Средства защиты от вредоносных программ. Факторы, определяющие качество антивирусных программ

· использовать операционные системы, не дающие изменять важные файлы без ведома пользователя;

· своевременно устанавливать обновления;

· если существует режим автоматического обновления, включить его;

· для проприетарного ПО: использовать лицензионные копии. Обновления для двоичных файлов иногда конфликтуют со взломщиками;

· помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающеепроактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, ещё не внесенные в антивирусные базы). Однако, его использование требует от пользователя большого опыта и знаний;

· постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере и изменить системные настройки. Но это не защитит персональные данные от вредоносных (Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Ransom (шифрующий файлы), Trojan-Spy, Trojan .Keylogger ) и потенциально-нежелательных программ (Adware, Hoax), имеющих доступ к файлам пользователя, к которым ограниченная учетная запись имеет разрешение на запись и чтение (например, домашний каталог - подкаталоги /home в GNU/Linux, Documentsandsettings в Windows XP, папка «Пользователи» в Windows 7), к любым папкам, в которые разрешена запись и чтение файлов, или интерфейсу пользователя (как программы для создания снимков экрана или изменения раскладки клавиатуры);

· ограничить физический доступ к компьютеру посторонних лиц;

· использовать внешние носители информации только от проверенных источников на рабочем компьютере;

· не открывать компьютерные файлы, полученные от ненадёжных источников, на рабочем компьютере;

· использовать межсетевой экран (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

· Использовать второй компьютер (не для работы) для запуска программ из малонадежных источников, на котором нет ценной информации, представляющей интерес для третьих лиц;

· делать резервное копирование важной информации на внешние носители и отключать их от компьютера.

5. Характеристика и назначение основных антивирусных программ (Norton, Kaspersky)

Антивирус Касперского (AntivirusKaspersky) - антивирус разработан «Лабораторией Касперского». «Лаборатория Касперского» - самый известный в России производитель систем защиты от вирусов, спама и хакерских атак. Работает на рынке систем безопасности более 10 лет. Очень надёжная и эффективная программа для борьбы с вредоносным ПО.

Антивирус Касперского (AntivirusKaspersky) состоит из следующих компонентов:

1. Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере.

2. Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера.

3. Веб-Антивирус – компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.

4. Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.

Основные функции антивируса Касперского:

– имеет три степени защиты от известных и новых интернет-угроз: проверка по базам сигнатур, эвристический анализатор и поведенческий блокиратор;

– защита от вирусов, троянских программ и червей;

– проверка файлов, почты и интернет-трафика в режиме реального времени;

– защита от вирусов при работе с ICQ и другими IM-клиентами;

– защита от всех типов клавиатурных шпионов;

– обнаружение всех видов руткитов;

– автоматическое обновление баз.

SymantecNortonAntiVirus - продукт американской компании Symantec. Компания Symantec является мировым лидером в области приложений, программно-аппаратных комплексов и услуг, которые помогают конечным пользователям обеспечивать безопасность, готовность и целостность самого важного актива - информации. Неоднократно занимал призовые места в крупнейших международных антивирусных тестах. Нортон Антивирус обладает приятным интерфейсом и удобными настройками.

NortonAntiVirus состоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске. Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок.

Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу ПК.

Основные функции NortonAntiVirus:

– находит и удаляет вирусы и программы-шпионы;

– автоматически блокирует программы-шпионы;

– не позволяет рассылать зараженные письма;

– распознает и блокирует вирусы, программы-шпионы и троянские компоненты;

– обнаруживает угрозы типа Rootkit и устраняет угрозы, скрытые в операционной системе;

– функция защиты от интернет-червей: функция осмотра электронной почты и мгновенных сообщений;

– полный осмотр системы позволяет провести тщательный анализ и удалить найденные вирусы, программы-шпионы и другие угрозы

ЗАКЛЮЧЕНИЕ

В данной работе изложена основная часть вредоносного ПО, рассмотрена классификация и выявлены способы борьбы с различными угрозами.

Использование антивирусных программ, создания защищенной локальной сети, установка фильтров на запрещенные сайты с которых возможно проникновение вирусов, подходит для защиты от вредоносного программного обеспечения в компьютерном классе.

СПИСОК ЛИТЕРАТУРЫ

Антивирусная защита ПК. От «чайника» к пользователю: Александр Жадаев - Санкт-Петербург, БХВ-Петербург, 2010 г.- 224 с.

