- •Другие вредоносные программы
- •Лекция 2. Признаки присутствия на компьютере вредоносных программ
- •Содержание
- •Общие сведения
- •Виды проявлений
- •Явные проявления
- •Изменение настроек браузера
- •Всплывающие и другие сообщения
- •Несанкционированный дозвон в Интернет
- •Косвенные проявления
- •Блокирование антивируса
- •Блокирование антивирусных сайтов
- •Сбои в системе или в работе других программ
- •Почтовые уведомления
- •Скрытые проявления
- •Где искать
- •Подозрительные процессы
- •Автозапуск
- •Автозагрузка в меню Пуск
- •Системный реестр Windows
- •Конфигурационные файлы win.Ini и system.Ini
- •Другие источники
- •Сетевая активность
- •Что делать с результатами поиска
- •Лекция 3. Антивирусная защита домашнего компьютера
- •Содержание
- •Общие сведения
- •Антивирусное программное обеспечение
- •Проверка в режиме реального времени
- •Проверка по требованию
- •Обновление антивирусных баз Антивирусные базы
- •Поддержание актуальности антивирусных баз
- •Защита от несанкционированного доступа и сетевых хакерских атак
- •Фильтрация нежелательных электронных сообщений
- •Заключение
- •Исправления
Фильтрация нежелательных электронных сообщений
Из уже пройденного материала известно, что одной из наиболее многочисленных групп вредоносных программ являются почтовые черви. Также известно, что львиную долю почтовых червей составляют так называемые пассивные черви, принцип действия которых заключается в попытке обмануть пользователя и заставить его запустить зараженный файл.
Схема обмана очень проста: зараженное червем письмо должно быть похожим на письма, часто встречающиеся в обычной почте:
Письма от друзей со смешным текстом или картинкой
Письма от почтового сервера, о том что какое-то из сообщений не может быть доставлено
Письма от провайдера с информацией об изменениях в составе услуг
Письма от производителей защитных программ с информацией о новых угрозах и способах защиты от них
И другие подобные письма
При рассылке зараженных писем, червь составляет их текст по заданному автором вируса шаблону и таким образом все зараженные этим червем письма будут похожи.
Следовательно, проблема состоит в том, чтобы защитить пользователя от определенного рода нежелательных писем, похожих друг на друга. Практически аналогичным образом формулируется и проблема защиты от спама - нежелательной почты рекламного характера. И для решения этой проблемы есть специальные средства - антиспамовые фильтры, которые можно применять и для защиты от почтовых червей.
Для того чтобы на только что созданный почтовый ящик начал приходить спам, необходимо, чтобы этот новый адрес каким-либо образом попал в список рассылки злоумышленника. Поэтому факт отправки на домашний электронный адрес незапрошенных писем может означать две вещи:
Электронный адрес каким-либо образом попал в руки компании, рассылающей спам. Это может произойти когда, например, пользователь оставил свои координаты на публичных сайтах, в форумах и чатах, при подписке на не заслуживающие доверия почтовые рассылки.
Компьютер, на котором в каком-либо виде хранился этот e-mail (например, в адресной книге), был заражен почтовым червем, имеющим процедуру поиска электронных адресов, или трояном, ворующем конфиденциальную информацию, в том числе адреса. Это может быть машина друга, коллеги, дальнего знакомого, интернет-магазина или другого сайта, на рассылку писем с которого подписан пострадавший.
Следовательно, если пользователь имеет привычку оставлять свой адрес на различных Интернет-ресурсах, то установка антиспамового фильтра просто необходима. Если нет - то крайне желательна, поскольку застраховаться от кражи адреса с чужого компьютера, при этом не прекращая переписку с его хозяином, очень сложно.
Ряд почтовых программ содержит встроенные антиспамовые фильтры. Однако большей частью они показывают довольно слабую функциональность, поскольку их основная технология - это самообучение и иногда анализ служебных заголовков. Для полноценного же антиспама необходима фильтрация на основе регулярно обновляющихся антиспамовых баз. Поэтому установка отдельной персональной антиспамовой программы - самое оптимальное решения для домашних пользователей.
Персональная антиспамовая программа также может входить в состав антивирусного комплекса и управляться из единого интерфейса с возможностью одновременного обновления баз антиспама, антивируса и других установленных компонентов защиты.
Для фильтрации нежелательной почты в антиспамовых фильтрах применяется несколько методов:
Черные и белые списки адресов. Черный список - это список тех адресов, письма с которых фильтр отбраковывает сразу, не применяя других методов. В этот список нужно заносить адреса, если с них постоянно приходят ненужные или, хуже того, зараженные письма. Белый список, наоборот - список адресов хорошо известных пользователю людей или организаций, которые передают только полезную информацию. Антиспамовый фильтр можно настроить так, что будут приниматься только письма от адресатов из белого списка
Базы данных образцов спама. Как и антивирус, антиспамовый фильтр может использовать базу данных образцов нежелательных писем для удаления писем, соответствующих образцам
Самообучение. Антиспамовые фильтры можно "обучать", указывая вручную, какие письма являются нормальными, а какие нежелательными. Через некоторое время антиспамовый фильтр начинает с большой достоверностью самостоятельно определять нежелательные письма по их похожести на предыдущий спам и непохожести на предыдущие нормальные письма
Анализ служебных заголовков. В письме в относительно скрытой форме хранится служебная информация о том, с какого сервера было доставлено письмо, какой адресат является реальным отправителем и др. Используя эту информацию антиспамовый фильтр также может решать, является письмо спамом или нет. Например, некоторые почтовые сервера, часто использующиеся для рассылки спама, заносятся в специальные общедоступные черные списки, и если письмо было доставлено с такого сервера, вполне вероятно, что это спам. Другой вариант проверки - запросить у почтового сервера, действительно ли существует адресат, указанный в письме как отправитель. Если такого адресата не существует, значит письмо скорее всего является нежелательным
Использование антиспамовых фильтров помогает защититься и от некоторых почтовых червей. Самое очевидное применение - это при получении первого зараженного письма (в отсутствие антивируса это можно определить по косвенным признакам) отметить его как нежелательное и в дальнейшем все другие зараженные письма будут заблокированы фильтром.
Более того, почтовые черви известны тем, что имеют большое количество модификаций незначительно отличающихся друг от друга. Поэтому антиспамовый фильтр может помочь и в борьбе с новыми модификациями известных вирусов с самого начала эпидемии. В этом смысле антиспамовый фильтр даже эффективнее антивируса, т. к. чтобы антивирус обнаружил новую модификацию необходимо дождаться обновления антивирусных баз.