Мегафон

Виды антивирусных программ. Типы антивирусов

31.08.2019

К настоящему времени накоплен значительный опыт борьбы с компьютерными вирусами, разработаны антивирусные программы, известны меры защиты программ и данных. Происходит постоянное совершенствование, развитие антивирусных средств, которые в короткий срок с момента обнаружения вируса - от недели до месяца - оказываются способными справиться с вновь появляющимися вирусами.

Создание антивирусных программ начинается с обнаружения вируса по аномалиям в работе компьютера. После этого вирус тщательно изучается, выделяется его сигнатура - последовательность байтов, которая полностью характеризует программу вируса (наиболее важные и характерные участки кода), выясняется механизм работы вируса, способы заражения. Полученная информация позволяет разработать способы обнаружения вируса в памяти компьютера и на магнитных дисках, а также алгоритмы обезвреживания вируса (если возможно, удаления вирусного кода из файлов - «лечения»).

Типы антивирусных программ

Известные ныне антивирусные программы можно разделить на несколько типов.

Детекторы. Их назначение - лишь обнаружить вирус. Детекторы вирусов могут сравнивать загрузочные сектора дискет с известными загрузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаружить загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью обнаружения сигнатур известных вирусов. Такие программы в чистом виде в настоящее время редки.

Фаги. Фаг - это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных программ и восстановить их работоспособность (если возможно). Известнейшим в России фагом является Aidstest , созданный Д.Н.Лозинским. Одна из последних версий обнаруживает более 8000 вирусов. Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.

Очень мощным и эффективным антивирусом является фаг Dr Web (созданный И.Даниловым). Детектор этого фага не просто сканирует файлы в поисках одной из известных вирусных сигнатур. Для нахождения вирусов Dr Web использует программу эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора I-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Dr Web может бороться не только с полиморфными вирусами, но и вирусам, которые только еще могут появиться в перспективе.

Dr Web 4.33 являются:

  • - защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;
  • - обновление антивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;
  • - проверка системной памяти компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например, CodeRed или Slammer);
  • - эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений вирусных баз.

Установка. Вначале Dr Web честно предупреждает, что не собирается уживаться с другими антивирусными приложениями и просит убедиться в отсутствии таковых на компьютере. В противном случае совместная работа может привести к «непредсказуемым последствиям». Далее выбирается «Выборочную» или «Обычную» (рекомендуемую) установку и приступают к изучению представленных основных компонентов:

  • - сканер для Windows. Проверка файлов в ручном режиме;
  • - консольный сканер для Windows. Предназначен для запуска из командных файлов;
  • - SpiDer Guard. Проверка файлов «на лету», предотвращение заражений в режиме реального времени;
  • - SpiDer Mail. Проверка сообщений, поступающих через протоколы POP3, SMTP, IMAP и NNTP.

Интерфейс и работа. В глаза бросается отсутствие согласованности в вопросе интерфейса между модулями антивируса, что создает дополнительный визуальный дискомфорт при и так не слишком дружелюбном доступе к компонентам Dr Web . Большое количество всевозможных настроек явно не рассчитано на начинающего пользователя, однако довольно подробная справка в доступной форме объяснит назначение тех или иных интересующих вас параметров. Доступ к центральному модулю Dr Web - сканер для Windows - осуществляется не через трей, а только через «Пуск».

Обновление доступно как через Интернет, так и с помощью прокси-серверов, что при небольших размерах сигнатур представляет Dr Web весьма привлекательным вариантом для средних и крупных компьютерных сетей.

Задать параметры проверки системы, порядок обновления и настройку условий работы каждого модуля Dr Web можно с помощью удобного инструмента «Планировщик», который позволяет создать слаженную систему защиты из «конструктора» компонентов Dr Web .

В итоге мы получаем нетребовательную к ресурсам компьютера, достаточно несложную (при ближайшем рассмотрении) целостную защиту компьютера от всевозможных угроз, чьи возможности по противодействию вредоносным приложениям однозначно перевешивают единственный недостаток, выраженный «разношерстным» интерфейсом модулей Dr Web .

