Помоги проекту - поделись книгой:
Рис. 1.2. Рабочее окно программы LanSafety
Желательно использовать файловую систему NTFS, которая позволит разграничить доступ к ресурсам вашего компьютера и усложнит процесс локального взлома базы SAM.
Ранние версии Microsoft Word и Microsoft Ехсеl вместе с открытием документа автоматически запускали сценарии, написанные на языке Visual Вasic for Аррlication, что приводило к заражению компьютера макровирусами. Последние версии этих приложений запрашивают у пользователя подтверждение запуска сценариев.
Это далеко не все мероприятия, которые нужно выполнить для повышения уровня безопасности работы на компьютере. Обязательно следует установить антивирус, включить брандмауэр и использовать другие программы, о которых будет рассказано в следующих главах.
Социальный инжиниринг
Среди специалистов по информационной безопасности распространено мнение, что компьютерная защита – это постоянная борьба с глупостью пользователей и интеллектом хакеров. Отсюда следует, что наиболее уязвимое звено в защите – человек. Существуют и системные уязвимости, которые становятся источником массовых эпидемий (достаточно вспомнить червь Lovsan aka W32. Blaster, использовавший уязвимость в RPC DCOM). Здесь, к сожалению, пользователь бессилен, и бороться с этим можно либо постоянно устанавливая всевозможные заплатки, либо сменив операционную систему на более безопасную, а от последствий действий пользователя порой не спасет ничто.
Внимание!
Часто пользователь становится источником своих же проблем: будьте внимательны при работе с письмами неизвестных отправителей, пользуйтесь антивирусом и брандмауэром.
Разработчики вирусов используют те же приемы, что и маркетологи, и всегда найдется хотя бы один человек из ста, который, несмотря на предупреждения, сочтет полученное неизвестно от кого письмо безопасным и откроет его, понадеявшись на защиту антивируса. Для достижения цели вирусописатели (как, впрочем, и другие мошенники, в том числе и в реальном мире) используют человеческие слабости:
• недостаточную подготовку;
• желание выделиться;
• тягу мгновенно разбогатеть или получить что-то даром;
• жалость и милосердие;
• желание посмотреть «интересные» картинки;
• интерес к продукту, который нужен некоторой части населения или который невозможно достать;
• интерес к методикам быстрого обогащения с помощью финансовых пирамид, суперидеям для успешного ведения бизнеса или беспроигрышной игры в казино;
• доверие к заплаткам, якобы направленным пользователю заботливым сотрудником компании Microsoft.
В последнее время начали появляться ложные сообщения от сотрудника антивирусной компании о вирусе, якобы найденном в отправленном пользователем сообщении, или о начале новой эпидемии. Чтобы обезопасить пользователя, «доброжелатель» прикрепляет к письму файл, с помощью которого этот вирус можно удалить. После запуска этого файла на компьютере будет установлен троянец. Чтобы не вызвать подозрение пользователя, в письме часто обращаются совсем к другому человеку. При этом в теме сообщения может говориться, что «найден классный сайт, продающий дешевый товар»; к самому письму могут прикрепляться фотографии «со студенческой вечеринки» с просьбой «никому не показывать»; в письме может быть ссылка на «очень нужную программу» и т. д. Это делается, чтобы убедить получателя, что письмо попало к нему случайно, но информация может быть для него интересной.
Пожалуй, единственным путем распространения вирусов через ICQ является передача файлов, поэтому необходимо быть очень осторожным с предложениями загрузить файл от постороннего человека.
Операционная система не всегда способна правильно выдать информацию о запускаемом файле. По умолчанию Microsoft Windows не показывает зарегистрированные расширения имен. В результате имя файла foto.jpg.ехе будет показано как foto.jpg. Для маскировки реального расширения применяется двойное расширение вроде xxx.jpg.exe (в данном случае может помочь то, что некоторые почтовые серверы отказываются пропускать исполняемые файлы) или добавляется большое количество пробелов, из-за чего имя файла отображается не полностью.
Совет
Включите отображение расширения файлов, выполнив команду Сервис → Свойства папки и сняв флажок Скрывать расширение для зарегистрированных типов файлов на вкладке Вид.
Значки – это отдельная тема. Большинство пользователей до сих пор думают, что запускаемую программу определяет значок. Щелкнув на значке с изображением калькулятора, они ожидают, что запустится именно калькулятор, а не какой-нибудь W32.Bagle-А. Этим пользуются злоумышленники: высылают файл с двойным расширением типа creditcard.doc.exe и значком, обычно используемым для документов Microsoft Word. Второе расширение чаще всего скрыто, и пользователь не сомневается, что по почте пришел именно текстовый документ.
В ближайшее время компьютерная грамотность вряд ли достигнет уровня, когда можно будет забыть о человеческом факторе, поэтому един ственный совет, который можно дать, – будьте бдительны и внимательны, критически относитесь к различным предложениям и не открывайте подозрительные письма.