Антивирусы: П. П. Алексеев, А. П. Корш, Р. Г. Прокди - Санкт-Петербург, Наука и техника, 2010 г.- 80 с.

Как защитить компьютер (+ CD-ROM): Василий Леонов - Санкт-Петербург, Эксмо, 2010 г.- 240 с.

Защита компьютера на 100 %. Сбои, ошибки и вирусы: Петр Ташков - Москва, Питер, 2011 г.- 288 с.

Компьютерные вирусы и борьба с ними: А. В. Михайлов - Санкт-Петербург, Диалог-МИФИ, 2011 г.- 104 с.

Технологии борьбы с компьютерными вирусами: С. В. Гошко - Санкт-Петербург, Солон-Пресс, 2011 г.- 352 с.

Методы защиты от вредоносных программ

Основной метод борьбы с вредоносными программами, как и в медицине, - своевременная профилактика. Компьютерная профилактика предполагает соблюдение правил «компьютерной гигиены», позволяющих значительно снизить вероятность заражения и потери каких-либо данных. Уяснение и строгое следование основным правилам поведения при использовании индивидуального компьютера и в сети является важным методом защиты от компьютерных злоумышленников. Всего есть три основных правила, которые верны как для индивидуальных, так и для корпоративных пользователей.

• 1. Обязательное использование антивирусной защиты. Если вы не являетесь экспертом в области компьютерной безопасности, то лучше воспользуйтесь надежной антивирусной защитой и защитой от сетевых атак (сетевой экран) - доверьте свою безопасность профессионалам. Большинство современных антивирусных программ защищают от самых разнообразных компьютерных угроз - от вирусов, червей, троянских программ и рекламных систем. Интегрированные решения по безопасности также ставят фильтр против спама, сетевых атак, посещения нежелательных и опасных интернет-ресурсов.
• 2. Не следует доверять всей поступающей на компьютер информации - электронным письмам, ссылкам на веб-сайты, сообщениям на интернет-пейджеры. Категорически не следует открывать файлы и ссылки, приходящие из неизвестного источника. Риск заражения снижается также при помощи организационных мер. К таким мерам относятся различные ограничения в работе пользователей, как индивидуальных, так и корпоративных, например:
  • запрет на использование интернет-пейджеров;
  • доступ только к ограниченному числу веб-страниц;
  • физическое отключение внутренней сети предприятия от Интернета и использование для выхода в Интернет выделенных компьютеров и т.д.

К сожалению, жесткие ограничительные меры могут конфликтовать с пожеланиями каждого конкретного пользователя или с бизнес-процессами предприятия. В таких случаях необходимо искать баланс, причем в каждом отдельно взятом случае этот баланс может быть различным.

3. Следует обращать достаточно внимания на информацию от антивирусных компаний и от экспертов по компьютерной безопасности. Обычно они своевременно сообщают о новых видах интернет-мошенничества, новых вирусных угрозах, эпидемиях и т.п. - уделяйте больше внимания подобной информации.

Факторы, определяющие качество антивирусных программ

Качество антивирусной программы определяется несколькими факторами; перечислим их по степени важности.

• 1. Надежность и удобство работы - отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
• 2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц, упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов.
• 3. Существование версий антивируса под основные популярные платформы (DOS, Windows, Linux и т.д.).
• 4. Возможность сканирования «налету».
• 5. Существование серверных версий с возможностью администрирования сети.
• 6. Скорость работы.

К сожалению, любой пользователь компьютера сталкивался с вирусами и вредоносными программами. Чем это грозит, не стоит и говорить - как минимум, потеряются все данные и придется потратить время на форматирование диска и переустановку системы. Таким образом, чтобы избежать ненужных хлопот, лучше будет предотвратить их. Как говорится, профилактика лучше, чем лечение.

1. Осторожность при открытии сообщений в соцсетях

2. Актуальный антивирус

3. Ежедневное сканирование компьютера

Несмотря на установку антивирусных программ и средств против вредоносных программ, все равно будет лучше выполнять ежедневное сканирование винчестера, чтобы убедиться, что ни один вирус не пробрался в систему. На самом деле, каждый день можно «ловить» целую кучу вирусов, поэтому единственным способом уменьшить ущерб будет ежедневное сканирование файлов.