Ревизоры. Программа-ревизор контролирует возможные пути распространения программ-вирусов и заражения компьютеров. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры являются единственным средством, позволяющим следить за целостностью и изменениями файлов и системных областей магнитных дисков. Наиболее известна в России программа-ревизор ADinf , разработанная Д.Мостовым.

Сторожа. Сторож - это резидентная программа, постоянно находящаяся в памяти компьютера, контролирующая операции компьютера, связанная с изменением информации на магнитных дисках, и предупреждающая пользователя о них. В состав операционной системы MS DOS, начиная с версии 6.0, входит сторож VSAFE. Однако, из-за того, что обычные программы выполняют операции, похожие на те, что делают вирусы, пользователи обычно не используют сторожа, так как постоянные предупреждения мешают работе.

Сканеры - основной элемент любого антивируса, осуществляет, если можно так выразиться, пассивную защиту. По запросу пользователя или заданному распорядку производит проверку файлов в выбранной области системы. Вредоносные объекты выявляет путем поиска и сравнения программного кода вируса. Примеры программных кодов содержатся в заранее установленных сигнатурах (наборах, характерных последовательностей байтов для известных вирусов). В первую очередь к недостаткам данных программ относится беззащитность перед вирусами, не имеющими постоянного программного кода и способными видоизменяться при сохранении основных функций. Также сканеры не могут противостоять разновидностям одного и того же вируса, что требует от пользователя постоянного обновления антивирусных баз. Однако наиболее уязвимое место этого инструмента - неспособность обнаруживать новые и неизвестные вирусы, что особенно актуально, когда посредством e-mail новоявленная угроза способна заразить тысячи компьютеров по всему миру за считаные часы;

Мониторы - в совокупности со сканерами образуют базовую защиту компьютера. На основе имеющихся сигнатур проводят проверку текущих процессов в режиме реального времени. Осуществляют предварительную проверку при попытке просмотра или запуска файла. Различают файловые мониторы, мониторы для почтовых клиентов (MS Outlook, Lotus Notes, Pegasus, The Bat и другие, использующие протоколы POP3, IMAP, NNTP и SMTP) и специальные мониторы для отдельных приложений. Как правило, последние представлены модулями проверки файлов Microsoft Office. Основное их достоинство - способность обнаруживать вирусы на самой ранней стадии активности;

Вакцины. Так называются антивирусные программы, ведущие себя подобно вирусам, но не наносящие вреда. Вакцины предохраняют файлы от изменений и способны не только обнаружить факт заражения, но и в некоторых случаях «вылечить» пораженные вирусами файлы. В настоящее время антивирусные программы-вакцины широко не применяются, так как в прошлые годы некоторыми некорректно работающими вакцинами был нанесен ущерб многим пользователям.

Помимо программных средств защиты от вирусов существуют и специальные дополнительные устройства, обеспечивающие надежную защиту определенных разделов винчестера. Примером такого рода устройств является плата Sheriff (разработанная Ю.Фоминым). Несмотря на кажущееся обилие программных антивирусных средств, даже все вместе они не обеспечивают полной защиты программ и данных, не дают 100%-ной гарантии от воздействия вирусных программ. Только комплексные профилактические меры защиты обеспечивают надежную защиту от возможной потери информации. В комплекс таких мер входит:

  • - регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера);
  • - избегание использования случайно полученных программ (старайтесь пользоваться только законными путями получения программ);
  • - входной контроль нового программного обеспечения, поступивших дискет;
  • - сегментация жесткого диска, т.е. разбиение его на логические разделы с разграничением доступа к ним;
  • - систематическое использование программ-ревизоров для контроля целостности информации;
  • - при поиске вирусов (который должен происходит регулярно!) старайтесь использовать заведомо чистую операционную систему, загруженную с дискеты. Защищайте дискеты от записи, если есть хоть малая вероятность заражения.