Глава 2
Антивирусные программы
Принцип работы антивируса
Компоненты современного антивируса
Известные антивирусные программы
Программы для поиска руткитов
В первой главе вы ознакомились с опасностями, которые подстерегают компьютер во время работы. Теперь следует научиться бороться с ними.
2.1. Принцип работы антивируса
Пользователь часто может сам обнаружить присутствие вируса на компьютере. Например, о заражении системы почтовым червем Email-Worm.Win32.NetSky.b можно судить по возрастанию загрузки процессора до 90 % и активной работе жесткого диска (в результате деятельности червя в различных каталогах создается около 2,5 тыс. файлов).
Однако так бывает не всегда, поэтому лучше поручить обнаружение вирусов специализированным программам, тем более что иногда признаки, которые пользователь расценивает как результат действия вируса, могут характеризовать системные или аппаратные сбои.
Для борьбы с компьютерными вирусами применяются антивирусные программы. История развития антивирусов – это смена поколений программ, когда устаревшие методы борьбы заменяются более эффективными технологиями. Появление новых вирусов, использующих неизвестную брешь в операционной системе или новый механизм размножения, делает неэффективными старые технологии обнаружения. Это влечет за собой адекватные действия со стороны разработчиков антивирусных программ, направленные на нейтрализацию угрозы. Так было до появления первого бестелесного вируса, который не образовывал файлы. Возникла необходимость проверки архивов, электронной почты, макросов документов Microsoft Office, поэтому исчезли иммунизаторы, которые были популярны в начале истории персональных компьютеров.
Примечание
Иммунизаторы могли сообщить о заражении либо блокировать попытку заражения файла определенным вирусом, но они не получили широкого распространения и в настоящее время практически не используются.
Прежде чем приступить к рассмотрению работы конкретных антивирусных программ, следует познакомиться с некоторыми принципами их работы. Основываясь на них, вам будет легче ориентироваться при выборе нужного решения, видеть реальные возможности антивируса, его слабые и сильные стороны. Можете пропустить этот раздел и вернуться к нему позже.
Сигнатурный анализ
Одной из основных частей любого антивируса является движок, или ядро, – модуль, который отвечает за обнаружение вредоносных программ. Именно от его эффективности и используемых методов поиска зависит качество работы антивируса и возможности обнаружения вирусов и других зловредных программ.
Для детектирования вирусов в каждом движке реализовано несколько технологий. Самые известные из них –
Неизвестный вирус пройдет через такой детектор незамеченным. На анализ и выработку сигнатуры нового вируса уходит некоторое время, в течение которого любой компьютер беззащитен. Ошибка при выборе сигнатуры может привести к тому, что подозрение может пасть на незараженный файл. Такие случаи нельзя назвать редкими: однажды подозрение пало на программу Punto Switcher, которая находилась на компакт-диске, приложенном к журналу. Антивирус Avast! находил в этом файле троянца. Проверки с помощью других антивирусов показывали, что файл чист.
Совет
Антивирус может ошибаться, обнаруживая в чистом файле вирус или не замечая существующий вирус. В случае сомнения для проверки файла можно воспользоваться любым доступным онлайн-антивирусом.
Каждый разработчик антивирусной программы, как правило, имеет на своем сайте функцию онлайн-проверки; есть сервисы, проверяющие файл сразу несколькими антивирусами. Например, сервис Virustotal (http://www.virustotal.com/en/indexf.html) позволяет проверить подозрительный файл с помощью 32 различных антивирусов. Я отправил для проверки файл, зараженный не самым старым трояном. В результате вирус обнаружили только 17 из 32 антивирусов (рис. 2.1).
Рис. 2.1. Проверка файла в Virustotal
Еще одно неудобство сигнатурного метода связано с тем, что пользователь вынужден постоянно обновлять антивирусные базы, размер которых иногда велик. Если этого не делать, компьютер может оказаться незащищенным. Сначала для определения эффективности антивируса кроме других показателей руководствовались количеством записей в антивирусной базе. Однако время показало, что иногда разработчики антивирусного программного обеспечения заносят в базу приложения, не относящиеся к вирусам, в том числе безвредные. Производители часто используют для подсчета количества записей разные методики, например модификации одного вируса считают как несколько вирусов и наоборот, поэтому в последнее время критерием качества работы является скорость реакции антивирусной компании по занесению нового вируса в базу. Чем быстрее генерируется новая сигнатура, тем лучше защищен пользователь.
Разная скорость работы антивирусных лабораторий привела к тому, что сегодня стали появляться решения, имеющие два и более ядра, выполненные различными производителями. Это снижает производительность системы (проверка несколькими ядрами требует больших ресурсов), однако безопасность превыше всего.
