) и software (программное обеспечение). Им обозначают все программы, наносящие вред компьютеру, на котором они выполняются, или другим компьютерам в сети. Сюда входят сетевые и почтовые черви, компьютерные вирусы, троянские программы, хакерские утилиты, шпионские и рекламные модули и пр.

Шпионские модули, или Spyware, собирают информацию о компьютере и предпочтениях пользователя: посещаемых интернет-ресурсах, поисковых запросах, версии операционной системы и веб-браузера, используемом программном обеспечении, IP-адресе компьютера, с которого пользователь выходит в Интернет, и другие данные, которые можно использовать для рекламных кампаний. Они же могут применяться для кражи кодов и паролей доступа к ресурсам, электронных денег, номеров кредитных карт и иногда для уничтожения информации. В эту категорию иногда включают программы, предназначенные для перенаправления пользователя к своим собственным ресурсам. Для этого подменяется начальная страница загрузки браузера, фальсифицируются результаты поиска в Интернете, причем иногда с использованием подставного веб-сайта, внешне похожего на известный поисковый ресурс. Некоторые антивирусные компании, например «Лаборатория Касперского», относят к Spyware следующие элементы.

• Программы дозвона – обычные полезные программы, с помощью которых пользователь соединяется с Интернетом через модем, но в то же время они могут быть использованы для несанкционированного соединения с платными ресурсами, после чего пользователю будут приходить огромные счета.

• Утилиты для закачивания файлов из Интернета – также полезны, но злоумышленник может использовать их, чтобы незаметно для пользователя записать на его компьютер вредоносный код.

• Серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, средства удаленного администрирования, утилиты для восстановления паролей – также полезны, но с их помощью вредитель может получать доступ к файлам пользователя и паролям, собирать статистику о работе системы и удаленно управлять компьютером.

В русскоязычном пространстве для обозначения этих программ используется термин Riskware, или условно-опасные программы. В англоязычном – чаще используется термин Spyware. Обозначают они одно и то же.

Недалеко от шпионских программ ушли рекламные модули – Adware. Они предназначены для показа рекламы на компьютерах пользователей, хотя с их помощью можно также собирать информацию о пользователе и его предпочтениях, чтобы показывать ему целевую рекламу. Часто Adware не выделяют в отдельную группу и относят к Spyware.

Это еще далеко не все существующие ware. Например, ранее для обозначения типов программ использовались термины Whiteware, Blackware и Greyware. Они обозначали соответственно полезное, вредное и то, что сегодня называют Spyware. Криминализация таких программ привела к появлению еще одного термина – Crimeware.

При распространении Spyware не используются вирусные технологии, они не умеют самостоятельно размножаться и заражать другие файлы, поэтому эпидемий Spyware не бывает. Их также нельзя отнести к червям и троянцам. Они выполняют только заложенную функцию: показывают рекламу, перенаправляют пользователя, звонят по определенному номеру и пр., не причиняя явного вреда. Однако это не делает их менее опасными, чем вирусы, так как некоторые из них способны нанести серьезный финансовый ущерб.

Результаты последних исследований неутешительны и лишний раз подтверждают, что с этими видами программ необходимо бороться: если в 2002 году насчитывалось около 40 семейств Adware, то за прошедшее время их количество возросло более чем в 10 раз – до 450 с 4 тыс. вариаций.

Для удобства не будем в дальнейшем разделять Spyware и Adware, что не противоречит некоторым классификациям.

Как Spyware попадают на компьютер пользователя

Самым простым способом является подключение такого модуля к определенной программе. В процессе работы пользователю показывается реклама, то есть вместо продажи программы разработчик зарабатывает на рекламе. Если пользователь хочет избавиться от рекламы, он должен заплатить за программу. Данный прием популярен при использовании Adware, и определить наличие такого модуля просто. Однако распознать шпионский модуль на порядок сложнее.

В лицензионном соглашении, выводимом при установке программы, может быть сказано, что программа содержит такой модуль. Однако подобные соглашения читают далеко не все пользователи. Кроме того, разработчик иногда «забывает» сказать, что в его программе есть подобный модуль. Это самый простой случай.

В последнее время наметилась коммерциализация этого сектора. По оценкам некоторых специалистов, работающих в области создания антивирусных программ, сегодня доход от индустрии создания вредоносных программ во много раз превосходит прибыль всех компаний, занимающихся разработкой антивирусных приложений. Производством программ такого рода занимаются профессионалы, получающие прибыль с каждого зараженного компьютера, поэтому для распространения Spyware могут использоваться уязвимости операционной системы и программ, почтовые клиенты, неправильные настройки, модернизированные версии нормальных утилит, которые предлагается загрузить с некоего ресурса, – все, о чем было рассказано в первой главе данной книги.

Примером минимального и примитивного Spyware являются Cookies. Они повсеместно используются в Интернете с различными целями, но могут применяться, чтобы получать уведомления о каждом посещенном пользователем сайте. Подробнее о Cookies будет рассказано в гл. 10 этой книги.

Рассадниками Spyware в Интернете принято считать порносайты, сайты, предлагающие крэки (crack – утилита для снятия ограничений программ), варез (warez – программное обеспечение со снятыми ограничениями или недоступные в обычном порядке), серийные номера, ссылки на ресурсы P2P-сетей, предназначенных для закачки программ, фильмов и музыки. Spyware часто содержат сайты звезд и знаменитостей, поэтому при посещении любого ресурса нужно быть внимательным, а лучше вообще не посещать подобные ресурсы.

Признаки заражения

Все Spyware и Adware (за редким исключением) не наносят явного вреда компьютеру и пользователю. Такое приложение может долго работать на компьютере, а пользователь не будет ничего подозревать.

Присутствие таких приложений не должно оставаться незамеченным. К сожалению, большинству изменений, которые произойдут с компьютером в случае заражения одним из видов Spyware, можно дать вполне логичное объяснение. Например, снижение скорости загрузки сайтов легко объяснить перегруженностью провайдера, а уменьшение скорости работы компьютера – не переустановленной вовремя операционной системой.

О нахождении на компьютере такой программы говорят следующие признаки:

• браузер показывает всплывающую рекламу, если вы долго находитесь на одной веб-странице и ничего не нажимаете или вообще не подключены к Интернету;

• при запуске Internet Explorer по умолчанию загружается не та домашняя страница, которую вы установили; иногда сменить ее невозможно;

• без причин запускается браузер, чаще всего – Internet Explorer; он загружает веб-страницу, которая не запрашивалась;

• в браузере появилась ненужная панель инструментов, которую не удается удалить;

• привычный поисковик стал выглядеть необычно, а результаты поиска выдают адреса, не соответствующие теме запроса;

• на компьютере наблюдается непонятная сетевая активность; интернет-трафик заметно увеличился;

• выдается запрос на установку сетевого соединения, при этом набираемый номер не совпадает с номером провайдера;

• в списке процессов появились неизвестные приложения; компьютер стал заметно тормозить, часто выдавать ошибки.

6.2. Борьба с потенциально опасными программами

Скорость распространения Spyware стремительно увеличивается. В последнем докладе компании по обеспечению безопасности McAfee говорится, что только три из ста пользователей Интернета могут определить, насколько безопасным является посещаемый ими ресурс, поэтому главным средством борьбы остается бдительность пользователей.

Для борьбы с потенциально опасными программами были разработаны специальные утилиты, которые помогут пользователю защититься от попадания такого приложения на компьютер, а если это произошло, то очистят систему от ненужных программ. Однако здесь есть несколько подводных камней. Например, до сих пор до конца не известно, что следует относить к Spyware, какие программы относить к потенциально опасным и какую опасность они представляют для пользователя, поэтому подходы к решению проблемы бывают диаметрально противоположными. Например, в «Антивирусе Касперского» определение потенциально опасных программ реализовано как дополнительная функция, которую легко отключить. Разработчики других антивирусов не видят разницы, и определение Spyware в них идет наравне с борьбой с вредоносными программами.

В список потенциально опасных программ может быть также занесена полезная утилита – только потому, что ее можно использовать в дурных целях. Например, свободный прокси-сервер 3proxy «Лаборатория Касперского» относит к Spyware, а многие другие антивирусы и специальные утилиты его не замечают, поэтому бороться с потенциально опасными программами нужно очень осторожно, так как в список подозрительных программ может попасть полезное приложение.

Илон Маск рекомендует:  Что такое код hw_getchildcoll

Бывает наоборот. Известны случаи, когда некая программа, предназначенная для борьбы со Spyware и верно обнаруживающая некий тип Adware, вдруг переставала его определять. Некоторые широко рекламируемые приложения на практике показывают низкую эффективность или сами являются Spyware.

Все описываемые в этой книге приложения – антивирусы, проактивные системы защиты и системы контроля целостности, брандмауэры и системы отражения атак – способны в той или иной мере противостоять заражению Spyware. Например, Kaspersky Internet Security, о котором было рассказано в главе 5, имеет встроенную функцию защиты от шпионского и рекламного программного обеспечения. Однако неоднозначность подхода приводит к тому, что антивирусы (именно программы для борьбы с вирусами, а не специализированные утилиты в комплексах вроде Kaspersky Internet Security) не совсем подходят для борьбы со Spyware в силу относительно низкой эффективности, да и не все производители вовремя добавляют сигнатуры Spyware в базы вирусов.

Для защиты компьютера лучше применять специализированные утилиты, разработчики которых постоянно отслеживают ситуацию и заносят информацию о новых Spyware в базу данных своего продукта. Однако количество потенциально опасных программ быстро растет, и уже были замечены недобросовестные действия разработчиков с записями в базе данных, поэтому сегодня рекомендуется использовать не одну, а несколько специальных программ.

Защита компьютера с помощью Ad-Aware SE Personal

Продукты компании Lavasoft (http://www.adaware.ru/), предназначенные для борьбы со Spyware, давно снискали заслуженную славу среди пользователей. Среди них есть бесплатная версия (для некоммерческого использования) – Ad-Adware SE Personal, которая будет описана далее. Доступны и коммерческие версии этого продукта Ad-Aware Professional, Ad-Aware Enterprise и Ad-Aware Plus. О некоторых отличиях этих версий от Ad-Adware SE Personal будет далее рассказано отдельно.

Получить дистрибутив программы можно на сайте проекта, зайдя на страницу http://www.adaware.ru/downloads/aawsepersonal.exe. По умолчанию в программе используется английский интерфейс, поэтому стоит отдельно скачать русификатор: http://www.adaware.ru/downloads/Ad-Aware-SE-Language-Pack-Rus.zip.

На сайте проекта есть хорошее руководство пользователя по Ad-Aware Professional на русском языке (http://www.adaware.ru/downloads/Ad-Aware-AVSoft.zip). Все продукты Adware SE можно установить на компьютер с операционной системой Windows от 98 до XP.

Перед началом инсталляции необходимо удалить старую версию программы. Установку Adware SE Personal можно назвать стандартной. Для перехода к следующему этапу нажимайте Next, на втором шаге установите флажок I accept the licence agreement, подтверждая лицензионное соглашение. В последнем окне будет предложен выбор:

Perform all full system scan now – полностью проверить систему на наличие Spyware;

Update definition file now – обновить базы (требуется соединение с Интернетом);

Open the help file now – показать файл документации (на английском языке).

Для выбора необходимых действий установите или снимите соответствующие флажки. Если вы владеете английским, можете выполнить все операции сейчас, в противном случае лучше заняться проверкой и обновлением после локализации интерфейса.

Перед запуском программы следует установить русификатор. Для этого распакуйте архив Ad-Aware-SE-Language-Pack-Rus.zip и запустите находящийся внутри исполняемый файл, дважды щелкнув на нем кнопкой мыши. После окна приветствия нажмите кнопку Далее – вы перейдете к окну, описывающему возможности пакета, а затем – к выбору компонентов (рис. 6.1).

Рис. 6.1. Выбор языковых модулей Ad-Aware SE

Пакет включает 12 языковых модулей, среди которых есть русский. Необходимости в установке всех нет, поэтому отключите лишние языки. Щелкните на стрелке рядом с названием языка и в появившемся меню выберите пункт Компонент будет полностью недоступен (см. рис. 6.1). Отключенный компонент помечается крестиком. Повторите эту операцию для каждого пункта, который необходимо отключить, а затем нажмите Далее.

После окончания установки программу можно запускать. Если в процессе установки не проводилось обновления, во время загрузки программы вы получите сообщение о его необходимости. При появлении главного окна программы нужно установить русский интерфейс. Для этого щелкните на значке с изображением шестеренки, в появившемся окне нажмите кнопку Interface, расположенную слева, – отобразится окно настройки интерфейса программы. Для выбора русского языка в раскрывающемся списке Language File выберите пункт Russian и нажмите Proceed.

Интерфейс программы локализован, можно приступать к работе.

Слева находятся кнопки, отвечающие за основные операции, а в окне справа выводится информация о выбранном в данный момент действии. Вверху расположена панель, кнопки на которой выполняют вспомогательные функции.

Перед началом каждого сканирования рекомендуется обновить базы: при нажатой кнопке Статус в области Статус программы отображается информация о версии файла обновлений. В нижней области выводится статус работы программы. Если все в порядке, здесь зеленым цветом будет выведено Статус ОК. В противном случае отображается краткая характеристика проблемы (рис. 6.2).

Рис. 6.2. Основное окно программы Ad-Adware

Чтобы обновить базы, следует щелкнуть на ссылке Проверить обновления в области статуса либо на кнопке Открыть окно Web-обновления (с изображением глобуса) на панели сверху. Появится окно обновления. Нажав кнопку Настройка, вы сможете указать параметры http-прокси (IP-адрес и номер порта), если используете его для выхода в Интернет. Установив флажок Бекап старых файлов, можно сохранить старые файлы на случай, если во время обновления возникнут проблемы. Для начала обновления необходимо нажать кнопку Соединение. Если будут доступны более новые версии файлов, появится сообщение с предложением скачать и установить их (рис. 6.3).

Рис. 6.3. Сообщение о наличии новых обновлений

Для начала загрузки необходимо нажать ОК, а чтобы отказаться от продолжения процесса обновления – Сброс. После этого начнется обновление, по окончании которого нажмите кнопку Финиш.

Файл обновлений называется defs.ref и находится в каталоге C:\Program Files\Lavasoft\Ad-Aware SE Personal. Если вы планируете переустанавливать систему или Ad-Aware SE, сохраните его, а затем скопируйте обратно. Таким же образом можно обновлять базы AdAware SE на нескольких компьютерах.

Для сканирования компьютера в главном окне программы нажмите кнопку

Сканировать. Затем необходимо выбрать режим сканирования (рис. 6.4).

Рис. 6.4. Окно выбора режима сканирования

Предлагается несколько режимов сканирования.

Выполнить smart-сканирование – самый быстрый способ проверки системы, поэтому его рекомендуется проводить раз в день. Будут проверены оперативная память, записи системного реестра, принятые Cookies, записи файла hosts и Избранное. Архивы при smart-сканировании не проверяются.

