Завдання

1. Сучасні системи захисту пошти в інтернеті.

2. Захист пошти від спаму

3. Захист корпоративних поштових систем

5. Аналіз антивірусних програм

Способи протидії комп'ютерним вірусам

Способи протидії комп'ютерним вірусам можна розділити на кілька груп: профілактика вірусного зараження і зменшення можливої шкоди від такої зараження;методика використання антивірусних програм, в тому числі знешкодження і видалення відомого вірусу; способи виявлення і видалення невідомого вірусу.

Найбільш ефективні в боротьбі з комп'ютерними вірусами антивірусні програми. Проте відразу хотілося б відзначити, що не існує антивірусів, що гарантують стовідсоткову захист від вірусів, і заяви про існування таких систем можна розцінити як або недобросовісну рекламу, або непрофесіоналізм. Таких систем не існує, оскільки на будь-який алгоритм антивіруса завжди можна запропонувати контр-алгоритм вірусу, невидимого для цього антивіруса (зворотне, на щастя, теж вірно: на будь-який алгоритм вірусу завжди можна створити антивірус).

Слід також звернути увагу на кілька термінів, що застосовуються при обговоренні антивірусних програм:

• «Хибна спрацьовування» (False positive) - детектування вірусу в незараженою об'єкті (файлі, секторі або системної пам'яті). Зворотний термін - «False negative», тобтонедетектірованіе вірусу в зараженому об'єкті.

• «Сканування за запитом» («on-demand») - пошук вірусів по запиту користувача. У цьому режимі антивірусна програма неактивна до тих пір, поки не буде викликана користувачем з командного рядка, командного файлу або програми-розкладу (system scheduler).

• «Сканування на-льоту» («real-time», «on-the-fly») - постійна перевірка на віруси об'єктів, до яких відбувається звертання (запуск, відкриття, створення і т.п.). У цьому режимі антивірус постійно активний, він присутній у пам'яті «резидентно» і перевіряє об'єкти без запиту користувача.

Антивірусні програми

Для виявлення, видалення і захисту від комп'ютерних вірусів розроблені спеціальні програми, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Сучасні антивірусні програми являють собою багатофункціональні продукти, що поєднують в собі як превентивні, профілактичні засоби, так і засоби лікування вірусів і відновлення даних.

Вимоги до антивірусних програм

Кількість і різноманітність вірусів велике, і щоб їх швидко і ефективно виявити, антивірусна програма повинна відповідати деяким параметрам.

Стабільність і надійність роботи. Цей параметр, без сумніву, є визначальним - навіть найкращий антивірус виявиться абсолютно марним, якщо він не зможе нормально функціонувати на вашому комп'ютері, якщо в результаті будь-якого збою в роботі програми процес перевірки комп'ютера не пройде до кінця. Тоді завжди є ймовірність того, що якісь заражені файли залишилися непоміченими.

Розміри вірусної бази програми (кількість вірусів, які правильно визначаються програмою). З урахуванням постійної появи нових вірусів база даних повинна регулярно оновлюватися - що толку від програми, не бачить половину нових вірусів і, як наслідок, створює помилкове відчуття "чистоти" комп'ютера. Сюди ж слід віднести і можливість програми визначати різноманітні типи вірусів, і вміння працювати з файлами різних типів (архіви, документи). Важливим також є наявність резидентного монітора, що здійснює перевірку всіх нових файлів "на льоту" (тобто автоматично, у міру їх запису на диск).

Швидкість роботи програми, наявність додаткових можливостей типу алгоритмів визначення навіть невідомих програмі вірусів (евристичне сканування). Сюди ж слід віднести можливість відновлювати заражені файли, не стираючи їх з жорсткого диска, а лише видаливши з них віруси. Важливим є також відсоток помилкових спрацьовувань програми (помилкове визначення вірусу в "чистому" файлі).