Эвристика
Когда новые вирусы начали появляться почти ежедневно, эксперты задумались, как это остановить. В результате были созданы две технологии:
В процессе работы эвристический анализатор проверяет код приложений, макросов и сценариев и пытается найти в них подозрительные команды или действия. Если количество последних превысит некий барьер, можно сделать вывод об их вирусном происхождении.
Наиболее эффективны
С помощью блокиратора можно обнаружить:
• некоторые полиморфные вирусы;
• руткиты;
• попытки внедрения одной программы в другую.
Блокиратор также контролирует целостность системных файлов и реестра
Windows и при необходимости производит откат.
При обнаружении подозрительных моментов пользователю часто выдается запрос о дальнейших действиях. Если пользователь недостаточно подготовлен, чтобы разобраться в проблеме, он может принять неправильное решение, что обесценит защиту. Идеально работающего эвристического анализатора еще не существует. Эта технология часто ошибается, пропуская вирус или, наоборот, подозревая безобидную программу. Разработчики поведенческих блокираторов и эвристических анализаторов составляют набор правил на основе изучения вредоносных программ и также могут ошибаться. У злоумышленников всегда есть возможность изучить реакцию системы защиты и выработать алгоритм заражения, при котором защита не сработает.
Внимание!
Многочисленные тесты показывают, что ни одна антивирусная программа не может обнаружить все вирусы, поэтому всегда существует вероятность, что вирус будет пропущен. Однако есть шанс, что пропущенное вредоносное приложение остановит система защиты антивируса.
Стоит также отметить, что часто разработчики связаны слабыми возможностями движка, которому приходится поддерживать антивирусные базы, поэтому эвристику и поведенческие блокираторы в антивирусах следует рассматривать не как основные, а как дополнительные средства обнаружения, часто усеченные по возможностям.
2.2. Компоненты современного антивируса
Сегодняшний антивирус состоит из нескольких компонентов, каждый из которых отвечает за обнаружение вирусов на определенном участке работы.
В процессе развития состав этих компонентов изменялся, добавлялись новые и удалялись не отвечающие требованиям времени.
• Первый и основной антивирусный компонент –
До недавнего времени практически все тесты антивирусов включали время, за которое антивирусный сканер проверял жесткий диск компьютера, и количество выявленных вирусов. Компании – разработчики антивирусов шли на различные хитрости. Например, известна история, что в антивирусе Dr. Solomon был специальный режим для работы с тестовыми коллекциями, позволявший ему побеждать. Сейчас скорость работы не является основным показателем, главное – это качество выявления вирусов. Чтобы несколько раз не проверять файлы, которые не изменялись со времени предыдущей проверки, сканеры ведут специальную базу данных.
• Пользователи часто забывают проверять принесенные дискеты и диски. Именно по этой причине был разработан страховочный компонент антивируса –
В отличие от сканера, монитор постоянно находится в оперативной памяти и автоматически проверяет файлы в реальном времени. Когда пользователь пытается запустить программу, монитор перехватывает запрос, проверяет файл на наличие вирусов и, если он чист, разрешает дальнейшее выполнение. Одни мониторы контролируют файлы только в процессе запуска, другие проверяют все, с чем работает пользователь, а также изменяемые и закрываемые файлы.
Совет
Обязательно проследите, чтобы в используемом антивирусе был включен монитор, так как он автоматически проверяет все файлы, с которыми вы работаете.
Первое время в составе антивирусов были только
В составе антивирусов могут быть также другие мониторы, контролирующие отдельные приложения (например, Microsoft Office) или сервисы.
Монитор предоставляет пользователю большую безопасность и очень удобен, так как предупреждает пользователя только когда сталкивается с проблемой, а все проверки происходят незаметно. Однако именно монитор нагружает систему, часто вызывая раздражение пользователя, и становится причиной отключения антивируса, чтобы он не мешал работе. Работа монитора часто является определяющей при выборе антивируса, так как в различных решениях он по-разному нагружает систему.
• Еще один компонент антивируса –
2.3. Известные антивирусные программы
Ознакомимся подробнее с настройкой трех антивирусных программ: коммерческого «Антивируса Касперского» и бесплатных AVG Free Edition и Avast! Home Edition.
«Антивирус Касперского» (http://www.kaspersky.ru/) – самая популярная антивирусная программа, которая побеждает во многих сравнительных тестах. Она располагает одним из лучших эвристических анализаторов: компанияразработчик оперативно реагирует на появление новых вирусов, добавляя их сигнатуры в антивирусную базу. Недавно была выпущена новая версия этого приложения – «Антивирус Касперского 7.0».
AVG Free Edition (http://www.grisoft.com) – бесплатный антивирус чешского производства для некоммерческого домашнего использования. Его базовая версия обладает отличной функциональностью, а версия Free представляет собой полноценный антивирус со всеми модулями и настройками, а не усеченный вариант, каким обычно делают бесплатные версии своих программ компании с целью привлечения внимания пользователей к основному продукту. Неоднократно AVG Free Edition отмечался экспертами независимой лаборатории ICSA (International Computer Security Association – Международная ассоциация по компьютерной безопасности (http://www.icsalabs.com/)), и Virus Bulletin (http://www.virusbtn.com/). Я сам на протяжении пяти лет пользуюсь исключительно AVG Free Edition. Монитор этой программы практически не нагружает систему; некоторые возможности по обнаружению вирусов впервые появились именно в этом антивирусе.
Avast! Home Edition (http://www.avast.com) – еще один бесплатный антивирус чешского производства, который благодаря понятному интерфейсу и развитым функциям при простоте настроек пользуется заслуженной популярностью у домашних пользователей.
Параметры этих антивирусов типичны. Интерфейсы «Антивируса Касперского» и Avast! Home Edition локализованы, AVG Free Edition – нет, поэтому после знакомства с этими программами вы сможете по аналогии освоить любой другой антивирус.
Во время написания данного раздела я просканировал всю коллекцию файлов на своем и других компьютерах локальной сети с помощью трех описываемых антивирусных программ. Они нашли примерно одинаковое количество подозрительных файлов, однако результат частично не совпал – были выведены
«Антивирус Касперского»
В 2007 году «Лабораторией Касперского» была выпущена новая версия известного антивируса – «Антивирус Касперского 7.0». Если в предыдущих версиях основной упор делался на сигнатурный поиск вирусов, то здесь разработчики используют все известные технологии защиты от известных и новых интернетугроз – как традиционные (проверка по базам сигнатур), так и новые, относящиеся к проактивным технологиям (эвристический анализатор и поведенческий блокиратор).
Существенно изменилась функциональность антивируса. Еще в версии 6.0 в этот антивирус была добавлена проверка сетевого трафика. Теперь просмотр веб-страниц, работа с электронной почтой, общение в сетях мгновенного обмена сообщениями происходит под защитой антивируса. Предусмотрены плагины и лечение вирусов в базах популярных почтовых программ (Microsoft Outlook, Microsoft Outlook Express и The Bat!), и улучшены алгоритмы обнаружения клавиатурных шпионов и руткитов.
Продолжительность проверки жесткого диска всегда вызывала нарекания пользователей, а загрузка системы не позволяла параллельно работать на компьютере. Еще в версии 6.0 появились новые технологии iChecker и iSwift, использование которых сокращает время проверки диска и загрузки системы. Теперь также можно проверять новые и измененные файлы. Программа подстраивается под работу пользователя и при увеличении нагрузки может временно приостановить проверку.
Для работы с версией 7.0 потребуется компьютер, работающий под управлением Windows 2000 Professional, Windows XP или Windows Vista.
Если вы скачали программу в Интернете, ее установка заключается в запуске исполняемого файла – самораспаковывающегося архива. Если вы приобрели ее на компакт-диске, следует запустить установочный файл оттуда. Кроме имени файлов, других различий при установке разных версий антивируса нет.
После запуска программа установки проверит ваши права на инсталляцию и наличие необходимых системных компонентов. Если необходимые требования не удовлетворены, на экране появится соответствующая информация. Если все в порядке, откроется окно приветствия (рис. 2.2).
Рис. 2.2. Окно приветствия мастера установки программы
Программа установки выполнена в виде пошагового мастера, каждое окно которого позволяет контролировать определенный параметр посредством нескольких кнопок:
• Далее (на некоторых этапах эта кнопка называется Установить) – подтверждение текущего действия и переход к следующему этапу установки;
• Назад – возврат к предыдущему этапу без выхода из программы инсталляции;
• Отмена – отказ от процедуры установки;
• Справка – получение справочной информации о текущем этапе;
• Сброс – сброс настроек в исходное состояние.
Нажмите кнопку Далее и перейдите к этапу выбора лицензионного соглашения. Прочитайте его внимательно: компания оговаривает не только обязанности пользователя, но и свои. Например, в случае обнаружения неизвестного вируса она обязуется выпустить обновление для антивирусной базы в течение 48 часов. Это означает, что компьютер останется без защиты на двое суток. Будем надеяться, что реально этот срок меньше. Выберите Я принимаю условия лицензионного соглашения и нажмите Далее.
Выбор варианта Быстрая установка позволит установить все компоненты антивируса с параметрами по умолчанию, что рекомендуется для начинающих. Опытные пользователи могут обратиться к варианту Выборочная установка, в котором можно выбирать отдельные компоненты и каталог для установки антивируса. Любой компонент антивируса можно отключить в процессе работы, поэтому нажмите Быстрая установка и подтвердите выбор нажатием кнопки Далее (рис. 2.3).
Поделиться книгой: