Защита от вирусов

   Дмитрий Турецкий ,
< dmitri@listsoft.com >
 

   Довольно интересно бывает наблюдать отношение пользователей к защите своего компьютера. Оно колеблется от полного отсутствия таковой - "А, у меня все-равно ничего секретного нету!" - до параноидальной попытки установить пароли везде, где есть такая возможность, и зашифровать все файлы, включая картинки рабочего стола и исполняемые файлы. К сожалению, ни тот, ни другой способ не дает приемлемых результатов, особенно при отсутствии у пользователя некоторых знаний о работе компьютеров.

   Для начала - немного о том, стоит ли вообще устанавливать какую-то защиту. На мой взгляд, да. Дело в том, что даже если вы не боитесь кражи промышленных секретов (ввиду отсутствия у вас таковых), то это не означает, что ваша машина не заинтересует злоумышленника. Во-первых, у вас могут утянуть пароли для подключения к Интернету, и вам придется платить "за себя и за того парня". Во-вторых, среди "кул хацкеров" существует довольно много вандалов, которым доставляет удовольствие процесс, скажем, форматирования чужого винчестера. А в-третьих, совсем не исключен вариант, что вы притащите какую-нибудь "заразу" со своего домашнего компьютера на работу, где она успеет напакостить до того, как сисадмин с ней разберется.

   Еще один интересный вопрос - может ли непрофессиональный пользователь защититься от нападения профессионала. Разумеется, нет. Но дело в том, что профессионалов довольно мало, и они, как правило, не прельщаются "халявным Интернетом" и не форматируют диски просто так. Соответственно и вероятность того, что на вас нападет это легендарное существо - Хакер с большой буквы, - довольно низка. А вот от "кул хацкеров" защититься можно. Хотя наличие как минимум базовых знаний совсем не помешает...

   Теперь о том, что может угрожать вашему "железному другу". В принципе, опасностей не так много. Всего четыре. Вирусы, троянцы, вторжение извне и несанкционированный локальный доступ к компьютеру. Разумеется, в "реальной жизни" эти способы могут пересекаться - например, троянец обеспечивает удаленное вторжение или локальный доступ используется для внесения вирусов, но все-таки эти категории прослеживаются достаточно четко.

   Основное, что надо понять: вирусы и троянцы - это программы. Сами (ниоткуда) они не появляются, их пишут программисты и потом стараются всеми правдами и неправдами запихнуть на ваш компьютер и запустить. Пока вы их не запустите, ничего не произойдет, другое дело, что многие современные "шибко умные" программы могут что-то запустить (и запускают) без вашего ведома, именно таким способом распространяются всевозможные "почтовые вирусы", которые рассылают сами себя. Спасает то, что такие вирусы привязаны к определенным программам (чаще всего, к MS Outlook и Exchange), но как раз эти программы наиболее распространены в корпоративных сетях...

   Однако вернемся к нашим барашкам . Основное отличие вирусов от троянцев, на мой взгляд, заключается в том, что вирусы - существа "самодостаточные", а троянцам нужна связь с запустившим их товарищем. Традиционное определение насчет способности распространяться, самостоятельно заражать другие файлы и компьютеры и т.п. не совсем точно отражает суть. Дело в том, что при борьбе с этими "зверюшками" нам надо избежать вредных последствий. В случае вирусов такими последствиями являются различные действия, предусмотренные программистом, и выполняет их вирус самостоятельно; в случае же троянцев вред заключается в том, что ваши данные пересылаются автору или распространителю трояна, или же он (троян) дает ему (автору или распространителю) доступ к вашей машине. Разумеется, никто не мешает создавать гибридные версии, скажем, самораспространяющегося трояна или вируса, который между делом отсылает пароли, но методы защиты от этого дела все равно будут различаться.

   К сожалению, борьба с вирусами - дело весьма сложное, и далеко не каждый программист сможет с ним справиться самостоятельно. Поэтому практически единственный способ - это использование различных антивирусных программ. Но надо четко понимать, что ни одна подобная программа не дает стопроцентной надежности - она может "не знать" какого-то вируса или, наоборот, заподозрить его в "добропорядочной программе". Т.к. новые вирусы появляются постоянно, то антивирусные программы следует регулярно обновлять, например, вирусная база AVP сейчас обновляется ежедневно.

