Ирина Эланс

Автор который поможет с любыми образовательными и учебными заданиями

Компьютерные вирусы. 18

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«Санкт-Петербургский государственный

инженерно-экономический университет»

Кафедра вычислительных систем и программирования

УТВЕРЖДАЮ

Проректор

по учебно-методической работе

и качеству образования

д.э.н., профессор

________________ В.И. Малюк

Рег. № М-3445

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

И ЗАЩИТА ИНФОРМАЦИИ

Реферат на тему: Компьютерные вирусы

Выполнила: студент гр. 7/1191

Трубин М.Ю.

Руководитель: к.т.н. доцент

Демурин А.С.

Санкт-Петербург

2012

Содержание:

Классификация вирусов...........................................................................3

Основные виды вирусов и схемы их функционирования...................................5

Загрузочные вирусы................................................................................5

Файловые вирусы...................................................................................6

Загрузочно-файловые вирусы....................................................................6

Полиморфные вирусы..............................................................................7

Макровирусы.........................................................................................7

История компьютеной вирусологии.............................................................7

Пути проникновения вирусов в компьютер....................................................8

Обнаружение, защита и профилактика........................................................10

Предотвращение заражения......................................................................13

КОМПЬЮТЕРНЫЕ ВИРУСЫ

Классификация вирусов

В настоящее время известно более 70 000 программных вирусов, их можно классифицировать по следующим признакам:

— среда обитания;

— способ заражения среды обитания;

— воздействие;

— особенности алгоритма.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные Сетевые вирусы .распространяются по различным компьютерным сетям. Файловые вирусы внедряются чаще всего в исполняемые модули, т. с. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные, в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется и них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

— неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

— опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

— очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

Простейшие вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых кемпыотеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того :ке вируса не имеют ни одной повторяющейся цепочки бантов. Имеются и так называемые квазивирусные («троянские») программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

ОСНОВНЫЕ ВИДЫ ВИРУСОВ И СХЕМЫ ИХ ФУНКЦИОНИРОВАНИЯ

Среди всего разнообразия вирусов можно выделить следующие основные группы:

— загрузочные;

— файловые;

— файлово-загрузочные.

Загрузочные вирусы

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего диски. Мы сознательно обойдем все тонкости, с которыми неизбежно встретились бы при строгом разборе алгоритма его функционирования.

Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки (ПНЗ), которая хранится в постоянно запоминающем устройстве (ПЗУ)

Всякий диск размечен на секторы и дорожки. Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один - сектор начальной загрузки (boot-sector).

В секторе начальной загрузки хранится информация о дискете (количество поверхностей, дорожек, секторов и пр). Но нас сейчас интересует не она, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки следующая:

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части — голову и хвост. Хвост, вообще говоря, может быть пустым.

Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва (в нашем случае не защищенная от записи и еще не зараженная дискета), он приступает к заражению. Заражая дискету, вирус производит следующие действия:

— выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному (традиционно занятые вирусом секторы помечаются как сбойные);

— копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;

— замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой;

— организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. Б цепочке

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

появляется новое звено:

ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА

Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом, в отличие от дискет, на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record — главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера, и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов программа начальной загрузки и MBR и программа начальной загрузки в бут-секторе загрузочного диска.

Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину» (хотя еще неизвестно, кто в такой ситуации хозяин).

Какие же действия выполняет вирус? Он ищет новый объект для заражения — подходящий по типу файл, который еще не заражен (в том случае, если вирус «приличный*; попадаются и такие, которые заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции (размножение), вирус может сделать что-нибудь замысловатое (сказать, спросить, сыграть; это уже зависит от фантазии автора вируса). Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код, следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

— он не обязан менять длину файла;

— неиспользуемые участки кода

— не обязан менять начало файла.

Загрузочно-файловые вирусы

Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой новой информации вы при этом КС узнаете. Но здесь представляется удобный случай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие — шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию. Наиболее «смертельное» действие — просто переписать ног вый здоровый MBR. Главное — не паникуйте. Взвесьте все спокойно, посоветуйтесь со специалистом.

Полиморфные вирусы

Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным Объясним, что же это такое.

Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совладать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицпрующимися расшифровщиками. Цель такого шифрования имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его кид с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка пронз . водится самим вирусом уже нспосродственно во время вы поднения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела» .может вновь шифровать уже отработавшие участки. Вес это делается ради затруднения анализа кода вируса.

Макровирусы

Приложения, которые поддерживают макросы, подвержены риску заражения макровирусами. Макровирусы — это команды, встроенные в файлы вместе с данными. Примерами таких приложений являются Word, Excel и интерпретаторы Postscripts. Когда они открывают файлы данных, то происходит заражение макровирусом. Наиболее распространены макровирусы для Microsoft Word в силу его широкой распространенности и наличия в нем средств автоматизации.

