1. Програмно-технічні методи виявлення вірусів
2. сканування
3. евристичний аналіз
4. антивірусні монітори
5. виявлення змін
6. Захист, вбудована в BIOS комп'ютера
7. Особливості захисту корпоративної інтрамережі
8. Захист файлових серверів
9. Захист поштових серверів
10. Захист серверів систем документообігу
11. Захист нестандартних інформаційних систем
12. Мережевий центр управління антивірусами
13. Багаторівневі системи з Web-інтерфейс
14. Адміністративно-технологічні методи захисту
15. Проблема домашніх комп'ютерів
16. Установка персональних брандмауерів

Олександр Фролов, Григорій Фролов

alexandre @frolov .pp .ru; http: // www .frolov .pp .ru, http: //www.datarecovery.ru

У попередній статті, присвяченій антивірусного захисту, ми розглянули основні типи вірусів і способи їх поширення. Тепер, грунтуючись на цих знаннях, ми займемося захистом від вірусів, троянських і інших шкідливих програм. Ми розповімо про програмно-технічних та адміністративно-технологічних рішеннях і заходах, необхідних для зниження ризику вірусного зараження і зменшення шкоди, якщо таке зараження вже сталося.

Програмно-технічні методи виявлення вірусів

Основним засобом боротьби з вірусами були і залишаються антивірусні програми. Можна використовувати антивірусні програми (антивіруси), не маючи уявлення про те, як вони влаштовані. Однак без розуміння принципів устрою антивірусів, знання типів вірусів, а також способів їх поширення, не можна організувати надійний захист комп'ютера. Як результат, комп'ютер може бути заражений, навіть якщо на ньому встановлено антивіруси.

Сьогодні використовується кілька основоположних методик виявлення та захисту від вірусів:

· Сканування;

· Евристичний аналіз;

· Використання антивірусних моніторів;

· Виявлення змін;

· Використання антивірусів, вбудованих в BIOS комп'ютера.

Крім того, практично всі антивірусні програми забезпечують автоматичне відновлення заражених програм і завантажувальних секторів. Звичайно, якщо це можливо.

сканування

Найпростіша методика пошуку вірусів полягає в тому, що антивірусна програма послідовно переглядає перевіряються файли в пошуку сигнатур відомих вірусів. Під сигнатурою розуміється унікальна сукупність електронних даних, що належить вірусу, і не зустрічається в інших програмах.

Антивірусні програми-сканери здатні знайти тільки вже відомі і вивчені віруси, для яких була визначена сигнатура. Застосування простих програм-сканерів не захищає Ваш комп'ютер від проникнення нових вірусів.

Для шифруються і поліморфних вірусів, здатних повністю змінювати свій код при зараженні нової програми або завантажувального сектора, неможливо виділити сигнатуру. Тому прості антивірусні програми-сканери не можуть виявити поліморфні віруси.

евристичний аналіз

Евристичний аналіз дозволяє виявляти раніше невідомі віруси, причому для цього не треба попередньо збирати дані про файлову систему, як цього вимагає, наприклад, розглянутий нижче метод виявлення змін.

Антивірусні програми, що реалізують метод евристичного аналізу, перевіряють програми і завантажувальні сектори дисків і дискет, намагаючись виявити в них код, характерний для вірусів. Евристичний аналізатор може виявити, наприклад, що перевіряється програма встановлює резидентний модуль в пам'яті або записує дані в здійсненний файл програми.

Практично всі сучасні антивірусні програми реалізують власні методи евристичного аналізу. На рис. 1 ми показали одну з таких програм - сканер McAffee VirusScan, запущений вручну для антивірусної перевірки диска.

Мал. 1. Сканер McAffee VirusScan перевіряє диск

Коли антивірус виявляє заражений файл, він зазвичай виводить повідомлення на екрані монітора і робить запис у власному або системному журналі. Залежно від налаштувань, антивірус може також направляти повідомлення про виявлений вірус мережевого адміністратора.

Якщо це можливо, антивірус виліковує файл, відновлюючи його вміст. В іншому випадку пропонується тільки одна можливість - видалити заражений файл і потім відновити його з резервної копії (якщо, звичайно, вона у Вас є).

антивірусні монітори

Існує ще цілий клас антивірусних програм, які постійно перебувають в пам'яті комп'ютера, і відстежують всі підозрілі дії, що виконуються іншими програмами. Такі програми носять назву антивірусних моніторів або сторожів.

