9.3. Засоби захисту інформаційних систем від вірусів

У зв'язку з можливістю зараження комп'ютерним вірусом ІС перед користувачами персональних комп'ютерів постають три проблеми:

1. Як відвернути зараження;

2. Як виявити вірус;

3. Як позбавитися від вірусу.

Відвернути зараження вірусом з високим ступенем ефективності можуть допомогти як елементарне дотримання правив “гігієни”, так і застосування деяких спеціальних засобів захисту, аналогами яких в традиційній медицині є марлеві пов'язки, противірусні щеплення і т.п.

Не вимагається багатої фантазії, щоб трансформувати традиційні правила медичної профілактики в правил “гігієни” для користувачів персональних комп'ютерів ІС. Перерахуємо основні з них.

1. Утримуйтесь від випадкових контактів і зв'язків, що виражаються в використанні чужих комп'ютерів і дискет, стерильність яких може ставитися під сумнів.

2. Зберігайте програми та дані на різних дискетах або в різних підкаталогах жорсткого диску. Дискети з програмами вставляйте в незнайомий комп'ютер, заздалегідь заклеївши стрічкою фольги прорізь маркера захисту даних або зробивши блокування.

3. Обмежуйте доступ до файлів програм, встановлюючи для них завжди, коли це можливо, статус “тільки для читання”.

4. Ніколи не копіюйте програми для власних потреб із випадкових дискет. Переписуйте програмне забезпечення з дисків-оригіналів, захищених від запису.

5. Не завантажуйте ОС в комп'ютер з випадкових дискет. Комп'ютери, що мають жорсткий диск, повинні завантажуватися з цього диску.

6. Присвоюйте імена всім дискам та звикайте контролювати ці імена при перегляді каталогу на екрані дисплею.

7. При роботі в мережі при можливості не викликайте програм з пам'яті інших комп'ютерів інформаційних систем.

8. Якщо необхідно попрацювати на чужому комп'ютері (наприклад, виконати високоякісний, швидкий, кольоровий друк), заздалегідь скопіюйте необхідні для цього програми і дані на спеціально виділені для таких випадків дискети.

Поряд з виконанням правил “гігієни” - це головне! - можна з достатньо високим ступенем ефективності попередити зараження, використовуючи спеціально розроблені для цієї мети програмні засоби - антивіруси. Виявити вірус по зовнішнім його признакам можна, використовуючи наступні основні признаки:

1. Операційна система завантажується довше, ніж звичайно.

2. Кількість звернень до дисків не відповідає функціям програми, що виконується або відмічаються звернення до дисків (загораються індикаторні лампи), коли їх бути не повинно.

3. Загадкові зникнення з диску програм і даних.

4. Неочікуване зменшення вільного обсягу диску або зміна його імені.

5. Уповільнене виконання програм.

6. Збільшення (зміна) обсягу файлів програм.

7. Поява на екрані неочікуваних звукових і графічних ефектів, незрозумілих повідомлень.

8. Зростання числа системних збоїв і випадків невірного виконання програм або команд вводу-виводу даних.

Якщо одна або декілька з перерахованих ознак має місце, та уточнити наявність зараження можна, використовуючи спеціально призначені для цього програмні засоби. Деякі з таких програм здатні встановити лише факт наявності вірусу або дати підставу підозрювати його присутність на диску, інші можуть точно встановити тип вірусу. Звичайно такі програми не тільки виявляють вірус, але і вилучають його з диску або виконують противірусне щеплення.

Методика використання антивірусних програм.

Перед використанням антивірусних програм вкрай бажано завантажитися з резервної копії DOS, що розміщена на заздалегідь чистій від вірусів захищеній від запису дискеті. Це необхідно для того, щоб застрахувати від присутності резидентного вірусу, бо він може блокувати роботу антивірусу або використати його роботу для інфікування файлів, що перевіряються. Перевантаження комп'ютера повинна бути холодним, оскільки деякі віруси “виживають” при теплому перевантаженні.

Бажано, щоб антивірусні програми, що використовуються для перевірки, були самих останніх версій. Бажано також, щоб хоча б одна з них була вітчизняного виробництва, оскільки процеси міграції вірусів в інші країни і міграція антивірусних програм займає досить великий час. Тому найбільш оперативно на появу нового вірусу реагують тільки вітчизняні антивірусні програми.

Якщо виявлені заражені файли, то слід: надрукувати їх список; якщо для цих файлів немає BACKUP-копії, те зберегти їх на дискеті; якщо відновлення файлів відбулося не цілком коректно, то їх слід знищити і переписати з BACKUP-копій; якщо ж копій немає, то відновити заражені файли з дискет і намагатися дезактивувати їх за допомогою іншого антивірусу.

Слід зазначити, що якість відновлення файлів багатьма антивірусними програмами залишає бажати кращого. Багато популярних антивірусів частенько необоротно псують файли замість їхнього лікування. Тому, якщо втрата файлів небажана, те виконувати перераховані вище пункти слід в повному обсязі.