Полное сканирование системы – самый полный режим. Проверяются файлы, находящиеся на всех разделах жесткого диска, и архивы. Такое сканирование рекомендуется выполнять не реже раза в месяц.

Выборочное сканирование – в этом режиме можно указать программе папки и разделы, которые необходимо проверить. Щелкнув на ссылке Настройки, расположенной рядом с кнопкой, вы сможете не только указать проверяемые разделы и каталоги, но и выставить другие параметры поиска.

Сканировать раздел на ADS – файлы, которые расположены на разделах, отформатированных в файловой системе NTFS, могут иметь дополнительный элемент – альтернативные потоки данных, в которые может быть записана любая информация. Их можно проверить, выбрав этот пункт.

Установка флажка Искать значения с маленьким риском позволит проверить списки последних используемых элементов, например программ и документов. Выберите нужный режим сканирования и нажмите Далее. В любой момент можно остановить проверку, нажав кнопку Сброс. Пользователь будет получать информацию о ходе процесса сканирования, а после окончания проверки отобразится результирующая информация – общее количество сканированных объектов, количество найденных опасных объектов в целом и по категориям (процессы, модули, значения реестра, файлы) (рис. 6.5).

Рис. 6.5. Просмотр результатов сканирования

Нажатие кнопки Показать лог позволяет просмотреть более подробную информацию о результатах проверки.

На вкладке Резюме проверки выводятся найденные объекты по категориям. Щелчок на знаке «+» рядом с группой позволит просмотреть критерий опасности ТАС. Если выбран режим сканирования малозначительных MRU-элементов, отдельно будет выведен их список. В области справа показан отчет о сканировании, полный отчет находится на вкладке Сканлог. Найденные объекты отобразятся на вкладках Опасные объекты и Незначительное. На вкладке Опасные объекты находятся найденные объекты, которые признаны опасными и требуют удаления, – отображается информация о типе каждого объекта, имени создателя или названии, категории, месторасположении и краткий комментарий.

Дополнительные параметры доступны после щелчка правой кнопкой мыши на любом месте поля. Выбрав пункт Игнорировать выбранное, вы можете поместить объект в список игнорирования и при последующем сканировании Ad-Aware он не будет выводиться в списке. Двойной щелчок на любом объекте вызовет подробную информацию (рис. 6.6). В этом окне обратите внимание на параметры Уровень риска и Рейтинг ТАС. Рейтинг ТАС – это диаграмма оценки угрозы, которая изменяется в пределах от 0 (неопасно) до 10 (наиболее опасно).

Рис. 6.6. Вывод подробной информации об опасном объекте

Щелчок на гиперссылке Показать ТАС для «Объект» (см. рис. 6.6 (на нем это Tracking Cookie)) приведет на веб-сайт проекта с разъяснительной информацией. Установка флажка рядом с названием объекта активизирует кнопку Карантин, нажатие которой поместит объект в файл карантина (при этом потребуется задать его новое имя). Объекты, помещенные в карантин, архивируются и шифруются, но их можно в любое время восстановить, воспользовавшись встроенным в программу менеджером карантина. Для удаления отмеченных объектов нажмите кнопку Далее: появится диалоговое окно с требованием подтвердить удаление. Согласитесь нажатием ОК. Файлы не сразу удаляются с диска, они могут помещаться в автокарантин, откуда их также можно восстановить. Для включения автокарантина вызовите окно настройки программы и на вкладке Главная установите флажок Автокарантин до удаления.

Просмотреть объекты, находящиеся в карантине, можно, нажав кнопку с изображением замка на панели инструментов либо щелкнув на ссылке Открыть изолятор в окне статуса программы. В окне Изолированные объекты будут показаны все объекты, находящиеся на карантине. Любой объект можно восстановить или удалить, для чего необходимо выбрать его и нажать соответствующую кнопку. Воспользовавшись настройками, можно тонко настроить работу Ad-Aware SE.

Режим защиты системы, применяемый в Ad-Aware SE Personal, напоминает сканер антивируса, запускаемый пользователем по мере необходимости. Как уже говорилось при знакомстве с принципом работы антивируса, сканер не может уберечь от заражения. Для антивируса это критично, но для борьбы со Spyware аккуратной работы и своевременных проверок достаточно.

Если вас не устраивает подобный принцип работы, приобретите версию Ad-Aware SE Plus или Professional. Их отличием является наличие монитора реального времени Ad-Watch, который в реальном времени защищает систему от попыток внедрения Spyware. Однако, возможно, программа, описанная в следующем разделе, подойдет вам больше.

Монитор SpywareBlaster

В отличие от Ad-Aware SE версии Personal, SpywareBlaster – это не сканер, а монитор, обеспечивающий защиту в реальном времени. С помощью SpywareBlaster можно защитить веб-браузеры Internet Explorer (версии 6.0 и выше) и Mozilla Firefox, а также запретить браузеру открывать неблагонадежные сайты, с которых на компьютер могут попасть виртуальные шпионы. При попытке открытия такой сайт будет заблокирован. SpywareBlaster не поддерживает другие веб-браузеры, поэтому пользователям Opera придется искать другую программу. SpywareBlaster позволяет в автоматическом режиме защитить браузер от Cookies, создаваемых Spyware и счетчиками, автоматических установок программ на базе ActiveX, дозвона на порносайты и других опасностей, о которых говорилось в предыдущих разделах. С его помощью можно также заблокировать смену стартовой страницы в свойствах браузера и отключить показ на веб-страницах flash-содержимого, которое часто используется в неблаговидных целях.

Для персонального использования и образовательных целей SpywareBlaster распространяется бесплатно. Дистрибутив программы можно скачать с сайта производителя http://www.javacoolsoftware.com/sbdownload.html. Ее установка стандартна, после окончания процесса копирования файлов можно установить флажок Run SpywareBlaster, чтобы сразу запустить программу. После запуска на экране появляется краткое руководство по использованию программы – Getting Started, с помощью которого можно вкратце ознакомиться с возможностями программы.

Основное окно SpywareBlaster (рис. 6.7) состоит из четырех вкладок: Protection, System Snapshot, Tools и Updates, на которых выбираются основные настройки программы. После выбора вкладки сверху будет доступна специфическая для каждой вкладки панель параметров.

Рис. 6.7. Основное окно настроек SpywareBlaster

Параметры защиты системы выбираются на вкладке Protection. На панели настроек находятся четыре кнопки. Нажав Status, в области SpywareBlaster Protection, вы сможете получить информацию о состоянии защиты, версии базы данных и количестве записей. Если компонент защиты отключен, он подсвечивается красным. Чтобы его включить, необходимо щелкнуть на ссылке Click here to enable protection, расположенной справа, или нажать кнопку меню, соответствующую этому компоненту. Чтобы включить защиту для всех компонентов сразу, щелкните на ссылке Enable All Protection в области Quick Tasks. Аналогично для одновременного отключения защиты всех компонентов нажмите Disable All Protection. База данных SpywareBlaster также требует периодического обновления – для него воспользуйтесь ссылкой Download Latest Protection Updates.

Рассмотрим настройку SpywareBlaster на примере Internet Explorer. Этот браузер располагает большими возможностями по обеспечению безопасного серфинга, однако для этого требуется его правильно настроить, поэтому применение подобной программы будет нелишним. Нажмите кнопку Internet Explorer – отобразится окно настройки параметров защиты (рис. 6.8).

Рис. 6.8. Окно настройки параметров защиты Internet Explorer

Здесь есть две области. В области Internet Explorer Protection активизируется защита:

Prevent the installations of the Active-X based spyware/potentially unwanted software – блокировка установок Spyware, Adware, программ дозвона и другого потенциально опасного программного обеспечения, устанавливаемого с помощью компонентов Active-X;

Prevent ad/tracking cookies – защита от Cookies, с помощью которых можно отслеживать действия и, создав профиль предпочтений, уникально идентифицировать пользователя в Интернете.

Программа позволяет выбрать, от каких именно шпионов пользователь желает обезопасить систему. Для этого в области Customize the Block List имеется список всех известных на данный момент модулей.

Максимальная защита обеспечивается при активизации всех модулей списка. Самостоятельно добавлять и удалять модули нельзя, но в программе реализованы поиск и выдача информации на английском языке о каждом компоненте. Так, для поиска данных о каком-либо объекте, найденном SpywareBlaster, необходимо щелкнуть правой кнопкой мыши на его названии, выбрать в контекстном меню пункт Find и ввести искомое слово, а для повторного поиска с теми же параметрами – пункт Find Next. После отображения результатов поиска для получения информации о выбранном компоненте выберите More Info on Items. При необходимости отдельные модули можно добавлять в Ignore List, в этом случае при обнаружении объекта SpywareBlaster проигнорирует и не будет блокировать его. Добавить модуль можно также из контекстного меню, выполнив команду Ignore List > Add Item to Ignore List. Просмотреть модули, включенные в этот список, можно, выполнив команду Ignore List > View Ignore List. Порядок настройки на вкладках, вызываемых нажатием кнопок Restricted Sites и Mozilla/Firefox, аналогичен.


Если защита не помогла, и вредоносное программное обеспечение все-таки проникло в систему, в SpywareBlaster предусмотрена возможность создания снимка системных настроек, чтобы быстро восстановить их в первоначальном варианте. Это можно сделать на вкладке System Snapshot. Для создания снимка системы установите переключатель в положение Create new System Snapshot и нажмите кнопку Go. В следующем окне введите имя файла. Если установить флажок Append date + time to end of snapshot name, к имени файла будет добавлена дата и время его создания, что удобно, так как позволяет быстрее ориентироваться при восстановлении. Для восстановления настроек нажмите Restored system to Saved Snapshot Point, в следующем окне щелкните на одном из сохраненных снимков и нажмите Next. SpywareBlaster проанализирует и сравнит систему и сохраненные настройки. Если будут найдены отличия, они появятся на экране. Пользователю нужно только указать параметры, значения которых он хочет восстановить.

На вкладке Tools содержатся инструменты, обеспечивающие дополнительную функциональность. Например, щелкнув на Browser Pages, для веб-браузеров Internet Explorer и Mozilla Firefox можно быстро заменить домашнюю страницу, загружаемую по умолчанию. Здесь есть несколько предустановленных страниц, достаточно выбрать любую и нажать кнопку Change. Чтобы просмотреть информацию о выбранном параметре, нажмите кнопку More Info On Item.

Щелкнув на Hosts Safe, пользователь может создать резервную копию hosts-файла. Нажмите кнопку Create New Backup, и SpywareBlaster создаст зашифрованную копию hosts-файла. Для восстановления выберите одну из сохраненных копий и нажмите Restore Saved Backup.

Нажав Misc. IE Settings, вы получите возможность отредактировать некоторые параметры, недоступные в меню настроек Internet Explorer. Чтобы в свойствах обозревателя нельзя было изменить домашнюю страницу, выберите Disable the IE Home Page Page setting area in the Internet Tools Control Panel и нажмите Apply, чтобы изменение вступило в силу. В области IE Windows Title Text задается заголовок, который будет выводиться в верхней части окна Internet Explorer.

Кнопка Flash Killer предоставляет параметр Disable and block Macromedia Flash in Internet Explorer. Установив этот флажок, вы сможете отключить flash-анимацию при показе веб-страниц.

В Protection пользователю не разрешено добавлять свои значения; это можно сделать, нажав кнопку Custom Blocking. Если с помощью другой программы вы обнаружите подозрительный объект, перейдите сюда и нажмите Add Item, а затем введите имя объекта и CLSID-идентификатор, который можно взять, например, из реестра.

Базу данных программы необходимо регулярно обновлять. Однако, если вы хотите, чтобы это происходило автоматически, необходимо заплатить. Для обновления вручную перейдите на вкладку Updates и нажмите кнопку Check for Updates.

SpywareBlaster позволяет защитить компьютер пользователя от большинства видов Spyware, но не от всех. Здесь также не хватает сканера, поэтому данную программу идеально использовать, например, вместе с Ad-Aware SE.

Найти и уничтожить: Spybot – Search & Destroy

Spybot – Search & Destroy – еще одна бесплатная и полезная для домашнего пользователя программа, позволяющая не только найти и удалить проникшие в систему разнообразные типы Spyware-компонентов, но и препятствовать инфицированию. Adware-программы при удалении модуля теряют работоспособность. Spybot – Search & Destroy может подменить их пустыми модулями, которые позволят программе работать дальше, но лишат ее возможности собирать информацию о пользователе. Программу можно свободно скачать с домашней страницы проекта: http://www.safer-networking.org/ru/index.html.

Установка программы стандартна: запускаете исполняемый файл и далее следуете указаниям мастера. На первом шаге вы можете выбрать язык установки: этот же язык будет затем использоваться в интерфейсе программы. Интерфейс программы переведен на 40 языков, среди которых есть и русский, поэтому русскоязычный пользователь будет себя чувствовать комфортно. В большинстве случаев достаточно оставить предлагаемое по умолчанию значение и последовательно пройти все шаги мастера, нажимая Далее. На этапе Выбор компонентов для большинства случаев достаточно указать Full installation. Чтобы программа в процессе установки обновила модули, установите флажок Download updates immediately.

Еще одна особенность Spybot – Search & Destroy, отличающая ее от других программ, – адаптация интерфейса для пользователей со слабым зрением. Этот режим можно активизировать позже, используя меню, а можно на этапе установки, установив флажок Icons for starting blind user mode. На этапе выбора дополнительных задач в области Permanent Protection активизируется защита веб-браузера Internet Explorer – Use Internet Explorer Protection (SDHelper) и защита системных настроек – Use system setting protection (TeaTimer). На завершающем этапе работы мастера установка флажков Запустить SpybotSD.exe и Запустить TeaTimer.exe включит защиту системы.

Появление нового значка в области уведомлений свидетельствует о нормальном окончании установки и включении защиты компьютера от Spyware.

Запуск программы и первая проверка

Перед началом работы программы появится окно с предупреждением, что, если вы удалите Spyware-компонент с помощью Spybot – Search & Destroy, программа, использующая его, возможно, не будет больше работать.

Это окно будет появляться каждый раз при загрузке Spybot – Search & Destroy. Чтобы отключить его, установите флажок Больше не показывать это сообщение.

При первом запуске активизируется мастер, помогающий пользователю выполнить определенные действия. Некоторые шаги мастера можно пропустить, нажав кнопку Дальше, и вернуться к ним позже из основного окна программы. На первом шаге мастер предлагает Создать резервную копию реестра, чтобы восстановить его в случае уничтожения вредоносными программами. Следующий шаг – обновление базы программы. Чтобы запустить обновление из окна мастера, необходимо нажать кнопку Поиск обновлений, – мастер соединится через Интернет с сервером обновлений и покажет список доступных обновлений. Для загрузки всех обновлений нажмите кнопку Загрузить все доступные обновления. После загрузки обновлений мастер предложит Иммунизировать систему.

Основное окно настройки параметров работы Spybot – Search & Destroy разбито на две части (рис. 6.9).