Монітор автоматично перевіряє всі запускаються програми, створювані, що відкриваються і зберігаються документи, файли програм та документів, отримані через Інтернет або скопійовані на жорсткий диск з дискети і компакт диска. Антивірусний монітор повідомить користувачеві, якщо будь-яка програма спробує виконати потенційно небезпечне діяння.

У комплект одного з найбільш досконалих сканерів Doctor Web (рис.2), розроблених Ігорем Даниловим (http: // www .drweb .ru) входить сторож Spider Guard, що виконує функції антивірусного монітора.

Мал. 2. Сканер Doctor Web

виявлення змін

Коли вірус заражає комп'ютер, він змінює вміст жорсткого диска, наприклад, дописує свій код в файл програми або документа, додає виклик програми-вірусу в файл AUTOEXEC.BAT, змінює завантажувальний сектор, створює файл-супутник. Таких змін, однак, не роблять «безтілесні» віруси, що мешкають не так на диску, а в пам'яті процесів ОС.

Антивірусні програми, звані ревізорами диска, не виконують пошук вірусів по сигнатурам. Вони запам'ятовують попередньо характеристики всіх областей диска, які піддаються нападу вірусу, а потім періодично перевіряють їх (звідси походить назва програми-ревізори). Ревізор може знайти зміни, зроблені відомим або невідомим вірусом.

Як приклади ревізорів диска можна привести програму Advanced Diskinfoscope (ADinf), розроблену в ЗАТ «ДиалогНаука» (http: // www .dials .ru, http: // www .adinf .ru) і ревізор AVP Inspector виробництва ЗАТ «Лабораторія Касперського »(http: // www .kaspersky .ru).

Разом з ADinf застосовується лікуючий модуль ADinf Cure Module (ADinfExt), який використовує зібрану раніше інформацію про файлах для відновлення їх після поразки невідомими вірусами. Ревізор AVP Inspector також має в своєму складі лікуючий модуль, здатний видаляти віруси.

Захист, вбудована в BIOS комп'ютера

В системні плати комп'ютерів теж вбудовують найпростіші засоби захисту від вірусів. Ці засоби дозволяють контролювати всі звернення до головного завантажувального запису жорстких дисків, а також до завантажувальнимсекторів дисків і дискет. Якщо будь-яка програма спробує змінити вміст завантажувальних секторів, спрацьовує захист і користувач отримує відповідне попередження.

Однак цей захист не дуже надійна. Існують віруси (наприклад, Tchechen.1912 і 1914), які намагаються відключити антивірусний контроль BIOS, змінюючи деякі осередки в незалежній пам'яті (CMOS-пам'яті) комп'ютера.

Особливості захисту корпоративної інтрамережі

Корпоративним внутрішнім може налічувати сотні і тисячі комп'ютерів, які грають роль робочих станцій і серверів. Ця мережа зазвичай підключена до Інтернету і в ній є поштові сервери, сервери систем автоматизації документообігу, такі як Microsoft Exchange і Lotus Notes, а також нестандартні інформаційні системи.

Для надійного захисту корпоративної інтрамережі необхідно встановити антівіруи на всі робочі станції і сервери. При цьому на файл-серверах, серверах електронної пошти і серверах систем документообігу слід використовувати спеціальне серверне антивірусне програмне забезпечення. Що ж стосується робочих станцій, їх можна захистити звичайними антивірусними сканерами і моніторами.

Розроблено спеціальні антивірусні проксі-сервери і брандмауери, скануючі проходить через них трафік і видаляють з нього шкідливе програмне забезпечення. Ці антивіруси часто застосовуються для захисту поштових серверів і серверів систем документообігу.

Захист файлових серверів

Захист файлових серверів повинна здійснюватися з використанням антивірусних моніторів, здатних автоматично перевіряти всі файли сервера, до яких йде звернення по мережі. Антивіруси, призначені для захисту файлових серверів, випускають всі антивірусні компанії, тому у Вас є багатий вибір.

Захист поштових серверів

Антивірусні монітори неефективні для виявлення вірусів в поштових повідомленнях. Для цього необхідні спеціальні антивіруси, здатні фільтрувати трафік SMTP, POP3 і IMAP, виключаючи попадання заражених повідомлень на робочі станції користувачів.

Для захисту поштових серверів можна придбати антивіруси, спеціально призначені для перевірки поштового трафіку, або підключити до сервера електронної пошти звичайні антивіруси, що допускають роботу в режимі командного рядка.

Демон антивіруса Doctor Web можна інтегрувати з усіма найвідомішими поштовими серверами і системами, такими як Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail і Zmailer. Аналогічні кошти надаються і Лабораторією Касперського в складі пакету Kaspersky Corporate Suite.

Поштовий сервер MERAK Mail Server допускає підключення зовнішніх антивірусів різних типів, що мають інтерфейс командного рядка. Деякі поштові сервери (наприклад, EServ) поставляються з вбудованим антивірусом.

Можна також додатково перевіряти трафік POP 3 і на робочих станціях користувачів. Це дозволяє зробити, наприклад, антивірусний проксі-сервер SpIDer Mail для протоколу POP 3, який можна придбати разом з антивірусом Doctor Web.

Захист серверів систем документообігу

Сервери систем документообігу, такі як Microsoft Exchange і Lotus Notes, зберігають документи в базах даних власного формату. Тому використання звичайних файлових сканерів для антивірусної перевірки документів не дасть ніяких результатів.

Існує ряд антивірусних програм, спеціально призначених для антивірусного захисту подібних систем. Це Trend Micro ScanMail для Lotus Notes, McAfee GroupScan і McAfee GroupShield, Norton Antivirus для Lotus Notes, антивірус Касперського Business Optimal для MS Exchange Server і деякі інші.

Ці програми сканують пошту і файли вкладень, видаляючи в реальному часі всі шкідливі програми, виявляють макрокомандние віруси і троянські програми в формах і макросах, в файлах сценаріїв і в об'єкти OLE. Перевірка виконується в режимі реального часу, а також на вимогу.

Захист нестандартних інформаційних систем

Для антивірусного захисту нестандартних інформаційних систем, що зберігають дані у власних форматах, необхідно або вбудовувати антивірусне ядру в систему, або підключати зовнішній сканер, що працює в режимі командного рядка.

Наприклад, ядро ​​антивіруса Doctor Web було використано ФГУП «НВО машинобудування» для захисту системи документообігу, створеної на базі власної технології Sapiens (http: // www .npomit .ru). Вся інформація, що зберігається цією системою в базі даних, перевіряється антивірусним ядром Doctor Web.

Як розробники інформаційних систем для відповідального застосування, «НВО машинобудування» забезпечило антивірусним захистом такі свої розробки, як Sapiens Реєстрація та Контроль Виконання Документів, Sapiens Моніторинг обчислювальних ресурсів, Sapiens Електронний Архів Конструкторської Документації.

Мережевий центр управління антивірусами

Якщо интрасеть налічує сотні і тисячі комп'ютерів, то необхідно централізоване віддалене управління антивірусними програмами та контроль їх роботи. Виконання в «ручному» режимі таких операцій, як відстеження оновлень антивірусної бази даних і завантажувальних модулів антивірусних програм, контроль ефективності виявлення вірусів на робочих станціях і серверах і т.п., є малоефективним, якщо в мережі є велика кількість користувачів або якщо мережа складається з територіально віддалених один від одного сегментів.

Якщо ж не забезпечити своєчасне та ефективне виконання перерахованих вище операцій, технологія антивірусного захисту корпоративної мережі обов'язково буде порушена, що рано чи пізно призведе до вірусного зараження. Наприклад, користувачі можуть неправильно налаштувати автоматичне оновлення антивірусної бази даних або просто вимикати свої комп'ютери в той час, коли таке оновлення виконується. В результаті автоматичне оновлення не буде виконано і виникне потенційна загроза зараження новими вірусами.

В сучасних антивірусних системах реалізовані наступні функції віддаленого управління і контролю:

· Установка і оновлення антивірусних програм, а також антивірусних баз даних;

· Централізована дистанційна установка і настройка антивірусів;

· Автоматичне виявлення нових робочих станцій, підключених до корпоративної мережі, з подальшою автоматичною установкою на ці станції антивірусних програм;

· Планування завдань для негайного або відкладеного запуску (таких як оновлення програм, антивірусної бази даних, сканування файлів і т.п.) на будь-яких комп'ютерах мережі;

· Відображення в реальному часі процесу роботи антивірусів на робочих станціях і серверах мережі.

Всі перераховані вище функції або багато з них реалізовані в мережевих центрах управління провідних корпоративних антивірусних продуктів, створених компаніями Sophos (http: // www .sophos .com), Symantec (http: // www .symante с. Ru), Network Associates ( http: // www .nai .com) і Лабораторія Касперського.

Мережеві центри управління дозволяють управляти антивірусним захистом всієї мережі з однієї робочої станції системного адміністратора. При цьому для прискорення процесу установки антивірусів в віддалених мережах, підключених до основної мережі повільними каналами зв'язку, в цих мережах створюються власні локальні дистрибутивні каталоги.

При використанні клієнт-серверної архітектури основою мережевого центру управління є антивірусний сервер, встановлений на одному з серверів корпоративної мережі. З ним взаємодіють, з одного боку, програми-агенти, встановлені разом з антивірусами на робочих станціях мережі, а з іншого боку - керуюча консоль адміністратора антивірусного захисту (рис. 3).

Мал. 3. Взаємодія консолі адміністратора, агентів і антивірусного сервера

Антивірусний сервер виконує керуючі і координуючі дії. Він зберігає загальний журнал подій, що мають відношення до антивірусного захисту і виникають на всіх комп'ютерах мережі, список і розклад виконання завдань. Антивірусний сервер відповідає за прийом від агентів і передачу адміністратору антивірусного захисту повідомлень про виникнення тих чи інших подій в мережі, виконує періодичну перевірку конфігурації мережі з метою виявлення нових робочих станцій або робочих станцій зі зміною конфігурацією антивірусних засобів і т.д.

Крім агентів, на кожній робочій станції і сервері корпоративної мережі встановлюється антивірус, що виконує сканування файлів і перевірку файлів при їх відкритті (функції сканера і антивірусного монітора). Результати роботи антивірусу передаються через агентів антивірусного сервера, яких їх аналізує і веде протокол в журналі подій.

Керуюча консоль може являти собою стандартний додаток Microsoft Windows з віконним інтерфейсом або аплет (snap -in) керуючої консолі Control Panel операційної системи Microsoft Windows. Перший підхід реалізований, наприклад, а керуючої системі антивірусів Sophos, а другий - в керуючої системі Norton AntiVirus.

Інтерфейс керуючої консолі дозволяє переглядати деревоподібну структуру корпоративної мережі, отримуючи при необхідності доступ до окремих комп'ютерів тих чи інших груп користувачів або доменів.

Багаторівневі системи з Web-інтерфейс

Архітектура багаторівневих систем з Web-інтерфейс передбачає використання Web-сервера в якості ядра системи. Завданням цього ядра є, з одного боку, організація діалогового інтерактивної взаємодії з користувачем, а з іншого - з програмними модулями тієї чи іншої системи.

Переваги такого підходу полягають в уніфікації способів управління різними системами мережі, а також у відсутності необхідності встановлювати на робочу станцію адміністратора будь-які керуючі програми або консолі. Адміністрування може виконуватися з будь-якого комп'ютера мережі, а якщо мережа підключена до Інтернету, то з будь-якого місця земної кулі, де є Інтернет і комп'ютер з браузером.

Для захисту керуючої інформації при її передачі по Інтернету або корпоративної інтрамережі застосовуються протоколи SSH або інші аналогічні засоби (наприклад, власні захищені модифікації протоколу HTTP).

На рис. 4-5 ми показали структурну схему системи антивірусного захисту з Web-інтерфейс Trend Virus Control System. Ця система дозволяє повністю управляти і контролювати роботу корпоративної системи антивірусного захисту з однієї робочої станції через браузер, навіть якщо окремі фрагменти мережі знаходяться в різних країнах або на різних континентах.

Мал. 4. Антивірусна система з Web-інтерфейс

Ця схема аналогічна схемі, показаної на рис. 4-1, проте адміністратор антивірусного захисту управляє її роботою через браузер, а не через консольний додаток.

На робочих станціях встановлюється антивірус (PC -cillin, Server Protect, InterScan VirusWall, ScanMail і т.д.). Цей антивірус управляється антивірусним сервером через агента.

На комп'ютері, який відіграє роль антивірусного сервера, встановлюється Web-сервер Microsoft IIS. Спеціальне Web-додаток, що працює на цьому сервері, управляє антивірусним сервером. Воно також надає адміністратору призначений для користувача інтерфейс для управління системою антивірусного захисту.

З метою забезпечення максимальної незалежності від комп'ютерних платформ сервер Trend VCS Server і клієнтську програму написані на мові програмування Java та іншими мовами, що застосовуються для розробки додатків Інтернету.

Що ж стосується повідомлень про виникнення подій в корпоративній системі антивірусного захисту, то вони передаються програмами-агентами сервера Trend VCS Server і розсилаються по електронній пошті, по пейджінговим мереж, через системи SMS і т.п.