   У большинства антивирусов есть два режима использования - сканер и монитор. Сканер занимается тем, что тщательно проверяет файлы, расположенные на диске; при этом вы можете указать для проверки отдельные файлы, директории или весь винчестер. Монитор же является резидентной программой (т.е. он запущен все время, пока включен компьютер) и "на лету" проверяет запускаемые вами программы и файлы, к которым эти программы обращаются. Как правило, монитор производит менее тщательную проверку, чем сканер, но все же он позволяет выловить наиболее распространенные гадости. К сожалению, у антивирусов есть один минус - они довольно ощутимо тормозят работу, ведь им надо проанализировать каждый файл, перед тем как разрешить его использование. Именно из-за этих "тормозов" пользователи очень часто отключают антивирусы... А зря.

   Разумеется, можно отключить монитор, когда вы работаете со знакомыми программами, но если вы работаете с Интернетом или запускаете что-то новое, то лучше перестраховаться... И еще - стоит потратить пару минут и настроить сканер на автоматический запуск, скажем, в пятницу вечером и проверку всех дисков и файлов - вы ночью все равно не работаете, а береженого, как известно, Бог бережет...

   Помимо антивирусов, есть еще один очень полезный тип программ - ревизоры (самым, пожалуй, известным из них является ADinf32 ). Занимаются они тем, что отслеживают изменения ваших файлов, хранящихся на диске. При первом запуске такая программа просматривает ваши файлы и для каждого из них запоминает "контрольную сумму", а при последующих запусках вновь пересчитывает эти суммы и сравнивает с хранящимся значением. Ну и, разумеется, выдает предупрежедение, если какой-то файл изменился (а вирус, "заражая" файл, его несколько меняет). Использование ревизоров требует некоторого терпения, т.к. сначала у вас уйдет определенное время на его настройку - указание тех директорий и файлов, которые не надо отслеживать, - а потом вам придется просматривать списки измененных файлов и решать, не вирус ли это... Но эти сложности вполне окупаются - совместное использование антивируса и ревизора дает очень высокую степень защиты от вирусов.

   Ну а об остальных опасностях, караулящих вас в глубинах компьютера, мы поговорим позже...

   Использованы материалы: http://www.vesti.ru/flopovod/

Защита от троянов

   Дмитрий Турецкий ,
< dmitri@listsoft.com >
 

   Сегодняшняя заметка продолжает тему защиты компьютера . Сегодня мы поговорим о троянах . Вообще-то о них говорили и писали уже много, но вопросы по этому поводу всплывают и задаются постоянно.

   Как и вирусы, трояны - это программы. Сами по себе они не заводятся, а, как правило, попадают на ваш компьютер вместе с какими-то другими программами. Изначально троянами назывались программы, которые, помимо своей основной работы, выполняли еще что-то, - как правило, давали возможность после ввода некоего специального кода попасть в систему (так называемые "back doors"). Теперь трояны способны, например, перехватывать введенные пользователем пароли и записывать их в файл или пересылать автору. В этом и заключается основное, на мой взгляд, отличие троянов от вирусов: вирусы самодостаточны, а трояны должны "связываться" со своим автором. То есть если бороться с вирусами можно только одним способом - вылавливать и уничтожать, - то для защиты от троянов можно перекрыть им возможность связи с автором. Разумеется, это никак не исключает необходимости вылавливать их и удалять, - просто еще одна мера защиты.

   Еще одно - непринципиальное - различие между вирусами и троянами заключается в том, что вирусы встраиваются в нормальные программы ("заражают" их), после чего при запуске зараженной программы сначала выполняется код вируса, а потом вирус выполняет настоящую программу. Трояны же в последнее время создаются в виде отдельного файла, который работает сам по себе. Для выполнения своей функции (дать доступ в компьютер или переслать ваши пароли) троян должен запуститься. Таким образом, если контролировать, какие именно программы запускаются на компьютере, то можно защититься от довольно большого числа вредителей. Правда, для этого надо еще знать, какие программы должны работать, а какие являются посторонними... Посмотреть, что именно Windows запускает автоматически, можно с помощью, например, Starter 'а, RunServices , OptiX или утилиты MSCONFIG.EXE, которая поставляется вместе с Windows98 и живет в директории Windows\system\

   Подобная защита - запрещение запуска файлов - успешно работает против абсолютного большинства ныне действующих троянов, но я подозреваю, что не за горами то время, когда "в свободное распространение" поступят трояны, встраивающиеся в различные системные библиотеки. С ними бороться будет намного сложнее - библиотек этих огромное количество и поди разберись, какая из них что делает... Когда это произойдет, единственной защитой пользователей станут те "бойцы невидимого фронта", которые сейчас пишут антивирусные программы.

   Следующий этап защиты - блокирование связи трояна с автором. Большинство современных троянов рассчитано на Интернет, поэтому здесь вам понадобится firewall. Firewall - это такая специальная программа, которая пропускает "разрешенные" данные и не пропускает "не разрешенные". Установка и настройка профессионального firewall'а - дело достаточно сложное и требующее изрядных знаний о том, как что работает , но существуют и более простые версии для начинающих пользователей. Например, ZoneAlarm . Когда вы его установите, при каждой попытке какой-либо программы связаться с Интернетом он будет спрашивать, санкционировано соединение или нет. Разумеется, вы сможете "запомнить" разрешения для каждой программы, чтобы не отвечать на вопросы каждый раз, когда пытаетесь скачать почту. Помимо этого, ZoneAlarm спрашивает, разрешаете ли вы выступать той или иной программе в качестве сервера .

   В предыдущей заметке я говорил, что компьютеру угрожают всего четыре опасности: вирусы, трояны, атака извне и атака изнутри. Трояны вполне могут являться компонентом одной из двух последних, так что и защищаться стоит комплексно, в частности firewall - один из наиболее важных элементов защиты от удаленных атак. Кстати, у ZoneAlarm'а есть и еще одна полезная функция - "запирание" компьютера. В "запертом" режиме ваш компьютер невидим и недоступен по сети, что довольно часто бывает полезным... О "локальных" атаках мы еще поговорим позже, стоит только учитывать, что троян может ничего и не отправлять по сети, а, скажем, писать в файл все, что вы делаете на компьютере, включая пароли...

   Немножко о том, как предотвратить появление троянов. Тут следует помнить две вещи: во-первых, усиление защиты всегда ведет к некоторым неудобствам в работе (дополнительные пароли, шифрование, проверка логов, большая загрузка компьютера и так далее), а во-вторых, замечательное правило "90/10" - "90 процентов работы требуют 10 процентов времени. Оставшиеся 10 процентов работы требуют 90 процентов времени". Действует это правило и в защите: серия элементарных мер безопасности защитит вас от 90 процентов атак.

   Итак, следует принять за правило: любой файл, полученный из сети, если вы заранее не договаривались о его отправке вам, может оказаться трояном. Даже самый безобидный, скажем, картинка - она может оказаться замаскированной программой. Каждый такой файл надо либо сразу удалить, если он вам не нужен, либо сохранить на диске и проверить антивирусом, а заодно и посмотреть, что он собой представляет, например, щелкнуть по нему правой кнопкой мыши и выбрать пункт "свойства". Любую новую программу стоит запускать со включенным антивирусом и firewall'ом, а если она пытается связаться с Интернетом, то проводить более детальную проверку. До и после запуска надо сверить список автоматически запускаемых программ - троян может не запускаться сразу, а только прописать себя, скажем, в реестре и запуститься после перезагрузки. Для отслеживания подобных действий удобно использовать Jammer - он предупредит, что какая-то программа пытается что-то записать в автозагрузку. И наконец, надо запомнить, что ни одна сравнительно известная организация не рассылает файлов. Если вы получите "от АВП" письмо с обновлением антивируса или "от ListSOFT'а" письмо с прицепленной новой программой, - это троян. Максимум, что может быть в письме, - ссылка на сервер, с которого надо скачать файл. Причем, если это письмо от АВП, то в качестве сервера не будет выступать "www.geocities.com/avp/file.exe", а будет стоять ссылка на "www.avp.ru".

   Ну и, разумеется, можно воспользоваться программами, специально предназначенными для борьбы с троянами - AVTrojan , BACKWORK , P_CLEAR , Tauscan , The Cleaner ... Правда, качество этих программ, на мой взгляд, оставляет желать лучшего...

   Успехов!

   Использованы материалы: http://www.vesti.ru/flopovod/