Рис. 6.9. Основное окно программы в расширенном режиме

Слева расположены категории и кнопки вызова основных функций программы. Количество закладок зависит от установленного режима настроек. Справа находится рабочая область, в которой выводится информация и на которой осуществляется доступ к рабочим функциям программы.

После установки программа запускается в режиме По умолчанию, который ориентирован на большинство пользователей. Если вы хотите более тонко контролировать работу системы защиты, выберите режим Расширенный. Чтобы сменить режим, воспользуйтесь меню Режим. Для смены языка интерфейса выберите необходимый в меню Язык.

В каждом окне доступна короткая справка, в которой кратко рассказано о назначении параметра. Для ее вывода щелкните на ссылке Показать больше информации. Если вы хотите убрать справку, чтобы увеличить полезную площадь окна, щелкните на Убрать информацию.

Если вы не воспользовались услугами мастера и не установили обновления, нужно сделать это сейчас, иначе программа просто откажется сканировать систему. Для этого выберите категорию Spybot-S&D, нажмите кнопку Обновление, затем кнопку Поиск обновлений. Программа соединится с сервером и проверит наличие обновлений и зеркал для загрузки. Список обновлений отобразится внизу окна (рис. 6.10).

Рис. 6.10. Загрузка обновлений в программе Spybot – Search & Destroy

В списке указано название каждого обновления, краткая информация, включая размер загружаемого файла, и дата обновления. Если навести указатель мыши на определенное поле и задержать его на некоторое время, появится всплывающее окно, в котором можно дополнительно узнать прямую ссылку на файл обновлений и место, куда он должен быть скопирован, чтобы Spybot – Search & Destroy мог его увидеть. Однако лучше доверить установку обновлений Spybot – Search & Destroy.

Не все обновления касаются обнаружения новых видов Spyware. Анонсируются также обновления, касающиеся интерфейса программы, файла помощи и выводимых сообщений. Обязательно отметьте все пункты, в описании которых стоит Advanced detection library, Detection rules, Detection support library, Immunization Database. Остальные выбирайте на свое усмотрение. Автоматически выбрать все основные обновления можно из контекстного меню, в котором имеется пункт Выбрать важные обновления. После выбора необходимых обновлений нажмите кнопку Загрузить обновления.

В появившемся окне будет отображаться информация о ходе обновления, а выбранные файлы будут помечаться флажками как установленные. Если загрузка происходит медленно, можно выбрать другой сервер, воспользовавшись раскрывающимся списком справа от кнопки Поиск обновлений. После окончания установки обновлений Spybot – Search & Destroy перезапустится самостоятельно. Обновлять базу программы необходимо хотя бы раз в неделю, тогда можно быть уверенным, что Spybot – Search & Destroy будет надежно защищать компьютер от новых видов Spyware.

Для запуска сканера, который проверит систему на наличие Spyware, необходимо нажать кнопку Найти и Уничтожить, а затем – Начать проверку. Программа начнет проверку системной области, что может занять продолжительное время. По окончании проверки отобразится список всех подозрительных объектов, найденных в системе (рис. 6.11).

Рис. 6.11. Проверка системы на наличие Spyware

Список сгруппирован по названиям или разработчикам Spyware-компонента. Щелчок на значке «+» возле имени раскроет список и покажет все найденные элементы. Справа отобразится более подробная информация, которая включает название фирмы или разработчика, имя продукта, краткое описание угрозы, возможно, адрес в Интернете и информацию о конфиденциальности.

Элемент может быть обозначен одним из двух цветов.

• Красный – отмечаются Spyware-компоненты, которые рекомендуется удалить.

• Зеленый – сохраненная ссылка на файл, набранная в строке веб-браузера при посещении какого-либо веб-ресурса. Впоследствии пользователю не нужно полностью вспоминать адрес: при постепенном наборе адреса браузер будет выдавать подсказки. Однако тогда любой имеющий доступ к компьютеру сможет определить, чем занимается пользователь. Решайте сами, удалять ли такие объекты.

Щелкнув на ссылке, вы сможете просмотреть, какой сайт разместил Cookies, и решить, оставлять ли его. Чтобы удалить компонент, необходимо установить соответствующий флажок и нажать кнопку Устранить отмеченные проблемы.

Контекстное меню предоставляет несколько больше возможностей. Так, чтобы определить, чему принадлежит найденный объект, необходимо выбрать в нем пункт Больше деталей. Выбрав вариант Перейти к месту, вы сможете открыть ссылку на сайт, которому принадлежат Cookies, а выбрав Открыть приложение пользователя – запустить приложение, которому принадлежит компонент Spyware. Если вы решаете оставить найденный объект в системе, выберите Исключить это опознавание из будущих поисков или Исключить этот продукт из будущих поисков – Spybot-S&D будет игнорировать его. Выбрав в контекстном меню Сохранить весь отчет в файл, можно сохранить в файл отчет о сканировании для последующего подробного анализа.

При настройках по умолчанию Spybot – Search & Destroy сохраняет все удаленные файлы с возможностью отката. Если после удаления Spyware-компонента нужная программа перестала работать, нажав кнопку Восстановить, вы сможете вернуть модуль Spyware на место. Естественно, вы должны осознавать возможный результат такого шага.

Начиная с версии 1.2, Spybot – Search & Destroy позволяет защитить (иммунизировать) систему от некоторых видов Spyware. В настоящее время предлагается три вида иммунитета:

Постоянный иммунитет Internet Explorer – позволяет отключить некоторые параметры настройки Internet Explorer, чтобы блокировать установку известных видов Spyware, которые используют эти параметры;

Постоянный блокиратор вредных закачек для Internet Explorer – второй слой защиты для Internet Explorer, обеспечивающий блокировку программ установки, которые используют ActiveX;

Постоянный иммунитет для Opera – показывает все профили веб-браузера Opera и подключаемые плагины, которые в базе Spybot – Search & Destroy записаны как относящиеся к Spyware.

Для иммунизации системы нажмите кнопку Иммунизация слева на панели. Справа отобразится текущий статус иммунизации. Чтобы активировать иммунизацию, нажмите кнопку Иммунизация и дождитесь сообщения, что иммунизация компьютера завершена. Чтобы вредные закачки блокировались, нужно установить флажок Включить постоянную блокировку плохих адресов Обозревателя интернет.

Для блокировки вредоносных страниц Spybot – Search & Destroy использует файл hosts, изменяя настройки таким образом, чтобы вместо удаленного адреса браузер обращался к локальному, то есть вместо такой страницы пользователь получает ошибку 404 (запрашиваемая страница не найдена).

Из раскрывающегося списка вы можете выбрать действия, которые должна выполнять программа при посещении небезопасных страниц:

Блокировать все вредоносные страницы без предупреждения – все вредоносные страницы будут автоматически заблокированы, предупреждение выводиться не будет;

Показать диалог при блокировке – при посещении страницы, содержащей вредоносный код, будет отображаться диалоговое окно, с помощью которого вы сможете продолжить работу или заблокировать страницу; при установке флажка Запомнить это решение во время повторного посещения страницы будет использован ответ пользователя;

Запросить подтверждение блокировки – при посещении вредоносной страницы вы будете предупреждены о том, что страница будет заблокирована.

Если вы пользуетесь веб-браузером Opera, то для его иммунизации необходимо установить флажок профиля в области Постоянный иммунитет для Opera.

В большинстве случаев для защиты системы достаточно настроек и инструментов, показанных в режиме По умолчанию. Выбрав режим Расширенный, вы получите еще три группы параметров, с помощью которых сможете настроить защиту более тонко. Рассмотрим некоторые параметры.

Начнем с категории Настройки, в которой можно задать дополнительные параметры работы Spybot – Search & Destroy.

По умолчанию сканер и монитор отслеживает все известные категории Spyware. Щелкнув на кнопке Набор данных, вы можете самостоятельно скорректировать список проверяемых объектов. Здесь отображаются названия файлов, в которых хранятся правила и краткое описание. Воспользовавшись пунктами контекстного меню Поиск только шпионов и Поиск только следов употребления, можно отобрать правила, принадлежащие этим категориям. Свой выбор можно сохранить как пользовательский.

Нажав кнопку Настройки, вы получите возможность увидеть большее количество настроек для Spybot – Search & Destroy. Здесь есть параметры, установка которых существенно упростит работу с программой. За автоматическое сохранение настроек отвечает флажок Сохранять настройки при выходе. Чтобы при удалении шпионов и системных проблемах сохранялись резервные копии, установите флажки Создавать резервные копии при удалении шпионов, Создавать резервные копии удаленных следов употребления и Создавать резервные копии устраненных системных проблем. Если вы работаете на компьютере под управлением операционной системы Windows XP, можно создать точки восстановления. Для этого установите два флажка, названия которых начинаются с Создать точку восстановления системы. Если после удаления шпиона или рекламного модуля система или программа работает стабильно, то старые точки восстановления следует удалять. Установив флажок Возраст восстановления и указав с помощью ползунка количество дней, вы можете поручить Spybot – Search & Destroy самостоятельно удалять точки восстановления через указанное количество дней.

Раздел параметров Автоматизация позволяет автоматизировать некоторые процессы – запуск программы при загрузке системы, проверку компьютера после загрузки и иммунизацию при запуске. Флажки подраздела Обновление через Интернет позволяют упростить процесс обновления модулей программы. Так, чтобы программа самостоятельно проверяла обновления, установите флажок Поиск новых версий при старте программы, а чтобы сразу загружала их – Сразу загружать более новые файлы. Если вы хотите самостоятельно руководить процессом обновления, установите флажок Напоминать при запуске программы о поиске обновлений, и вы не забудете о том, что необходимо периодически обновлять модули. Настроить соединение через прокси-сервер можно, установив флажок Использовать прокси при соединении с сервером обновлений и указав в появившемся окне нужные параметры.

По умолчанию сканируется только системная область компьютера, что позволяет найти Spyware-компоненты, проникшие в систему. Новые угрозы будут остановлены монитором, который заблокирует подозрительные процессы. Для загружаемых на компьютер файлов имеет смысл создать отдельный каталог и добавить его в список объектов для проверки. В этом случае Spyware будет обнаружен до того, как пользователь его активизирует. Чтобы указать такой каталог, следует нажать кнопку Каталоги. После этого щелкните правой кнопкой мыши в поле Каталог загрузки и в контекстном меню выберите пункт Добавить каталог к этому списку. Проследите, чтобы флажок Проверять также подкаталоги был установлен, иначе вложенные каталоги проверяться не будут.

Сканер будет проверять все файлы вне зависимости от их типа. Щелкнув на кнопке Исключения файловых расширений, можно указать типы файлов, которые будут пропускаться при проверке. В окне отобразятся все типы файлов, зарегистрированные на момент запуска программы.

Проверку системы с помощью Spybot – Search & Destroy можно запустить, используя Планировщик заданий Windows. Для настройки такой проверки следует перейти в раздел Планировщик и нажать кнопку Добавить. Далее необходимо указать параметры задания. Нажмите Редактор и в появившемся окне введите параметры. Так, на вкладке Задание в поле От имени можно указать пользователя, от имени которого будет выполняться программа, после чего, нажав кнопку Задать пароль, ввести пароль этого пользователя. Это может понадобиться, чтобы не пропустить задание, когда компьютером пользуется несколько человек с разными учетными записями, или чтобы задание выполнялось с администраторскими привилегиями. Далее перейдите на вкладку Расписание, нажмите кнопку Создать и заполните поля, указывая периодичность и время выполнения задания. После ввода всех параметров нажмите Применить. В окне Планировщик, установив одноименные флажки, можно дополнительно указать автоматическое решение обнаруженных проблем и закрытие программы по окончании работы.

Нажатием кнопок Исключения шпионов и Куки-Исключения можно указать, какие программы и файлы Cookies не будут относиться к подозрительным (установите флажок в строке с соответствующим значением).

В разделе Пропуск системных внутренностей находятся устройства, исключенные из работы системы. В таблице отображаются имя файла и причина исключения, например неправильный путь. Чтобы устройство заработало, необходимо удалить его из списка, воспользовавшись контекстным меню.

Spybot S & D включает большое количество полезных инструментов, которые позволяют опытным пользователям выяснить все о вредоносном продукте, очистить и оптимизировать всю систему. Следует отметить, что их неправильное использование может привести к негативным последствиям.

Для удобства убраны некоторые редко используемые инструменты, поэтому по умолчанию отображаются не все значки. Выбрав на панели в левой части окна категорию Инструменты, вы увидите таблицу, состоящую из двух полей: Инструмент и Описание (рис. 6.12). Внимательно прочитайте, для чего нужен определенный инструмент. Для его активизации нужно установить соответствующий флажок, после чего на панель слева добавится значок выбранного инструмента. Чтобы удалить значок инструмента, снимите соответствующий флажок.

Рис. 6.12. Категория Инструменты

Так, нажав кнопку Резидент, вы сможете просмотреть статус работы двух модулей – SDHelper и TeaTimer, которые постоянно находятся в оперативной памяти, защищая компьютер от шпионских модулей. При необходимости можно отключить модуль, сняв соответствующий флажок в поле Статус защиты Резидента.

Выбрав ActiveX, можно просмотреть и при необходимости удалить установленные приложения ActiveX. Объекты помечаются тремя цветами:

• зеленый – приложения имеют сертификат Spybot как известные или безопасные для запуска;

• черный – информация о приложении отсутствует в базе данных, поэтому следует быть осторожным и самостоятельно проанализировать необходимость его наличия в системе;

• красный – приложения небезопасны, их рекомендуется удалить.

Как и в SpywareBlaster, в Spybot – Search & Destroy можно быстро сменить домашнюю страницу веб-браузера. Нажав кнопку Обозреватель интернет страниц, вы найдете несколько готовых значений. Достаточно выбрать любое из списка и нажать кнопку Изменить, расположенную вверху окна. В появившемся диалоге необходимо подтвердить выбор нажатием ОК.

С помощью инструмента IE утилиты устанавливаются блокировки. Так, для защиты от изменения файла hosts необходимо установить флажок Закрыть хост файл, изменив атрибуты – только для чтения. Защита от хакеров. Здесь же с помощью соответствующих флажков можно блокировать настройки стартовой страницы и Панели управления из браузера. В области внизу страницы можно указать свое имя для работы в браузере.

Нажав кнопку Хост-файл, вы сможете просмотреть и удалить ненужные записи файла hosts. Щелкнув на Восстановить резервные копии, можно восстановить файл из резервных копий, которые создает Spybot – Search & Destroy. В базе данных утилиты имеются записи о некоторых узлах, используемых для распространения спама или слежения за пользователем. Нажав кнопку Добавить хост-список Spybot S&D, вы сможете заблокировать обращения к этим узлам. Запросы будут перенаправляться к локальному узлу и теряться.

