Программно-технические методы обнаружения вирусов
Основным средством борьбы с вирусами были и остаются антивирусные программы.
Безусловно, их можно использовать, не имея представления о том, как они устроены. Однако
без понимания принципов устройства антивирусов, знания типов вирусов и способов их
распространения нельзя организовать надежную защиту компьютера.
Сегодня используется несколько основных методик обнаружения и защиты от вирусов:
сканирование;
эвристический анализ;
использование антивирусных мониторов;
обнаружение изменений;
использование антивирусов, встроенных в BIOS компьютера.
Кроме того, практически все антивирусные программы обеспечивают автоматическое
восстановление зараженных программ и загрузочных секторов (конечно, если это возможно).
Сканирование
Самая простая методика поиска вирусов заключается в том, что антивирусная программа
последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов.
Под сигнатурой понимается уникальная последовательность байтов, принадлежащая вирусу и не
встречающаяся в других программах.
Антивирусные сканеры способны найти только уже известные вирусы, для которых определена
сигнатура. Применение простых программ-сканеров не защищает компьютер от проникновения
новых вирусов.
Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при
заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру,
поэтому антивирусные сканеры их не обнаруживают.
Эвристический анализ
Эвристический анализ позволяет обнаруживать неизвестные ранее вирусы, причем для этого не
надо собирать данные о файловой системе (как этого требует, например, рассмотренный ниже
метод обнаружения изменений).
Антивирусные программы, реализующие метод эвристического анализа, проверяют программы
и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для
вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа
устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл
программы. Практически все современные антивирусные программы реализуют собственные
методы эвристического анализа. В качестве примера такой программы назовем сканер McAffee
VirusScan.
Обнаружив зараженный файл, антивирус обычно выводит сообщение на экране монитора и
делает запись в собственном или системном журнале. В зависимости от настроек, антивирус
может также направлять сообщение об обнаруженном вирусе администратору сети.
Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном
случае предлагается только одна возможность - удалить зараженный файл и восстановить его
из резервной копии.
Антивирусные мониторы
Существует целый класс антивирусных программ, которые постоянно находятся в памяти
компьютера и отслеживают все подозрительные действия, выполняемые другими программами.
Такие программы носят название антивирусных мониторов, или сторожей.
Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и
сохраняемые документы, файлы программ и документов, полученные через Интернет или
скопированные на жесткий диск с дискеты либо компакт диска. Антивирусный монитор сообщит
пользователю, если какая-либо программа попытается выполнить потенциально опасное
действие.
Пример такой программы - сторож Spider Guard, который входит в комплект сканера Doctor Web,
разработанного Игорем Даниловым ( http://www.drweb.ru ), и выполняет функции антивирусного
монитора.
Обнаружение изменений
Заражая компьютер, вирус изменяет содержимое жесткого диска: например, дописывает свой
код в файл программы или документа, добавляет вызов программы-вируса в файл
AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. Однако "бестелесные"
вирусы, обитающие не на диске, а в памяти процессов ОС, таких изменений не делают.
Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по
сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые
могут подвергнуться нападению, а затем периодически проверяют их (отсюда и название -
программы-ревизоры). Ревизор может найти изменения, сделанные как известным, так и
неизвестным вирусом.
В качестве примеров ревизоров диска можно привести программу Advanced Diskinfoscope
(ADinf), разработанную в ЗАО "ДиалогНаука" ( http://www.dials.ru , http://www.adinf.ru ), и ревизор
AVP Inspector производства ЗАО "Лаборатория Касперского" ( http://www.kaspersky.ru ).
Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует
собранную ранее информацию о файлах для их восстановления после поражения неизвестными
вирусами. В состав ревизора AVP Inspector также входит лечащий модуль, способный удалять
вирусы.
Защита, встроенная в BIOS компьютера
В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов.
Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких
дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа пытается
изменить содержимое загрузочных секторов, срабатывает защита, и пользователь получает
соответствующее предупреждение.
Однако эта защита не очень надежна. Существуют вирусы (например, Tchechen.1912 и 1914),
которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в
энергонезависимой памяти (CMOS-памяти) компьютера.
Защита корпоративной интрасети
Корпоративная интрасеть может насчитывать сотни и тысячи компьютеров - рабочих станций и
серверов. Эта сеть обычно подключена к Интернету, и в ней имеются почтовые серверы,
серверы систем автоматизации документооборота, а также нестандартные информационные
системы.
