Profilaktyka antywirusowa

Profilaktyka antywirusowa

Obrona przed szkodliwym oprogramowaniem: - instalacja oprogramowania antywirusowego, włączona zapora sieciowa (firewall) - aktualizacja oprogramowania - nie otwieranie załączników poczty elektronicznej niewiadomego pochodzenia - czytanie okien instalacyjnych aplikacji - wyłączenie makr w MS Excel i Word - regularne całościowe skany systemu programem antywirusowym - przy płatnościach drogą elektroniczną upewnienie się, że transmisja danych będzie szyfrowana

Istnieje wiele programów służących do zwalczania pojedynczych tego typu problemów. Mało natomiast jest pakietów zapewniających całościową ochronę. Po angielsku określane są one jako programy typu internet security. Łączą one funkcje programu antywirusowego, firewalla, programu blokującego spam, blokad stron o niepożądanej treści oraz wielu innych modułów zapewniających bezpieczeństwo użytkownika.

Pierwsze wirusy komputerowe dla IBM PC pojawiły sięjużw 1986 r., ale jeszcze dwa lata później wiele postaci świata informatycznego wątpiło w ich istnienie. Peter Norton(wg Patologii wirusów komputerowych Davida Ferbra-che a) nazwałwirusy komputerowe wielkomiejskim mitem i porównałich istnienie z historiami o krokodylach w kanałach Nowego Jorku. Ta opinia dośćdobrze oddaje stan wiedzy na temat wirusów w środowisku komputerowym u progu lat dziewięćdziesiątych. Sytuacja zmieniła siędopiero kilka lat później, po odkryciu wykreowanego przez media na pierwszągwiazdęprzemysłu informatycznego, wirusa MichaelAngelo. Dzięki nagłośnieniu jego istnienia i masowej akcji ostrzegawczej Michael Angelo wywarłpozytywny wpływ i uświadomiłmilionom użytkowników komputerów na całym świecie grożące im (oraz ich danym) niebezpieczeństwo.

W ciągu minionych kilku lat zainteresowanie wirusami komputerowymi znacznie spadło. Wielu użytkowników oswoiło się z możliwością infekcji i nauczyło się minimalizowaćjej skutki. Niestety, w dalszym ciągu liczne grono osób korzystających z komputerów, co gorsza równieżna stanowiskach kierowniczych, nie zdaje sobie sprawy z potencjalnego zagrożenia. Grupa ta traktuje informacje i ostrzeżenia pojawiające sięw środkach masowego przekazu jako wyssane z palca bądźuważa, że wirusy komputerowe sąwyłącznie problemem użytkowników nielegalnego oprogramowania i samych piratów. Niestety, większość ludzi zaczyna wierzyć w istnienie wirusów dopiero po odkryciu ich we własnym komputerze. Ale wtedy jest już za późno..

Co to jest wirus? Wirus komputerowy jest niewielkim programem, powielającym siępoprzez zarażanie zbiorów wykonywalnych, jednostek alokacji plików lub sektora startowego nośnika danych (HDD, FDD) oraz dokumentów stworzonych za pomocąpakietów biurowych takich jak MS Office. Ogólna nazwa wirus kryje cztery zasadnicze rodzaje programów:

1. Wirusy, których ogólna definicja pokrywa się z podaną wyżej, 2. Konie trojańskie -wirusy te ukrywająsięw pożytecznym (na pozór) oprogramowaniu, jak np. program antywirusowy czy przeglądarka plików graficznych. Program tego typu po jego uruchomieniu oprócz wykonywania swoich oficjalnych zadań dokonuje także spustoszenia w systemie,

3. Bomby logiczne -rodzaj wirusa, który może pozostaćw ukryciu przez długi czas. Jego aktywacja następuje w momencie nadejścia określonej daty lub wykonania przez Użytkownika określonej czynności, takiej jak np. skasowanie określonego pliku, 4. Robaki (worms)-małe, ale bardzo szkodliwe wirusy. Do prawidłowego funkcjonowania nie potrzebująnosiciela. Rozmnażająsięsamoistnie i w sposób ciągły, powodując w bardzo krótkim czasie wyczerpanie zasobów systemu. Wirusy tego typu są zdolne w bardzo krótkim czasie sparaliżować nawet dość rozległą sieć komputerową.

Szczegółowa klasyfikacja wirusów:

Wirusy plikowe (tzw. "zwykłe", file viruses): Wirusy plikowe to najstarsza rodzina tych programów. Każdy wirus przed dokonaniem szkód najpierw ulega replikacji, dlatego rozwój "przemysłu" wirusowego wiąże sięz wynajdywaniem nowych nosicieli. Początkowo na atak wirusów tego typu narażone były tylko pliki wykonywalne (*.exe,.com) oraz wsadowe (*.bat). Rozwój technologii wirusów powiększyłgrono zagrożonych plików o zbiory zawierające fragmenty kodu, biblioteki, sterowniki urządzeń(*.bin, *.dll, *.drv,*.lib, *.obj,*.ovl,*.sys, *.vxd).