У программы есть еще одна интересная возможность. Нажав кнопку Отказ от абонента, вы увидите список адресов, предназначенных для отказа от рассылки. Если вы получаете спам или Cookies от компаний, перечисленных в этом списке, щелкните на ссылке в столбце Адрес: в зависимости от того, будет ли это адрес электронной почты или ссылка на интернет-страницу, откроется почтовый клиент или веб-браузер, и вы сможете отписаться от рассылки. Ни в коем случае не используйте эту возможность в качестве превентивных мер – вы только добавите свой адрес в список рассылки.

Щелкнув на кнопке Список процессов, вы сможете просмотреть информацию обо всех процессах, запущенных в системе: имя файла, разработчик, загруженные модули, открытые сетевые порты и пр. На основании полученной информации можно принять решение о легальности запущенной программы.

Нажав кнопку Автозагрузка, вы увидите список программ, которые загружаются вместе с операционной системой (рис. 6.13). В нем доступна информация о значении параметра и командной строке. Полужирным показаны записи, измененные после последнего контроля, на которые следует обратить особое внимание. Если запись о программе имеется в базе данных Spybot – Search & Destroy, в поле Статус базы данных отобразится подсказка о необходимости использования данной программы. Сняв флажок, соответствующий программе, вы можете отключить ее автозагрузку. Нажав кнопку Изменить, можно ввести другое значение строки запуска. Отсюда же можно экспортировать список в текстовый файл для его дальнейшего анализа.

Рис. 6.13. Контроль автозагрузки с Spybot S&D

В Spybot – Search & Destroy есть также инструмент, позволяющий автоматически просканировать некоторые записи реестра на предмет неправильных или несуществующих путей. Нажмите кнопку Внутренняя система, затем – Проверить и для корректировки неправильных записей – кнопку Исправить выбранные проблемы. Появится окно, в котором можно указать другое месторасположение файла или удалить запись реестра.

В Spybot – Search & Destroy имеет полезный инструмент, позволяющий надежно удалить файл без возможности восстановления. В процессе удаления файлы разделяются на несколько фрагментов, чем разрушается их структура. Для этого следует нажать кнопку Удаление файлов, после чего перетащить в окно программы файл, который вы хотите удалить. Как вариант, можно воспользоваться контекстным меню, выбрав в нем пункт Добавить файл к этому списку, а затем указав файл с помощью файлового менеджера. Специальные инструменты, предназначенные для этого, будут рассмотрены в гл. 11 (на диске).

Diplom Consult.ru

Программы с потенциально опасными последствиями

Программой с потенциально опасными последствиями назовем программу или часть программы, которая способна выполнить одно из следующих действий:

скрыть признаки своего присутствия в программной среде ПЭВМ;

самодублироваться, ассоциировать себя с другими программами и/или переносить свои фрагменты в какие-либо области оперативной или внешней памяти, не принадлежащие программе;

изменять код программ в оперативной или внешней памяти;

сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти (локальных или удаленных);

искажать произвольным образом, блокировать и/или подменять выводимый во внешнюю память или канал связи массив информации, образовав-

шийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Программы с потенциально опасными последствиями можно условно подразделить на:

программы типа «программный червь» или «троянский конь» и фрагменты программ типа «логический люк»;

программы типа «логическая бомба»;

программные закладки — обобщенный класс программ с потенциально опасными последствиями.

Кроме того, такие программы можно классифицировать по методу и месту их внедрения и применения (то есть по «cпособу доставки» в систему):

закладки, связанные с программно-аппаратной средой (BIOS);

Илон Маск рекомендует:  Как мне обойтись без тега font

закладки, связанные с программами первичной загрузки;

закладки, связанные с драйвером DOS, командным интерпретатором, сетевыми драйверами, то есть с загрузкой и работой операционной среды;

закладки, связанные с прикладным программным обеспечением общего назначения (встроенные в клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты, файловые оболочки);


исполняемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа BAT);

модули-имитаторы, совпадающие по внешнему виду с легальными программами, требующими ввода конфеденциальной информации;

закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители и т.д.);

закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, используются для первичного внедрения других закладок; условное название — «исследователь»).

Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия: в работах фон Неймана, Винера и др. дано

определение и проведен математический анализ конечных автоматов, в том числе самовоспроизводящихся. Термин «компьютерный вирус» появился позднее — официально считается, что его впервые употребил сотрудник Лехайского университета (США) Фред Коэн в 1984 году на 7-й конференции по безопасности информации, проходившей в США.

Компьютерным вирусом называется программа, которая может создавать свои копии (не обязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, сети и так далее. При этом копии сохраняют способность дальнейшего распространения.

Вирусы можно разделить на классы по следующим признакам:

по среде обитания вируса;

по способу заражения среды обитания;

по деструктивным возможностям.

По среде обитания различают вирусы сетевые, файловые, загрузочные и специальные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные в загрузочный сектор диска(Boot) или сектор, содержащий системный загрузчик винчестера(Master Boot Record). Специальные ориентированы на конкретные особенности ПО, например вирус, заражающий документы редактора Word. Существуют сочетания — например, файловозагрузочные вирусы, заражающие и файлы и загрузочные сектора дисков. Кроме того, по сети могут распространятся вирусы любых типов.

Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и остаются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

По деструктивным возможностям вирусы можно разделить на:

безвредные, никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

очень опасные вирусы, которые могут привести к потере программ, уничтожить данные, способствовать ускоренному износу или повреждению частей механизмов(например, головок винчестеров).

Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в

обычных условиях для него закрыты (в частности — выход в привилегированный режим).

Люки чаще всего являются результатом забывчивости разработчиков. В процессе разработки программы разработчики часто создают временные механизмы, облегчающие ведение отладки за счет прямого доступа к отлаживаемым частям продукта. По окончанию отладки большинство люков убирается из программы; но люди есть люди — зачастую они забывают о существовании каких-то мелких «лючков».

Одним из наиболее показательных примеров использования «забытых» люков является, пожалуй, широко известный в компьютерном мире инцидент с вирусом Морриса. Одной из причин, обусловивших возможность распространения этого вируса, была ошибка разработчика программы электронной почты, входящей в состав одной из версий операционной системы UNIX, приведшая к появлению малозаметного лючка. Для вас, наверное, будет небесполезно знать, что американские специалисты оценивают ущерб, нанесенный в результате этого инцидента, более чем в 100 миллионов долларов.

Люки могут образовываться также в результате часто практикуемой технологии разработки программных продуктов «сверху вниз». При этом программист приступает сразу к написанию сразу управляющей программы, заменяя предполагаемые в будущем подпрограммы так называемыми «заглушками». В теории моментом завершения разработки конечной программы по такой технологии можно считать момент замены последней заглушки реальной подпрограммой.

В действительности дело обстоит несколько сложнее. Вся беда в том, что авторы часто оставляют заглушки в конечном программном продукте, передаваемом в эксплуатацию. Делают это порой неумышленно: например, на ранних стадиях разработки предполагалось наличие в конечном программном продукте некоторой подпрограммы, однако в процессе разработки выяснилось, что эта подпрограмма в силу каких-либо причин не нужна. Но заглушка-то осталась! Удалить заглушку, не заменяя ее подпрограммой, бывает весьма сложно. Это может спровоцировать программиста оставить заглушку «до лучших времен».

Возможен вариант, когда заглушки оставляются в конечной программе сознательно, в расчете на подключение в дальнейшем к работающей программе новых подпрограмм, реализующих некоторые новые возможности, либо предполагая возможное подключение к программе тестирующих средств для более точной настройки программы. Кто может дать гарантию, что в один прекрасный день такой заглушкой кто-нибудь не воспользуется для подключения к программе совсем иной подпрограммы, работающей в интересах этого «кого-нибудь», а не законного владельца?

Наконец, еще одним распространенным источником люков является так называемый «неопределенный ввод». Не так уж редка ситуация, когда программа создается неопытным программистом, исходящим из предположения, что пользователи будут работать с его программой всегда корректно. В этом случае реакция на неопределенный ввод может быть в лучшем случае непредсказуемой; гораздо хуже, если программа в случае одинакового неопределенного ввода выполняет некоторые повторяющиеся действия — это дает потенциальному захватчику возможность планировать свои действия по нарушению безопасности.

Таким образом, люк (или люки) может присутствовать в программе ввиду того, что программист:

1. забыл удалить его;

2. умышленно оставил его в программе для обеспечения тестирования или выполнения оставшейся части отладки;

3. умышленно оставил его в программе в интересах облегчения окончательной сборки конечного программного продукта;

4. умышленно оставил его в программе с тем, чтобы иметь скрытое средство доступа к программе уже после того, как она вошла в состав конечного продукта.

Существуют программы, реализующие, помимо функций, описанных в документации, и некоторые другие функции, в документации не описанные. Такие программы называются «троянскими конями».

«Логической бомбой» обычно называют программу или даже участок кода в программе, реализующий некоторую функцию при выполнении определенного условия.

Мировая компьютерная общественность достаточно хорошо знакома с логическими бомбами. Логическая бомба является одним из излюбленных способов мести программистов компаниям, которые их уволили или чем-либо обидели. При этом чаще всего срабатывание бомбы ставится в зависимость от установки в системе даты — так называемые «часовые» бомбы. Это очень удобно: допустим, программист знает, что его уволят 1 марта; в таком случае он может установить «часовую» бомбу на взрыв, допустим, 6 июля или даже на Рождество, когда сам он будет уже вне пределов досягаемости для пострадавшей компании.

В этом отношении интересна высказанная одним из администраторов систем мысль, что при увольнении системного программиста будет лучше, если глава фирмы проводит его до дверей офиса, вежливо попрощается и подаст пальто.

Для того чтобы закладка смогла выполнить какие-либо функции по отношению к другой прикладной программе, она должна получить управление на себя, то есть процессор должен начать выполнять инструкции, относящиеся к коду закладки.

Это возможно только при одновременном выполнении двух условий:

закладка должна находиться в оперативной памяти до начала работы программы, на которую направлено ее воздействие;

закладка должна активизироваться по некоторому общему для закладки и для прикладной программы событию.

Это достигается путем анализа и обработки закладкой общих относительно нее и прикладной программы событий, например, прерываний. Причем данные события должны сопровождать работу прикладной программы или работу всей ПЭВМ.

Исполнение кода закладки может быть сопровождено операциями несанкционированной записи (НСЗ), например, для сохранения некоторых фрагментов информации, и несанкционированного считывания (НСЧ), которое может происходить

отдельно от операций чтения прикладной программы или совместно с ними. При этом операции считывания и записи, возможно, не связаны с получением конфиденциальной информации, например, считывание параметров устройства или его инициализация (закладка может использовать для своей работы и такие операции, в частности, для инициирования сбойных ситуаций или переназначения ввода-вывода).

Несанкционированная запись закладкой может происходить:

в массив данных, не совпадающий с пользовательской информацией — сохранение информации;

в массив данных, совпадающий с пользовательской информацией или ее подмножеством — искажение, уничтожение или навязывание информации закладкой.

Следовательно, можно рассматривать три основные группы деструктивных функций, которые могут выполняться закладками:

сохранение фрагментов информации, возникающей при работе пользователей, прикладных программ, вводе-выводе данных, во внешней памяти сети (локальной или удаленной) или выделенной ПЭВМ, в том числе различных паролей, ключей и кодов доступа, собственно конфиденциальных документов в электронном виде;

изменение алгоритмов функционирования прикладных программ (то есть целенаправленное воздействие во внешней или оперативной памяти), например, программа разграничения доступа станет пропускать пользователей по любому паролю;

навязывание некоторого режима работы (например, при уничтожении информации — блокирование записи на диск, при этом информация, естественно, не

уничтожается), либо замена записываемой информации информацией, навязанной закладкой (например, при выводе на экран слово «неверно» заменяется словом «верно», а «рубль» — «доллар» и т.д.).

Приведем несколько важных примеров. Предположим, что программное средство производит некоторые файловые операции. Для этого открывается файл, часть его считывается в буфер оперативной памяти, обрабатывается и затем, записывается в файл с прежним или новым именем.

Теперь представьте себе, что вводимые вами документы не записываются на диск или записываются в искаженном виде, либо сугубо конфиденциальная информация банка помимо записи в базу данных дополнена к файлу, посланному в сеть. Или вы дали команду зашифровать файл для передачи, а файл отправился «в путь» незашифрованным. Таковы лишь некоторые из широко известных негативных действий, могущих производиться закладками с файлами-документами.

Рассмотренные действия особенно опасны для программ подтверждения подлинности электронных документов («электронная цифровая подпись» — ЭЦП). При считывании приготовленного для подписи файла-документа может произойти изменение имени автора, даты, времени, цифровых данных, заголовка документа (например, изменение суммы платежа в платежных поручениях и др.)

Закладки такого типа могут, например, навязывать истинность электронной подписи, даже если файл был изменен.

Широко известна и использовалась во многих банках система ЭЦП Pretty Good Privace (PGP). Многие стали жертвой простейшей программной закладки против этой системы.

Рассмотрим процесс «электронного подписывания», реализованный в программе PGP. Программа считывает файл для вычисления хеш-функции блоками по 512 байт, причем завершением процесса чтения является считывание блока меньшей длины.

Работа закладки была основана на навязывании длины файла. Закладка позволяет программе ЭЦП считать только первый 512-байтный блок и вычислять подпись только на его основе.

Такая же схема действует и при проверке подписи. Следовательно, основная часть файла может быть произвольным образом искажена.

Практика применения ЭЦП в системах автоматизированного финансового документооборота показала, что именно программная реализация ЭЦП наиболее сильно подвержена влиянию со стороны программных закладок, которые позволяют осуществлять проводки заведомо фальшивых финансовых документов и вмешиваться в порядок разрешения споров по факту применения ЭЦП.

Отметим четыре основных метода воздействия программных закладок на ЭЦП:

1. Метод навязывания входной информации — связан с искажением поступающего на подпись файла.

2. Метод навязывания результата проверки — связан с влиянием на признак правильности подписи независимо от результатов работы.

3. Метод навязывания длины сообщения — предъявление программе ЭЦП электронного документа меньшей длины, следовательно, производится подпись только части документа.

4. Метод искажения программы ЭЦП — связан с изменением исполняемого кода самой программы ЭЦП.

Задача борьбы с программными закладками весьма сложна и многопланова. Можно рассматривать следующие условия ее решения:

1. Неизвестно наличие в каком-либо множестве программ фрагментов закладок, ставится задача определения факта их наличия или отсутствия; при этом программы не выполняются (статическая задача).

2. В условиях п.1 программы используются по своему назначению, ставится та же задача выявления закладки, но в данном случаепо результатам работы (динамическая задача).

3. Происходит обмен программным продуктом (в пространстве — передача по каналу связи или на материальном носителе, во времени — хранение), свободным от потенциально опасных действий, программный продукт не исполняется, задача защиты (статическая) ставится в трех вариантах:

 не допустить внедрения закладки;

 выявить внедренный код закладки;

 удалить внедренный код закладки.

4. В условиях п.3 решается динамическая задача — защита от воздействия закладки в ходе работы программ.