При неаккуратной работе с антивирусными программами можно не только переносить с ними вирусы, но и вместо лечения файлов безнадежно их испортить. Полезно иметь хотя бы общее представление о том, что могут и чего не могут компьютерные вирусы, об их жизненном цикле, о важнейших методах защиты.

Любой современный антивирусный продукт - это не только набор отдельных технологий детектирования, но и сложная система защиты, построенная на собственном понимании антивирусной компанией того, как нужно обеспечивать безопасность от вредоносных программ. При этом принятые многие годы назад архитектурные и технические решения серьезно ограничивают возможности изменять соотношение проактивных и реактивных методов защиты. Например, в антивирусной системе Eset NOD32 используются как эвристические, так и сигнатурные методы борьбы с вредоносным кодом, но роли между этими двумя технологиями распределяются не так, как в других антивирусах: в то время как большинство антивирусов отталкивается от сигнатурных методов, дополняя их эвристиками, у Eset NOD32 все наоборот. Основным способом противостояния вредоносным программам здесь являются так называемые расширенные эвристики (Advanced Heuristics), представляющие собой сочетание эмуляции, эвристик, алгоритмического анализа и сигнатурного метода. В итоге расширенные эвристики Eset NOD32 позволяют проактивно детектировать почти 90% всех угроз, а остальные устраняются сигнатурными методами. Надежность такого подхода подтверждается результатами независимых тестирований.

Основными функциональными особенностями Esest NOD32 являются:

  • - эвристический анализ, позволяющий обнаруживать неизвестные угрозы;
  • - технология ThreatSense - анализ файлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы (adware), phishing-атак и других угроз;
  • - проверка и удаление вирусов из заблокированных для записей файлов (к примеру, защищенные системой безопасности Windows библиотеки DLL);
  • - поверка протоколов HTTP, POP3 и PMTP.

Установка предложена в трех режимах: «Типичный» (для большинства пользователей), «Расширенный» (частичная настройка устанавливаемых компонентов) и «Эксперт» (полностью настраиваемая установка). Сразу же предлагается указать, используете ли вы прокси-сервер, а также запрашиваются некоторые настройки будущих обновлений. Кроме того, NOD32 заранее интересуется, желаете ли вы использовать «двунаправленную систему своевременного обнаружения» - функция передачи лаборатории Eset подозрительных объектов, найденных на компьютере. Все компоненты защиты при желании будут предложены к установке с подробным описанием поэтапно.

Для защиты системы вниманию пользователя предложены следующие модули:

  • - Antivirus MONitor (AMON). Сканер, автоматически проверяющий файлы перед их запуском или просмотром;
  • - NOD32. Сканирование всего компьютера или выбранных разделов. Отличительная особенность - программирование на запуск в часы с наименьшей загрузкой;
  • - Internet MONitor (IMON). Резидентный сканер, проверяющий Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3;
  • - Email MONitor (EMON). Модуль для работы с почтовыми клиентами, сканирует входящие и исходящие электронные сообщения через интерфейс MAPI (применяется в Microsoft Outlook и Microsoft Exchange);
  • - Document MONitor (DMON). Основан на использовании запатентованного интерфейса Microsoft API, проверяет документы Microsoft Office.

Интерфейс и работа . Пользователи домашних сетей сразу же мысленно сравнят интерфейс NOD32 с популярным сетевым сканером Netlook - антивирус использует схожую структуру доступа к компонентам. Интерфейс NOD32 организован максимально эргономично и эффективно. Основные пункты меню содержат подзаголовки, которые в свою очередь открывают справа от основного окна область работы с выбранным модулем или компонентом. Каждый подпункт (кроме сканера NOD32 ) предлагает подробнейшую настройку, которая подойдет скорее специалисту или администратору, нежели рядовому пользователю. Тем не менее, при желании разобраться во всех тонкостях модулей NOD32 вам будет предложена справка, наглядно демонстрирующая и объясняющая назначение настроек.

Обновление - одна из сильных сторон NOD32 . Первоначально на выбор предложены целых 3 сервера с возможностью последующего добавления адресов. Также поддерживаются локальные обновления с сетевых ресурсов. Присутствует возможность создания дискет или CD с обновлениями. Обновление происходит каждые несколько часов.

