Продолжается подписка на наши издания! Вы не забыли подписаться?

Лаборатория Касперского

Как защитить компьютер от вирусов?

Многочисленные эпидемии компьютерных вирусов, потрясшие мир за прошедший год, сделали проблему антивирусной защиты важнейшим элементом корпоративной политики в области информационных технологий и залогом эффективной работы каждого отдельного сотрудника. Ведущие антивирусные компании разрабатывают достаточно эффективные средства защиты от вирусов. Однако зачастую их обилие, сложность и отсутствие достаточно точного объяснения алгоритмов работы служат для пользователей дезориентирующими факторами. Вместе с тем, комбинирование различных антивирусных методов способно дать практически 100%-ную гарантию от возможности повреждения данных на компьютере по вине вирусов.

На сегодняшний день выделяется пять основных подходов к обеспечению антивирусной безопасности.

Во-первых, это классический сканер — пионер антивирусного движения, впервые появившийся на свет практически одновременно с самими компьютерными вирусами. Принцип его работы заключается в поиске в файлах, памяти и загрузочных секторах вирусных сигнатур, т.е. уникального программного кода вируса. Здесь возникает первая проблема, потому что малейшие модификации вируса могут сделать его невидимым для сканера. К примеру, существует несколько десятков вариантов вируса Melissa, и почти для каждого из них антивирусным компаниям приходилось выпускать отдельное обновление антивирусной базы. Последнее обстоятельство означает вторую проблему: все время между появлением вируса и выходом соответствующего обновления пользователь оставался практически не защищенным от атак новых вирусов. Позднее эксперты придумали и внедрили в сканеры оригинальный способ обнаружения неизвестных вирусов — эвристический анализатор, т.е. анализ кода программы на предмет возможного присутствия в нем компьютерного вируса. Однако данный метод характеризуется высоким уровнем ложных срабатываний, недостаточной надежностью и невозможностью вылечить обнаруженные вирусы. Наконец, третья проблема: антивирусный сканер проверяет файлы, только когда пользователь "попросит" его это сделать, т.е. запустит сканер. Это требует от пользователя постоянного внимания. Очень часто он забывает проверить сомнительный файл, загруженный, например, из Интернета и, в результате, своими руками заражает компьютер. Сканер способен определить факт заражения постфактум, т.е. уже после того, как в системе появится вирус.

Для устранения такой возможности был разработан второй вид антивирусных программ — антивирусные мониторы. По своей сути они являются разновидностью сканеров, которые постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

Третья разновидность антивирусов — ревизоры изменений (integrity checkers). Их принцип работы основан на снятии оригинальных "отпечатков" (CRC-сумм) с файлов и системных секторов. Эти "отпечатки" сохраняются в базе данных. При следующем запуске ревизор сверяет "отпечатки" с их оригиналами и сообщает пользователю о произошедших изменениях. У этого типа антивирусных программ тоже есть свои недостатки. Во-первых, ревизоры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. Во-вторых, они не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Этим пользуются некоторые вирусы, которые используют эту "слабость" ревизоров и заражают только вновь создаваемые файлы, оставаясь, таким образом, невидимыми для них. В-третьих, ревизоры требуют регулярного запуска,— чем чаще это будет происходить, тем надежнее будет контроль за вирусной активностью.

Необходимо также упомянуть четвертую разновидность антивирусных программ — иммунизаторы. Они делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: абсолютная неспособность обнаружить заражение stealth-вирусами (вирусами-невидимками), которые хитро скрывали свое присутствие в зараженном файле.

Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Файлы модифицируются таким образом, что вирус принимает их за уже зараженные. Например, чтобы предотвратить заражение COM-файла вирусом Jerusalem, достаточно дописать в его конец строку MsDos. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Второй тип иммунизации не может быть признан универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности файлов. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

Из-за описанных выше недостатков иммунизаторы не получили большого распространения и в настоящее время практически не используются.

Все перечисленные выше типы антивирусов не решают главной проблемы — защиты от неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитными перед ними до тех пор, пока антивирусные вендоры не разработают противоядия. Иногда на это требуется до нескольких недель. Все это время компании по всему миру имеют реальную возможность потерять важнейшие данные, от которых зависит их будущее.

Однозначно ответить на вопрос, что же делать с неизвестными вирусами, нам предстоит лишь в грядущем тысячелетии. Однако уже сейчас можно сделать прогноз относительно наиболее перспективных путей развития антивирусного программного обеспечения. На наш взгляд, таким направлением станет пятый вид антивирусов — поведенческие блокираторы. Именно они имеют реальную возможность со 100%-ной гарантией противостоять атакам новых вирусов.

Что такое поведенческий блокиратор? Это резидентная программа, которая перехватывает различные события и в случае "подозрительных" действий (действий, которые может производить вирус или другая вредоносная программа) запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор совершает не поиск сигнатуры, т.е. кода вируса, а отслеживает и предотвращает его действие. Идея блокираторов не нова. Они появились давно, однако эти антивирусные программы не получили широкого распространения из-за сложности настройки, требующей от пользователей глубоких знаний в области компьютерных технологий.