Багатоплатформність (наявність версій програми під різні операційні системи). Звичайно, якщо антивірус використовується тільки вдома, на одному комп'ютері, то цей параметр не має великого значення. Але ось антивірус для великої організації просто зобов'язаний підтримувати всі розповсюджені операційні системи. Крім того, при роботі в мережі важливим є наявність серверних функцій, призначених для адміністративної роботи, а також можливість роботи з різними видами серверів.

Характеристика антивірусних програм

Антивірусні програми поділяються на:

• програми-детектори

• програми-доктори

• програми-ревізори

• програми-фільтри

• програми-вакцини.

Програми-детектори забезпечують пошук і виявлення вірусів в оперативній пам'яті і на зовнішніх носіях, і при виявленні видають відповідне повідомлення.Розрізняють детектори універсальні і спеціалізовані.

Універсальні детектори в своїй роботі використовують перевірку незмінності файлів шляхом підрахунку та порівняння з еталоном контрольної суми. Недолік універсальних детекторів пов'язаний з неможливістю визначення причин викривлення файлів.

Спеціалізовані детектори здійснюють пошук відомих вірусів по їх сигнатурі (повторюваному ділянці коду). Недолік таких детекторів полягає в тому, що вони нездатні виявляти всі відомі віруси.

Детектор, що дозволяє виявляти кілька вірусів, називають полідетектором.

Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктора (фаги), не тільки знаходять заражені вірусами файли, але і "лікують" їх, тобто видаляють з файлу тіло програми вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до "лікування" файлів. Серед фагів виділяютьполіфаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів.

Враховуючи, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібне регулярне оновлення їх версій.

Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран відеомонітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри.

Програми-ревізори мають досить розвинуті алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми, що перевіряється від змін, внесених вірусом.

Програми-фільтри (сторожа) представляють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

• спроби корекції файлів з розширеннями СОМ і ЕХЕ;

• зміна атрибутів файлів;

• прямий запис на диск по абсолютному адресою;

• запис у завантажувальні сектори диска.

• завантаження резидентного програми.

При спробі будь-якої програми здійснити вказані дії "сторож" посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію. Програми-фільтри досить корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак вони не "лікують" файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх "настирливість" (наприклад, вони постійно видають попередження про будь-якій спробі копіювання виконуваного файла), а також можливі конфлікти з іншим програмним забезпеченням.

Вакцини (іммунізатори) - це резидентні програми, що запобігають зараження файлів. Вакцини застосовують, якщо відсутні програми-доктори, "лікуючі" цей вірус.Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.

Істотним недоліком таких програм є їх обмежені можливості щодо запобігання зараження від великої кількості різноманітних вірусів.

Методики антивірусних програм

Існує кілька основних методів пошуку вірусів, які застосовуються антивірусними програмами:

• Сканування

• Евристичний аналіз

• Виявлення змін

• Резидентні монітори

Антивірусні програми можуть реалізовувати всі перераховані вище методики, або тільки деякі з них.

Сканування

Сканування є найбільш традиційним методом пошуку вірусів. Воно полягає в пошуку сигнатур, виділених з раніше виявлених вірусів. Антивірусні програми-сканери, здатні видалити виявлені віруси, зазвичай називаються полифагами.

Недоліком простих сканерів є їх нездатність виявити поліморфні віруси, що повністю міняють свій код. Для цього необхідно використовувати більш складні алгоритми пошуку, що включають евристичний аналіз перевірених програм.

Крім того, сканери можуть виявити тільки вже відомі і попередньо вивчені віруси, для яких була визначена сигнатура. Тому програми-сканери не захистять ваш комп'ютер від проникнення нових вірусів, яких, до речі, з'являється по кілька штук на день. Як результат, сканери застарівають вже в момент виходу нової версії.

Евристичний аналіз

Евристичний аналіз найчастіше використовується спільно з скануванням для пошуку шифруються і поліморфних вірусів. У більшості випадків евристичний аналіз дозволяє також виявляти й раніше невідомі віруси. У цьому випадку, швидше за все їхнє лікування буде неможливо.