4. Бесплатный антивирус Avast

Создатели антивируса Avast упростили работу с этой программой до максимума. Все, что нужно, это просто нажать пару кнопок. При этом Avast обеспечивает достаточную защиту от вирусов - как троянов, так и червей.

5. SUPERAntiSpyware

SUPERAntiSpyware - антивирус, сделанный по принципу «все включено». Он может быть использован для борьбы с шпионскими программами, рекламным ПО, троянами, червями, клавиатурными шпионами, руткитами и т.д. При этом он не будет замедлять работу компьютера.

6. Брандмауэр

Это основное правило, которое должны понимать все пользователи компьютеров. Хотя использование брандмауэра не является эффективным для ловли интернет-червей, он по-прежнему очень важен для борьбы с потенциальным заражением от внутренней сети пользователя (к примеру, офисной сети).

7. AVG Internet Security

Эта защита идеально подходит для домашнего и коммерческого использования, а также она примечательна тем, что включает в себя помощь специалистов по интернет-безопасности. Она постоянно обновляется и имеет расширенные функции. AVG Internet Security может быть использован для борьбы с вирусами, шпионскими программами и троянами, а также может помочь предотвратить кражу личных данных и другие веб-эксплойты.

8. Avira AntiVir

Avira предлагает улучшенный способ удаления вредоносных программ, включая остаточные файлы от вирусов. Однако пользователи должны быть осторожными, поскольку в Интернете распространяется поддельная версия программы. Также Avira отличается упрощенным интуитивно понятным пользовательским интерфейсом.

9. Kaspersky Internet Security

Данный антивирус по сути содержит все, что должен иметь пользователь компьютера для безопасной и надежной работы с Интернетом. Он может быть использован для защиты транзакций при работе, обработки банковских операций, включая онлайн-покупки и онлайн-игры.

10. Ad-Aware и Avast-Free

Ad-Aware предоставляет бесплатную антивирусную защиту. Он был создан специально для одновременной установки с Google Chrome, но может также работать с любым другим браузером. Он эффективен в предотвращении автоматического запуска вредоносных программ на Windows и очистке компьютера.

11. ESET Online Scanner

Для эффективного решения по борьбе с вредоносным ПО, ESET Online Scanner предлагает пакет безопасности премиум-класса, в который включено буквально все. Он также умеет чистить уже зараженные машины и использовать онлайн брандмауэр.

Стопроцентной защиты от всех вредоносных программ не существует: от эксплойтов наподобие Sasser или Conficker не застрахован никто. Чтобы снизить риск потерь от воздействия вредоносных программ, рекомендуется:

использовать современные операционные системы, имеющие серьёзный уровень защиты от вредоносных программ;

своевременно устанавливать патчи; если существует режим автоматического обновления, включить его;

постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;

использовать специализированные программные продукты, которые для противодействия вредоносным программам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы;

использовать антивирусные программные продукты известных производителей, с автоматическим обновлением сигнатурных баз;

использовать персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

ограничить физический доступ к компьютеру посторонних лиц;

использовать внешние носители информации только от проверенных источников;

не открывать компьютерные файлы, полученные от ненадёжных источников;

отключить автозапуск со сменных носителей, что не позволит запускаться кодам, которые находятся на нем без ведома пользователя (для Windows необходимо gpedit. msc->Административные шаблоны (Конфигурация пользователя) - >Система->Отключить автозапуск->Включен "на всех дисководах").

Современные средства защиты от различных форм вредоносных программ включают в себя множество программных компонентов и методов обнаружения "хороших" и "плохих" приложений. Сегодня поставщики антивирусных продуктов встраивают в свои программы сканеры для обнаружения "шпионов" и другого вредоносного кода, таким образом, всё делается для защиты конечного пользователя. Тем не менее, ни один пакет против шпионских программ не идеален. Один продукт может чересчур пристально относиться к программам, блокируя их при малейшем подозрении, в том числе "вычищая" и полезные утилиты, которыми вы регулярно пользуетесь. Другой продукт более лоялен к программам, но может пропускать некоторый шпионский код. Так что панацеи, увы, нет.

В отличие от антивирусных пакетов, которые регулярно показывают 100% эффективности по обнаружению вирусов в профессиональном тестировании, проводящемся такими экспертами, как "Virus Bulletin", ни один пакет против рекламных программ не набирает более 90%, а эффективность многих других продуктов определяется между 70% и 80%.

Это объясняет, почему одновременное использование, например, антивируса и антишпионской программы, наилучшим образом обеспечивает всестороннюю защиту системы от опасностей, которые могут прийти неожиданно. Практика показывает, что один пакет следует использовать в качестве постоянного "блокировщика", который загружается всякий раз при включении компьютера (например, AVP 6.0), в то время как ещё один пакет (или более) должен запускаться, по крайней мере, раз в неделю, чтобы обеспечить дополнительное сканирование (например, Ad-Aware). Таким образом, то, что пропустит один пакет, другой сможет обнаружить.

Инструментальные средства

Используемые технологии

Ключевыми элементом в организации защиты являются две информационные структуры, предоставляемые Check Point: ThreatCloud Repository и ThreatSpect Engine .

ThreatCloud представляет собой распределённое информационное хранилище, которое используется для идентификации заражённых сетевых хостов.

Хранилище наполняется данными, получаемыми из нескольких источников. В первую очередь это обширная сеть сенсоров, которые размещены по всему миру. Также данные собираются с самих устройств Check Point, на которых активирован Anti-Bot Software Blade. Дополнительная информация предоставляется компаниями-партнёрами. С ними осуществляется обмен информацией и репутации IP/DNS/URL.

Ещё одним источником обновлений является подразделение Check Point, занимающееся исследованием (в частности reverse engineering) экземпляров вредоносного ПО. Данное подразделение производит анализ поведения malware в изолированной среде. Информация, полученная в результате анализа, загружается в ThreatCloud.

Информация, содержащаяся в ThreatCloud, является набором адресов и DNS имён, которые используются ботами для коммуникации с C&C. Также там содержатся поведенческие сигнатуры различных семейств malware, и информация, получаемая с сенсоров.

ThreatSpect Engine является распределённой многоуровневой вычислительной системой, которая занимается анализом сетевого трафика и корреляцией полученных данных для обнаружения активности ботов, а также других типов malware.

Анализ осуществляется по нескольким направлениям:

• Репутация – анализируется репутация URL, IP адресов и доменных имён, к которым хосты, расположенные внутри организации, пытаются получить доступ. Производится поиск известных ресурсов, либо подозрительной активности, такой как обращение C&C;
• Сигнатурный анализ – определяется наличие угрозы путём поиска уникальных сигнатур в файлах, либо в сетевой активности;
• Подозрительная e-mail активность – обнаружение инфицированных хостов путём анализа исходящего почтового трафика;
• Поведенческий анализ – детектирование уникальных шаблонов в поведении хоста, которые свидетельствуют о факте заражения. Например, фиксированная частота обращений к C&C по определённому протоколу.

ThreatSpect и ThreatCloud работают совместно – ThreatSpect получает информацию для анализа из ThreatCloud, а после осуществления анализа и корреляции, загружает полученные данные обратно в распределённое хранилище в виде сигнатур и репутационных баз.

Главным преимуществом технологии является тот факт, что, по сути, мы имеем глобальную базу с информацией об активности вредоносного ПО, обновляемую в реальном времени. Таким образом, если происходит массированное заражение хостов в сети одного из участников данной системы, информация об атаке через ThreatCloud поступает другим участникам. Это позволяет ограничить быстрое распространение вредоносного ПО на сети многих компаний.

Методы, используемые для выявления угрозы

Следует понимать, что функционал Anti-Bot Software Blade направлен на выявление уже инфицированных станций и минимизацию вреда от них. Данное решение не предназначено для предотвращения заражения. Для этих целей следует использовать другие средства.

Для обнаружения подозрительной активности используются следующие методы:

• Идентификация адресов и доменных имён C&C – изменение адресов происходит постоянно, поэтому важно поддерживать список в актуальном состоянии. Это достигается при помощи инфраструктуры Check Point ThreatCloud;
• Идентификация шаблонов , используемых при коммуникации различными семействами malware – каждое семейство malware имеет свои уникальные параметры, по которым его можно идентифицировать. Исследования проводятся в отношении каждого семейства с целью формирования уникальных сигнатур;
• Идентификация по поведению – детектирование инфицированной станции путём анализа её поведения, например, при участии в DDoS атаке, или рассылке спама.

Анализ инцидентов, зафиксированных Anti-Bot Software Blade, производится при помощи компонентов SmartConsole: SmartView Tracker и SmartEvent. В SmartView Tracker можно получить подробную информацию о трафике, который вызвал срабатывание Anti-Bot Blade. SmartEvent содержит более подробную информацию о событиях. Можно осуществлять группировку по различным категориям, также присутствует возможность анализа событий безопасности за длительный период, генерация отчётов.

Методы, используемые для предотвращения угрозы

Помимо обнаружения угроз, Anti-Bot Software Blade способен предотвращать ущерб, который могут принести инфицированные хосты.

Осуществляется блокировка попыток инфицированного хоста связаться с C&C, и получить от него инструкции. Такой режим работы доступен только когда трафик проходит через гейтвей с включённым Anti-Bot Software Blade (режим inline).

Используется два независимых метода блокировки:

• Блокировка трафика, который направлен к известному адресу C&C;
• DNS Trap – реализация техники DNS sinkhole. Блокировка происходит при попытке разрешить доменное имя, которое используется инфицированными хостами для обращения к C&C. В ответе DNS сервера IP адрес подменяется на фиктивный, таким образом, делая невозможным отправку запроса к C&C для заражённого хоста.

В общем случае информация получается из кэша, но, если обнаружена подозрительная активность, которая однозначно не идентифицируется имеющимися сигнатурами, Anti-Bot Software Blade делает запросы к ThreatCloud в реальном времени.

Классификация и оценка достоверности

Процесс работы с событиями безопасности

Обработка информации, собранной при помощи Anti-Bot Software Blade, осуществляется двумя приложениями SmartConsole – SmartView Tracker и SmartEvent . SmartEvent требует наличия отдельного блейда (SmartEvent Software Blade), и крайне рекомендуется к использованию при анализе.

При анализе событий Anti-Bot Software Blade, в первую очередь следует обращать внимание на множественные срабатывания на трафике с одним Source IP и срабатывания, случающиеся с некоторой периодичностью.
Во многом картина зависит от модели поведения бот-программы.
Например, примитивные типы malware делают частые обращения к DNS в попытке разрешить имя C&C. При этом в SmartEvent будет достаточно большое количество однотипных событий с одинаковым Source IP, а отличаться друг от друга события будут только DNS именем в запросе к серверу.

Также следует обратить внимание на множественные одиночные детектирования одного типа malware для разных source IP. Данный метод анализа эффективен, т.к. malware обычно старается распространиться на другие уязвимые хосты в локальной сети. Для корпоративной среды это особенно актуально, и набор ПО, в том числе антивирусного, зачастую одинаков на рабочих станциях. На скриншоте выше показано массовое детектирование одного типа malware. В похожей ситуации стоит выборочно проверить пару машин из списка.

Хотя Anti-Bot Software Blade помогает обнаружить и блокировать активность заражённых malware хостов, в большинстве случаев требуется дополнительный анализ полученной информации. Не все типы malware могут быть легко идентифицированы. Для обработки инцидентов необходимы квалифицированные специалисты, которые будут изучать пакетные трассы, выявлять активность вредоносного ПО. Anti-Bot Software Blade представляет из себя мощный инструмент для автоматизации мониторинга malware активности.

Действия после обнаружения

В первую очередь необходимо воспользоваться базой Threat Wiki, предоставляемой Check Point. Если угроза является актуальной, необходимо воспользоваться процедурой , рекомендованной вендором. Также для подтверждения заражения хоста следует через Google поискать malware по имени, вероятно удастся найти технические подробности данного вредоносного ПО, что поможет безошибочно его идентифицировать. Например, поиск по имени “Juasek” (название взято из события Anti-Bot Software Blade) позволяет найти много информации о данном malware на сайте Symantec. Также там содержится описание процедуры удаления. Если не преследуется цель изучения malware, то можно воспользоваться одним или несколькими malware removal tool. Самыми популярными являются продукты от Malwarebytes , Kaspersky , Microsoft .

Практические результаты использования

Ниже представлены результаты суточного мониторинга трафика в организации. На коммутаторе был зеркалирован трафик одного из пользовательских сегментов, идущий к DNS-серверам, и к прокси-серверам. Отчёты получены при помощи ПО Check Point SmartEvent.

Статистика практического использования Antibot

За сутки в отчёт Antibot попало 1712 событий, из них уникальных хостов – 134. Результаты выборочной проверки компьютеров.