Для надежной защиты корпоративной интрасети необходимо установить антивирусы на все
рабочие станции и серверы. Что касается рабочих станций, их можно защитить обычными
антивирусными сканерами и мониторами. На файл-серверах, серверах электронной почты и
систем документооборота следует использовать специальное серверное антивирусное ПО. В
частности, для них разработаны специальные антивирусные прокси-серверы и брандмауэры,
сканирующие проходящий через них трафик и удаляющие из него вредоносные программные
компоненты.
Защита файловых серверов
Защита файловых серверов должна осуществляться с использованием антивирусных
мониторов, способных автоматически проверять все файлы сервера, к которым обращаются по
сети. Антивирусы, предназначенные для защиты файловых серверов, выпускают все
антивирусные компании.
Защита почтовых серверов
Антивирусные мониторы неэффективны для обнаружения вирусов в почтовых сообщениях. Для
этого необходимы специальные антивирусы, способные фильтровать трафик SMTP, POP3 и
IMAP, исключая попадание зараженных сообщений на рабочие станции пользователей.
Для защиты почтовых серверов можно приобрести антивирусы, специально предназначенные
для проверки почтового трафика, или подключить к почтовому серверу обычные антивирусы,
допускающие работу в режиме командной строки.
Демон антивируса Doctor Web можно интегрировать со всеми наиболее известными почтовыми
серверами и системами (например, Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail и
Zmailer). Аналогичные средства предоставляются "Лабораторией Касперского" в составе пакета
Kaspersky Corporate Suite.
Почтовый сервер MERAK Mail Server допускает подключение внешних антивирусов различных
типов, имеющих интерфейс командной строки. Некоторые почтовые серверы (например, EServ)
поставляются со встроенным антивирусом.
Можно также дополнительно проверять трафик POP3 на рабочих станциях пользователей. Это
делает, например, антивирусный прокси-сервер SpIDer Mail для протокола POP3, который можно
приобрести вместе с антивирусом Doctor Web.
Защита серверов систем документооборота
Серверы систем документооборота, такие, как Microsoft Exchange и Lotus Notes, хранят
документы в базах данных собственного формата. Поэтому использование обычных файловых
сканеров для антивирусной проверки документов не даст никаких результатов.
Существует ряд антивирусных программ, специально предназначенных для антивирусной
защиты подобных систем. Это Trend Micro ScanMail для Lotus Notes, McAfee GroupScan и McAfee
GroupShield, Norton Antivirus для Lotus Notes, антивирус Касперского Business Optimal для
Microsoft Exchange Server и некоторые другие.
Эти программы сканируют почту и файлы вложений, удаляя в реальном времени все
вредоносные программы, обнаруживают макрокомандные вирусы и троянские программы в
формах и макросах, в файлах сценариев и в объектах OLE. Проверка выполняется в режиме
реального времени либо по требованию.
Защита нестандартных информационных систем
Для антивирусной защиты нестандартных систем, хранящих данные в собственных форматах,
необходимо либо встраивать антивирусное ядро в саму систему, либо подключать внешний
сканер, работающий в режиме командной строки.
Например, ядро антивируса Doctor Web было использовано в ФГУП "НПО машиностроения" для
защиты системы документооборота, созданной на базе собственной технологии Sapiens ( http://
wwwnpomit.ru ). Это ядро проверяет всю информацию, сохраняемую системой в базе данных.
Как разработчик информационных систем для ответственного применения "НПО
машиностроения" снабдило антивирусной защитой такие свои разработки, как "Sapiens
Регистрация и контроль исполнения документов", "Sapiens Мониторинг вычислительных
ресурсов", "Sapiens Электронный архив конструкторской документации".
Установка персональных брандмауэров
Корпоративная сеть, подключенная к Интернету, должна быть защищена от атак хакеров при
помощи брандмауэра. Однако можно дополнительно защитить рабочие станции и серверы сети,
установив на них персональные брандмауэры, такие, как AtGuard (рис. 1).
Fig.1 Рис. 1. Настройка персонального брандмауэра AtGuard.
Помимо фильтрации нежелательного трафика, некоторые персональные брандмауэры способны
защитить компьютер от троянских апплетов Java и элементов управления ActiveX. GrinA Hack.