Антивирус Касперского Personal. Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционных систем Windows 98/ME, 2000/NT/XP, от всех известных видов вирусов, включая потенциально опасное программное обеспечение. Программа осуществляет постоянный контроль всех источников проникновения вирусов - электронной почты, Интернета, дискет, компакт-дисков и т.д. Уникальная система эвристического анализа данных эффективно нейтрализует неизвестные вирусы. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):

  • - постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов;
  • - проверка компьютера по требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.

Антивирус Касперского Personal теперь не проверяет повторно те объекты, которые были проанализированы во время предыдущей проверки и с тех пор не изменились, не только при постоянной защите, но и при проверке по требованию. Такая организация работы заметно повышает скорость работы программы.

Программа создает надежный барьер на пути проникновения вирусов через электронную почту. Антивирус Касперского Personal автоматически осуществляет проверку и лечение всей входящей и исходящей почтовые корреспонденции по протоколам POP3 и SMTP и эффективно обнаруживает вирусы в почтовых базах.

Программа поддерживает более семисот форматов архивированных и сжатых файлов и обеспечивает автоматическую антивирусную проверку их содержимого, а также удаление вредоносного кода из архивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE.

Простота настройки программы осуществляется за счет возможности выбора одного из трех предопределенных уровней: Максимальная защита, Рекомендуемая защита и Максимальная скорость.

Обновления антивирусных баз осуществляется каждый час, при этом обеспечивается их гарантированная доставка при разрыве или смене соединений с Интернетом.

В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения, - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые вами или программами файлы.

По умолчанию Файловый Антивирус проверяет ТОЛЬКО НОВЫЕ или ИЗМЕНЕННЫЕ ФАЙЛЫ, то есть файлы, которые добавились или изменились со времени последнего обращения к ним. Это возможно благодаря применению новых технологий iChecker и iSwift. Для реализации технологий используется таблица контрольных сумм файлов. Процесс проверки файла выполняется по следующему алгоритму:

  • - каждый файл, к которому происходит обращение пользователя или некоторой программы, перехватывается компонентом;
  • - файловый Антивирус проверяет наличие информации о перехваченном файле в базе iChecker и iSwift.
  • - если информации о перехваченном файле в базе нет, он подвергается детальной антивирусной проверке. Контрольная сумма проверенного файла фиксируется в базе;
  • - если информация о файле присутствует в базе, Файловый Антивирус сравнивает текущее состояние файла с его состоянием, зафиксированным в базе на момент предыдущей проверки. При полном совпадении информации файл передается пользователю для работы без проверки. Если файл каким-то образом изменился, он будет детально проверен, и новая информация о нем будет записана в базу.

Процесс проверки включает следующие действия:

  • - файл анализируется на присутствие вирусов. Распознавание вредоносных объектов происходит на основании сигнатур угроз, используемых в работе. Сигнатуры содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания;
  • - в результате анализа возможны следующие варианты поведения:
    • а) если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл, помещает его копию в резервное хранилище и пытается обезвредить файл. В результате успешного лечения файл становится доступным для работы, если же лечение произвести не удалось, файл удаляется;
    • б) если в файле обнаружен код, похожий на вредоносный, но стопроцентной гарантии этого нет, файл помещается в специальное хранилище - карантин;
    • в) если в файле не обнаружено вредоносного кода, он сразу же становится доступным для работы.

Помимо обеспечения защиты ваших данных программа обладает дополнительными сервисами, расширяющими возможности работы с Антивирусом Касперского.

В процессе работы программа помещает некоторые объекты в специальные хранилища. Цель, которая при этом преследуется, - обеспечить максимальную защиту данных с минимальными потерями.

Резервное хранилище содержит копии объектов, которые были изменены или удалены в результате работы Антивируса Касперского. Если какой-либо объект содержал важную для вас информацию, которую не удалось полностью сохранить в процессе антивирусной обработки, вы всегда сможете восстановить объект из его резервной копии.