История компьютерной вирусологии

История компьютерной вирусологии представляется сегодня постоянной «гонкой за лидером», причем, несмотря на век» мощь современных антивирусных программ, лидерами являются именно вирусы. Среди тысяч вирусов лишь несколько десятков являются оригинальными разработками, использующими действительно принципиально новые идеи. Все остальные — «вариации на тему». Но каждая оригинальная разработка заставляет создателей антивирусов приспосабливаться к новым условиям, догонять вирусную технологию. Последнее можно оспорить. Например, в 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Или эпидемия известного вируса Dir-II, разразившаяся в 1991 году. Вирус использовал оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств.

Или всплеск компьютерных вирусов в Великобритании (Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg). Вирус Smeg был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив ее, пользователи вместо уничтожения вирусов получали еще один, В результате этого были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов.

Широкую известность получил американский программист Моррис. Его знают как создателя вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.

Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных таордов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.

ПУТИ ПРОНИКНОВЕНИЯ ВИРУСОВ В КОМПЬЮТЕР

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода Л и перезагрузили компьютер, при этом дискета может быть к не системной. Заразить дискету гораздо проще. На нее Вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения все> ?го команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, стэнозится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХК, COM, SYS, ВАТ. Крайне редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь диверсию (не слишком серьезную, чтобы не привлечь внимания). И не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом заразится все программное обеспечение.

ПРИЗНАКИ ПОЯВЛЕНИЯ ВИРУСОВ

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие;

— прекращение работы или неправильная работа ранее успешно функционировавших программ;

— медленная работа компьютера;

— невозможность загрузки операционной системы;

— исчезновение файлов и каталогов или искажение их

содержимого;

— изменение даты и времени модификации файлов;

— изменение размеров файлов;

— неожиданное значительное увеличение количества

файлов на диске;

— существенное уменьшение размера свободной опера

тивной памяти;

— вывод на экран непредусмотренных сообщений или

изображений;

— подача непредусмотренных звуковых сигналов;

— частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин, Поэтому всегда затруднена правильная диагностика состояния компьютера,

ОБНАРУЖЕНИЕ, ЗАЩИТА И ПРОФИЛАКТИКА

Как обнаружить вирус

Как правило, вирусы обнаруживают обычные пользователи, которые замечают те или иные аномалии в поведении компьютера. Они в большинстве случаев не способны самостоятельно справиться с вирусом, но этого от них и не требуется.

Необходимо обратиться к специалистам. Профессионалы изучат вирус, выяснят, «что он делает», «как он делает», «когда он делает» и пр. В процессе такой работы собирается вся необходимая информация о данном вирусе, в частности, выделяется сигнатура вируса (последовательность байтов, которая его характеризует). Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса. Например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового — способ заражения файла. Полученная информация позволяет выяснить, как обнаружить вирус. Для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки (файлах и/или загрузочных секторах). Также необходимо определить, как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов.

Программы обнаружения и защиты от вирусов

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ;

— программы-детекторы;

— программы-доктора, или фаги;

— программы-ревизоры;

— программы-фильтры;

— программы-вакцины, или иммунизаторы.

Программы-детекторы осуществляют поиск характерной

для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Kaspcrsky Antivirus, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежный средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации и другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная и России программа Kaspersky Monitor.

Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

— попытки коррекции файлов с расширениями СОМ, ЕХЕ;

— изменение атрибутов файла;

— прямая запись на диск по абсолютному адресу;

— запись и загрузочные сектора диска;

— загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они пе «лечат*» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливостью (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, уничтожающие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Основные меры по защите от вирусов

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

- оснастите свой компьютер современными антивирус -

иыми программами, например Kaspersky Antivirus, и постоян

но обновляйте их вирусные базы;

- перед считыванием с дискет информации, записанной

па других компьютерах, всегда проверяйте эти дискеты на на

личие вирусов, запуская антивирусные программы своего ком

пьютера;

- при переносе на свой компьютер файлов в архивиро

ванном виде проверяйте их сразу же после разархивации на

жестком диске, ограничивая область проверки только вновь

записанными файлами;

— периодически проверяйте на наличие вирусов жест

кие диски компьютера, запуская антивирусные программы

для тестирования файлов, памяти и системных областей дис

ков с защищенной от записи дискеты, предварительно загру

зив операционную систему с защищенной от записи систем

ной дискеты;

— всегда защищайте свои дискеты от записи при работе

на других компьютерах, если на них не будет производится

запись информации;

— обязательно делайте архивные копии на дискетах цен

ной для вас информации;

— не оставляйте в кармане дисковода А дискеты при вклю

чении или перезагрузке операционной системы, чтобы исклю

чить заражение компьютера загрузочными вирусами;

— используйте антивирусные программы для входного

контроля всех исполняемых файлов, получаемых из компью

терных сетей;

— для обеспечения большей безопасности применения

антивируса необходимо сочетать с-повседневным использова

нием ревизора диска.

