Антивирусная защита

Определение и разновидности вредоносных программ

Существует множество определений самого понятия «компьютерный вирус». Мы будем использовать самое широкое определение, включающее в себя как традиционные вирусы, распространяющиеся самокопированием, так и вредоносные программы, попадающие на компьютер после определенных действий пользователя.

Компьютерный вирус — разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Изначально большая часть вирусов создавалась из профессионального любопытства, баловства, желания навредить, иногда даже с благими намерениями. В современных реалиях основная задача разработчиков вредоносного ПО — заработать деньги, поэтому целью большинства современных вредоносных программ является несанкционированный сбор и передача информации, обман пользователя с целью вынудить заплатить деньги, использование компьютера пользователя в распределенных DoS-атаках на конкретные узлы.

Классификация вирусов по каким-то типам — очень сложная задача, современные вирусы могут распространяться различными путями, использовать разные механизмы маскировки и воздействия на компьютер, попробуем привести классификацию вирусов по их внешним проявлениям:

  • Вирусы-невидимки. Обычно не вызывают заметных для пользователя изменений. Повреждение системы минимально, обусловлено необходимостью функционирования вируса. Задача таких вирусов — сбор данных (пароли к e-mail, ICQ, блогам, платежным системам), участие в массовых атаках на выбранные сервера, выполнение определенных задач на компьютере пользователя по команде с управляющего сервера.
  • Вирус-шантажисты. До определенного момента не показывают себя, чтобы пользователь не смог определить путь попадания вируса, проявляются обычно ограничением функциональности операционной системы и требованием произвести оплату тем или иным способом для снятия блокировки/ограничения. Зачастую такие программы блокируют доступ в Интернет, возможность запуска диспетчера задач, антивирусов. После удаления вируса последствия устранить не так просто в большинстве случаев.
  • Программы рекламного характера (adware). Вирус, который пытается спровоцировать пользователя на посещение той или иной страницы в интернете путем подмены адресов сайтов, выдачи в поисковых системах; через навязчивую демонстрацию рекламных окон, замену домашней страницы в браузере.
  • Классические вирусы. В эту группу можно отнести вирусы, чьей задачей является самораспространение, самокопирование, без преследования каких-либо дополнительных целей на компьютере пользователя. В отдельную подгруппу здесь можно выделить файловые черви, создающие множество собственных копий на компьютере, подменяющие exe-файлы. Наиболее явно проявляются по замедлению работы компьютера, появлению различных сбоев и ошибок системы, невозможности запуска программ.

Способы распространения

Основные пути распространения вирусов:

  • Электронная почта. Вирусы распространяются обычно путем рассылки спама, содержащего инфицированные вложения, ссылки на зараженные сайты.
  • Системы мгновенных электронных сообщений, социальные сети. Ссылки на зараженные сайты от имени знакомых пользователей, спам.
  • Переносные носители информации (USB-носители, карты памяти, внешние жесткие диски).Вирус обычно прописывает себя в автозагрузке зараженного носителя и запускается при подключении устройства к компьютеру.
  • Распространение по сети. Вирус распространяется путем поиска в сети уязвимых машин и заражения компьютера без участия пользователя.
  • Сайты. Вирус попадает на компьютер как при посещении страницы с вредоносным содержанием, так и при установке пользователем с какого-либо сайта приложения, маскирующегося под полезное.
  • Файлообменные сети, файлохранилища. В файлообменных сетях типа DC и eDonkey достаточно сложно проверить подлинность и безопасность скачиваемых файлов, некоторые файловые архивы созданы специально для привлечения внимания пользователя наличием нелегального контента, иногда вместо реального файла можно загрузить и запустить вредоносное ПО.

Методы защиты (для ОС Windows)

Вирусы, появившись в сети, не сразу попадают в базы антивирусных программ, эвристический анализ до сих пор недостаточно эффективен. Ни одна антивирусная программа сама по себе не обеспечивает полную безопасность, для защиты компьютеры от заражения приходится учитывать множество факторов.