Необхідно звертати особливу увагу на чистоту модулів, стислих утилітами типу LZEXE, PKLETE або DIET, файлів в архівах (ZIP, ARC, ICE, ARJ і т.д.) і даних в файлах, які розпаковуються самі, створених утилітами типу ZIP або EXE. Якщо випадково упакувати файл, заражений вірусом, то відкриття і вилучення такого вірусу без розпаковки файлу практично неможливо. В даному випадку типовою буде ситуація, при якій всі антивірусні програми повідомлять про те, що від вірусів очищені всі диски, але через деякий час вірус з'явиться знов.

Штами вірусу можуть проникнути і в BACKUP-копії програмного забезпечення при поновленні цих копій. Причому архіви та BACKUP-копії є основними постачальниками давно відомих вірусів. Вірус може роками “сидіти” в дистрибутивній копії якого-небудь програмного продукту і раптово з'явитися при установці програм на новому комп'ютері інформаційної системи.

Ніхто не може гарантувати повного знищення всіх копій комп'ютерного вірусу, оскільки файловий вірус може вразити не тільки файли, що виконуються, але і оверлайні модулі з розширенням імені, що відрізняються від COM або EXE. Завантажувальний вірус може залишитися на будь-якій дискеті і зненацька виявитися при випадковій спробі перевантажити з неї. Тому доцільно деякий час після вилучення вірусу постійно користуватися резидентним антивірусним монітором типу утиліти D. COM, що входить в комплекс <<Доктор >> Касперський". За допомогою резидентного монітору можна перехопити момент появи переважної більшості вірусів. Якщо вірус не резидентний, то монітор перехоплює звернення до файлів типу COM або EXE. Якщо вірус резидентний, то відслідковують зміни в блоках пам'яті і в таблиці векторів переривань. При цьому слід з'ясувати, як резидентний вірус виглядить на карті оперативної пам'яті, і після дезактивації вірусу переглянути карту пам'яті на предмет виявлення цього вірусу.

Загальні рекомендації.

Панацеї від комп'ютерних вірусів для ІС не існує і існувати не може. Однак дотримання наступних правил принаймні знизить ймовірність важких наслідків.

1. При лікуванні своїх дисків від вірусів намагайтеся використати заздалегідь чисту операційну систему, завантажену з дискети. Захищайте дискети від запису, якщо є хоча б мала ймовірність зараження.

2. Уникайте випадкових зв'язків. Намагайтеся користуватися тільки законними шляхами отримання програм.

3. Не збирайте колекції антивірусних програм невідомого призначення. По-перше, з ними можна отримати новий вірус, а, по-друге, як і в медицині, ілюзії небезпечні несвоєчасним початком дійсного лікування.

4. В момент запуску антивірусної програми AIDSTEST в пам'яті не повинно бути резидентних антивірусних програм типу FluShot, що блокують запис в програмні файли.

5. Оскільки AIDSTEST виявляє тільки вже відомі віруси, корисно мати і програму, що виявляє появу на диску нових вірусів. З відомих в наш час дискових ревізорів найбільш ефективним є, скоріш з все, ADINF, що за декілька секунд переглядає весь диск і повідомляє про всі підозрілі випадки. Розповсюджує ADINF та же організація, що і AIDSTEST.

Основні можливості.

Антивірусна програма AIDSTEST розроблена в Москві та призначена в основному для відкриття і виправлення програм, заражених певними типами вірусів, які відомі в наш час автору цієї програми. В процесі виправлення програмні файли, які неможливо виправити, стираються. Список постійно поповнюється по мірі появи в Москві нових вірусів. В AIDSTEST повідомленнях, що видаються, види вірусів довгий час позначувались літерами латинського алфавіту (інколи зі штрихами). Пропуски в алфавіті викликані тим, що низка вірусів була об'єднана в одну групу з новою позначкою. В останній час ця система позначок переглядається. Багато вірусів, приписуючись до модуля, спочатку округляють його довжину, в зв'язку з чим довжини, що наводяться в списку вірусів, можуть відрізнятися від величини зміни довжини файлу. Для зручності ідентифікації в протокол включена номінальна довжина вірусу. Крім того, при лікуванні видається різниця довжин до і після лікування.

Оскільки в останній час широке розповсюдження отримала програма SCAN, призначена для відкриття самої великої кількості вірусів, скрізь, де це можливо, приводиться назва вірусу в її класифікації.

Програму AIDSTEST можна використати і для відкриття вірусів нових типів. Для цього її слідує скопіювати на основний диск в добре доступну директорію і якнайчастіше запускати без параметрів (зокрема, в процедурі завантаження - AUTOEXEC. BAT), щоб вона виявилася однією з перших заражених і відразу повідомила про це. На жаль, є клас вірусів, зараження якими виявити майже неможливо, якщо його заздалегідь не знешкодити в пам'яті. Щоправда, розробка такого вірусу вимагає достатньо великого розуму, що звичайно поєднується з достатньою порядністю, щоб не займатися настільки мерзотною справою, тому є надія, що нові такі віруси будуть з'являтися не занадто часто.