zd (664837), страница 4
Текст из файла (страница 4)
Существуют также специальные программы удаления конкретного вируса в зараженных программах. Такие программы называются программами-фагами. С зараженными файлами программа-фаг выполняет (если это возможно) действия, обратные тем, которые производятся вирусом при заражении файла, т. е. делает попытку восстановления файла. Те файлы, которые не удалось восстановить, как правило, считаются неработоспособными и удаляются.
Следует подчеркнуть, что действия, которые надо предпринять для обнаружения и удаления вируса, индивидуальны для каждой версии вируса. Пока не существует универсальной программы, способной обнаружить любой вирус. Поэтому надо иметь в виду, что заражение вашего компьютера возможно и такой разновидностью вируса, которая не выявляется известными программами для их обнаружения.
В настоящее время трудно назвать более или менее точно количество типов вирусов, так как оно постоянно увеличивается. Соответственно увеличивается, но с некоторым запаздыванием, и число программ для их обнаружения.
Проблему защиты информации и программных продуктов от вирусов необходимо рассматривать в общем контексте проблемы защиты от несанкционированного доступа. Основной принцип, который должен быть положен в основу методологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты, включающей приведенные выше средства. Наличие нескольких уровней позволяет компенсировать недостатки одних средств защиты достоинствами других. Если вирус обойдет один вид защиты, то может быть остановлен другим. Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать прежде всего следующие меры:
не переписывать программное обеспечение с других компьютеров. Если это необходимо, то следует принять перечисленные выше меры;
не допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими дискетами;
не пользоваться посторонними дискетами, особенно с компьютерными играми.
1.3.4 Использование нескольких антивирусных программ
Использование одного антивируса может обеспечить надежную защиту, но здравый смысл подсказывает, что несколько подобных программ значительно повысят безопасность вашей системы. Именно так и предлагают поступать руководству отделов информатизации антивирусные форумы в CIS, AOL а также различные группы новостей (например, comp.vims). Отметим, что при использовании нескольких программ, каждая из которых имеет свои особенности (в том числе и недокументированные), путаные или конфликтующие Друг с другом отчеты не являются большой редкостью. Именно поэтому многим пользователям приходит в голову мысль, что применение более чем одного антивируса является плохой идеей. Но это не так! Несмотря ни на что, преимущества использования нескольких антивирусных программ от различных разработчиков перевешивают последствия недостаточной защиты. Наиболее очевидное из них состоит в том, что вы используете более мелкую сеть (или, если угодно, сложную двойную сеть), через которую не сможет проникнуть большинство компьютерных вирусов.
Это следует предпринять, если антивирусное ПО обнаружило проникновение в вашу систему компьютерного вируса. Легко понять, что почти все вирусные инциденты происходят приблизительно одинаково. Если инфекция является реальной, то следует провести курс лечения. Если вы обнаружите что вирус не может быть обезврежен одним антивирусом, то вполне вероятно, что тревога оказалась ложной. Для проверки наличия этого предполагаемого вируса воспользуйтесь другой программой. Если и дальнейшая диагностика даст подобные результаты, то более чем вероятно, что у вас вирус. Найдите способ лечения или замены зараженных участков.
Однако в некоторых случаях даже с помощью двух антивирусов совсем не просто выполнить диагностику. Что вы подумаете, если станете, например, свидетелем следующих событий: продукт Х обнаруживает вирус и не может излечить зараженные файлы, продукт Y подтверждает сообщение о найденном вирусе, но также не может удалить его из системы, а продукт L не видит ничего. Кто попадает в подобные неприятные ситуации, имеет достаточно веские доказательства наличия компьютерного вируса в системе, но не располагает механизмами проверки, которые позволили бы быть в этом абсолютно уверенными.
Несчастному пользователю из предыдущего примера кажется, что жизнь к нему по-настоящему жестока. Три антивирусных продукта, каждый из которых может решить эту проблему, не решают ее! Согласитесь, что этот пример несколько утрирован. Очень редко возникает необходимость в использовании трех (и более) программ только лишь для обнаружения вируса. Это указывает лишь на то, что они вполне пригодны и эффективны в качестве антивирусных средств.
