Методы защиты от вредоносных программ

Средства защиты от нежелательной корреспонденции

Из уже пройденного материала известно, что одной из наиболее многочисленных групп вредоносных программ являются почтовые черви. Также известно, что львиную долю почтовых червей составляют так называемые пассивные черви, принцип действия которых заключается в попытке обмануть пользователя и заставить его запустить зараженный файл.

Схема обмана очень проста: зараженное червем письмо должно быть похожим на письма, часто встречающиеся в обычной почте:

• Письма от друзей со смешным текстом или картинкой
• Письма от почтового сервера, о том что какое-то из сообщений не может быть доставлено
• Письма от провайдера с информацией об изменениях в составе услуг
• Письма от производителей защитных программ с информацией о новых угрозах и способах защиты от них
• И другие подобные письма

При рассылке зараженных писем, червь составляет их текст по заданному автором вируса шаблону и таким образом все зараженные этим червем письма будут похожи.

Следовательно, проблема состоит в том, чтобы защитить пользователя от определенного рода нежелательных писем, похожих друг на друга. Практически аналогичным образом формулируется и проблема защиты от спама - нежелательной почты рекламного характера. И для решения этой проблемы есть специальные средства - антиспамовые фильтры, которые можно применять и для защиты от почтовых червей.

Для фильтрации нежелательной почты в антиспамовых фильтрах применяется несколько методов:

• Черные и белые списки адресов. Черный список - это список тех адресов, письма с которых фильтр отбраковывает сразу, не применяя других методов. В этот список нужно заносить адреса, если с них постоянно приходят ненужные или, хуже того, зараженные письма. Белый список, наоборот - список адресов хорошо известных пользователю людей или организаций, которые передают только полезную информацию. Антиспамовый фильтр можно настроить так, что будут приниматься только письма от адресатов из белого списка
• Базы данных образцов спама. Как и антивирус, антиспамовый фильтр может использовать базу данных образцов нежелательных писем для удаления писем, соответствующих образцам
• Самообучение. Антиспамовые фильтры можно "обучать", указывая вручную, какие письма являются нормальными, а какие нежелательными. Через некоторое время антиспамовый фильтр начинает с большой достоверностью самостоятельно определять нежелательные письма по их похожести на предыдущий спам и непохожести на предыдущие нормальные письма
• Анализ служебных заголовков. В письме в относительно скрытой форме хранится служебная информация о том, с какого сервера было доставлено письмо, какой адресат является реальным отправителем и др. Используя эту информацию антиспамовый фильтр также может решать, является письмо спамом или нет. Например, некоторые почтовые сервера, часто использующиеся для рассылки спама, заносятся в специальные общедоступные черные списки, и если письмо было доставлено с такого сервера, вполне вероятно, что это спам. Другой вариант проверки - запросить у почтового сервера, действительно ли существует адресат, указанный в письме как отправитель. Если такого адресата не существует, значит письмо скорее всего является нежелательным

Использование антиспамовых фильтров помогает защититься и от некоторых почтовых червей. Самое очевидное применение - это при получении первого зараженного письма (в отсутствие антивируса это можно определить по косвенным признакам) отметить его как нежелательное и в дальнейшем все другие зараженные письма будут заблокированы фильтром.

Более того, почтовые черви известны тем, что имеют большое количество модификаций незначительно отличающихся друг от друга. Поэтому антиспамовый фильтр может помочь и в борьбе с новыми модификациями известных вирусов с самого начала эпидемии. В этом смысле антиспамовый фильтр даже эффективнее антивируса, т. к. чтобы антивирус обнаружил новую модификацию необходимо дождаться обновления антивирусных баз.

Заключение

Все вышеперечисленные средства, так или иначе, могут помочь в борьбе с вирусами, но ни одно из них полностью проблему не решает. Далеко не все вирусы распространяются путем атак на сетевые службы и могут быть заблокированы брандмауэрами. Многие вредоносные программы не имеют никакого отношения к электронной почте, а значит антиспамовые фильтры против них бессильны. Какими бы ни были организационные меры, люди их применяющие могут ошибаться.

Поэтому самыми эффективными средствами защиты от вирусов были и остаются специальные программы, способные распознавать и обезвреживать вирусы в файлах, письмах и других объектах. Такие программы называются антивирусами и для того, чтобы построить действительно надежную антивирусную защиту, использовать их нужно обязательно.