Zasada działania: Infekcja następuje poprzez dopisanie kodu wirusa na końcu pliku (wirusy starsze) lub modyfikacjęjego początku i dopisanie kodu w środku lub na końcu (wirusy nowsze, atakujące niewykonywalnepliki). Załadowanie zainfekowanego pliku do pamięci jest równoznaczne z uaktywnieniem wirusa. Wiele wirusów nie niszczy zaatakowanego pliku, dzięki czemu może po aktywacji wykonaćprogram nosiciela, tak że Użytkownik niczego nie podejrzewa.

Wirusy sektora startowego dysku (wirusy boot sektora, boot sector viruses): Innym nosicielem wirusa może byćsektor startowy nośnika danych, takiego jak dysk twardy (MBR- Master Boot Record) czy dyskietka (Boot sector). Wirusy tego typu są szczególnie groźne. Wynika to z faktu, iżpo uruchomieniu komputer próbuje wczytaćsystem, który jest zapisany w pierwszym sektorze dysku lub dyskietki. Należy mieć świadomość, że każda sformatowana dyskietka, nawet nie zawierająca plików systemowych, posiada boot sektor, a więc jako taka może zawierać wirusa.

Zasada działania: Wirus tego typu może ulokowaćsięw MBR i np. zniszczyćjego zawartość, uniemożliwiając tym samym dostęp do dysku. W innym przypadku wirus przenosi kod inicjujący system z sektora startowego w inny obszar dysku i zajmuje jego miejsce, co powoduje jego załadowanie jeszcze przed startem systemu, a więc także przed uruchomieniem jakiegokolwiek oprogramowania antywirusowego. Działanie tego typu umożliwia wirusom przejęcie kontroli nad oprogramowaniem przeznaczonym do ich zwalczania

Wirusy FAT (wirusy tablicy alokacji plików, link/fat viruses): Do replikacji wirusy mogątakże wykorzystywaćjednostki alokacji plików (JAP), na jakie tablica FAT dzieli DOSowąpartycjędysku twardego. W celu uzyskania dostępu do pliku DOS odszukuje w FAT numer jego pierwszej jednostki alokacji, po czym kolejno (zgodnie z FAT) wczytuje wszystkie jednostki zajmowane przez plik. Zasada działania: Wirusy atakujące JAP zmienia wartośćpierwszej JA jednego lub wielu plików na numer wskazujący JA kodu wirusa. Wczytanie takiego pliku powoduje uruchomienie wirusa, który w dalszej kolejności może, ale nie musi, załadowaćwłaściwy program (w tym celu musi zapamiętać oryginalny numer jego pierwszej JAP).

Makrowirusy: Makrowirusynależądo najmłodszej rodziny wirusów. Ich powstanie związane jest z wprowadzeniem do pakietów biurowych (np. MS Office, Lotus SmartSuite czy Corel WordPerfect) języków pozwalających na tworzenie makr, takichjaknp. Visual Basic for Applications (VBA). Zasada działania: WiększośćmakrowirusówWorda wykorzystuje fakt, że szablony dokumentów mogązawieraćmakra. Wirus uaktywnia sięw chwili otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe zbiory z rozszerzeniem *.doci zapisuje je jako szablony (dokumenty nie mogązawieraćmakr). W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr zostaje zastąpionych kodem wirusa.

Wirusy typu stealth i wirusy polimorficzne(stealth&polymorphic viruses): W zasadzie wszystkie wymienione wcześniej wirusy mogą(choć nie muszą) należeć do tej grupy. Ich powstanie związane jest z postępem w dziedzinie ich wykrywania. W pierwszych latach obecności wirusów każdy miał swoją sygnaturę (charakterystyczny tylko dla siebie ciąg bajtów). Sytuacja zmieniła się, gdy Bułgar o pseudonimie DarkAvengeropracowałmetodępozwalającątworzyćwirusy samo mutujące się. Wirusy polimorficzne nie mają stałej sygnatury, ponieważ ich kod zmienia się samoczynnie przy każdej infekcji. Wirusy stealthsąto wirusy, które podczas próby dostępu do zarażonego pliku lub sektora dysku przez program antywirusowy potrafią w locie, chwilowo naprawić uszkodzone dane i zatuszować swą obecność.

Profilaktyka antywirusowa Nie ma zasad, gwarantujących bezwirusowąpracę. Istniejąjednak reguły, pozwalające zminimalizowaćryzyko zarażenia, a w razie infekcji zmniejszające skutki działań niszczących wirusa.

Co nie grozi zarażeniem? Wbrew powszechnie panującej opinii, przeczytanie wiadomości e-mailnie może spowodowaćzarażenia. Może je spowodowaćdopiero otwarcie zawirusowanego pliku dołączonego do takiej wiadomości. Nie można sięzarazićrównieżpoprzez przeglądanie stron w Internecie -jeśli nie ściągamy żadnych plików, to jedynymi danymi fizycznie zapisywanymi na dysku sątzw. Cookiem (ciasteczka)-dane o odwiedzanych stronach przeznaczone dla przeglądarki. Cookiesnie mogązawieraćwirusów, nie jest więc możliwe zarażenie sięw ten sposób. Jedynąmożliwością złapania wirusa jest otwarcie zainfekowanego pliku lub próbo dostępu do zawirusowanego sektora dysku.

Jak się bronić? Podstawową zasadą jest posiadanie dobrego pakietu antywirusowego. Pakietu, gdyżobecnie większośćtego typu programów składa sięz wielu modułów o różnych funkcjach. Przy wyborze oprogramowania antywirusowego należy zwracać uwagę, czy posiada ono następujące elementy:

1. Skaner Użytkownika (tzw. ręczny, On-demand scanner) - podstawowy moduł, występujący we wszystkich typach oprogramowania. Umożliwia skanowanie plików przez Użytkownika w wybranym przez niego momencie. Standardem jest kontrola zbiorów skompresowanych. 2. Skaner rezydentny - skaner, który pracuje w tle przez cały czas. Do jego zadań należy bieżąca kontrola wszystkich uruchamianych plików, otwieranych dokumentów czy wkładanych dyskietek. Powinien posiadać funkcję skanowania plików ściąganych z Internetu. 3. Terminarz - pozwala na zaprogramowanie pakietu tak, aby szukał wirusów o określonej porze, np. w nocy.

Dodatkowo oprogramowanie antywirusowe powinno umożliwiać generowanie raportów z bieżącej pracy. Bardzo ważne jest także, aby skaner wykorzystywał najnowsze metody wyszukiwania, takie jak np. heurystyczna metoda wykrywania wirusów (Chroni przed wirusami polimorficznymi, polega na analizie kodu pliku i symulacji jego wykonania. Pozwala na wykrycie operacji charakterystycznych dla wirusów, takich jak np. próba bezpośredniego dostępu do dysku.), czy sumy kontrolne.

Programy antywirusowe Programy antywirusowe są najsilniejszym narzędziem, jakie powstało w celu walki z wirusami. Od momentu pojawienia się pierwszego wirusa powstał cały szereg różnorodnego oprogramowania. Istniejące i ciągle rozwijające się programy ułatwiają ochronę systemu przed inwazją, szybkie jej wykrycie i w większości przypadków usunięcie skutków. Programy antywirusowe możemy podzielić na następujące grupy funkcjonalne:

Blokery -są to jedyne programy, próbujące przeciwdziałać inwazji. Zasadą ich działania jest monitorowanie poczynań uruchamianych programów i w przypadku odkrycia "podejrzanych" operacji alarmowanie użytkownika i pozostawianie mu decyzji o dalszym działaniu. -Jest to znakomita metoda, ale jak każda posiada oczywiście swoje wady. Jedną z nich jest przede wszystkim mała skuteczność, gdyż nowe wirusy bardzo często posiadają mechanizmy uniemożliwiające wyodrębnienie z nich operacji "podejrzanych". Kolejną wadą jest zajmowanie części zasobów komputera - pamięci operacyjnej oraz obciążanie w jakimś stopniu procesora. Ostatnią wadą jest to, iż programy owe mają tendencję do częstego "mylenia się" co związane jest z "fałszywym alarmem".

Programy diagnostyczno-leczące ta grupa programów opiera się na poszukiwaniu na dysku i w pamięci znanych już wirusów i w przypadku wykrycia (na podstawie charakterystycznych algorytmów zawartych w plikach) - usuwaniu skutków infekcji. Są to programy najczęściej stosowane i chyba najbardziej przydatne w profilaktyce. Niestety są nieskuteczne w przypadku zainfekowania nieznanym wirusem bądź wtedy, gdy wirus zadziała natychmiast po zainfekowaniu komputera i dokona nieodwracalnych zniszczeń. Do programów tego typu zaliczamy, już chyba legendę programów antywirusowych - Mks_Vir-a, autorstwa Marka Sella.

Programy sprawdzające sumy kontrolne plików istotą tej grupy programów jest zakładanie bazy danych, zwierających pewne cechy zbiorów dyskowych i newralgicznych obszarów dysków. Te programy, przez systematycznym stosowaniu, umożliwiają wykrycie źródła infekcji, a czasem odzyskanie pozornie bezpowrotnie straconych informacji.

Ściągnij ze strony producenta program antywirusowy (wersja darmowa 30 dniowa) zainstaluj, a następnie przeskanuj komputer