  • Регулярное обновление операционной системы. Любая ОС - сложный комплекс из многих тысяч программ и, несмотря на все усилия разработчиков, создать полностью безопасную систему не получается. Регулярно появляется информация о новых уязвимостях для «закрытия» которых выпускают обновления. Пренебрежение обновлениями очень опасно, далеко не во всех случаях антивирус помогает защитить давно не обновляемую ОС от проникновения вредоносных программ.
  • Использование регулярно обновляемой антивирусной программы.Задача антивируса - защита компьютера от вирусов в режиме реального времени, обнаружение и удаление вредоносного ПО. Приведем несколько популярных в нашей стране антивирусов:
    • Антивирус Касперского - Лаборатория Касперского много лет остается одним из ведущих центров по разработке методов защиты от вирусов, антивирусные продукты пользуются довольно большой популярностью не только в нашей стране.
    • Dr.Web - Один из старейших отечественных антивирусных продуктов, Dr.Web весьма популярен в корпоративной среде.
    • ESET NOD32 - Антивирус, который традиционно успешно проходит тесты Virus Bulletin.
    • avast! - популярный антивирус от разработчиков из Чехии. Существуют бесплатная (Free) и платная (Pro) версии. Отличительная черта - возможность сканирования компьютера перед загрузкой системы.
  • Регулярная проверка компьютера на наличие шпионских и рекламных модулей. К сожалению, классические антивирусы не очень эффективны в борьбе с malware (вредоносное ПО, не воспроизводящее себя)/spyware (программа-шпион)/adware (рекламный вирус) программами. Функцию защиты от подобного рода приложений более успешно выполняют специализированные программы-антишпионы, например, Ad-Aware и Malwarebytes' Anti-Malware.
  • Использование брандмауэра. Межсетевой экран или сетевой экран (англ. Firewall, нем. Brandmauer) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Настройка брандмауэра - достаточно непростая задача, при некорректной настройке сетевой экран может пропускать угрозы или, наоборот, чрезмерно ограничивать доступ.

Необходимый уровень защиты компьютера определяется двумя факторами: ценностью данных, с которыми компьютер работает и квалификацией пользователя. В большинстве случаев (исключая работу с деньгами, секретной информацией) достаточно своевременно обновлять систему, иметь антивирусную программу с защитой в реальном времени, время от времени проверять компьютер на наличие вредоносного ПО с помощью дополнительных утилит. В том случае, если пользователь работает с важными данными, но при этом не имеет достаточной квалификации для настройки защитного ПО, можно рекомендовать регулярные консультации со специалистами по защите информации.

Техника безопасности

Между появлением нового вредоносного ПО и добавлением его в базы антивирусных программ проходит обычно некоторое время - от нескольких часов до нескольких недель, месяцев и даже лет. С повышением уровня защиты операционных систем растет роль пользователя в заражении компьютера. Многие современные вредоносные программы попадают на компьютер после тех или иных действий пользователя. Для обеспечения безопасности следует придерживаться элементарных правил при работе в сети.

  • Не пренебрегайте мерами безопасности, предусмотренными разработчиками операционной системы. В Windows Vista, Windows 7 добавлена новая функция - контроль учетных записей пользователя (UAC), которая позволяет отслеживать запуск приложений, запрашивающих права администратора на компьютере. Отключение этой функции помешает отследить запуск вредоносного ПО на Вашем компьютере.
  • Критически подходите к предоставляемой в сети информации. Одна из задач распространителей вредоносного ПО - спровоцировать пользователя на совершение определенных действий (посещение определенной страницы, установка определенной программы, отправка платного SMS-сообщения). Не вся информация, с которой Вы можете столкнуться в сети, правдива. Злоумышленники, как правило, используют интерес пользователей к рефератам, программам для взлома лицензий, порнографии. На некоторых сайтах Вы можете увидеть сообщения о том, что «Вы 999 999-й пользователь! Пройдите по этой ссылке и получите 1 000 000 $!». Как правило, это обман. Часто можно встретить объявления о различных «ускорителях интернета», «супер-антивирусах». В этом случае пользователь видит картинку, якобы демонстрирующую работу антивируса на его компьютере. Это, опять же, попытка заставить Вас скачать зараженный файл.
  • Не открывайте ссылки, присланные по почте, ICQ, через социальные сети, если Вы не знаете отправителя и тема письма вызывает подозрения. Даже если письмо прислано Вашим знакомым, но название сайта Вам не знакомо, удостоверьтесь, что ссылку прислал именно Ваш знакомый, связавшись с ним альтернативным способом. Достаточно часты случаи взлома почтовых и ICQ-аккаунтов. В этом случае в распоряжении злоумышленника оказывается контакт-лист или адресная книга пострадавшего пользователя.
  • Внимательнее относитесь к подключаемым к Вашему компьютеру устройствам. Очень часто зараженные файлы «приносят» на USB-носителях или записываемых лазерных дисках, поэтому при работе с ними рекомендуем осуществлять тщательную проверку на наличие вирусов, а также пользоваться файловыми менеджерами (Total Commander, FAR Manager). В операционных системах семейства «Windows» существует такая функция для сменных носителей, как «Автозапуск». Вирусные программы часто подменяют файл autorun.inf на носителе. В результате при двойном клике левой клавишей мыши, либо при подключении носителя сразу же активируется копия вируса. Автозапуск можно отменить, нажимая при подключении устройства клавишу Shift на клавиатуре. Многие специалисты в области безопасности настоятельно рекомендуют отключать автозапуск. Способов отключения автозапуска с USB-носителей существует множество. Один из них предлагает программа AVZ.