Якщо евристичний аналізатор повідомляє, що файл або завантажувальний сектор, можливо, заражений вірусом, ви повинні поставитися до цього з великою увагою.Необхідно додатково перевірити такі файли за допомогою самих останніх версій антивірусних програм сканерів або передати їх для дослідження авторам антивірусних програм.

Виявлення змін

Заражаючи комп'ютер, вірус робить зміни на жорсткому диску: дописує свій код в заражає файл, змінює системні області диска і т. д. На виявленні таких змін грунтуються робота антивірусних програм-ревізорів.

Антивірусні програми-ревізори запам'ятовують характеристики всіх областей диска, які можуть піддадуться нападу вірусу, а потім періодично перевіряють їх. У разі виявлення змін, видається повідомлення про те, що можливо на комп'ютер напав вірус.

Слід враховувати, що не всі зміни викликані вторгненням вірусів. Так, завантажувальна запис може зміниться при оновленні версії операційної системи, а деякі програми записують всередині свого здійсненного файлу дані.

Резидентні монітори

Антивірусні програми, постійно знаходяться в оперативній пам'яті комп'ютера і відслідковують всі підозрілі дії, виконувані іншими програмами, носять назву резидентних моніторів або сторожів. На жаль, резидентні монітори мають дуже багато недоліків, які роблять цей клас програм малопридатними для використання. Вони дратують користувачів великою кількістю повідомлень, по більшій частині не мають відношення до вірусного зараження, в результаті чого їх відключають.

Відновлення уражених об'єктів

У більшості випадків зараження вірусом процедура відновлення заражених файлів і дисків зводиться до запуску відповідного антивіруса, здатного знешкодити систему. Якщо ж вірус невідомий жодному антивірусу, то достатньо надіслати заражений файл фірмам-виробникам антивірусів і через деякий час (зазвичай - кілька днів або тижнів) отримати ліки-«апдейт» проти вірусу. Якщо ж час не чекає, то знешкодження вірусу доведеться провести самостійно.

Відновлення файлів-документів і таблиць

Для знешкодження Word і Excel досить зберегти всю необхідну інформацію у форматі не документів і не таблиць - найбільш слушним є текстовий RTF-формат, що містить практично всю інформацію з первинних документів і не містить макросів. Потім слід вийти з Word / Excel, знищити всі заражені Word-документи, Excel-таблиці, NORMAL.DOT у Word і всі документи / таблиці в StartUp-каталогах Word / Excel. Після цього слід запустити Word / Excel і відновити документи / таблиці з RTF-файлів.

У результаті цієї процедури вірус буде видалений з системи, а практично вся інформація залишиться без змін. Однак цей метод має ряд недоліків. Основний з них - трудомісткість конвертації документів і таблиць в RTF-формат, якщо їх число велике. До того ж у випадку Excel необхідно окремо конвертувати всі Листи (Sheets) у кожному Excel-файлі. Другий недолік - втрата невірусних макросів, які використовуються при роботі. Тому перед запуском описаної процедури слід зберегти їх вихіднийтекст, а після знешкодження вірусу - відновити необхідні макроси в первісному вигляді.

Відновлення файлів

У переважній більшості випадків відновлення заражених файлів є досить складною процедурою, яку неможливо виробити «руками» без необхідних знань - форматів виконуваних файлів, мови асемблера і т.д. До того ж зазвичай зараженими надиску виявляються відразу кілька десятків або сотень файлів і для їх знешкодження необхідно розробити власну програму-антивірус (можна також скористатися можливостями редактора антивірусних баз з комплекту AVP).

При лікуванні файлів слід враховувати наступні правила:

• необхідно протестувати і вилікувати всі виконувані файли (COM, EXE, SYS, OVL) в усіх каталогах всіх дисків незалежно від атрибутів файлів (тобто файли read-only, системні та приховані);

• бажано зберегти незмінними атрибути та дату останньої модифікації файлу;

• необхідно врахувати можливість багаторазового поразки файла вірусом («бутерброд» з вірусів).