5. В условиях потенциальной возможности воздействия закладок решается задача борьбы с их итоговым влиянием, то есть закладки присутствуют в системе, но либо

не активны при выполнении критических действий прикладных программ, либо результат их воздействия не конструктивен.

Далее рассмотренные задачи будем упоминать как Задачи 1-5.

С другой стороны, методы борьбы с воздействием закладок можно разделить на классы и увязать с проблемой защиты программного обеспечения вообще:

1. Общие методы защиты программного обеспечения, решающие задачи борьбы со случайными сбоями оборудования и несанкционированным доступом:

a) Контроль целостности системных областей, запускаемых прикладных программ и используемых данных (решение Задачи 3).

b) Контроль критических для безопасности системы событий (решение Задачи 2). Данные методы действенны лишь тогда, когда контрольные элементы не подвержены воздействию закладок и разрушающее воздействие входит в контролируемый класс. Так, например, система контроля за вызовом прерываний не будет отслеживать обращение на уровне портов. С другой стороны, контроль может быть обойден путем:

 навязывания конечного результата проверок;

 влияния на процесс считывания информации;

 изменения хеш-функций, хранящихся в общедоступных файлах или в опе-

Важно, что включение процесса контроля должно быть выполнено до начала влияния закладки, либо контроль должен осуществляться полностью аппаратнопрограммными средствами, содержащимися в ПЗУ.

c) Создание безопасной и изолированной операционной среды (решение Задачи 4).

d) Предотвращение результирующего воздействия вируса или закладки (например, запись на диск только в зашифрованном на уровне контроллера виде — тем самым сохранение информации закладкой не имеет смысла, либо запрет записи на диск на аппаратном уровне) (решение Задачи 5).

2. Специальные методы выявления программ с потенциально опасными последствиями:

a) Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным закладкам, либо, наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программам с известными сигнатурами (решение Задач

b) Поиск критических участков кода методом семантического анализа, то есть анализа фрагментов кода на выполняемые ими функции, например, выполнение НСЗ, часто сопряжено с дисассемблированием или эмуляцией выполнения (решение За-

Весьма важным является комплекс организационно-технических мер защиты от вирусов и программных закладок.

Меры защиты можно подразделить на две основные группы:

I. Меры защиты на этапе разработки программного обеспечения (ПО) системы. II. Меры защиты на этапе эксплуатации.


В группу I входят:

1. Меры защиты на этапе разработки прикладного ПО, содержащего внутреннюю защиту от НСД.

Они направлены на выявление в исходных текстах программ коммуникации и доступа некоторых фрагментов или подпрограмм, облегчающих или не регистрирующих доступ разработчиков программ (вход по фиксированным паролям, беспарольный доступ по нажатию некоторых клавиш, обход регистрации пользователей с фиксированными именами и т.д.). Наличие таких фрагментов фактически сведет на нет весь комплекс информационной безопасности системы, поскольку доступ через них возможен как человеку, так и программе-закладке.

2. Меры защиты при разработке ПО защиты от НСД (должны быть предусмотрены меры по проверке целостности хранимых на внешних носителях программных средств защиты, контроль целостности их в оперативной памяти и т.д.).

В группу II входят:

1. Регулярные меры защиты и контроля, применяемые постоянно с фиксированными временными интервалами.

2. Эпизодические защитные мероприятия (в дополнение к п.1 в период повышения опасности вирусного нападения).

3. Локализационно-восстановительные меры, применяемые в случае проникновения и обнаружения закладок и причинения ими негативных последствий.

К общим способам защиты системы относятся:

a) ограничение физического доступа к программам и оборудованию путем установления соответствующего организационного режима и применения аппаратных или программных средств ограничения доступа к ПЭВМ и ее компонентам;

b) при активизации прикладного ПО контроль его целостности, целостности областей DOS, BIOS и CMOS путем просчета контрольных сумм (вычисления хешфункций) и сравнения их с эталонными значениями для каждой ПЭВМ;

c) максимальное ограничение и контроль за передачей по сети исполняемых файлов (типа .EXE и .COM), .SYS- и .BIN-файлов в целях предотвращения распространения файловых вирусов, вирусов типа Driver, загрузочно-файловых вирусов, а также размножающихся закладок по сети; использование фильтров и шлюзов при передаче данных;

d) организация выборочного и внезапного контроля работы операторов ПЭВМ с целью выявления фактов использования нерегламентированного ПО;

e) защита от записи на сменных носителях, учет и надежное хранение архивных копий;

f) немедленное уничтожение ценной информации сразу по истечении потребности в ней;

g) периодическая оптимизация внешних носителей (винчестеров) на предмет выявления сбойных или псевдосбойных кластеров и стирания фрагментов конфиденциальной информации при помощи средств типа SPEED DISK.

Средства защиты, учитывающие специфику работы фрагментов системы:

a) для коммуникационных подсистем:

 средства и методы повышения общей надежности системы (программное или аппаратное дублирование, использование «горячего резерва» и т.д.);

b) для серверов локальных сетей (СЛС):

 контроль состава и порядка использования ПО, находящегося на СЛС;  дублирование стандартных средств защиты от НСД, входящих в состав сетевого

 запрет записи на общий диск файл-сервера локальной сети исполняемых файлов, не имеющих отношения к обработке информации в сети.

Что касается мер защиты от вирусов и закладок в процессе разработки самих программ защиты (п. 2 группы I), то в данном случае необходимо предусмотреть:

 встроенный самоконтроль ПО системы защиты, установленный на сети, путем просчета контрольных сумм по файлам и коду программ в оперативной памяти;

 переопределение «на себя» существенно важных прерываний (int01h, 03h, 08h, 10h, 13h, 21h) для предотвращения перехвата ввода ключей и паролей и их сохранения закладкой на внешнем носителе, а также блокирование проникновения в логику работы программ защиты при помощи стандартных отладочных средств;

 защиту от переноса установленного ПО защиты коммуникации на другую ПЭВМ, проводимого с целью детального изучения ПО и поиска обходных путей для преодоления защиты; это может быть достигнуто «привязкой» ПО к индивидуальным параметрам ПЭВМ — тем самым работоспособность ПО будет обеспечиваться только на данной ЭВМ сети.

А теперь поговорим о биче банковских компьютерных систем — атаке «салями». Чтобы понять смысл такой атаки, полезно вспомнить технологию изготовления известного сорта колбасы, которая создается путем соединения в общее целое мно-

жества мелких кусочков мяса. Получается достаточно вкусно.

При разработке банковских систем устанавливается правило округления (или усечения), используемое при выполнении всех операций. Вся хитрость состоит в том, как запрограммировать обработку округлений. Можно, конечно, просто удалять несуществующие величины. Но можно и не удалять, а накапливать на некоем специальном счете. Там пол цента, тут пол цента. — а в сумме? Как свидетельствует практика, сумма, составленная буквально из ничего, за пару лет эксплуатации «хитрой» программы в среднем по размеру банке, может исчисляться тысячами долларов.

Можно сказать, что атака салями — компьютерная реализация известной поговорки «С миру по нитке — голому рубаха».

Программные закладки при хаотичной «информатизации» финансовой сферы становятся мощным деструктивным фактором в ее развитии. Трудность обнаружения закладок и борьбы с их воздействием без преувеличения позволяет назвать их информационным оружием.

Легко понять недоумение и огорчение банкиров, видящих заведомо фальшивые платежные поручения, которые системы электронной подписи считают подлинными.

Чтобы избежать подобных разочарований, необходимо постоянно помнить об информационной угрозе и еще . легенду о троянском коне.

ОСНОВЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ОТ РАЗРУШАЮЩИХ ПРОГРАММНЫХ ВОЗДЕЙСТВИЙ И СБОЕВ КОМПЬЮТЕРНОЙ СИСТЕМЫ

Компьютерная программа является потенциально опасной, если реализует следующие функции:

  • 1) может скрыть признаки своего присутствия в программной среде компьютерной системы;
  • 2) может реализовать самодублирование, ассоциирование себя с другими программами и (или) перенос своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;
  • 3) может разрушить (исказить произвольным образом) код других программ в оперативной памяти компьютерной системы;
  • 4) может перенести (сохранить) фрагменты информации из оперативной памяти в некоторые области оперативной или внешней памяти прямого доступа (локальных или удаленных);
  • 5) имеет потенциальную возможность исказить произвольным образом, заблокировать и (или) подменить выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ или уже находящийся во внешней памяти, либо изменить его параметры.

Программы с потенциально опасными последствиями можно условно разделить на три класса:

  • 1) программы-«вирусы» (термин применен в 1984 г. Ф. Коэном);
  • 2) программы типа «программный червь» или «троянский конь» и фрагменты программ типа «логический люк». Они обладают возможностью перехвата конфиденциальной информации или извлечения информации из сегментов систем безопасности;
  • 3) программные закладки или разрушающие программные воздействия (РПВ) — обобщенный класс программ, обязательно реализующих хотя бы одну из перечисленных выше функций программы с потенциально опасными последствиями.

Используют следующую классификацию вредоносных программ (www.viruslist.com):

  • • вирусы и черви;
  • • троянские программы;
  • • подозрительные упаковщики;
  • • вредоносные утилиты.

Вирусы и черви — вредоносные программы, которые обладают способностью к несанкционированному пользователем саморазмножению в компьютерах или компьютерных сетях, при этом полученные копии также обладают этой возможностью.

Троянские программы созданы для осуществления не санкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения. Основным признаком, по которому различают типы троянских программ, являются их не санкционированные пользователем действия — те, которые они производят на зараженном компьютере.

Вредоносные программы часто сжимаются различными способами упаковки, совмещенными с шифрованием содержимого файла для того, чтобы исключить обратную разработку программы и усложнить анализ поведения проактивными и эвристическими методами. Антивирусом детектируются результаты работы подозрительных упаковщиков — упакованные объекты.

Вредоносные утилиты — вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные серверы, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ представители данной категории могут и не представлять угрозы непосредствено компьютеру, на котором исполняются. Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.

Riskware — к этой категории относятся обычные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые в руках злоумышленника способны причинить вред пользователю (вызвать уничтожение, блокирование, модификацию или копирование информации, нарушить работу компьютеров или компьютерных сетей). Все эти программы не являются вредоносными сами по себе, однако обладают функционалом, которым могут воспользоваться злоумышленники для причинения вреда пользователям. Выбор, детектировать или нет подобные программы, лежит на пользователе.

Pomware — программы, которые связаны с показом пользователю информации порнографического характера. Они могут быть установлены пользователем на свой компьютер сознательно, в этом случае они не являются вредоносными. Те же самые программы могут быть установлены на пользовательский компьютер злоумышленниками — через использование уязвимостей операционной системы и интернет-браузера или при помощи вредоносных троянских программ. Делается это обычно с целью «насильственной» рекламы платных порнографических сайтов и сервисов, на которые пользователь никогда не обратил бы внимания.

Программные закладки можно классифицировать по методу и месту их внедрения и применения:

  • • закладки, ассоциированные с программно-аппаратной средой компьютерной системы (основная или расширенные BIOS);
  • • закладки, ассоциированные с программами первичной загрузки (находящиеся в Master Boot Record или ВООТ-секторах активных разделов) — загрузочные закладки;
  • • закладки, ассоциированные с загрузкой драйверов DOS, драйверов внешних устройств других ОС, командного интерпретатора, сетевых драйверов, т.е. с загрузкой операционной среды;
  • • закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные в клавиатурные и экранные драйверы, программы тестирования компьютеров, утилиты и оболочки);
  • • исполняемые модули, содержащие только код закладки (как правило, внедряемые в файлы пакетной обработки типа .ВАТ);
  • • модули-имитаторы, совпадающие по внешнему виду с некоторыми программами, требующими ввода конфиденциальной информации, наиболее характерны для Unix-систем;
  • • закладки, маскируемые под служебные программные средства (архиваторы, ускорители обмена с диском и т.д.);
  • • закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок).

Программные закладки имеют много общего с классическими вирусами, особенно в части ассоциирования себя с исполняемым кодом (загрузочные вирусы, вирусы-драйверы, файловые вирусы). Кроме того, программные закладки, как и многие известные вирусы классического типа, имеют развитые средства борьбы с отладчиками и дизассемблерами.

Для получения управления закладкой необходимо одновременное выполнение двух условий:

  • 1) закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки, следовательно, она должна быть загружена раньше или одновременно с этой программой;
  • 2) закладка должна активизироваться по некоторому общему как для закладки, так и для программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде управление должно быть передано программе-закладке.

Основные модели взаимодействия прикладной программы и программной закладки.

  • 1. Перехват. Программная закладка внедряется в ПЗУ, ОС или прикладное программное обеспечение и сохраняет все или избранные фрагменты вводимой (с внешних устройств) или выводимой (на жесткий диск, принтер и др.) информации в скрытой области локальной или удаленной внешней памяти прямого доступа. Например, клавиатурный ввод, документы, выводимые на принтер, или уничтожаемые файлы-документы.
  • 2. Троянский конь. Закладка встраивается в используемую программу и по некоторому активизирующему событию моделирует сбойную ситуацию на средствах хранения информации или в оборудовании компьютера (сети). Тем самым достигаются две цели: во- первых, парализована нормальная работа компьютерной системы и, во-вторых, злоумышленник (под видом ремонта) может ознакомиться с имеющейся в системе или накопленной по модели «перехват» информацией.
  • 3. Наблюдатель. Закладка встраивается в сетевое или телекоммуникационное программное обеспечение и контролирует обработку информации на компьютере, в том числе установку и удаление закладок, а также съем накопленной информации. Закладка может инициировать события для ранее внедренных закладок, действующих по модели «троянский конь».
  • 4. Компрометация. Закладка либо передает заданную злоумышленником информацию (например, клавиатурный ввод) в канал связи, либо сохраняет ее, не полагаясь на гарантированную возможность последующего приема или снятия.
  • 5. Искажение или инициатор ошибок. Программная закладка искажает потоки данных, возникающие при работе прикладных программ (выходные потоки), либо искажает входные потоки информации, либо инициирует (или подавляет) возникающие при работе прикладных программ ошибки.
  • 6. Уборка мусора. В данном случае программная закладка изучает «остатки» информации (например, «удаленные» файлы). В случае применения программной закладки навязывается такой порядок работы, чтобы максимизировать количество остающихся фрагментов ценной информации. Злоумышленник получает либо данные фрагменты, используя закладки моделей 2 и 3, либо непосредственный доступ к компьютеру под видом ремонта или профилактики.

Проверенным способом защиты от компьютерных вирусов и других потенциально опасных программ являются антивирусные программы. Если антивирусная программа работает, значок программы, как правило, виден на панели задач в правом нижнем углу экрана. На рис. 5.1 показан значок антивирусной программы Symantec, а на рис. 5.2 — значок антивирусной программы «Антивирус Касперского».

Рис. 5.1 . Значок антивирусной программы Symantec

Рис. 5.2. Значок антивирусной программы «Антивирус Касперского»

Квалифицированный пользователь умеет использовать разные антивирусные программы.

