Реферат на тему:
Виявлення, захист і профілактика
План
1. Як знайти вірус.
2. Програми виявлення й захисту від вірусів.
3. Основні заходи для захисту від вірусів.
4. Віруси й Інтернет.
5. Запобігання зараженню.
6. Виявлення вірусу.
7. Видалення вірусу.
Як знайти вірус
Отже, якийсь вірусописець створює вірус і запускає його в мережу. Якийсь
час він, можливо, погуляє досхочу, але рано чи пізно «лафа» закінчиться!
Хтось запідозрить що-небудь погане. Як правило, віруси виявляють
звичайні користувачі, які помічають ті чи інші аномалії у поведінці
комп’ютера. Вони] в більшості випадків не здатні самостійно впоратися із
заразою, але цього вий них ніхто і не вимагає.
Необхідно лише, щоб якомога швидше вірус потрапив до рук фахівців.
Професіонали його вивчатимуть, з’ясовуватимуть, «що він робить», «як він
робить», «коли він робить» і т. ін. У процесі такої роботи збирається
вся потрібна інформація про цей вірус, зокрема, виділяється сигнатура
вірусу — послідовність байтів, яка цілком виразно його характеризує. Для
побудови сигнатури зазвичай беруться найбільш важливі й характерні
ділянки коду вірусу. Одночасно стають зрозумілими механізми роботи
вірусу, наприклад, у випадку завантажувального вірусу важливо знати, де
він ховає свій хвіст, де знаходиться оригінальний завантажувальний
сектор, а у випадку файлового — спосіб зараження файла. Отримана
інформація дозволяє з’ясувати, як знайти вірус. Для цього уточнюються
методи пошуку сигнатур у потенційних об’єктах вірусної атаки — файлах
і/або завантажувальних секторах. Також необхідно визначити, як
знешкодити вірус, якщо це можливо, розробляються алгоритми видалення
вірусного коду з уражених об’єктів.
Програми виявлення й захисту від вірусів
Для виявлення, знищення і захисту від комп’ютерних вірусів розроблено
кілька видів спеціальних програм, що дозволяють виявляти й знищувати
віруси. Такі програми називаються антивірусними. Розрізняють такі види
антивірусних програм:
— програми-детектори;
— програми-доктори, або фаги;
— програми-ревізори;
— програми-фільтри;
— програми-вакцини, або імунізатори.
Програми-детектори здійснюють пошук характерної для конкретного вірусу
сигнатури в оперативній пам’яті й у файлах і при виявленні видають
відповідне і повідомлення. Недоліком таких антивірусних програм є те, що
вони можуть Я знаходити тільки ті віруси, що відомі розробникам таких
програм.
Програми-доктори, або фаги, а також програми-вакцини не тільки знаходять
заражені вірусами файли, але й «лікують» їх, тобто видаляють із файла
тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї
роботи Я фаги шукають віруси в оперативній пам’яті, знищуючи їх, і
тільки потім переходять до «лікування» файлів. Серед фагів виділяють
поліфаги, тобто програми-доктори, призначені для пошуку й знищення
великої кількості вірусів. Найвідоміші з них: Kaspersky Antivirus,
Norton Antivirus, Doctor Web.
Але нові віруси постійно з’являються, тому програми-детектори і
програми-доктори швидко застарівають і необхідно регулярно оновлювати
версії.
Програми-ревізори належать до найнадійніших засобів захисту від вірусів.
Ревізори запам’ятовують вихідний стан програм, каталогів і системних
областей писка тоді, коли комп’ютер не заражений вірусом, а потім
періодично або за бажанням користувача порівнюють поточний стан із
вихідним. Виявлені зміни виводяться на екран монітора. Як правило,
порівняння станів здійснюють відразу після завантаження операційної
системи. При порівнянні перевіряються довжина файла, код циклічного
контролю (контрольна сума файла), дата й час модифікації, інші
параметри. Програми-ревізори мають досить розвинуті алгоритми, виявляють
стелс-віруси і можуть навіть очистити версії перевірених програм від
змін, внесених вірусом. До числа програм-ревізорів належить широко
розповсюджена в країнах СНД програма Kaspersky Monitor.
Програми-фільтри, або «сторожі», являють собою невеликі резидентні
програми, призначені для виявлення підозрілих дій при роботі комп’ютера,
характерних для вірусів. Такими діями можуть бути:
— спроби корекції файлів із розширеннями СОМ, ЕХЕ;
— зміна атрибутів файла;
— прямий запис на диск за абсолютною адресою;
— запис у завантажувальні сектори диска;
— завантаження резидентно! програми.