Саме лікування файлу здійснюється в більшості випадків одним з декількох стандартних способів, що залежать від алгоритму розмноження вірусу. У більшості випадків це зводиться до відновлення заголовка файлу та зменшення його довжини.

Антивірусна профілактика

Необхідно завжди мати диск, записаний на не зараженому комп'ютері. На цей диск треба записати останні версії антивірусних програм-поліфагом, таких як Doctor Web або Antiviral Toolkit Pro. Крім антивірусних програм, на диск корисно записати драйвери зовнішніх пристроїв комп'ютера, наприклад драйвер пристрою читаннякомпакт-дисків, програми для форматування дисків - format і перенесення операційної системи - sys, програму для ремонту файлової системи Norton Disk Doctor або ScanDisk.

Диск буде корисний не тільки у разі нападу вірусів. Їм можна скористатися для завантаження комп'ютера в разі пошкодження файлів операційної системи.

Необхідно періодично перевіряти комп'ютер на зараження вірусами. Виконувати перевірку не лише здійсненних файлів, що мають розширення COM, EXE, але також пакетних файлів BAT і системних областей дисків.

Якщо в комп'ютері записано багато файлів, їх перевірка антивірусами-полифагами, швидше за все, буде забирати досить багато часу. Тому в багатьох випадках краще для повсякденної перевірки використовувати програми-ревізори, а нові і змінені файли піддавати перевірці полифагами.

Практично всі ревізори у разі зміни системних областей диска (головний запис завантаження і завантажувальної запису) дозволяють відновити їх, навіть у тому випадку якщо невідомо, який саме вірус їх заразив. Лікуючий модуль ADinf Cure Module навіть дозволяє видаляти невідомі файлові віруси.

Практично всі сучасні антивіруси можуть правильно працювати навіть на зараженому комп'ютері, коли в його оперативної пам'яті перебуває активний вірус. Однак перед видаленням вірусу все-таки рекомендується попередньо завантажити комп'ютер з диска, щоб вірус не змогла завадити лікуванню.

Коли відбувається завантаження комп'ютера з диска, слід звернути увагу на два важливих моменти.

По-перше, для перезавантаження комп'ютера треба використовувати кнопку Reset, розташовану на корпусі системного блоку, або навіть тимчасово вимкнути його харчування. Не використовувати для перезавантаження комбінацію з трьох відомих клавіш. Деякі віруси можуть залишитися в пам'яті навіть після цієї процедури.

По-друге, перед перезавантаженням комп'ютера з диска перевірити конфігурацію дискової підсистеми комп'ютера і особливо параметри дисководів і порядок завантаження операційної системи (повинна бути встановлена ​​пріоритетна завантаження з диска), записану в енергонезалежній пам'яті. Існують віруси, спритно змінюють параметри, записані в енергонезалежній пам'яті комп'ютера, в результаті чого комп'ютер завантажується з зараженого вірусом жорсткого диска, у той час як оператор думає, що завантаження відбувається з чистого диска.

Обов'язково перевіряти за допомогою антивірусних програм всі диски і всі програми, що надходять на ПК через будь-які носії або через модем. Якщо комп'ютер підключений до локальної мережі, необхідно перевіряти файли, отримані через мережу від інших користувачів.

З появою вірусів, що розповсюджуються через дії текстового процесора Microsoft Word та електронної таблиці Microsoft Excel, необхідно особливо уважно перевіряти не тільки виконувані файли програм і системні області дисків, але також і файли документів.

Вкрай важливо постійно стежити за виходом нових версій застосовуваних антивірусних засобів і своєчасно виконувати їх оновлення на диску і комп'ютері; використовувати для відновлення заражених файлів і системних областей диска тільки самі останні версії антивірусів.