Удобная и безопасная работа за компьютером как для пользователя, так и для организаций невозможна без знаний о защите персональных данных, поэтому необходимо, как минимум, базовое понимание о том, что такое компьютерный вирус, как можно обезопасить компьютер и какое программное обеспечение наиболее эффективно в решении этой задачи.Встатье автор раскрывает данную проблему.
Ключевые слова: антивирусные программы, компьютерные вирусы, операционные системы.
Со времен появления первых компьютеров и по сей день вирусы являются одной из основных причин появления неполадок в работе ЭВМ, утечек информации, в том числе и конфиденциальных данных [1, с.4].
Под компьютерным вирусом стоит понимать такое программное обеспечение, которое может нанести вред компьютеру и информации, хранящейся на его носителях. В качестве основных целей компьютерных вирусов стоит выделить нанесение вреда устройству, хищение информации, шантаж и др.
Стоит оговориться, что какой-либо из этих признаков абсолютно точно указывает на заражение компьютера вирусом, однако обращение внимания на эти характеристики может стать поводом для проверки. Осуществить её можно при помощи специального антивирусного программного обеспечения, которое может более точно определить наличие вирусов, удалить вредоносные данные, «вылечить» устройство и провести профилактические действия.
На рынке программного обеспечения представлен широкий спектр антивирусных программ [2, с.5]. Для более точного выбора необходимо оценивать их на основе соответствия следующим критериям:
– Стабильная и надёжная работа приложения;
– Регулярность обновления баз данных;
– Определение разных типов вирусов;
– Умение работать с различными типами файлов;
– Возможность автоматической проверки новых файлов;
– Возможность восстановления повреждённых файлов без необходимости их удаления с носителей информации.
Ранее мы отмечали, что антивирусное ПО осуществляет диагностику, лечение и профилактику компьютеров от вирусов. В ходе реализации этих процессов пользователь постоянно уведомляется о действиях программы. Обнаружив вирус, антивирусное ПО предлагает ему варианты действий: лечение «инфицированного» файла, помещение его в карантин или удаление. Суть профилактики в одновременной работе операционной системы и антивирусного ПО, которое осуществляет входящий контроль на вирусы для любого нового файла или приложения, запускаемого с помощью компьютера. Зачистка от вредоносных данных или ПО проводится антивирусом постоянно.
Подсчитать количество компьютерных вирусов имеет сегодня ровно такой же смысл как установить число звёзд во Вселенной, однако хорошее антивирусное ПО активно обновляет свои базы данных на предмет новых сигнатур, которые могут нанести потенциальный вред устройству. Обнаружение любого соответствия с базой данных антивирусной программы ведёт к уведомлению пользователя. К сожалению, несмотря на огромное количество литературы по теме вредоносных программ, большая ее часть описывает сами вредоносные программы [3, с.8].
Обычно антивирусное ПО может установить 3 уровня защиты от вредоносных данных и программ: минимальный, средний (оптимальный), максимальный (параноидальный).
Последний уровень имеет двойственную природу: с одной стороны, он определяет и устраняет максимальное количество угроз для компьютера, с другой стороны, для этого используются все ресурсы устройства. Для повседневной работы вполне достаточно оптимального уровня, а на минимальном только осуществляется проверка на соответствие базе данных вирусных сигнатур. В последнем случае, программа реагирует только на те вирусы, чьи признаки на 100 % соответствуют имеющейся базе данных.
Вирус может нанести вред не только данным, но и аппаратной части устройства, поэтому установка антивирусного ПО — это необходимое действие для любого ПК.
Современные антивирусы обнаруживают вредоносный код, применяя следующие методы:
- Обнаружение по сигнатурам. Суть метода в том, что его обнаружение основано на работе разработчиков, которые предварительно проанализировали все его признаки, провели тесты по обезвреживанию и разработали противовирусный код. После этих операций данные о вирусе заносятся в базу данных антивирусного ПО. При встрече с аналогичным кодом антивирус определит его как вирус и сможет обезвредить.
Метод не работает до того момента, пока кто-нибудь не станет жертвой вируса, чтобы он попал в поле зрения разработчиков, поэтому антивирус не сработает, если не будет обладать информацией о данном ПО. В условиях быстрого распространения вируса под угрозу могут попасть тысячи устройств. Эффективность его зависит от скорости попадания сведений о вирусе в базу данных, поэтому для новых вирусов и угроз он практически бесполезен. С точки зрения нагрузки на операционную систему данный метод осуществляется легко и оперативно.
- Эвристический анализ. Данный метод осуществляется через анализ деятельности всех программ пользователя в системе и заявляет о проблемах в случае обнаружения чего-то подозрительного. Современные антивирусные программы оснащены так называемыми «песочницами» — выделенными областями памяти, которые не взаимодействуют с системой напрямую, поэтому помещённые в неё программы не могут навредить.
Этот метод позволяет преодолеть ограничения базы сигнатур в отношении новых и не включённых в неё угроз, однако это приводит к большому количеству ложных срабатываний, что снижает эффективность обнаружения угроз. Решить проблему позволит достижение компромисса между эффективностью защиты и количеством срабатываний.
Антивирусы, которые используют подобные алгоритмы, блокируют любые попытки взлома, генераторы ключей для ПО, системы удалённого доступа, программы хранения паролей и прочее подозрительное ПО.
Осуществление данного метода приводит к перегрузке системы, поскольку антивирус действует в памяти компьютера, анализируя каждый процесс.
- Эмуляция. Эмулятор — это и есть песочница, в которую помещается подозрительная программа, до момента выявления её сущности. Вспомогательный характер метода не позволяет оценить его самостоятельную степень эффективности.
Несмотря на внушительные списки возможностей и дополнительных модулей, которые называются при помощи разных сложных слов, антивирусные программы не справляются с оперативным реагированием на заражение системы [4, с.12].
Как было отмечено ранее, сигнатурный анализ ограничен скоростью работы разработчика, который может не успеть за теми, кто создал вирус. Они также могут быть на несколько шагов впереди, поскольку в них заложены механизмы оперативной модификации, а также усовершенствовать известные вирусы, что только увеличивать срок осуществления действий в последовательности «обнаружить — исследовать — включить в сигнатуры — обновить базы данных антивируса», поэтому оперативное реагирование на новые угрозы становится почти невозможным.
Эффективность эвристического анализа снижает работоспособность всей системы целиком из-за чего приходится идти на компромисс между комфортной работой и постоянным обнаружением угроз.
Не стоит забывать и о том, что существуют полиморфные вирусы, от которых ни один из методов защиты полностью уберечь не сможет. Это же касается и руткитов, которые всё чаще применяются создателями вирусов. Антивирусное ПО пока не имеет эффективного средства их обнаружения и нейтрализации.
К сожалению, полностью отказаться от использования антивирусного ПО невозможно, но и полностью эффективными мы их назвать не можем.
Вирусы способны активно себя копировать, встраиваться в любой программный код, в память системы, в автозагрузку и распространяться вне зависимости от реакций антивирусного ПО.
Их задача состоит в том, чтобы произвести сбой в работе всех программных систем, удалить файлы, блокировать работу узлов ПК, нарушить структуру информации.
Новыми и особо опасными угрозами можно считать те, которые связаны со шпионажем и кражей конфиденциальной информации. Особенно это касается банковских приложений, поскольку ряд действий может привести к потере денег. Некоторые вирусы могут быть самостоятельными приложениями, которые под видом полезных внедряются в пользовательские файлы, данные и распространяют вредоносные коды, превращая всю информацию в «заражённую».
Классификация компьютерных вирусов аналогична их биологическому прообразу. В качестве основ для типологии выделяются следующие характеристики:
– Среда обитания;
– Операционные системы, испытывающие воздействие угроз;
– Алгоритмы функционирования;
– Способ заражения;
– Степень деструктивного воздействия на компьютерную систему.
Таким образом, пользователи должны понимать, что, если в программном коде вируса есть сегменты, которые не наносят деструктивное воздействие, это не повод для оценки угрозы как потенциально безопасной. Поэтому, даже вирусы-шутки могут стать основой для проникновения опасных угроз. Если они не будут своевременно обнаружены, это станет условием для большого ущерба, последствия которых могут быть значительными.
Современные разработчики антивирусного ПО действуют на основе ряда классических принципов, которые позволяют находить и обезвреживать угрозы, либо полностью удалять их из системы при невозможности осуществить лечение. Основные методы борьбы с компьютерными вирусами это:
- Сканирование (сигнатурный анализ);
- Эвристический (поведенческий) анализ;
- Метод резидентного мониторинга и отслеживание изменений программ;
- Вакцинация приложений;
- Использование программно-аппаратных средств.
Почти всё программное обеспечение, направленное на борьбу с угрозами, называют антивирусами, однако их можно подразделить на основе ряда признаков. Уместно формирование следующей типологии:
– Антивирусы-фильтры и сторожа;
– Антивирусные детекторы и ревизоры, которые могут совмещать в себе возможности приложений-докторов;
– Приложения-вакцинаторы.
Литература:
- Попов И. О., Марунько А. С., Петров О. И., Олейник А. А. Вирусы и антивирусные программы в информационной безопасности // Научные записки молодых исследователей. 2020. № 4. URL: https://cyberleninka.ru/article/n/virusy-i-antivirusnye-programmy-v-informatsionnoy-bezopasnosti
- Алиев А. Т.Проактивные системы защиты от вредоносного программного обеспечения // Известия ЮФУ. Технические науки. 2014. № 2 (151). URL: https://cyberleninka.ru/article/n/proaktivnye-sistemy-zaschity-ot-vredonosnogo-programmnogo-obespecheniya
- Медведев В. В. Возможность выработки требований к системе защиты от вредоносных программ // Прикладная информатика. 2015. № 3 (57). URL: https://cyberleninka.ru/article/n/vozmozhnost-vyrabotki-trebovaniy-k-sisteme-zaschity-ot-vredonosnyh-programm
- Курилов Ф. М. Оптимизационный метод проведения сравнительного анализа средств защиты информации от несанкционированного доступа. Технические науки: проблемы и перспективы: материалы III Междунар. науч. конф. (г. Санкт-Петербург, июль 2015 г.). СПб.: Свое издательство; 2015:40–44.
- Кияев В. И. Безопасность информационных систем. М.: Открытый Университет «ИНТУИТ»; 2016. 192 с.