Рассмотрим работу с программой Symantec Endpoint Protection. После двойного щелчка по значку антивирусной программы открывается окно программы, показанное на рис. 5.3.

Важным компонентом любой антивирусной программы являются антивирусные базы и базы сигнатур сетевых уязвимостей. Антивирусные базы должны регулярно обновляться. Для запуска обновления антивирусных баз програмы Symantec Endpoint Protection нужно щелкнуть по кнопке LiveUpdate в левой части окна программы. После этого запускается процедура обновления (окно обновления показано на рис. 5.4).

Кнопка Изменить параметры в левой части окна программы позволяет внести изменения в следующие настройки антивирусной программы:

  • 1) защита от вирусов и программ-шпионов;
  • 2) превентивная защита от угроз;
  • 3) глобальные исключения;
  • 4) управление клиентами.

Рис. 5.3. Окно антивирусной программы Symantec Endpoint Protection

Рис. 5.4. Окно обновления антивирусной программы Symantec Endpoint Protection

Для изменения нужных параметров нужно щелкнуть по соответствующей кнопке Настроить параметры в правой части окна программы (рис. 5.5).

Окно параметров защиты от вирусов и программ-шпионов, показанное на рис. 5.6, имеет несколько вкладок. На вкладке Общие можно задать период хранения журнала защиты от вирусов и прог- рамм-шпионов и путь к файлу этого журнала.

На вкладке Автоматическая защита файловой системы в окне Параметры защиты от вирусов и программ-шпионов важно, чтобы флажок Включить автоматическую защиту был установлен (рис. 5.7). Также

Рис. 5.5. Окно изменения параметров антивирусной программы Symantec Endpoint Protection

важно убедиться с помощью кнопок Действия, Уведомления и Дополнительно, что заданы требуемые значения параметров антивирусной программы.

С помощью кнопки Глобальные исключения можно сделать так, чтобы нужные папки или файлы не проверялись антивирусной программой.

Рис. 5.6. Вкладка Общие окна параметров защиты от вирусов и программ-шпионов антивирусной программы Symantec Endpoint Protection

Рис. 5.7. Вкладка Автоматическая защита файловой системы окна параметров защиты от вирусов и программ-шпионов антивирусной программы Symantec

С помощью кнопки Действия можно задать реакцию антивирусной программы в случае обнаружения вирусов и угроз различного вида (рис. 5.8).

Рис. 5.8. Действия антивирусной программы при обнаружении вирусов и угроз

Кнопки Уведомления (рис. 5.9) и Дополнительно (рис. 5.10) позволяют задать параметры уведомлений и исправлений в случае обнаружения вирусов и угроз различного вида.

Рис. 5.9. Параметры уведомлений сканирования

Рис. 5.10. Дополнительные параметры автоматической защиты

Кроме поиска компьютерных вирусов по известным сигнатурам, хранящимся в антивирусных базах, антивирусные программы используют и эвристические методы поиска компьютерных вирусов.

Кнопка Эвристика в окне Дополнительные параметры автоматической защиты позволяет задать требуемые эвристические параметры сканирования (рис. 5.11).

Рис. 5.11 . Эвристические параметры сканирования

Кнопка Глобальные исключения в окне Автоматическая защита файловой системы позволяет открыть список существующих исключений из процесса антивирусной проверки. Кнопка Добавить в окне Глобальные исключения позволяет добавить новые исключения из списка угроз или из процесса антивирусного сканирования (рис. 5.12).

Важно, чтобы флажок Включить автоматическую защиту почты Интернета был установлен на вкладке Автоматическая защита почты

Рис. 5.12. Добавление глобальных исключений из антивирусной проверки

в Интернете в окне Параметры защиты от вирусов и программ-шпионов


Важно также убедиться с помощью кнопок Действия, Уведомления и Дополнительно, что заданы требуемые значения параметров антивирусной программы для защиты электронной почты в Интернете.

Назначение кнопок Действия и Уведомления практически аналогично назначению тех же кнопок на вкладке Автоматическая защита файловой системы. После активизации кнопки Дополнительно на экране появится окно Дополнительные параметры почты Интернета, в котором можно задать дополнительные параметры проверки сообщений электронной почты (рис. 5.14).

Если на вкладке Автоматическая защита почты Интернета в окне Параметры защиты от вирусов и программ-шпионов (см. рис. 5.13) установлены флажки Добавлять предупреждение в электронное письмо, Посылать письмо отправителю, Посылать письмо другим пользователям, то с помощью соответствующих кнопок в правой нижней части окна (Предупреждение, Отправитель, Другие пользователи) можно задать адреса электронной почты, тему и текст сообщений,

Рис. 5.13. Автоматическая защита почты в Интернете

Рис. 5.14. Дополнительные параметры антивирусной защиты почты Интернета

отправляемых в случае обнаружения зараженного сообщения электронной почты. Обычно это делает сотрудник, выполняющий функции системного администратора.

На вкладке Отправка можно указать, нужно ли отправлять автоматически найденные вирусы в антивирусную компанию Symantec (рис. 5.15).

Важным элементом системы защиты информации при ее обработке на персональном компьютере является организация защиты от сбоев компьютерной системы.

Защита от сбоев компьютерной системы включает следующие меры:

  • • резервирование системы электропитания;
  • • создание резервных копий данных;
  • • создание образов для быстрого восстановления системы.
  • 1. Резервирование системы электропитания. Сбои компьютерной системы могут происходить по различным техническим причинам. Одной из наиболее распространенных причин сбоя компьютерной системы является аварийное отключение электропитания персонального компьютера.

Для резервирования системы электропитания используются источники бесперебойного питания (Uninterruptible Power Supply, UPS).

Рис. 5.15. Вкладка Отправка окна параметров защиты от вирусов и программ- шпионов антивирусной программы Symantec Endpoint Protection

2. Создание резервных копий данных. Самый простой способ создания резервных копий данных — копирование файлов данных на внешний носитель (жесткий диск или флэш-накопитель).

Более мощный и универсальный способ создания резервных копий данных — использование специализированных программ, позволяющих создать копии не только файлов и папок, но и разделов жесткого диска. К таким программам относятся, например, Symantec Ghost, Acronis True Image Server, Paragon и др.

3. Создание образов для быстрого восстановления системы. Этот вид защиты компьютерной системы становится все более популярным способом быстрого восстановления системы после сбоя.

Сообщение «обнаружены потенциально опасные программы» от защитника Windows. Что делать?

Доброго времени суток.

Я думаю, что многие пользователи сталкивались с подобными предупреждениями защитника Windows (как на рис. 1), который устанавливается и защищает Windows автоматически, сразу же после ее инсталляции.

В этой статье я хотел бы остановиться на том, что можно сделать, чтобы больше не видеть таких сообщений. В этом плане защитник Windows достаточно гибок и позволяет легко занести даже «потенциально» опасный софт в доверенные программы. И так…

Рис. 1. Сообщение защитника Windows 10 об обнаружении потенциально опасных программ.

Как правило, подобное сообщение застает пользователя всегда врасплох:

— пользователь либо знает об этом «сером» файле и не желает его удалять, так как он нужен (но защитник начинает «донимать» подобными сообщениями…);

— либо пользователь не знает, что за найденный вирусный файл и что с ним делать. Многие вообще начинают устанавливать всевозможные антивирусы и проверять компьютер «вдоль и поперек».

Рассмотрим порядок действий и в том и в другом случае.

Как добавить программу в белый список, чтобы не было предупреждений защитника

Если вы пользуетесь Windows 10 — то просмотреть все уведомления и найти нужное не составит труда — достаточно нажать на значок рядом с часами («Центр уведомлений», как на рис. 2) и перейти по нужной ошибке.

Рис. 2. Центр уведомлений в Windows 10

Если центра уведомлений у вас нет — то открыть сообщения (предупреждения) защитника можно в панели управления Windows. Для этого перейдите в панель управления Windows (актуально для Windows 7, 8, 10) по адресу: Панель управления\Система и безопасность\Безопасность и обслуживание

Далее вы должны заметить, во вкладке безопасность кнопку « Показать подробности » (как на рис. 3) — щелкаем по кнопке.

Рис. 3. Безопасность и обслуживание

Далее в открывшемся окне защитника — есть ссылка « Показать подробности » (рядом с кнопкой « очистить компьютер «, как на рис. 4).

Рис. 4. Защитник Windows

Затем для конкретной угрозы, которую обнаружил защитник, можно выбрать три варианта событий (см. рис. 5):

  1. удалить : файл будет удален на совсем (поступите так, если точно уверены, что файл вам незнаком и он вам не нужен. Кстати, в этом случае, желательно установить антивирус с обновленными базами и проверить полностью ПК);
  2. карантин : в него можно отправить подозрительные файлы, с которыми вы не уверены как поступить. В последствии, возможно, эти фалы могут вам понадобиться;
  3. разрешить : для тех файлов, в качестве которых вы уверены. Часто защитник помечает подозрительными файлы игр, некоторый специфичный софт (кстати, именно этот вариант я и рекомендую выбрать, если вы хотите чтобы сообщений об опасности хорошо знакомого вам файла больше не появлялось).

Рис. 5. Защитник Windows 10: разрешить, удалить или отправить в карантин подозрительный файл.

После того, как по всем «угрозам» будет дан ответ пользователя — вы должны увидеть примерно следующее окно — см. рис. 6.

Рис. 6. Защитник Windows: все в порядке, компьютер защищен.

Что делать, если файлы в сообщение об опасности реально опасные (и незнакомы вам)

Если не знаешь что делать — лучше узнай, а потом делай (а не наоборот) :)…

1) Первое, что я рекомендую — это в самом защитнике выбрать опцию карантин (или удалить ) и нажать « OK «. Абсолютное большинство опасных файлов и вирусов — не опасны, пока они не будут открыты и запущены на компьютере (обычно, такие файлы запускает сам пользователь). Поэтому, в большинстве случаев, когда подозрительный файл будет удален — ваши данные на ПК будут в безопасности.

2) Рекомендую так же установить на компьютер какой-нибудь популярный современный антивирус. Можете выбрать, например, из моей статьи: https://pcpro100.info/luchshie-antivirusyi-2020/

Многие пользователи думают, что хороший антивирус — можно заполучить только за деньги. Сегодня есть и весьма не плохие бесплатные аналоги, которые порой дают фору платным раскрученным продуктам.

3) Если на диске есть важные файлы — рекомендую сделать резервную копию (о том, как это делается, можно узнать тут: https://pcpro100.info/copy-system-disk-windows/).

Никогда не игнорируйте незнакомые предупреждения и сообщения программ, которые защищают ваши файлы. Иначе есть риск остаться без оных…

Spyware — потенциально опасные программы

Проблема шпионских кодов (в западной прессе — spyware) сегодня у всех на слуху. Благодаря многочисленным публикациям пользователи понимают, что эти программы опасны, но редко могут объяснить, что именно представляют собой шпионские коды и какими последствиями чревато их попадание на компьютер. Данная статья ставит своей целью полностью раскрыть природу шпионских программ, описать их вредоносную составляющую и предложить эффективные методы борьбы с данным видом компьютерных паразитов.

Илон Маск рекомендует:  Что такое код mcal_list_events

Проблема терминологии

Прежде всего, необходимо разобраться с многочисленными вариантами названия одной и той же проблемы. Это поможет лучше понять, что скрывается за порой всеобъемлющим термином «spyware».

Шпионские программы были выделены в отдельный класс, так как не попадают под определение вредоносных кодов и обычного полезного программного обеспечения. Они находятся где-то посредине. Поясним это подробнее.

Термином «spyware» в подавляющем большинстве случаев называют целое семейство программ.

Термином «spyware» в подавляющем большинстве случаев называют целое семейство программ, в которое входят: программы дозвона, утилиты для закачивания файлов из интернета, различные серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, PSW-утилиты, средства удаленного администрирования, программы-шутки. Более подробно эти типы программ будут рассмотрены ниже.

Иногда в семейство spyware включают еще и рекламные коды (adware), которые могут демонстрировать рекламные сообщения, подменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт.

Если подходить к терминологической проблеме академически, то все вышеперечисленные типы программ следует называть «riskware». На русском языке это слово означает «условно опасные программы», то есть те, которые могут причинить вред информации пользователя. Именно термином «riskware» пользуются специалисты «Лаборатории Касперского».

До того как этот термин вошел в обиход, использовались названия «greyware», «blackware» и «whiteware». Такая система именования строится на трех цветах: сером (grey), черном (black) и белом (white). Как легко догадаться, greyware в данном случае выступает полным аналогом riskware, blackware является классом откровенно вредоносных программ и whiteware выступает в роли легитимного ПО (то есть абсолютно законного и полезного). Тем не менее, пользоваться такой терминологией очень неудобно, так как для вредоносных программ (blackware) уже давно устоялся собственный термин, который по-английски звучит как «malware», а на русском языке таким и остается — «вредоносное ПО».

Подводя первый итог, следует заметить, что сегодня широко применяются два термина: «spyware» и «riskware» (в англо-говорящей прессе наиболее широко распространено название «spyware»). Означают они одно и то же, то есть «условно опасные программы» или «потенциально опасные программы» — те утилиты и инструменты, которые можно использовать как во благо (в руках пользователя), так и во вред (в руках преступника).