ВИРУСЫ И ИНТЕРНЕТ

Вначале самым распространенным способом заражения вирусами были дискеты, так как именно с их помощью переносились программы между компьютерами. После появления BBS вирусы стали распространяться через модем. Интернет привел к появлению еще одного канала распространения вирусов, с помощью которого они часто обходят традиционные методы борьбы с ними.

Вероятность заражения вирусами пропорциональна частоте появления новых файлов или приложений на компьютере. Изменения в конфигурации для работы в Интернете, для чтения электронной почты и загрузка файлов из внешних источников — все это увеличивает риск заражения вирусами.

Чем больше значение компьютера или данных, находящихся в нем, тем больше надо позаботиться о мерах безопасности против вирусов. Нужно также учесть и затраты на удаление вирусов из ваших компьютеров, а также из компьютеров ваших клиентов, которых вы можете заразить. Затраты не всегда ограничиваются только финансами, имеет значение репутация организации и другие вещи.

Важно также помнить, что вирусы обычно появляются в системе из-за действий пользователя (например, установки приложения, чтения файла но FTP, чтения электронного письма). Политика предотвращения может поэтому обращать особое внимание на ограничения на загрузку потенциально зараженных программ и файлов. В ней также может быть указано, что в среде с высоким риском проверка на вирусы особенно тщательно должна производиться для новых файлов.

Вот правила для работы в сети Интернет для пользователей корпоративных компьютерных сетей.

Предотвращение заражения

Администратор безопасности должен разрешить использование приложений перед их установкой на компьютер. Запрещается устанавливать и авторизованные программы на компьютеры. Конфигурации программ на компьютере должны проверяться ежемесячно на предмет выявления установки лишних программ.

Программы должны устанавливаться только с разрешенных внутренних серверов для ограничения риска заражения. Нельзя загружать программы с Интернета на компьютеры. С помощью брандмауэра должна быть запрещен ч операция GET (загрузка файла) с внешних серверов.

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов, данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигурированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы. Все приходящие письма и файлы, полученные из сет, должны проверяться на вирусы при получении. По возможности проверка на вирусы должна выполняться на брандмауэре, управляющем доступом к сети. Это позволит централизовать проверку на вирусы для всей организации и уменьшить затраты на параллельное сканирование на рабочих станциях. Это также даст возможность централизовать администрирование антивирусных программ, ограничить число мест, куда должны устанавливаться последние обновления антивирусных программ

Программа обучения сотрудников компьютерной безопасности должна содержать следующую информацию о риске заражения вирусами.

Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно обновляться (ежемесячно или ежеквартально) для того, чтобы можно было обнаружить новейпгие вирусы. Важно сообщать системному администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

Несоблюдение этих мер должно вести к наказанию сотрудника согласно стандартам организаций.

Обнаружение

Обнаружение — это процесс определения того, что данный выполняемый файл, загрузочная запись или файл данных содержит вирус.

Все программы должны быть установлены на тестовую машину и проверены па вирусы перед началом их использования В рабочей среде. Только после получения разрешения администратора безопасности можно устанавливать программы на машинах сотрудников.

Помимо использования коммерческих антивирусных программ должны использоваться эмуляторы виртуальных машин для обнаружения полиморфных вирусов. Все новые методы обнаружения вирусов должны использоваться на этой тестовой машине. Антивирусные программы необходимо обновлять ежемесячно или при появлении новой версии для выявления самых новых вирусов.

Проверка всех файловых систем должна производиться каждый день в обязательном порядке. Результаты проверок протоколируются, автоматически собираются и анализируются системными администраторами.

Все данные, импортируемые на компьютер, тем или иным способом (с дискет, из .-электронной почты и т.д.) должны проверяться на вирусы. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера (приложений).

При получении информации о заражении вирусом системный администратор должен информировать всех пользователей, имеющих доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус возможно заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы.

Удаление

Удаление вируса из зараженной компьютерной системы может потребовать переинсталляции ОС с нуля, удаления файлов или удаления вируса из зараженного файла.

Любая машина, подозреваемая в заражении вирусом, должна быть немедленно отключена от сети. Компьютер не должен подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении нируса. По возможности используйте коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи. Эти программы должны быть повторно установлены из надежных источников и еще раз проверены на вирусы. Зарегистрированные пользователи антивирусов могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса.