Засоби антивірусного захисту

Основним засобом захисту інформації є резервне копіювання найцінніших даних. При резервуванні даних слід також мати на увазі і те, що треба окремо зберігати всі реєстраційні і парольні дані для доступу до мережевих служб Інтернету. Їх не слід тримати на комп'ютері.

Створюючи план заходів щодо резервного копіювання інформації, необхідно враховувати, що резервні копії повинні зберігатися окремо від комп'ютера. Тобто, наприклад, резервування інформації на окремому жорсткому диску того ж комп'ютера тільки створює ілюзію безпеки. Відносно новим і достатньо надійним прийомом зберігання цінних, але не конфіденційних даних єїх зберігання в Web-папках на віддалених серверах в Інтернеті. є служби, що безкоштовно надають простір (до декількох Мбайт) для зберігання даних користувача.

Резервні копії конфіденційних даних зберігають на зовнішніх носіях, які зберігають в сейфах, бажано в окремих приміщеннях. Допоміжними засобами захисту інформації є антивірусні програми і засоби апаратного захисту. Так, наприклад, просте відключення перемикача на материнській платі не дозволить здійснити стирання мікросхеми ПЗП, що перепрограмовується (флеш-BIOS), незалежно від того, хто намагатиметься це зробити: комп'ютерний вірус, зловмисник або неакуратний користувач.

Існує достатньо багато програмних засобів антивірусного захисту. Вони надають наступні можливості:

1. Створення образу жорсткого диска на зовнішніх носіях. У разі виходу з ладу даних в системних ділянках жорсткого диска збережений "образ диска" може дозволити відновити якщо не всі дані, то принаймні їх велику частину. Цей же засіб може захистити від втрати даних при апаратних збоях і при неакуратному форматуванні жорсткого диска.

2. Регулярне сканування жорстких дисків у пошуках комп'ютерних вірусів за допомогою антивірусних програм.

Поняття та класифікація антивірусних програм.

Антивірусна програма (антивірус) - програма для виявлення і, можливо, лікування програм, заражених комп'ютерним вірусом, а також, можливо, для запобігання зараження вірусом.

Для захисту від вірусів розробляються спеціальні антивірусні програми, які дозволяють виявляти віруси, лікувати заражені файли або диски, попереджати підозрілі дії.

На сьогоднішній день існує безліч програм, що призначені для захисту комп'ютерної системи від впливу вірусів. Розроблено ефективну методологію захисту від вірусів, оперативного знешкодження вірусів і відновлення заражених програм і файлів документів. Поширеними є такі засоби, як сканери (детектори), ревізори, фільтри, евристичні аналізатори виявлення вірусоподібної діяльності тощо. Ці засоби реалізують різні принципи (підходи) до виявлення і протидії вірусам. У сучасних програмах, як правило, сполучається кілька з перерахованих підходів.

Програми-сканери аналізують програми і файли з макросами на наявність послідовності команд, що характерна для якого-небудь вірусу. Для цього програми-сканери мають у своєму складі вірусну базу, у якій містяться "зразки" відомих вірусів.

Принцип дії програм-ревізорів полягає в тому, що первісний стан файлів і папок (перевірений, у незараженому вигляді) запам'ятовується на диску і вважається еталонним. Згодом, при черговій перевірці, визначаються ті самі характеристики файлів і папок і порівнюються з еталонним станом. При розбіжності характеристик файлів і папок з'являється повідомлення, а користувач повинен визначити, чи є ці зміни санкціонованими, чи вони відбулися в процесі впливу комп'ютерних вірусів. Якщо зміни у файлах свідомо зробив користувач, то їхній стан вважається за еталонний для наступної робота.

Програми-вартівники резидентно розташовуються в пам’яті комп’ютера та автоматично перевіряють на наявність вірусів завантажувальні файли та дискети, які вставляються до дисководів. При виявленні вірусу програма-вартівник може видавати попереджувальне повідомлення, а також може попередити ті дії вірусу, які можуть привести до розмноження вірусу або заподіяти шкоду системі.

Програми-евристичні аналізатори роблять найскладнішу перевірку файлів, вони аналізують окремі дії й ознаки, характерні для програм-вірусів, наприклад, прямі звертання до певних секторів на магнітних носіях чи наявність модуля кодування-декодування тощо. У результаті робиться висновок про можливу наявність вірусів у програмах, які перевіряються. Поряд із перерахованими, використовуються й інші принципи виявлення і знищення комп'ютерних вірусів.

Сучасні антивірусні програми є комплексами, які суміщають в собі функції сканеру, ревізору, вартівника та аналізатору.

Серед користувачів дістали поширення такі програми:

Антивірус Касперського Personal "Лабораторії Касперського";

DrWeb "Диалогнаука";

Norton Antivirus "Symantec";

eSafe Desktop "Aladdin Knowledge Systems";

VirasScan "McAfee" тощо.

Дії при зараженні комп'ютера вірусом

Ознаки зараження.

Є ряд ознак, що свідчать про зараження комп'ютера:

• виведення на екран непередбачених повідомлень або зображень;

• подача непередбачених звукових сигналів;

• несподіване відкриття і закриття лотка CD-ROM-пристрою;

• довільний, без вашої участі, запуск на комп'ютері яких-небудь програм;

• за наявності на вашому комп'ютері брандмауера, поява попереджень про спробу якої-небудь з програм вашого комп'ютера вийти в Інтернет, хоча ви це ніяк не ініціювали.

Якщо помічаєте, що з комп'ютером відбувається подібне, то можна припустити, що комп'ютер уражений вірусом.

Крім того, є деякі характерні ознаки ураження вірусом через електронну пошту:

• друзі або знайомі говорять вам про повідомлення від вас, які ви не відправляли;

• у вашому поштовому ящику знаходиться велика кількість повідомлень без зворотної адреси і заголовка.

Є також непрямі ознаки зараження комп'ютера:

• часті зависання і збої в роботі комп'ютера;

• повільна робота комп'ютера при запуску програм;

• неможливість завантаження операційної системи;

• зникнення файлів і каталогів або спотворення їх вмісту;

• часте звернення до жорсткого диска (часто мигає лампочка на системному блоці);

• інтернет-браузер "зависає" або поводиться несподіваним чином (наприклад, вікно програми неможливо закрити).

Значною мірою наявність непрямих симптомів може бути викликана збоєм в апаратному або програмному забезпеченні. Не дивлячись на те, що подібнісимптоми з незначною вірогідністю свідчать про зараження, при їх появі рекомендується провести повну перевірку вашого комп'ютера встановленою наньому антивірусною програмою.

Що робити за наявності ознак зараження. Якщо все ж таки було помічено, що комп'ютер поводиться "підозріло":

1. Не панікувати! Не піддаватися паніці - золоте правило, яке може позбавити від втрати важливих даних і зайвих переживань.

2. Відключити комп'ютер від Інтернету.

3. Відключити комп'ютер від локальної мережі.

4. Якщо симптом зараження полягає в тому, що неможливо завантажитися з жорсткого диска комп'ютера (комп'ютер видає помилку, коли його включають), можна спробувати завантажитися в режимі захисту від збоїв або з диска аварійного завантаження Windows.

5. Перш ніж робити якісь дії, потрібно зберегти результати роботи користувача ПК на зовнішній носій (дискету, CD-диск, флеш-карту та ін.)-

6. Встановити антивірусну програму, якщо цього ще не було зроблено і комп'ютері не встановлено антивірусних програм.

7. Отримати останні оновлення антивірусних баз. Краще скористатися іншим комп'ютером, оскільки при підключенні до Інтернету із зараженого комп'ютера є вірогідність відправки вірусом важливої інформації зловмисникам або розповсюдження вірусу за адресами вашої адресної книги..

8. Встановити рівень настройок антивірусної програми, що рекомендується. Запустити повну перевірку комп'ютера.

Процес розвитку вірусів і антивірусів - це постійна війна технологій. Регулярно у вірусах реалізовуються оригінальні ідеї, що вимагає адекватних дій від розробників антивірусного програмного забезпечення. Тому користувачам рекомендується стежити за новинами на сайтах антивірусних компаній і прислухатися до порад фахівців з інформаційної безпеки про необхідність оновлення програмного забезпечення (не тільки антивірусного) або виконання специфічних дій щодо поліпшення захищеності ПК.

Антивірусна програма Dr.Web

Антивірусна програма Dr.Web має потужний евристичний аналізатор коду, завдяки якому вдається надійно виявляти нові віруси, ще не відому антивірусній програмі. Для знаходження вірусів Dr.Web використовує емульгатор мікропроцесору, тобто програмний варіант процесору. Будь-який файл за допомогою емулятору можна перевірити на вірусоподібні дії без загрози заразити безпосередньо комп’ютер.

Версія Dr.Web для MS DOS компактна та вміщується на завантажувальній дискеті. Це робить дану антивірусну програму незамінною в аварійних ситуаціях. В теперішній час розробниками програми Doctor Web (фірма «ДіалогНаука», м. Москва) випускається 32-розрядна версія антивірусного сканеру для Windows 95/98/ME/NT/2000, яка має назву Dr.Web32W.

Для запуску Dr.Web потрібно виконати подвійне клацання по піктограмі файлу Drweb32w.exe. Ярлик цієї програми можна заздалегідь винести на Робочий стіл або вивести відповідну піктограму на панель інструментів або до головного меню. Після завантаження програми з’являється вікно, яке показане на мал.

В цьому вікні потрібно виділити об’єкти, які підлягають скануванню. Щоб виділити диск для перевірки, потрібно клацнути мишею по піктограмі диска в правій частині вікна Dr.Web. На піктограмі виділеного об’єкта з’явиться червона кулька (наприклад, на малюнку виділений диск С:). Для того, щоб задати папку для сканування, достатньо клацнути по значку «+» поруч з піктограмою відповідного диска та знайти потрібну папку, аналогічно тому, як це робиться, наприклад, у вікні Провідника. Папка, як і диск, виділяється клацанням миші.

Після виділення об’єктів, які необхідно перевірити, можна одразу натиснути кнопку Start/stop scanning (Почати/зупинити сканування), яка розташована в правому нижньому куту вікна програми (мал.__). При цьому почнеться сканування та лікування об’єктів згідно установок по замовчанню. Процес сканування буде відображатись в рядку стану в нижній частині вікна.

По закінченню сканування можна вивести звіт про знайдені віруси, якщо клацнути по кнопці Report list (Звіт) на панелі інструментів. Повний звіт про роботу в поточному сеансі (кількість перевірених, інфікованих, вилікуваних об’єктів) виводиться клацанням по кнопці Statistics (Статистика). Повернутись до попереднього вигляду вікна можна клацанням по кнопці Scan tree (Дерево сканування).

Настройка програми Dr.Web.

Для настройки антивірусної програми Dr.Web потрібно натиснути кнопку Settings (Установки) на панелі інструментів, або обрати команду меню Options – Change settings, або натиснути клавішу F9. В діалозі, який з’явиться, буде знаходитись вісім вкладок, де можна виконати, зокрема, наступні настройки.

· На вкладці Scan (Сканування), встановлюються прапорці, які відповідають евристичному аналізу (Heuristic analysis), перевірці пам’яті (Scan memory), завантажувальних секторів (Scan boot sectors), піддиректорій (Scan subdirectories). Можливо також завдання відображення файлів на дереві каталогів у вікні програми (прапорець Show files in scan tree).

· Вкладка File types (Типи файлів) дозволяє задати формат перевіряємих файлів, встановити перевірку архівних (Archives), архівних виконувальних файлів (Packed executables) та поштових файлів (E-mail).

· Вкладка Actions (Дії), складається з трьох сторінок, які відповідають діям над зараженими (Infected objects), невиліковними (Incurable objects) та підозрілими об’єктами (Suspicious objects). Можна задати тип дії, яку повинна виконати програма для кожного типу об’єктів: звіт (Report), лікування (Cure), видалення (Delete), перейменування (Rename) або переміщення (Move to). За допомогою прапорця Promt for multiple floppies встановлюється режим перевірки декількох гнучких дисків. Встановлений прапорець Promt on action означає вивід запиту на ту чи іншу дію.

Вкладка Log file (Log – файл) дозволяє встановити параметри Log – файлу, який містить інформацію про заражені, вилікувані та інші об’єкти. В текстовому полі можна ввести ім’я Log – файлу, а в групі Log mode (Log – режим) слід вказати, чи будуть дописуватись результати чергової перевірки до файлу (перемикач Append) або будуть записуватись зверху попередніх результатів (перемикач Overwrite). Решта елементів вкладки служать для визначення кодування Log – файлу, обмеження на розмір файлу і т.д.

Якщо є необхідність використовувати встановлені налаштування в наступних сеансах роботи з Dr.Web, потрібно відкрити вкладку General (Загальні) та клацнути по прапорцю Autosave setting on exit (Автозбереження установок при виході).