Виды условно опасных программ

Выше мы уже упоминали некоторые типы потенциально опасных программ, которые в руках злоумышленников из полезных утилит превращаются в опасные атакующие средства. Теперь рассмотрим виды условно опасных программ подробнее:

  • Программы дозвона (dialers). Сами по себе эти программы являются полезными прикладными утилитами, но в руках преступника превращаются в средства дозвона (с помощью модема пользователя) на заранее запрограммированный злоумышленником номер. Чаще всего номер принадлежит поставщику порнографических услуг с поминутной оплатой, находящемуся в другой стране. Таким образом, пользователь рискует получить счет на оплату телефонных услуг, в который войдут расходы на международный разговор и оплата за предоставленные услуги. Однако программы дозвона можно вполне использовать и в законных целях, например, чтобы дозваниваться до поставщика услуг интернета, вести статистику такого соединения, планировать задания и т.д. Это двоякое использование средств дозвона и привело к тому, что они попали в категорию spyware.
  • Программы для скачивания файлов из интернета. Пользователи модемных соединений часто устанавливают эти утилиты, чтобы оптимизировать процесс скачивания данных и обеспечить возможность в случае разрыва соединения продолжить скачивание с текущей позиции. В руках злоумышленника такая программа может быть использована для того, чтобы в тайне от пользователя (в фоновом режиме) переписать на компьютер откровенно вредоносный код. Действие такой программы напоминает работу паразитов, известных как Trojan Downloader. Эти троянцы, попав на компьютер пользователя, могут переписать еще несколько вредителей и внедрить их в систему. Как видно, программы закачки обладают полезной функциональностью, которая может быть использована во вред.
  • FTP-серверы. Полезность этих программ не вызывает сомнений, так как огромное количество файлов в интернете находится именно на ftp-серверах. Однако если преступнику удастся скрытно установить ftp-сервер на компьютер пользователя, он сможет удаленно получить доступ ко всем его файлам, а также следить за всеми производимыми операциями. Это может привести к утечке личной информации, кражи паролей и кодов доступа, а также к полной потере всех файлов на жестком диске.
  • Серверы-посредники (proxy servers). Эти программы широко используются для того, чтобы скрыть внутреннее адресное пространство вычислительной сети компаний и организаций от всех внешних пользователей. Хакер же может незаметно установить такой сервер-посредник на чужом компьютере и в некотором смысле осуществить кражу личности. Дело в том, что все последующие незаконные действия преступник будет осуществлять через сервер-посредник, следовательно, все следы потом приведут к ни в чем неповинному пользователю, которого могут обвинить в рассылке спама, организации сетевых атак, взломе корпоративной сети и т.д.
  • Серверы telnet и web. Утилита telnet разработана для удаленного управления компьютером в режиме терминальной сессии (то есть с помощью консоли и командной строки), а web-сервер позволяет внешним пользователям получить доступ к web-страницам, расположенным в отведенном для этого месте файловой системы. Опять же преступник может получить управление над чужим компьютером, если незаметно внедрит туда сервер telnet, и файловой системой, если развернет на компьютере-жертве web-сервер.
  • IRC-клиенты. В легальных целях эти программы используются для получения доступа к IRC-каналам (в основном mIRC). Эти утилиты обладают встроенными средствами обработки программ, написанных на транслируемых языках. Такая функциональность востребована некоторыми троянцами и IRC-червями. Вдобавок, когда хакер устанавливает на чужой компьютер IRC-троянца, IRC-клиент устанавливается им также по умолчанию.
  • Программы мониторинга. В обычных условиях эти утилиты позволяют следить за теми или иными ресурсами компьютера, собирать внутреннюю статистику по сетевому трафику и активности в интернете и хранить всю эту информацию на компьютере пользователя. Преступники же часто используют программу-монитор, чтобы собирать те же самые полезные данные, но потом красть их и анализировать в личных целях. Таким способом можно, например, выявить предпочтения пользователей при работе с интернетом вообще или конкретными страницами в частности.
  • PSW-утилиты. Легальные пользователи применяют эти инструменты для восстановления потерянных или забытых паролей, а злоумышленники с их помощью могут быстро получить доступ к паролям пользователя, а потом переписать их на свой компьютер.
  • Утилиты удаленного администрирования. С одной стороны, эти инструменты позволяют системному администратору удаленно управлять рабочим станциями в сети предприятия. С другой стороны, с помощью тех же самых утилит можно злонамеренно управлять компьютером невинного пользователя.
  • «Глупые шутки». К этой категории относятся программы, которые не причиняют прямого вреда пользователю или компьютеру, но, например, демонстрируют время от времени какое-нибудь сообщение. Чаще всего эти сообщения содержат информацию о том, что компьютер заражен вирусом, скоро этот вирус отформатирует жесткий диск и т.д. Только «чувство юмора» создателя ограничивает функционал этих программ.

Действительно, если взять любой приведенный выше класс программ, то можно легко определить, что кроме, как к riskware, его отнести некуда. Например, программы дозвона. Они не размножаются и не заражают файлы на компьютере пользователя. Следовательно, это не вирусы. Эти программы строго выполняют заложенные в них функции (то есть, звонят по указанному номеру) и не маскируются под какие-нибудь другие утилиты. Следовательно, это не троянцы. Средства дозвона также не рассылают себя по электронной почте, так что назвать их червями тоже невозможно. Тем не менее, благодаря подобным в целом полезным инструментам злоумышленник может направить ничего не подозревающего пользователя к поставщику, например, порнографических услуг и таким способом нанести серьезный финансовый ущерб пострадавшему.

Та же логика справедлива и для всех остальных типов условно опасных программ. Именно поэтому они отнесены к данной категории ПО.

Рекламные коды очень близки к откровенно вредоносным.

Если посмотреть на историю борьбы с вредоносными кодами, то мы сразу же увидим, что разработчики антивирусных решений почти никогда не испытывали трудностей с общей классификацией компьютерных паразитов. В течение 90-х годов было очень легко отличить полезную программу от вируса, троянца и червя, а самих вредителей друг от друга. Конечно, попадались и гибриды, особо опасные коды, заимствовавшие сильные стороны сразу нескольких паразитов. Но в общей классификации они никогда не выходили за рамки большой группы, которая называется вредоносные коды.

Следует отметить, что рекламные коды очень близки к откровенно вредоносным. Создатели таких программ постоянно борются друг с другом. Так специалисты «Лаборатории Касперского» обнаружили оригинальный рекламный код Trojan-Clicker.Win32.Agent.af. Эксперты первый раз в жизни увидели, как две различные рекламные программы сражаются друг с другом. Новый исполняемый Win32-файл (размером 21 КБ) удалял файлы данных и ключи в реестре, которые принадлежали EliteBar AdWare, а затем открывал одну из двух рекламных ссылок. Это напоминает войну вирусописателей Bagle-NetSky-Mydoom, которая имела место в первой половине 2004 года.

Важно признать, что причина появления программ типа riskware лежит в коммерциализации ремесла написания вредителей. Так, например, на черном рынке появились заказчики, которым нужны новые виды услуг: сбор информации о предпочтениях пользователя (для нужд собственного маркетинга), продвижение собственных сетевых ресурсов любыми доступными способами (в том числе с помощью фальсификации результатов поиска в интернете) и т.д. Спрос дал сильный толчок развитию технических средств, позволяющих паразитировать на компьютерах пользователей. Не долго пришлось ждать, когда стандартные средства (полезные программы), которые использовались в перечисленных выше целях, нашли свое применение и для банального и самого грубого нарушения закона: кражи кодов доступа, электронных денег и паролей, кражи и уничтожения информации и т.д.

Борьба с потенциально опасными программами

Очевидно, что с программами, которые могут принести вред, надо бороться, но делать это необходимо корректно. Например, если заставить каждый штатный антивирус реагировать на любую потенциально опасную программу, то пользователю придется столкнуться с массой ложных срабатываний. Дело в том, что многие представители класса riskware поставляются по умолчанию с операционной системой. Причем это вполне оправданно, так как в некоторых случаях полезность такого рода утилит сложно переоценить. Наглядно демонстрирует чрезвычайную жесткость такого подхода («реагировать на всех и каждого») программа telnet, уже не одно десятилетие входящая в состав операционных систем Windows, Unix и Linux.

Нельзя также пойти и на другую крайность — вообще забыть об условно опасных кодах. Не говоря уже о краже и уничтожении информации, любая riskware-программа приводит к некоторому замедлению работы компьютера, дополнительной нагрузке на сетевые соединения. Следует также отметить, что в корпоративной среде утечка информации, вне зависимости от того, кто ее вызвал, приводит к колоссальным убыткам, а порой и осквернению имени компании. Например, в середине марта 2005 года была сделана самая крупная попытка ограбления в мире: преступники попытались украсть 220 млн фунтов стерлингов из лондонского отделения японского банка Sumitomo. Достоверно стало известно, что злоумышленники использовали riskware-программы, чтобы собрать пароли и коды доступа для осуществления электронных переводов. Как попали эти в данном случае откровенные паразиты в систему банка — не известно. Однако даже, несмотря на то, что ограбление не удалось, репутация банка все равна запятнана. Таким образом, оставлять потенциально опасные программы «в покое» тоже нельзя.

«Лаборатория Касперского» добавила в свои антивирусные продукты определение потенциально опасных программ в качестве опции.

Пояснить ситуацию может еще один пример: горячие споры относительно программы Friend Greeting, широко распространенной в 2002 году. По большому счету эта утилита рассылала нежелательные письма (спам), к которым прикрепляла свою копию. Сообщения отправлялись всем адресатам, находящимся в адресной книге пользователя. Но для всех этих действий было необходимо согласие пользователя. Системные администраторы требовали от антивирусных разработчиков блокировать эту программу и определять ее как вредителя. На самом деле администраторам все равно, как поставщик антивирусного решения назовет программу — вирус, червь, троянец. Просто любому администратору неприятно, когда пользователи получают из интернета исполняемые файлы, запускают их, а потом рассылают дальше; все это очень похоже на эпидемию червя. Но разработчики антивирусов отказались внести Friend Greeting в свои базы, так как программа для своей работы требует участия пользователя. Следует согласиться, что Friend Greeting не является сетевым червем, как, например, Melissa, LoveLetter и Klez. Так что и поставщики антивирусов правы.

Наиболее корректным решением является золотая середина. Так, многие крупные компании, производящие антивирусы, разработали отдельные утилиты, детектирующие только лишь потенциально опасные программы. В чем здесь смысл? Например, в предыдущей ситуации системный администратор может обратиться к поставщику своего антивируса и попросить его добавить свои базы поддержку Friend Greeting. Если поставщик согласится, то все в порядке. Если откажется, то администратор сможет переписать отдельную утилиту этого же поставщика или другого, а в ее задачу уже по определению входит детектирование riskware-программ.

Тем не менее, такой подход требует от пользователя дополнительных шагов по скачиванию, применению и настройке дополнительной утилиты. Поэтому, например, «Лаборатория Касперского» добавила в свои антивирусные продукты определение потенциально опасных программ в качестве опции. Если пользователь хочет, чтобы антивирус находил представителей класса riskware, то ему нужно лишь поставить одну «галочку» в настройках антивируса.

Вне зависимости от того, используете ли вы для борьбы с потенциально опасными программами автономную утилиту или штатный антивирус, необходимо принять ряд мер по защите собственного ПК:

    Следует проверить весь жесткий диск на наличие условно опасных программ. Если они будут обнаружены, то автономная утилита или штатный антивирус обязательно покажут описание каждой riskware-программы. В подавляющем большинстве случаев антивирус сможет определить, опасна эта программа или нет. Иногда пользователю придется самостоятельно принять решение о вредоносности подозрительной утилиты на основании следующих параметров: устанавливал ли он ее самостоятельно, можно ли удалить ее с помощью стандартных средств Windows, сказано ли о какой-нибудь подозрительной функциональности в лицензионном соглашении к данной программе.

  • После того как инспекция проведена, необходимо поставить под контроль установку всех новых программ, то есть включить в антивирусе защиту от riskware или установить специальную утилиту.
  • Microsoft AntiSpyware

    Компания Microsoft выпустила бесплатную утилиту — Microsoft AntiSpyware, основанную на технологиях компании Giant, которую софтверный гигант приобрел в самом конце 2004 года.

    Программа позволяет проверить уже установленные программы на наличие потенциально опасных, а также защитить компьютер от попадания новых riskware-программ.

    Следует отметить, что Microsoft AntiSpyware обновляется на ежемесячной основе, однако новые потенциально опасные программы появляются гораздо чаще: по нескольку штук в день. Таким образом, если компания Microsoft хочет предоставлять своим пользователям действительно эффективную защиту от riskware, ей придется увеличить частоту обновления утилиты AntiSpyware хотя бы до ежедневной.

    С точки зрения функциональности и графического интерфейса, Microsoft AntiSpyware сделана достаточно добротно. Утилиты умеет работать с модулями ActiveX, отображать таблицу запущенных процессов, управлять программами, запускаемыми на старте операционной системы, а также многое и многое другое.

    Интерфейс продукта очень прост и интуитивно понятен. Каждому компоненту и каждой записи в реестре соответствует значок о степени безопасности (Safe, Unknown, Hazardous или в некоторых случаях — Broken). Таким образом, для использования утилиты вовсе необязательно обладать профессиональными знаниями.

    Отметим, что Microsoft AntiSpyware позволяет устанавливать агентов постоянного наблюдения за системой, которые защитят ПК от установки новых потенциально опасных программ, а также проследят за теми приложениями, которые имеют доступ к статистике сетевых соединений, настройкам системы, браузера и доступа к интернету.

    Разработчики вредоносных и условно опасных программ уже во всю ищут способы обхода Microsoft AntiSpyware.

    В целом утилита производит приятное впечатление, хотя в ней остаются некоторые огрехи, доставшиеся по наследству от компании Giant. Помимо уже упоминавшегося неэффективного цикла обновления продукта, у Microsoft AntiSpyware есть некоторые проблемы с корректным детектированием riskware-программ. Так, например, в «Лабораторию Касперского» обратился один из ее клиентов, который сообщил, что утилиты Microsoft определила файл c:winntsystem32notpad.exe как средство удаленного администрирования (Remote Administration Tool). Но сам файл является ничем иным, как французской версией программы «Блокнот» (notepad). По каким-то причинам (не ясно каким) файл был переименован в notpad.exe. Эксперты проверили файл и действительно убедились, что это «Блокнот». Однако утилита Microsoft была абсолютно «уверена», что это вредитель ItEye RAT.

    Вначале показалось, что Microsoft AntiSpyware была протестирована еще не на всех версиях (например, языковых) системы. Но потом выяснилось, что «Блокнот» детектируется вредителем только из-за его имени и местоположения. Другими словами, бета-версия Microsoft AntiSpyware определяет любой файл с именем notpad.exe (даже абсолютно пустой) и местоположением в системной директории (%sysdir%) как утилиту удаленного администрирования.

    Следует отметить, что разработчики вредоносных и условно опасных программ уже во всю ищут способы обхода Microsoft AntiSpyware. Часто им это удается. Например, компания Sophos сообщила о появлении нового вредоносного кода Troj/BankAsh-A, который атакует Microsoft AntiSpyware. Это первый троянец, направленный против данного продукта Microsoft, который в свою очередь находится еще на стадии бета-версии. Troj/BankAsh-A распространяется во вложениях к электронным почтовым сообщениям, крадет пароли и имеет key logger, но главное — он пытается отключить и удалить утилиту Microsoft AntiSpyware, а также подавить все предостерегающие сообщения, которые она выдает.

    Некоторые паразиты-троянцы наоборот сами маскируются по средство борьбы с riskware-программами. К ним относятся новые троянцы Trojan-Dropper.Win32.Agent.ed и Trojan-Clicker.Win32.Agent.bm.


    Следует резюмировать, что к автономным утилитам для борьбы с потенциально опасными программами нужно относиться критически. Во-первых, под видом такой утилиты можно получить опасный вредоносный код. Во-вторых, эффективность работы автономных средств, откровенно говоря, под сомнением. Проблема здесь не только в редком обновлении большинства утилит (в том числе Microsoft AntiSpyware), но и гибридном характере вредоносных и riskware-кодов, для корректного детектирования которых необходим полнофункциональный антивирусный движок.

    Таким образом, наиболее эффективным способом борьбы с потенциально опасными программами являются штатные антивирусные средства или комбинация автономной утилиты и полнофункционального антивирусного продукта. Штатные антивирусы обновляются довольно часто (Антивирус Касперского, например, ежечасно), вдобавок антивирусный движок не обманешь пустым файлом в системной директории.

    Комментарии экспертов

    Евгений Касперский
    глава антивирусных исследований «Лаборатории Касперского»

    — Я считаю, что шпионские программы представляют собой очень серьезную угрозу. Они могут привести к краже конфиденциальной информации, включая банковские реквизиты пользователя.