Аптечка первой помощи

Для успешного лечения зараженного компьютера рекомендуется иметь под рукой следующие (бесплатные!) программы:

  • Dr.Web CureIt!. Бесплатная антивирусная программа, проверяет компьютер только по запросу пользователя, в режиме реального времени не защищает.
  • Kaspersky AVPTool. Аналог Dr.Web CureIt!.
  • Malwarebytes' Anti-Malware. Программа для борьбы с вредоносным ПО.
  • Process Explorer. Программа, позволяющая отслеживать и контролировать запущенные на компьютере пользователя процессы (для опытных пользователей!).
  • Dr.Web LiveCD/LiveUSB. Загрузочный диск, позволяющий проверить компьютер без загрузки основной операционной системы. Описание принципов работы и функционала есть на сайте разработчика.
  • Kaspersky Rescue Disk. Аналог Dr.Web LiveCD. Для записи на USB-носитель воспользуйтесь программойKaspersky USB Rescue Disk Maker.

Лечение

Методы лечения зависят от того, насколько глубоко вирус проник в систему. Если поражены системные файлы, то, как правило, единственным выходом остается удаление всех зараженных файлов и переустановка системы. При проверке и лечении компьютера не ограничивайтесь только жесткими дисками, рекомендуется проверять все носители информации, с которыми Вы работаете. Если известно, что компьютер заражен, но установленный на компьютере антивирус не может найти вирусы, в этом случае рекомендуется следующий план действий:

  1. Убедитесь в том, что лицензия Вашего антивируса не просрочена, антивирус включен и работает.
  2. Установите последние обновления для вашего антивируса, если это возможно. Просканируйте компьютер заново.
  3. Проверьте компьютер программами Malwarebytes' Anti-Malware, Dr.Web CureIt!, Kaspersky AVPTool.
  4. Некоторые вирусы блокируют работу антивирусных программ. В этом случае можно попробовать установить антивирус avast!, который позволяет проверять диск на наличие вирусов до загрузки ОС.
  5. Попробуйте провести проверку на вирусы (пункт 3) в безопасном режиме (для загрузки в безопасном режиме во время загрузки компьютера нажмите F8 и выберите «Безопасный режим») или с помощью LiveCD (например, Dr.Web LiveCD/LiveUSB или Kaspersky Rescue Disk (для записи на USB-носитель воспользуйтесь программой Kaspersky USB Rescue Disk Maker)).
    Для опытных пользователей:
  6. Попробуйте с помощью программы Process Explorer проанализировать запущенные процессы, для этого отключите все неиспользуемые программы (в том числе те, которые запущены в трее).
  7. Есть вирусы, одной из функций которых являются сетевые атаки на те или иные узлы. Такую вирусную активность мы отслеживаем и блокируем компьютеры, с которых идут атаки. Лог, на основании которого ставится блокировка, есть на сайте статистики, в разделе «Антивирусная защита». Существует способ проверить, активен ли вирус на компьютере в текущий момент. Запустите командную строку (Пуск → Все программы → Стандартные → Командная строка) и введите в ней «netstat -a».
    TCP    88.85.203.143:27893    77.51.116.33:1702      ESTABLISHED
    TCP    88.85.203.143:27893    77.66.253.84:2970      ESTABLISHED
    

    Во втором столбце Вы можете видеть Ваш IP и исходящий порт (srcIP и srcPort в логе блокировки), в третьем - IP, к которому идет соединение и входящий порт (dstIP и dstPort из лога). Путем сравнения лога с сайта статистики и результата выполнения команды netstat можно определить, активен ли вирус, по проявлениям которого была поставлена блокировка.

Если описанные выше действия не помогли, рекомендуем переустановить операционную систему или обратиться к специалистам за помощью.

 
 
Помогла ли вам эта статья?