При спробі якої-небудь програми здійснити вказані дії «сторож» посилає
користувачеві повідомлення і пропонує заборонити або дозволити
відповідну дію. Програми-фільтри досить корисні, тому що здатні знайти
вірус на ранній стадії його існування, до розмноження. Однак вони не
«лікують» файли й диски. Для знищення вірусів треба застосувати інші
програми, наприклад фаги. До недоліків програм-сторожів можна віднести
їх «настирливість» (наприклад, вони постійно видають попередження про
будь-яку спробу копіювання виконуваного файла), а також можливі
конфлікти з іншим програмним забезпеченням.
Вакцини (імунізатори) — це резидентні програми, що запобігають зараженню
файлів. Вакцини застосовують, якщо відсутні програми-доктори, що
знищують цей вірус. Вакцинація проводиться тільки проти відомих вірусів.
Вакцина модифікує програму або диск у такий спосіб, щоб це не
позначалося на їхній роботі, а вірус буде сприймати їх зараженими і тому
не проникне. Сьогодні програми-вакцини мають обмежене застосування.
Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення
виявлених вірусів на кожному комп’ютері дозволяють уникнути поширення
вірусної епідемії на інші комп’ютери.
Основні заходи для захисту від вірусів
Для того щоб не піддати комп’ютер зараженню вірусами і забезпечити
надійне зберігання інформації на дисках, необхідно дотримуватися таких
правил:
— обладнайте свій комп’ютер сучасними антивірусними програмами,
наприклад Kaspersky Antivirus, і постійно обновляйте їхні вірусні бази;
— перед зчитуванням із дискет інформації, записаної на інших
комп’ютерах, завжди перевіряйте ці дискети на наявність вірусів,
запускаючи антивірусні програми свого комп’ютера;
— при переносі на свій комп’ютер файлів в архівованому вигляді
перевіряйте їх відразу ж після розархівації на жорсткому диску,
обмежуючи область перевірки тільки наново записаними файлами;
— періодично перевіряйте на наявність вірусів жорсткі диски комп’ютера,
запускаючи антивірусні програми для тестування файлів, пам’яті й
системних областей дисків із захищеної від запису дискети, попередньо
завантаживши операційну систему із захищеної від запису системної
дискети;
— завжди захищайте свої дискети від запису при роботі на інших
комп’ютерах, якщо на них не буде здійснюватися запис інформації;
— обов’язково робіть архівні копії на дискетах цінної для вас
інформації;
— не залишайте в кишені дисководу А дискети при вмиканні або
перезавантаженні операційної системи, щоб запобігти зараженню комп’ютера
завантажувальними вірусами;
— використовуйте антивірусні програми для вхідного контролю усіх
виконуваних файлів, одержуваних із комп’ютерних мереж;
— щоб забезпечити більшу надійність, застосування антивірусу необхідно
поєднувати з повсякденним використанням ревізора диска.
Віруси й Інтернет
Спочатку найпоширенішим способом зараження вірусами були дискети, тому
що саме з їхньою допомогою переносилися програми між комп’ютерами.
Післяj появи BBS віруси почали поширюватися через модем. Інтернет
призвів до появи ще одного каналу поширення вірусів, за допомогою якого
вони часто обходять традиційні методи боротьби з ними.
Імовірність зараження вірусами пропорційна частоті появи нових файлів
або додатків на комп’ютері. Зміни в конфігурації для роботи в Інтернеті,
для читання електронної пошти й завантаження файлів із зовнішніх джерел
— усе це! збільшує ризик зараження вірусами.
Чим більше значення комп’ютера або даних, що знаходяться в ньому, тим
ретельніше треба дбати про заходи безпеки проти вірусів. Потрібно також
врахувати і витрати на видалення вірусів з ваших комп’ютерів, а також із
комп’ютерів ваших клієнтів, яких ви можете заразити. Витрати не завжди
обмежуються тільки фінансами, репутація організації й інші речі теж
мають значення.
Важливо також пам’ятати, що віруси зазвичай з’являються в системі
внаслідок дій користувача (наприклад, інсталяції програми, читання файла
через FTP, читання електронного листа). Тому з метою профілактики треба
звертати особливу увагу на обмеження на завантаження потенційно
заражених програм і файлів. А в середовищі з високим ризиком перевірка
на віруси особливо ретельно повинна здійснюватися для нових файлів.
Нижче наводяться правила для роботи в мережі Інтернет для користувачів
корпоративних комп’ютерних мереж.
Запобігання зараженню
Адміністратор безпеки повинен дозволити використання програм перед їх
інсталяцією на комп’ютер. Забороняється встановлювати неавторизовані
програми на комп’ютери. Конфігурації програм на комп’ютері повинні
перевірятися щомісяця на предмет виявлення установки зайвих програм.
Програми повинні встановлюватися тільки з дозволених внутрішніх серверів
для обмеження ризику зараження. Не можна завантажувати програми з
Інтернету на комп’ютери. За допомогою брандмауера необхідно заборонити
операцію GET (завантаження файла) із зовнішніх серверів.
На файлові сервери треба встановити антивірусні програми для обмеження
поширення вірусів у мережі. Повинна здійснюватися щоденна перевірка всіх
програм і файлів даних на файлових серверах на віруси. Робочі станції
повинні мати в пам’яті резидентні антивірусні програми, сконфігуровані
так, що усі файли перевіряються на віруси при завантаженні на комп’ютер.
Забороняється запускати програми і відкривати файли за допомогою
додатків, уразливих до макровірусів, до проведення їхньої перевірки на
віруси. Усі листи й файли, отримані з мережі, треба перевіряти на віруси
при одержанні. По можливості перевірка на віруси повинна виконуватися на
брандмауері, що керує доступом до мережі. Це дозволить централізувати
перевірку на віруси для всієї організації і зменшити витрати на
паралельне сканування на робочих станціях. Це також дозволить
централізувати адміністрування антивірусних програм, обмежити кількість
місць, куди повинні встановлюватися останні обновлення антивірусних
програм.
Програма навчання співробітників комп’ютерній безпеці обов’язково
включає такі заходи про ризик зараження вірусами.
Антивірусні програми можуть знайти тільки ті віруси, які вже були кимось
виявлені раніше. Постійно розробляються нові, більш витончені віруси.
Антивірусні програми повинні регулярно обновлятися (щомісяця або
щокварталу) для того, щоб можна було знайти найновіші віруси. Важливо
повідомляти системному адміністраторові про будь-яке незвичайне
поводження комп’ютера або програм. Важливо відразу ж від’єднати
комп’ютер, заражений або такий, що підозрюється в зараженні, від мережі,
щоб зменшити ризик поширення вірусу.
Недотримання цих заходів повинно призводити до покарання співробітника
відповідно до стандартів організації.
Виявлення вірусу
Виявлення — це процес, який визначає, що виконуваний файл,
завантажувальний запис або файл даних містить вірус.
Усі програми повинні бути встановлені на тестову машину і перевірені на
віруси перед початком їх використання в робочому середовищі. Тільки
після одержання дозволу адміністратора безпеки можна встановлювати
програми на машинах співробітників.
Крім використання комерційних антивірусних програм, використовують
емулятори віртуальних машин для виявлення поліморфних вірусів. Усі нові
методи виявлення вірусів повинні використовуватися на цій тестовій
машині. Антивірусні програми необхідно обновляти щомісяця або з появою
нової версії для виявлення найновіших вірусів.
Перевірку усіх файлових систем треба здійснювати щодня в обов’язковому
порядку. Результати перевірок, як правило, протоколюють, автоматично
збирають й аналізують системні адміністратори. .
Усі дані, імпортовані на комп’ютер тим або іншим способом (із дискет, з
електронної пошти і т. д.), також перевіряються на віруси. Співробітники
повинні інформувати системного адміністратора про виявлені віруси, зміни
в конфігурації або дивне поводження комп’ютера чи програм-додатків.
При одержанні інформації про зараження вірусом системний адміністратор
зобов’язаний інформувати всіх користувачів, що мають доступ до програм і
файлів даних, які могли бути заражені вірусом, що вірус, можливо,
заразив їхні системи. Користувачам повідомляють про порядок визначення,
чи заражена їхня система, і видалення вірусу із системи.
Видалення вірусу
Видалення вірусу з зараженої комп’ютерної системи інколи вимагає
переінсталяції ОС з нуля, знищення файлів або видалення вірусу із
зараженого файла.
Будь-яка машина, підозрювана в зараженні вірусом, повинна бути негайно
відключена від мережі. Машина не підключається до мережі доти, покі
системні адміністратори не переконаються у знищенні вірусу. По
можливості повинні використовуватися комерційні антивірусні програми для
знищення вірусу. Якщо такі програми не можуть видалити вірус, усі
програми в комп’ютері треба видалити, включаючи завантажувальні записи
при необхідності. Усі ці програми повинні бути повторно встановлені з
надійних джерел і повторно перевірені на віруси. Зареєстровані
користувачі антивірусів можуть звернутися через електронну пошту до
фірми — виробника програми й одержати обновлення програми із засобами
видалення вірусу.
Нашли опечатку? Выделите и нажмите CTRL+Enter
