- Обмежте права доступу до файлів Вашого сайту: нормальний режим доступу до файлів - в позначеннях unix, тобто повний доступ тільки для власника, всім іншим - тільки читання;
- Установка таких прав знизить небезпеку зараження через уразливості.
. Схема зараження користувачів сайту
Найкращим методом захисту від вірусів, переданих за допомогою електронної пошти, є установка на кожному комп'ютері надійного антивірусного програмного забезпечення. Для захисту від макровірусів вам, можливо, знадобиться переглянути свою стратегію захисту. Зокрема, ви повинні будете розповісти всім своїм користувачам про те, що таке макровірус, і попросити їх перевіряти всі, хто входить документи.
Практично у кожного творця вірусів є свій власний, оригінальний метод зараження ЕХЕ-файлів. Тут я розповім про найбільш простий методі. Насамперед вірус створює в пам'яті додаткову область для свого розміщення. Після цього він прочитує заголовок ЕХЕ-файла і переробляє його так, щоб він містив інформацію і про місце в пам'яті, займаному вірусом. З цього моменту і починається процес зараження програми.
Далі наводяться дії вірусу, що проник в ЕХЕ-файл:
. Вірус зчитує поточний заголовок файлу і зберігає його для подальшого використання. У цьому заголовку зберігається інформація про довжину файлу, значенні контрольної суми і т.д.
. Після цього вірус визначає, яку кількість пам'яті він повинен додати до поточного розміру файлу, щоб розмістити там своє тіло.
. Вірус копіює своє тіло в файл. Розмір вірусу і внесених ним змін до заголовок файлу складають сигнатуру вірусу.
. Вірус знову записує інформацію заголовка в програму. Тепер заголовок містить інформацію про місце, що займається вірусом.
. Вірус зберігає змінену програму на диску,
Описаний вище тип вірусів називається вірусом-паразитом. Вірус-паразит додає своє тіло до програми і після цього продовжує своє життя нарівні з програмою. Якщо ж ви видалите інфікований файл, то разом з ним зникне і вірус. Крім вірусів-паразитів існують так звані завантажувальні віруси, що розміщують своє тіло в підпрограмі завантаження операційної системи. Цей тип вірусів зовсім відмінний від вірусів-паразитів. Справа в тому, що завантажувальні віруси паразитують не так на виконуваних програмах, а на самій операційній системі.
. Методи боротьби з шкідливими програмами
Для того, щоб якось протидіяти вірусу, в першу чергу необхідно відшукати його. Проблема полягає в тому, що з точки зору пересічного користувача він (вірус) нічим не відрізняється від звичайної програми (якщо мова йде про трояни або черв'яка), ну, а якщо мова йде про файловому вірусі, який заражає виконуваний файл? Тут навіть досвідчений користувач виявиться безсилий (хоча, варто зауважити, подібні віруси втратили свою актуальність на сьогоднішній день і зустрічаються все рідше, але про це пізніше).
А тепер, власне, спробую викласти суть цього старого, але досить дієвого методу виявлення вірусів. Уявіть, що ви є слідчим, прибулим на місце злочину. З чого починається кожне розслідування? Правильно, з пошуку відбитків пальців! Думаю, для вас не є секретом, що відбитки пальців кожної людини унікальні, і шанси зустріти подібні відбитки пальців у інших людей прагнуть до нуля. Знаючи, кому належать ці відбитки, ми з легкістю можемо вирахувати злочинця. На схожому принципі і заснований так званий «сигнатурний» пошук вірусів.
Коли новий вірус потрапляє в руки дослідників, в першу чергу вони виділяють «сигнатуру» - певну послідовність байт, відповідну конкретного вірусу (або родини вірусів), після чого додають її в антивірусну базу (звичайно, не забуваючи додати спосіб лікування і чи просто видалення зараженого файлу) і з успіхом починають використовувати для детектування/видалення зловреда шляхом перевірки всіх файлів, що зберігаються на жорсткому диску. Як ви могли зрозуміти, все досить просто, але саме ця методика залишається однією з основних застосовуваних в антивірусах. У результаті ми маємо механізм, що дозволяє відловити досить велику частку вірусів. Але незважаючи на це у неї все ж є недоліки. Одним з основних є необхідність постійного оновлення баз сигнатур - думаю тут все очевидно. Як уже раніше говорилося, сигнатура - це послідовність байт, характерна для конкретного файлу. А що буде, якщо кілька байт з цієї послідовності будуть змінені або взагалі виключені? Як поведеться антивірус? У такій ситуації все залежить від совісті тих людей, які розробляли движок антивіруса. Якщо вони підійшли до цього процесу з розумом і не халтурили, то, по ідеї, нас повинні попередити, що файл є підозрі...