Карантин содержит возможно зараженные объекты, которые не удалось обработать с помощью текущей версии сигнатур угроз.

Часть сервисов направлена на помощь в работе с программой, например.

Сервис Служба технической поддержки обеспечивает всестороннюю помощь в работе с Антивирусом Касперского. Эксперты Лаборатории Касперского постарались включить все возможные способы обеспечения поддержки: on-line поддержка, форум вопросов и предложений от пользователей программы и т.д.

Сервис уведомлений о событиях помогает настраивать оповещение пользователей о важных моментах в работе Антивируса Касперского. Это могут быть как события информационного характера, так и ошибки, которые требуют безотлагательного устранения, и знать о них крайне важно.

Сервис самозащиты программы и ограничения доступа к работе с ней обеспечивает защиту собственных файлов программы от изменения и повреждения со стороны злоумышленников, запрещает внешнее управление сервисами программы, а также вводит разграничение прав других пользователей вашего компьютера на выполнение некоторых действий с Антивирусом Касперского. Например, изменение уровня защиты может значительно повлиять на безопасность информации на вашем компьютере.

Сервис управления лицензионными ключами позволяет получать подробную информацию об используемой лицензии, производить активацию вашей копии программы, а также осуществлять управление файлами лицензионных ключей.

Создание диска аварийного восстановления позволит восстановить работоспособность компьютера на уровне, предшествующем заражению. Это особенно полезно в ситуации, когда после повреждения вредоносным кодом системных файлов невозможно произвести загрузку операционной системы компьютера.

Также предоставляется возможность изменять внешний вид Антивируса Касперского и настраивать параметры текущего интерфейса программы.

Антивирусная утилита AVZ.

Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:

  • - SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты);
  • - руткитов и вредоносных программ, маскирующих свои процессы;
  • - сетевых и почтовых червей;
  • - троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
  • - троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer);
  • - клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;

Утилита является прямым аналогом программ Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ.

Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем и загружают информацию и программный код на пораженный компьютер в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных - паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна.

Особенностью программы AVZ является возможность настройки реакции программы на каждую из категорий вредоносных программы - например, можно задать режим уничтожения найденных вирусов и троянских программ, но заблокировать удаление AdWare.

Другой особенностью AVZ являются многочисленные эвристические проверки системы, не основанные на механизме поиска по сигнатурам - это поиск RootKit, клавиатурных шпионов, различных Backdoor по базе типовых портов TCP/UDP. Подобные методы поиска позволяют находить новые разновидности вредоносных программ.

Кроме типового для программ данного класса поиска файлов по сигнатурам в AVZ встроена база с цифровыми подписями десятков тысяч системных файлов. Применение данной базы позволяет уменьшить количество ложных срабатываний эвристики и позволяет решать ряд задач. В частности, в системе поиска файлов есть фильтр для исключения известных файлов из результатов поиска, в диспетчере запущенных процессов и настроек SPI производится цветовое выделение известных процессов, при добавлении файлов в карантин производится блокировка добавления известных AVZ безопасных файлов.

Как показывает практика, очень часто программа типа SpyWare может быть классифицирована как AdWare и наоборот (причины просты - целью шпионажа в большинстве случаев является целевая реклама). Для таких случаев в классификации введена обобщающая категория Spy, которая грубо может трактоваться как AdWare+SpyWare. Термин Spy переводится как «шпион», «тайный агент», «следить», «подглядывать». Этот термин достаточно хорошо подходит к программам подобного класса.

Ограничения программы:

  • - т.к. утилита направлена в первую очередь на борьбу с SpyWare и AdWare модулями, и в настоящий момент она не поддерживает проверку архивов некоторых типов, PE упаковщиков и документов. Для борьбы со SpyWare в этом просто нет надобности. Тем не менее, утилита совершенствуется и появление подобных функций планируется;
  • - утилита не лечит программы, зараженные компьютерными вирусами. Для качественного и корректного лечения зараженной программы необходимы специализированные антивирусы (например, антивирус Касперского, Dr Web и т.п.).

Виды антивирусных программ

Различают следующие виды антивирусных программ:

Программы-фаги (сканеры);

Программы-ревизоры (CRC-сканеры);

Программы-блокировщики;

Программы-иммунизаторы.

Программы-фаги (сканеры) используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем сканирования в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Программы-фаги не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги - программы-фаги, предназначенные для поиска и уничтожения большого числа вирусов.

Программы-фаги можно разделить на две категории - универсальные и специализированные сканеры. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от ОС, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов. Специализированные сканеры, рассчитанные только на макровирусы, оказываются более удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Программы-фаги делятся также на резидентные мониторы, производящие сканирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. Резидентные мониторы обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам программ-фагов всех типов относится их универсальность. К недостаткам следует отнести относительно небольшую скорость поиска вирусов и относительно большие размеры антивирусных баз.

Наиболее известные программы-фаги: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-фаги быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы, а также некоторая другая информация (длины файлов, даты их последней модификации и др.) затем сохраняются в БД антивируса. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если информация о файле, записанная в БД, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Как правило, сравнение состояний производят сразу после загрузки ОС.

CRC-сканеры, использующие алгоритмы анти-стелс, являются довольно мощным средством против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у CRC-сканеров имеется недостаток, заметно снижающий их эффективность: они не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их БД отсутствует информация об этих файлах.

К числу CRC-сканеров относится широко распространенная в России программа ADinf (Advanced Diskinfoscope) и ревизор AVP Inspector. Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует собранную ранее информацию о файлах для их восстановления после поражения неизвестными вирусами. В состав ревизора AVP Inspector также входит лечащий модуль, способный удалять вирусы.

Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики - это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» ситуациям относятся вызовы, которые характерны для вирусов в моменты их размножения (вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т. п.).

При попытке какой-либо программы произвести указанные действия блокировщик посылает пользователю сообщение и предлагает запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что бывает особенно полезно в случаях, когда регулярно появляется давно известный вирус. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применять другие программы, например фаги. К недостаткам блокировщиков можно отнести существование путей обхода их защиты и их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла).

Следует отметить, что созданы антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера.

Программы-иммунизаторы - это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа:

· иммунизаторы, сообщающие о заражении,

· и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Иммунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение. У таких иммунизаторов имеется один серьезный недостаток - они не могут обнаружить заражение стелс-вирусом. Поэтому этот тип иммунизаторов практически не используются в настоящее время.

Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Он модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, вирус при этом воспринимает их зараженными и поэтому не внедряется. Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов. Однако в качестве полумеры подобные иммунизаторы могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

Антивирусная защита - наиболее распространенная мера для обеспечения информационной безопасности ИТ-инфраструктуры в корпоративном секторе. Однако только 74% российских компаний применяют антивирусные решения для защиты, показало исследование, проведенное «Лабораторией Касперского» совместно с аналитической компанией B2B International (осень 2013 года).

В отчете также говорится, что на фоне взрывного роста киберугроз, от которых компании защищаются простыми антивирусами, российский бизнес начинает все чаще использовать комплексные инструменты защиты. Во многом по этой причине на 7% увеличилось применение средств шифрования данных на съемных носителях (24%). Кроме того, компании стали охотнее разграничивать политики безопасности для съемных устройств. Возросло и разграничение уровня доступа к различным участкам ИТ-инфраструктуры (49%). При это компании малого и среднего бизнеса уделяют большее внимание контролю съемных устройств (35%) и контролю приложений (31%).

Исследователи также обнаружили, что несмотря на постоянное обнаружение новых уязвимостей в программном обеспечении, российские компании все еще не уделяют должного внимания регулярному обновлению программного обеспечения. Более того, количество организаций, занимающихся установкой исправлений, снизилось по сравнению с прошлым годом, и составило всего лишь 59%.