1.3.5 Замена или лечение
До сих пор мы могли видеть, что использование нескольких программ для поиска компьютерного вируса дает некоторые преимущества. Первое из них состоит в том, что вторая программа предоставляет возможность подтвердить (или опровергнуть) факт наличия вируса в системе. Второе преимущество - более точная диагностика. И хотя мы никогда не получим окончательного ответа, тем не менее, с каждым последующим тестированием приближаемся к истине.
Избавление от компьютерных вирусов - спор между уверенностью и удобством. Уверенность возникает при уничтожении вируса путем удаления или замены зараженных файлов, при переписывании программы начальной загрузки и/или любой другой зараженной части файла. Удобство заключается в возможности манипулировать существующими данными и восстанавливать их в своей первоначальной форме без замены.
Никто не может оспаривать гарантированную целостность, которую дает замена, но никто не может отрицать и значительных неудобств, связанных с этой процедурой. Поиск резервных копий (и желание найти самую последнюю), их восстановление, настройка — все это занимает много времени.
Сравните это с эффективностью антивирусного ПО, которое может излечить зараженные участки. Щелчок клавишей мыши или набор необходимой команды с клавиатуры — и вы избавлены от компьютерного вируса, причем за значительно меньшее время.
При выборе между лечением или полной заменой, большинство администраторов систем безопасности склоняются в сторону замены. Отчего же к лечению столь негативное отношение? После этой процедуры жизнь продолжается как и прежде - ни беспокойства, ни проблем, если, конечно, лечение прошло нормально. Часто можно встретить документальные свидетельства о случаях неправильного лечения, которые порождают неуверенность в возможностях антивирусов. Из-за некоторых непредвиденных ситуаций лечение иногда терпит неудачу, и тогда оператор будет иметь как исправленную, так и незатронутую информацию.
Неправильное лечение редко приводит к фатальным последствиям, поскольку антивирусы принимают меры предосторожности и могут отличать "допустимое" лечение от неправильного. По злой иронии, некоторые тонкости в неправильном лечении, причем совсем не катастрофичные, привели к тому, что само слово "лечение" воспринимается как бранное.
Один из недостатков использования более одного антивирусного ПО связан с тем, что при этом открываются лазейки для разработчиков. Если в излеченном файле присутствуют какие-либо дефекты, то при сравнении с простым файлом они сразу же заметны. Это подобно написанию любой компьютерной программы. Если один из соавторов принимал большее участие в ее создании, то другой будет заявлять, что он мог сделать это лучше.
1.3.6 Меры по предотвращению появления компьютерных вирусов
Множество статей по компьютерным вирусам достаточно подробно рассматривают вопросы по предупреждению заражения. Тем не менее, следует отметить недостаток полезной информации на тему "Что делать, если случится наихудшее?" Иметь дело с внезапным появлением вирусов не составляет особого удовольствия. К счастью, быть заранее предупрежденным, значит, в данном случае, быть готовым к отражению атаки. Готовясь к такому событию, можно свести к минимуму ущерб от разрушительных воздействий.
Для успешной борьбы с вирусным нападением следует провести большую подготовительную работу. Наиболее важной задачей, о которой, к сожалению, часто забывают, является контроль за регулярным выполнением процедуры надежного и правильно управляемого резервного копирования.
В большинстве случаев, наиболее ценной частью компьютера являются информационные данные, которые хранятся на диске. Они могут оказаться незаменимыми, а также могут содержать результаты многих недель и даже лет работы. Очень часто мы по-настоящему начинаем оценивать их важность уже после того, как потеряем.
Реализация продуманной процедуры резервного копирования представляет собой средство защиты этих ресурсов. Важность создания резервных копий не может быть переоценена: каждый пользователь должен четко осознавать их как неотъемлемую часть эффективной политики безопасности, поскольку именно они являются опорой в случае возникновения чрезвычайной ситуации.