    Рекламные коды не так опасны. Они не причастны к утечке важных данных, но воздействуют на посещаемые веб-страницы и поисковые запросы. Вдобавок представители класса adware могут конфликтовать с установленным программным обеспечением (что часто и происходит), а это чревато неприятными последствиями.

    По степени опасности между шпионскими и рекламными кодами я бы разместил другие потенциально опасные программы (riskware). Хакеры достаточно часто при атаках используют легальные сетевые программы и различные утилиты мониторинга клавиатуры, экрана и т.д. Весь этот арсенал может представлять достаточно серьёзную угрозу. Во многих случаях при таких атаках используются «многокомпонентные» наборы из различных riskware и троянских программ. Как правило, при удалении нескольких троянских компонент атака блокируется, даже если в системе остались некоторые компоненты riskware.

    Если говорить о средствах борьбы со всеми вышеперечисленными категориями вредителей, то антивирусные программы всегда детектировали и удаляли шпионские коды, а антирекламная функциональность была добавлена лишь в последние годы. Таким образом, рекламные программы успели действительно «достать всех и вся» (этим объясняется такое повышенное внимание к ним со стороны прессы), а вот антишпионская функциональность того или иного продукта есть ничто иное, чем маркетинговый пузырь. Я сильно сомневаюсь, что автономная утилита без хорошего антивирусного движка способна обеспечить качественную защиту от шпионских программ.

    Следует также отметить действия компании Microsoft, которая не только постепенно повышает безопасность своей операционной, но и предоставляет некоторые средства для борьбы с вредоносными кодами (в том числе рекламными и шпионскими). Думаю, это достаточно мудрая стратегия.

    Костин Раю
    глава отдела исследований и разработки румынского подразделения «Лаборатории Касперского»

    — Угроза, которую представляют собой нежелательные (потенциально вредоносные) программы, вполне реальна. Более того, с некоторой точки зрения, заполучить такую программу на свой компьютер может еще опаснее, чем заразиться вирусом. Сейчас объясню, что я имею в виду.

    В течение многих прошедших лет мы учили пользователей относиться ко всем файлам с подозрением, не запускать неизвестные файлы, пришедшие по электронной почте, и постоянно обновлять свой антивирус. К сожалению, практика такого безопасного использования компьютера не может защитить пользователя от угроз чуть более сложных.

    Я считаю, что не все антивирусы достаточно хорошо детектируют потенциально вредоносный код. Другими словами, такие программы могут очень долго жить на компьютере пользователя, пока тот не заподозрит что-то неладное. В некоторых случаях, удалить компоненты рекламного кода очень сложно. К тому же они могут снова попасть на компьютер из интернета. В итоге, детектирование adware-программ представляется очень деликатной задачей, особенно в странах с довольно либеральными законами. Например, известны случаи, когда разработчики антивирусной программы, добавившие детектирование определенного нежелательного кода в свой продукт, были привлечены к суду и, как следствие, были вынуждены пойти на уступки.

    Шпионские и рекламные коды сейчас находятся на волне своей популярности. О них часто пишет пресса и знает почти каждый пользователь интернета. Чем вызвано такое внимание к проблеме со стороны общественности? Думаю, главная причина в том, что потенциально вредоносные программы могут привести к утечке конфиденциальных данных, а это уже не шутки. Бизнес-план или бюджет компании в руках конкурента может нанести серьезный ущерб компании, а пароли и реквизиты пользователя могут быть использованы для кражи личности или финансового мошенничества.

    Тем не менее, я полагаю, что отдельные утилиты, предназначенные для борьбы именно с потенциально опасными программами, не нужны. Сегодня мы видим, что шпионские и рекламные коды становятся все более сложными, они научились размножаться. Такие коды можно рассматривать, как многокомпонентные вирусы, один из компонентов которых является, например, шпионским модулем. Справиться с такими гибридами может лишь полноценное антивирусное ядро, которое можно найти только в современном антивирусном продукте. Если же пользователя не устраивает, как с потенциально вредоносными программами борется сам антивирус, то, скорее всего, следует просто сменить антивирусное решение.

    Средства для борьбы со шпионскими и рекламными кодами — это отдельный сегмент рынка. В прошлом многие антивирусы довольно слабо детектировали нежелательные программы, поэтому этот сегмент оказался не занятым. Конечно, такое положение дел не могло продолжаться долго: разработчики обновили антивирусные движки, а сами потенциально опасные программы стали намного ближе к вредоносным кодам. Таким образом, свободного места на рынке становится все меньше и меньше.

    В данном контексте бесплатная утилита Microsoft AntiSpyware не столько защищает операционную систему, сколько продвигает торговую марку. Не стоит забывать, что имя софтверного гиганта не ассоциируется с достаточно безопасным продуктом. Действия Microsoft направлены на то, чтобы постепенно изменить мнение пользователей об этом вопросе. Таким образом, Microsoft пытается завоевать доверие пользователей и преподнести себя в качестве поставщика услуг и продуктов по безопасности.

    В то же самое время стоит напомнить, что Microsoft постоянно улучшает безопасность своих операционных систем. Service Pack 2 для Windows XP — самый наглядный пример. Правда, огромное число пользователей Windows 2000 (не говоря уже о семействе 9х) не смогут воспользоваться новыми возможностями безопасности.

    С точки зрения пользователя, бесплатная утилита AntiSpyware, без сомнения, представляет ценность и является довольно полезным инструментом.

    Дэвид Эмм
    старший технологический консультант великобританского подразделения «Лаборатории Касперского»

    — Я считаю, что шпионские и рекламные коды представляют реальную угрозу для информационной безопасности. Тем не менее, это не новая угроза. Разобраться в ситуации мешает путаница с терминологией. Если следовать большинству определений шпионских кодов, то придется причислить к ним еще и троянские программы: бэкдоры и троянцы-шпионы (используются, чтобы красть данные, рассылать спам и запускать DoS-атаки), троянцы-прокси (превращают компьютер в почтового зомби), уведомляющие троянцы (Trojan Notifiers — сообщают «хозяину», что машина заражена) и PSW-троянцы (крадут пароли и коды доступа). Все эти паразиты существуют уже минимум 10 лет, но на них не навесишь ярлык «шпионские коды». Многие разработчики и аналитики относят к шпионским кодам еще и рекламные. Последние же показывают рекламу на зараженном ПК и подменяют результаты поиска. Рекламные коды очень похожи на спам, но не распространяются по электронной почте. Мы в «Лаборатории Касперского» называем все эти программы «riskware». Во многих случаях эти приложения являются легальными, но могут быть использованы в противозаконных целях в руках преступника.

    Такие программы существовали всегда, но именно сейчас они стали чаще применяться. В последние годы наблюдается объединение вирусописательских и хакерских приемов. Именно поэтому riskware может быть использовано, чтобы доставить на ПК вирусы, черви или троянцы, а также украсть конфиденциальные данные.

    Я считаю, что для борьбы с riskware вполне достаточно стандартного антивируса. Причина же, по которой многие разработчики выпускают именно отдельные утилиты для борьбы с riskware, в том, что потенциально опасные программы могут быть вполне законными. В этом случае те пользователи, которые не хотят видеть на своем компьютере такие программы, могут использовать отдельную утилиту, остальные могут и не использовать. Продукты «Лаборатория Касперского» также предлагают защиту от riskware, но в виде отдельной дополнительной опции.

    9.2 Компьютерные вирусы и средства антивирусной защиты

    Компьютерные вирусы – специально написанные программы, способные самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера. Могут быть разрушительными или
    проявляться в виде помехи, например:

    • замена и/или удаление части или всего файла;
    • форматирование диска;
    • разрушение таблицы размещения файлов FAT);
    • искажение сообщений программы пользователя и т. п.

    Вирусы-помехи могут выводить на экран информацию, затрудняющую чтение сообщений программ. В настоящее время насчитывается несколько тысяч различных вирусов, и их количество продолжает возрастать. Например, только в глобальной сети Internet ежемесячно появляются не менее 200 вирусов.

    Способы распространения компьютерных вирусов

    Возможные каналы проникновения вирусов в компьютер – накопители на сменных носителях информации, главным образом на дискетах, а также средства межкомпьютерной связи.

    К последним относятся компьютерные сети, электронная почта, система BBS (Bulletin Board System – доска объявлений) и любая другая непосредственная связь между компьютерами.

    Наиболее опасным является распространение вирусов по компьютерной сети, так как в этом случае за короткий промежуток времени может быть заражено большое количество компьютеров. Имеются даже специальные сетевые вирусы, предназначенные для функционирования в сетях.

    При запуске инфицированной программы вирус старается отыскать незараженные программы и внедриться в них, а затем производит разрушительные действия.

    Классификация компьютерных вирусов

    Компьютерный вирус это программный код, встроенный в другую программу, в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на несущем компьютере.

    Так, например, вирусный код может воспроизводить себя в теле других программ (этот процесс называется размножением). По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске и т.д. Этот процесс называется вирусной атакой.

    Вирусы классифицируют по различным признакам.

    1. По среде обитания

    • Сетевые вирусы распространяются по различным сетям, т.е. при передаче информации с одного компьютера на другой, соединенные между собой сетью, например Интернет.
    • Файловые вирусы заражают исполнительные файлы и загружаются после запуска той программы, в которой он находится. Файловые вирусы могут внедряться и в другие файлы, но записанные в таких файлах, они не получают управление и теряют способность к размножению.
    • Загрузочные вирусы внедряются в загрузочный сектор дискет или логических дисков, содержащий программу загрузки.
    • Файловозагрузочные вирусы заражают одновременно файлы и загрузочные сектора диска.

    2. По способу заражения среды обитания.

    • Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
    • Нерезидентный вирус не заражает память компьютера и является активным ограниченное время. Активизируется в определенные моменты, например, при обработке документов текстовым редактором.

    3. По деструктивным (разрушительным) возможностям

    • Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.
    • Неопасные, так же уменьшают объем памяти, не мешают работе компьютера, такие вирусы порождают графические, звуковые и другие эффекты.
    • Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера, например к зависанию или неправильной печати документа.
    • Очень опасные, действие которых может привести к потере программ, данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.

    4. По особенностям алгоритма

    • Паразитические – это одни из самых простых вирусов. Они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
    • Вирусы-репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
    • Вирусы невидимки (стелс-вирусы) – вирусы, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего незараженные участки диска.
    • Мутанты (призраки) содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Такие вирусы самые сложные в обнаружении.
    • Троянские программы (квазивирусы) не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
    • Спутники – вирус, который не изменяет файл, а для выполнимых программ (exe) создают одноименные программы типа com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.
    • Студенческие вирусы представляют собой самые простые и легко обнаруживаемые вирусы.

    Однако четкого разделения между ними не существует, и все они могут составлять комбинацию вариантов взаимодействия – своеобразный вирусный «коктейль».

    5. Макровирусы

    Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд.

    В частности, к таким документам относятся документы текстового процессора Microsoft Word. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд. Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным.

    Защита от компьютерных вирусов

    Компьютерный вирус аналогичен природному вирусу. Поэтому меры защиты от него включают в себя аналогичный комплекс средств:

    Профилактика

    К профилактическим средствам относятся:

    • перекрытие путей проникновения вирусов в компьютер;
    • исключение возможности заражения и порчи вирусами, проникшими в компьютер, других файлов.

    Диагностика

    Диагностические средства позволяют обнаруживать вирусы в компьютере и распознавать их тип.

    Лечение

    Лечение состоит в удалении вирусов из зараженных программных средств и восстановлении пораженных файлов.

    Защитный комплекс основывается на применении антивирусных программ и проведении организационных мероприятий.

    Организационные мероприятия, производимые для защиты от компьютерных вирусов

    Вирусы попадают в компьютер только вместе с программным обеспечением. Поэтому самым важным в защите от вирусов является использование незараженных программ, так как главным источником вирусов являются незаконные, так называемые «пиратские» копии программного обеспечения.

    Особенно опасны компьютерные игры и различного рода развлекательные программы, которые чаще других являются разносчиками компьютерной инфекции. Поэтому первым и наиважнейшим правилом антивирусной защиты является следующее:

    Необходимо использовать только лицензионно-чистые программы от надежных поставщиков.

    Рекомендации

    • приобретайте все программы в фирменной упаковке у надежного поставщика;
    • не пользуйтесь без крайней необходимостью чужими дискетами;
    • не запускайте на выполнение программы, назначение которых неизвестно или непонятно;
    • не передавайте свои дискеты чужим лицам для использования, чтобы не заразить ваши дискеты;
    • ограничьте доступ к вашему ПК посторонних лиц и запретите им пользоваться своими дискетами без вашего разрешения;
    • перед началом работы на ПК после другого лица осуществите холодный перезапуск ПК, чтобы удалить из ОЗУ возможно присутствующие там резидентные вирусы;
    • при работе на одном ПК нескольких пользователей, разделите жесткий диск на несколько логических и разграничьте право доступа к различным дискам;
    • включайте программы антивирусной защиты в файл AUTOEXEC. BAT;
    • не ограничивайтесь использованием только одного антивирусного программного продукта. Новые вирусы появляются постоянно, и для их выявления требуются новые антивирусные программы;
    • гибкие магнитные диски используйте, по возможности, с защитой от записи.

    Антивирусные программы

    Программные средства антивирусной защиты обеспечивают диагностику (обнаружение) и лечение (нейтрализацию) вирусов.

    Краткий обзор антивирусных программ

    При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

    В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. Это не значит, что все они находятся «на воле». На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.

    Существует множество антивирусных программ. Рассмотрим наиболее известные из них.

    Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

    • Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.
    • Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы. Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

    Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

    Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

    Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

    Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

    Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

    • попытки коррекции файлов с расширениями СОМ и ЕХЕ;
    • изменение атрибутов файлов;
    • прямая запись на диск по абсолютному адресу;
    • запись в загрузочные сектора диска;
    • загрузка резидентной программы.

    При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения.

    Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

    Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора и ревизора совмещаются в одной программе.

    Вакцины (иммунизаторы) – это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

    Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

    Несмотря на все принятые профилактические меры, стопроцентной гарантии защиты от вирусов в настоящее время не существует. Поэтому в целях восстановления разрушенной вирусом информации и удаленных зараженных программ, которые не удалось вылечить программами антивирусной защиты, необходимо соблюдать еще одно правило антивирусной защиты:

    Всегда имейте резервные копии программ и файлов данных на дискете, магнитной ленте и/или другом ПК не менее чем в двух экземплярах.

    Убытки

    Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Зачастую как пользователи, так и профессионалы-программисты не имеют достаточных навыков «самообороны», а их представления о вирусе порой являются весьма поверхностными.

    Борьба с компьютерными вирусами является борьбой человека с человеческим же разумом. Эта борьба является борьбой умов, поскольку задачи, стоящие перед вирусологами, ставят такие же люди. Одни придумывают новый вирус – а другим с ним разбираться.

    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL