Стопроцентной защиты от всех вредоносных программ не существует: от эксплойтов наподобие Sasser или Conficker не застрахован никто. Чтобы снизить риск потерь от воздействия вредоносных программ, рекомендуется:

использовать современные операционные системы, имеющие серьёзный уровень защиты от вредоносных программ;

своевременно устанавливать патчи; если существует режим автоматического обновления, включить его;

постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;

использовать специализированные программные продукты, которые для противодействия вредоносным программам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы;

использовать антивирусные программные продукты известных производителей, с автоматическим обновлением сигнатурных баз;

использовать персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

ограничить физический доступ к компьютеру посторонних лиц;

использовать внешние носители информации только от проверенных источников;

не открывать компьютерные файлы, полученные от ненадёжных источников;

отключить автозапуск со сменных носителей, что не позволит запускаться кодам, которые находятся на нем без ведома пользователя (для Windows необходимо gpedit. msc->Административные шаблоны (Конфигурация пользователя) - >Система->Отключить автозапуск->Включен "на всех дисководах").

Современные средства защиты от различных форм вредоносных программ включают в себя множество программных компонентов и методов обнаружения "хороших" и "плохих" приложений. Сегодня поставщики антивирусных продуктов встраивают в свои программы сканеры для обнаружения "шпионов" и другого вредоносного кода, таким образом, всё делается для защиты конечного пользователя. Тем не менее, ни один пакет против шпионских программ не идеален. Один продукт может чересчур пристально относиться к программам, блокируя их при малейшем подозрении, в том числе "вычищая" и полезные утилиты, которыми вы регулярно пользуетесь. Другой продукт более лоялен к программам, но может пропускать некоторый шпионский код. Так что панацеи, увы, нет.

В отличие от антивирусных пакетов, которые регулярно показывают 100% эффективности по обнаружению вирусов в профессиональном тестировании, проводящемся такими экспертами, как "Virus Bulletin", ни один пакет против рекламных программ не набирает более 90%, а эффективность многих других продуктов определяется между 70% и 80%.

Это объясняет, почему одновременное использование, например, антивируса и антишпионской программы, наилучшим образом обеспечивает всестороннюю защиту системы от опасностей, которые могут прийти неожиданно. Практика показывает, что один пакет следует использовать в качестве постоянного "блокировщика", который загружается всякий раз при включении компьютера (например, AVP 6.0), в то время как ещё один пакет (или более) должен запускаться, по крайней мере, раз в неделю, чтобы обеспечить дополнительное сканирование (например, Ad-Aware). Таким образом, то, что пропустит один пакет, другой сможет обнаружить.

Статья адресована начинающим системным администраторам.

Под антивирусной защитой я подразумеваю защиту от любого вредоносного ПО: вирусы, трояны, рут-киты, бэк-доры,…

1 Шаг по антивирусной защите - установка антивирусного ПО на каждом компьютере в сети и обновление не реже чем ежедневно. Правильная схема обновления антивирусных баз: за обновлениями ходят 1-2 сервера и раздают обновления всем компьютерам в сети. Обязательно ставьте пароль на отключение защиты.

У антивирусного ПО много недостатков. Главный недостаток - они не ловят вирусы, написанные на заказ и которые не получили широкого распространения. Второй недостаток- они нагружают процессор и занимают память на компьютерах, кто-то больше (Касперский), кто-то меньше (Eset Nod32), это надо учитывать.

Установка антивирусного ПО - обязательный, но недостаточный способ защиты от вирусных эпидемий, часто сигнатура вируса появляется в антивирусных базах на следующий день после его распространения, за 1 день вирус может парализовать работу любой компьютерной сети.

Обычно системные администраторы останавливаются на 1 шаге, хуже того, не доводят его до конца либо не следят за обновлениями и рано или поздно заражение все-таки происходит. Ниже перечислю другие важные шаги по усилению антивирусной защиты.

2 Шаг. Политика паролей. Вирусы (трояны) умеют заражать компьютеры в сети подбирая пароли к стандартным учетным записям: root, admin, Administrator, Администратор. Всегда используйте сложные пароли! За учетные записи без паролей либо с простыми паролями системный администратор должен быть уволен с соответствующей записью в трудовой книжке. После 10 попыток неверного ввода пароля учетная запись должна блокироваться на 5 минут, чтобы защититься от брут-форса (подбор пароля методом простого перебора). Встроенные учетные записи администраторов крайне желательно переименовать и заблокировать. Периодически пароли нужно менять.

3 Шаг. Ограничение прав пользователей. Вирус (троян) распространяется по сети от имени пользователя, который его запустил. Если у пользователя права ограничены: нет доступа на другие компьютеры, нет административных прав на свой компьютер, то даже запущенный вирус ничего не сможет заразить. Нередки случаи, когда сами системные администраторы становятся виновниками распространения вируса: запустили админ кей-ген и пошел вирус заражать все компьютеры в сети…

4 Шаг. Регулярная установка обновлений безопасности. Это сложная работа, но делать ее надо. Обновлять нужно не только ОС, но и все приложения: СУБД, почтовые серверы.

5 Шаг. Ограничение путей проникновения вирусов. Вирусы попадают в локальную сеть предприятия двумя путями: через сменные носители и через другие сети (Интернет). Запретив доступ к USB, CD-DVD, вы полностью перекрываете 1 путь. Ограничив доступ в Интернет, вы перекрываете 2 путь. Этот метод очень эффективен, но тяжело реализуем.

6 Шаг. Межсетевые экраны (МСЭ), они же файерволы (firewalls), они же брэндмауэры. Их нужно обязательно устанавливать на границах сети. Если ваш компьютер подключен к Интернет напрямую, то МСЭ должен быть включен обязательно. Если компьютер подключен только к локальной сети (ЛВС) и выходит в Интернет и другие сети через серверы, то на этом компьютере МСЭ включать необязательно.

7 Шаг. Разделение сети предприятия на подсети. Сеть удобно разбивать по принципу: один отдел в одной подсети, другой отдел - в другой. На подсети можно делить на физическом уровне (СКС), на канальном уровне (VLAN), на сетевом уровне (не пересекаемые по адресам ip подсети).

8 Шаг. В Windows есть замечательный инструмент по управлению безопасностью больших групп компьютеров - это групповые политики (ГПО). Через ГПО можно настроить компьютеры и серверы так, что заражение и распространение вредоносного ПО станет практически невозможным.

9 Шаг. Терминальный доступ. Поднимите в сети 1-2 терминальных сервера, через которые пользователи будут ходить в Интернет и вероятность заражения их персональных компьютеров упадет до нуля.

10 Шаг. Отслеживание всех запускаемых на компьютерах и серверах процессов и служб. Можно сделать так, чтобы при запуске неизвестного процесса (службы) системному администратору приходило уведомление. Коммерческое ПО, которое умеет это делать, стоит немало, но в некоторых случаях затраты оправданы.

Все знают, что для защиты от вредоносных программ нужно использовать антивирусы. Но в то же время нередко можно услышать о случаях проникновения вирусов на защищенные антивирусом компьютеры. В каждом конкретном случае причины, по которым антивирус не справился со своей задачей могут быть разные, например:

• Антивирус был отключен пользователем
• Антивирусные базы были слишком старые
• Были установлены слабые настройки защиты
• Вирус использовал технологию заражения, против которой у антивируса не было средств защиты
• Вирус попал на компьютер раньше, чем был установлен антивирус, и смог обезвредить антивирусное средство
• Это был новый вирус, для которого еще не были выпущены антивирусные базы

Но в целом можно сделать вывод , что просто наличия установленного антивируса может оказаться недостаточно для полноценной защиты, и что нужно использовать дополнительные методы. Ну а если антивирус на компьютере не установлен, то без дополнительных методов защиты и вовсе не обойтись.

Если взглянуть, на приведенные для примера причины пропуска вируса антивирусом, можно увидеть, что первые три причины связаны с неправильным использованием антивируса, следующие три - с недостатками самого антивируса и работой производителя антивируса. Соответственно и методы защиты делятся на два типа - организационные и технические.

Организационные методы направлены в первую очередь на пользователя компьютера. Их цель состоит в том, чтобы изменить поведение пользователя, ведь не секрет, что часто вредоносные программы попадают на компьютер из-за необдуманных действий пользователя. Простейший пример организационного метода - разработка правил работы за компьютером, которые должны соблюдать все пользователи.

Технические методы, наоборот, направлены на изменения в компьютерной системе. Большинство технических методов состоит в использовании дополнительных средств защиты, которые расширяют и дополняют возможности антивирусных программ. Такими средствами защиты могут быть:

• Брандмауэры - программы, защищающие от атак по сети
• Средства борьбы со спамом
• Исправления, устраняющие "дыры" в операционной системе, через которые могут проникать вирусы

Ниже все перечисленные методы рассмотрены подробнее.

Организационные методы

Правила работы за компьютером

Как уже говорилось, самым простым примером организационных методов защиты от вирусов является выработка и соблюдение определенных правил обработки информации. Причем правила тоже можно условно разделить на две категории:

• Правила обработки информации
• Правила использования программ

К первой группе правил могут относиться, например, такие:

• Не открывать почтовые сообщения от незнакомых отправителей
• Проверять сменные накопители (дискеты, компакт-диски, flash-накопители) на наличие вирусов перед использованием
• Проверять на наличие вирусов файлы, загружаемые из Интернет
• Работая в Интернет, не соглашаться на непрошенные предложения загрузить файл или установить программу

Общим местом всех таких правил являются два принципа:

• Использовать только те программы и файлы, которым доверяешь, происхождение которых известно
• Все данные, поступающие из внешних источников - с внешних носителей или по сети - тщательно проверять

Вторая группа правил, обычно включает такие характерные пункты:

• Следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы
• Регулярно обновлять антивирусные базы
• Регулярно устанавливать исправления операционной системы и часто используемых программ
• Не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений

Здесь также можно проследить два общих принципа:

• Использовать наиболее актуальные версии защитных программ - поскольку способы проникновения и активации вредоносных программ постоянно совершенствуются, разработчики защитных программ постоянно добавляют новые технологии защиты и пополняют базы известных вредоносных программ и атак. Следовательно, для наилучшей защиты рекомендуется использовать самые последние версии
• Не мешать антивирусным и другим защитным программам выполнять свои функции - очень часто пользователи считают, что защитные программы неоправданно замедляют работу компьютера, и стремятся за счет безопасности повысить производительность. В результате значительно увеличиваются шансы на заражение компьютера вирусом

Политика безопасности

На домашнем компьютере пользователь сам устанавливает себе правила, которым он считает нужным следовать. По мере накопления знаний о работе компьютера и о вредоносных программах, он может сознательно менять настройки защиты или принимать решение об опасности тех или иных файлов и программ.

В большой организации все сложнее. Когда коллектив объединяет большое количество сотрудников, выполняющих разные функции и имеющих разную специализацию, сложно ожидать от всех разумного поведения с точки зрения безопасности. Поэтому в каждой организации правила работы с компьютером должны быть общими для всех сотрудников и утверждены официально. Обычно, документ, содержащий эти правила называется инструкцией пользователя. Кроме основных правил, перечисленных выше, он должен обязательно включать информацию о том, куда должен обращаться пользователь при возникновении ситуации, требующей вмешательства специалиста.

При этом инструкция пользователя в большинстве случаев содержит только правила, ограничивающие его действия. Правила использования программ в инструкцию могут входить только в самом ограниченном виде. Поскольку большинство пользователей недостаточно компетентны в вопросах безопасности, они не должны, а часто и не могут менять настройки средств защиты и как-то влиять на их работу.

Но если не пользователи, то кто-то другой все-таки должен отвечать за настройку средств защиты и за управление ими. Обычно это специально назначенный сотрудник или группа сотрудников, которые сосредоточены на выполнении одной задачи - обеспечении безопасной работы сети.

Сотрудникам, ответственным за безопасность, приходится устанавливать и настраивать защитные программы на большом количестве компьютеров. Если на каждом компьютере заново решать, какие настройки безопасности должны быть установлены, несложно предположить, что разные сотрудники в разное время и на разных компьютерах установят пусть и похожие, но несколько разные настройки. В такой ситуации будет очень сложно оценить, насколько защищена организация в целом, т. к. никто не знает всех установленных параметров защиты.

Чтобы избежать описанной ситуации в организациях выбор параметров защиты осуществляется не на усмотрение ответственных сотрудников, а в соответствии со специальным документом - политикой безопасности. В этом документе написано, какую опасность несут вредоносные программы и как от них нужно защищаться. В частности, политика безопасности должна давать ответы на такие вопросы:

• Какие компьютеры должны быть защищены антивирусами и другими программами
• Какие объекты должны проверяться антивирусом - нужно ли проверять заархивированные файлы, сетевые диски, входящие и исходящие почтовые сообщения и т. д.
• Какие действия должен выполнять антивирус при обнаружении зараженного объекта - поскольку обычные пользователи не всегда могут правильно решить, что делать с инфицированным файлом, антивирус должен выполнять действия автоматически, не спрашивая пользователя

Вредоносное ПО – это программа, созданная с целью нанести вред компьютеру и/или его владельцу. Получение и установку таких программ называют заражением компьютера. Чтобы избежать заражения, нужно знать разновидности вредоносных программ и методы защиты от них. Об этом я вам и расскажу в статье.

Зачем же все-таки создают вредоносное ПО? Вариантов множество. Приведу самые распространенные:

Шутки ради
- самоутверждение в лице сверстников
- хищение личной информации (пароли, коды кредитных карт и т.п.)
- вымогательство денег
- распространение спама через компьютеры-зомби, которые объединяются в ботнет
- месть

Классификация вредоносного программного обеспечения

Самыми популярными видами вредоносного ПО являются:

- компьютерный вирус
- троянская программа
- сетевой червь
- руткит

Компьютерный вирус – разновидность вредоносных программ, целью которых является проведение действий, наносящих вред владельцу ПК, без его ведома. Отличительной особенностью вирусов является способность к размножению. Подхватить вирус можно через Интернет или со съемных носителей информации: флешек, дискет, дисков. Вирусы обычно внедряются в тело программ или заменяют собой программы.

Троянская программа (также можно услышать и такие названия, как троян, трой, трянский конь) – вредоносная программа, которая проникает на компьютер жертвы под видом безвредной (например, кодека, системного обновления, заставки, драйвера и т.п.). В отличие от вируса трояны не имеют собственного способа распространения. Получить их можно по электронной почте, со съемного носителя, с интернет сайта.

Сетевой червь – самостоятельная вредоносная программа, проникающая на компьютер жетвы, используя уязвимости в ПО операционных систем.

Руткит – программа, предназначенная для скрытия следов вредоносных действий злоумышленника в системе. Не всегда бывает вредоносной. Например, руткитами являются системы защиты лицензионных дисков, которые используют издатели. Также примером руткита, не наносящего вред пользователю могут послужить программы для эмуляции виртуальных приводов: Daemon Tools, Alcohol 120%.

Симптомы заражения компьютера:

Блокировка доступа к сайтам разработчиков антивирусов
- появление новых приложений в автозапуске
- запуск новых процессов, неизвестных ранее
- произвольное открытие окон, изображений, видео, звуков
- самопроизвольное отключение или перезагрузка компьютера
- снижение производительности компьютера
- неожиданное открытие лотка дисковода
- исчезновение или изменение файлов и папок
- снижение скорости загрузки из Интернета
- активная работа жестких дисков при отсутствии задач, установленных пользователем. Определяется по миганию лампочки на системном блоке.

Как же защитить себя от вредоносного ПО? Есть несколько способов:

Установить хороший антивирус (Kaspersky, NOD32, Dr. Web, Avast, AntiVir и другие)
- установить Firewall для защиты от сетевых атак
- устанавливать рекомендуемые обновления от Microsoft
- не открывать файлы, полученные из недостоверных источников

Таким образом, зная основные виды вредоносного программного обеспечения, способы защиты от них и симптомы заражения, вы максимально обезопасите свои данные.

P.S. статья актуальна только для пользователей Windows, поскольку юзеры Mac OS и Linux лишены такой роскоши, как вирусы. Причин тому несколько:
- писать вирусы на этих операционных системах крайне сложно
- очень мало уязвимостей в данных ОС, а если таковые и находятся, то их своевременно исправляют
- все воздействия по модификации системных файлов Unix-подобных ОС требуют подтверждения со стороны пользователя
Все же, владельцы данных ОС могут поймать вирус, но он не сможет запуститься и нанести вред компьютеру под управлением той же Ubuntu или Leopard.

В данной статье мы ответили на следующие вопросы:

- Что такое вредоносное программное обеспечение?
- Как можно избежать заражения компьютера?
- Для чего создают вредоносное ПО?
- Что такое компьютерный вирус?
- Что такое троянская программа?
- Что такое сетевой червь?
- Что такое руткит?
- Что такое ботнет?
- Как узнать, что компьютер заражен вирусом?
- Какие бывают симптомы заражения компьютера вредоносным ПО?
- Как защититься от вредоносного программного обеспечения?
- Почему на Mac (Leopard) нет вирусов?
- Почему на Linux нет вирусов?


Ваши вопросы:

Пока вопросов нет. Вы можете задать свой вопрос в комментариях.

Данная статья написана специально для