Давайте рассмотрим подробнее достоинства и недостатки поведенческих блокираторов. Теоретически блокиратор может предотвратить распространение любого как известного, так и неизвестного (написанного после блокиратора) вируса, предупреждая пользователя до того, как вирус заразит другие файлы или нанесет какой-либо вред компьютеру. Но вирусоподобные действия может производить и сама операционная система или полезные утилиты. Поведенческий блокиратор (здесь имеется в виду "классический" блокиратор, который используется для борьбы с файловыми вирусами) не может самостоятельно определить, кто же выполняет подозрительное действие — вирус, операционная система или какая-либо утилита, и вынужден спрашивать подтверждения у пользователя. Т.е. в конечном счете, решение зачастую принимает пользователь, который должен обладать достаточными знаниями и опытом, чтобы дать правильный ответ. В противном случае ОС либо утилита не сможет произвести требуемое действие, либо вирус проникнет в систему. Именно по этой причине блокираторы и не стали популярными: их достоинства зачастую становились их недостатками, они казались слишком навязчивыми своими запросами и пользователи просто удаляли эти программы. К сожалению, ситуацию сможет исправить лишь изобретение искусственного интеллекта, который сможет самостоятельно разобраться в причинах того или иного подозрительного действия.

Возвращаясь к макро-вирусам, необходимо заметить, что здесь ситуация совсем иная. Если рассматривать программы, написанные на наиболее распространенном макроязыке VBA, то тут можно с очень большой долей вероятности отличить вредоносные действия от полезных. В конце 1999 года "Лаборатория Касперского" разработала уникальную систему защиты от макро-вирусов пакета MS Office (версий 97 и 2000), основанную на новых подходах к принципам поведенческого блокиратора — AVP Office Guard. Благодаря анализу макро-вирусов, проведенному в процессе моделирования их поведения, были определены наиболее часто встречающиеся последовательности их действий. Это позволило внедрить в программу новую, высокоинтеллектуальную систему фильтрации действий макросов и с высокой долей достоверности выявлять те из них, которые представляют собой реальную опасность. Именно благодаря этому AVP Office Guard не столь "навязчив", как его файловые братья. Но, задавая меньше вопросов пользователю, этот блокиратор не стал менее надежным. Используя его, пользователь практически на 100 % защищен от макровирусов, как известных, так и еще не написанных.

AVP Office Guard перехватывает и блокирует выполнение даже многоплатформенных макро-вирусов, т.е. способных работать сразу в нескольких приложениях. Программа одинаково надежно предотвращает их действие в MS Word, Excel, Access (только версия 2000), PowerPoint.

AVP Office Guard контролирует работу макросов с внешними приложениями, в том числе с почтовыми программами. Тем самым полностью исключается возможность распространения макро-вирусов через электронную почту. Именно таким способом в марте этого года вирусы Melissa и Papa поразили десятки тысяч компьютеров по всему миру. AVP Office Guard, в отличие от обычных антивирусов, полностью решает эту проблему блокировкой доступа макросов к электронной почте.

Эффективность блокиратора была бы нулевой, если макро-вирусы могли бы произвольно отключать его. Именно это является одним из недостатков встроенной в приложения MS Office антивирусной защиты. В AVP Office Guard реализован новейший механизм противодействия атакам макро-вирусов на него самого, с целью его отключения и устранения из системы. Этот алгоритм делает невозможным снятие антивирусного блокиратора без вмешательства самого пользователя.

Использование AVP Office Guard избавляет пользователя от вечной головной боли по поводу загрузки и подключения новых обновлений антивирусной базы для защиты от новых макро-вирусов, потому что любой новый макро-вирус уже по определению будет перехватываться программой. Это означает, что ликвидируется наиболее опасный отрезок времени между появлением вируса и антивируса. Однажды установленный, он надежно защитит компьютер от макро-вирусов вплоть до выхода новой версии языка программирования VBA с реализацией новых функций, которые могут использоваться для написания вирусов.

Поведенческий блокиратор решает проблему обнаружения и предотвращения распространения макро-вирусов. Однако, по определению, он не предназначен для их удаления. Именно поэтому его необходимо использовать совместно с антивирусным сканером, который будет способен успешно уничтожить вирус. Блокиратор позволит безопасно переждать период между обнаружением нового вируса и выпуском обновления антивирусной базы для сканера, не прибегая к остановке работы компьютерных систем из-за боязни навсегда потерять ценные данные или серьезно повредить аппаратную часть компьютера.

В 1999 г. уже более 100 компаний-производителей программного обеспечения лицензировали макроязык VBA для использования в своих продуктах. Это означает, что макро-вирусы из MS Office будут без труда переноситься в новые приложения, которые Вы будете использовать, а, возможно, уже используете. Это, несомненно, увеличит угрозу, которой подвергаются Ваши данные. Поведенческий блокиратор является, на данный момент, наиболее эффективным средством решения этой проблемы. Мы прогнозируем, что с развитием компьютерных технологий, особенно в области разработки элементов искусственного интеллекта, значение, эффективность и простота использования блокираторов будут стремительно возрастать. Именно этот тип антивирусных программ в ближайшее время станет основным средством антивирусной защиты, обеспечивая ее наиболее ответственный передний край — блокировку проникновения и распространения новых, ранее неизвестных вирусов.

Денис Зенкин

Все журналы издательства k-press.ru с 1997 по 2000 год на одном CD


Здесь вы можете высказать свое мнение об этой статье или обсудить ее содержание с другими читателями. Убедительно просим воздержаться от обсуждения тем, выходящих за рамки обсуждаемой статьи и от употребления ненормативной лексики.

Ваши предложения и комментарии мы ожидаем по адресу: mag@rsdn.ru
Copyright © 1994-2002 Оптим.ру

Вы можете подписаться на наш журнал в любом отделении связи.
Индекс по объединенному каталогу агентства "Роспечать" - 73219.

Альтернативная подписка и курьерская доставка  - агентство "Интерпочта".
Телефоны в Москве:
(095)921-29-88(тел.-факс),
(095)921-08-34,
(095)921-11-38,
(095)921-11-42