Убедитесь в том, что вы можете найти расположения резервных копий, и знаете, к чему конкретно они относятся. Проверьте, правильно ли функционирует ПО для их восстановления. Нет ничего хуже, чем удалить файл, а потом обнаружить, что он не может быть восстановлен из созданной ранее резервной копии.
Рассматривая восстановление данных после вирусной атаки, можно отметить следующее — дело стоит того, чтобы создать резервную копию каждого файла, находящегося на компьютере, включая исполняемые файлы. Установка и конфигурация среды Windows является непростым и долговременным занятием, особенно когда некоторые пакеты поставляются в комплекте из десятков дискет. Поэтому, двадцать или тридцать минут проверки на наличие вирусов и создание резервной копии уже сконфигурированного компьютера могут спасти вас от утомительного занятия переустановки "с нуля". Естественно, что выбор того, как часто следует производить процедуры резервного копирования и какие файлы при этом копировать, зависит от той роли, которую играет конкретный компьютер в компании, какой тип ПО на нем установлен, а также от ценности информации, расположенной в системе.
Загрузочная дискета также является незаменимой, когда вы выполняете проверку на вирусы и восстановление зараженных машин. Несмотря на то что будет достаточно дискеты, созданной на незараженной машине с использованием DOS-команды FORMAT /S, лучше собрать небольшой комплект полезных утилит.
В идеале, вы должны будете создать несколько различных загрузочных дискет для каждой из версий DOS, которые используются в вашей компании. Каждая такая дискета должна быть протестирована для того, чтобы убедиться в ее правильном функционировании именно на том персональном компьютере, где ее предполагается использовать. Приняв на вооружение регулярное резервное копирование и коллекцию соответствующих загрузочных дискет, вы фактически будете обладать большинством инструментов, требуемых для противостояния вирусным эпидемиям.
Обнаружение вирусной атаки в рамках организации может быть выполнено различными способами: может быть найдена зараженная дискета, прокотирован и обнаружен зараженный компьютер, или даже сам вирус может проявить себя на машине, сигнализируя пользователю о своем присутствии. Независимо то того, каким способом был обнаружен вирус, прежде, чем предпринимать какое-либо действие, следует обратиться к заранее подготовленному плану на случай возникновения непредвиденных обстоятельств. Зачастую оказывается, что попытки лечения приносят больше неприятностей, чем сам вирус.
Если пользователь обнаружил вирус, то первым делом он должен обратиться к определенному сотруднику или в отдел, ответственный за принятие антивирусных мер. Если вирус обнаружен в компьютере, то последний не должен использоваться до тех пор, пока не будут получены дальнейшие указания. Кроме того, должны быть записаны подробности случившегося инцидента (точное название вируса, определенное антивирусной программой, или текст который сам вирус вывел на монитор).
Очень уместной профилактической мерой, которую может практиковать каждая компания, является тестирование антивирусной программой всех дискет перед их отправлением клиенту, или даже когда они (в зависимости от размера организации) передаются между отделами. Внедрение такой меры имеет следующие преимущества:
• Предотвращаются случаи отправления зараженных дискет заказчику (в противном случае ваш бизнес может быстро лопнуть).
• При заражении какого-либо компьютера в компании, вероятнее всего. источник заражения находится на дискетах. Такая процедура предоставляет возможности для более раннего предупреждения заражения компьютеров.
Первым, что должно стоять на повестке дня при встрече с вирусной инфекцией, является предотвращение ее распространения на другие компьютеры. Характер требуемых ответных действий зависит от природы обнаруженного вируса и от имеющегося в наличии антивирусного ПО.
Если был обнаружен зараженный ПК, не подсоединенный в сеть, то первым делом необходимо установить: какие флоппи-диски использовались на зараженной машине. Если же он является частью интранет, то сразу же следует выяснить — успел ли вирус заразить сеть. Вирусы, поражающие только загрузочные секторы, не могут распространяться на другие ПК через сервер. Для других типов вирусов следует предположить возможность распространения инфекции на другие машины посредством файл-сервера.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