Современные антивирусные программы способны эффективно обнаруживать вредоносные объекты внутри файлов программ и документов. В некоторых случаях антивирус может удалить тело вредоносного объекта из зараженного файла, восстановив сам файл. В большинстве случаев антивирус способен удалить вредоносный программный объект не только из программного файла, но и из файла офисного документа, не нарушив его целостность. Использование антивирусных программ не требует высокой квалификации и доступно практически любому пользователю компьютера .

Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер).

Рейтинг антивирусов

2019: Две трети антивирусов для Android оказались бесполезными

В марте 2019 года австрийская лаборатория AV-Comparatives, специализирующаяся на тестировании антивирусного софта, опубликовала результаты исследования, которые показали бесполезность большинство подобных программ для Android .

Лишь 23 антивируса, размещенного в официальном каталоге Google Play Store , точно распознают вредоносные программы в 100% случаев. Остальной софт либо не реагирует на мобильные угрозы, либо принимает за них абсолютно безопасные приложения.

В AV-Comparatives изучили 250 популярных защитных приложений из официального каталога Google Play и пришли к выводу: почти две трети антивирусов для Android не выполняют заявленных в их рекламе функций

Специалисты изучили 250 антивирусов и сообщили, что только 80% из них могут выявлять более 30% зловредов. Таким образом, 170 приложений провалили тест. В число продуктов, которые справились с испытаниями, вошли в основном решения крупных производителей, включая Avast , Bitdefender , ESET , F-Secure , G-Data, «Лабораторию Касперского» , McAfee , Sophos , Symantec , Tencent , Trend Micro и Trustwave .

В рамках эксперимента исследователи установили каждое антивирусное приложение на отдельное устройство (без эмулятора) и автоматизировали аппараты на запуск браузера, загрузку и последующую установку вредоносного ПО. Каждое устройство было протестировано на примере 2 тыс. наиболее распространенных в 2018 году Android-вирусов.

Согласно расчетам AV-Comparatives, большинство антивирусных решений для Android являются подделками. Десятки приложений имеют практически идентичный интерфейс, а их создателей явно больше интересует показ рекламы, чем в написание работающего антивирусного сканера.

Некоторые антивирусы «видят» угрозу в любом приложении, которое не внесено в их «белый список». Из-за этого они, в ряде совсем уж анекдотичных случаев, поднимали тревогу из-за своих собственных файлов, так как разработчики забыли упомянуть их в «белом списке».

2017: Microsoft Security Essentials признан одним из самых худших антивирусов

В октябре 2017 года немецкая антивирусная лаборатория AV-Test опубликовала результаты комплексного тестирования антивирусов. По данным исследования, фирменное программное обеспечение Microsoft , предназначенное для защиты от вредоносной активности, почти хуже всех справляется со своими обязанностями.

По результатам испытаний, проведенных в июле-августе 2017 года, эксперты AV-Test назвали лучшим антивирусом для Windows 7 решение Kaspersky Internet Security , которое получило 18 баллов при оценке уровня защиты, производительности и удобства использования.

В тройку лидеров вошли программы Trend Micro Internet Security и Bitdefender Internet Security , заработавшие по 17,5 балла. О положении продуктов других антивирусных компаний, которые попали в исследование, можно узнать из иллюстраций ниже:

Во многих сканерах используются также алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта.

Сканеры также можно разделить на две категории - универсальные и специализированные. Универсальные сканеры рассчитаны на поисх и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов.

Сканеры также делятся на резидентные (мониторы), производящие сканирование на-лету, и нерезидентные, обеспечивающие проверку системы только по запросу. Как правило, резидентные сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.

CRC-сканеры

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту слабость CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

Блокировщики

Антивирусные блокировщики - это резидентные программы, перехватывающие вирусо-опасные ситуации и сообщающие об этом пользователю. К вирусо-опасным относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний.

Иммунизаторы

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальним, поскольку нельзя иммунизировать файлы от всех известных вирусов.

Классификация антивирусов по признаку изменяемости во времени

По мнению Валерия Конявского , антивирусные средства можно разделить на две большие группы - анализирующие данные и анализирующие процессы.

Анализ данных

К анализу данных относятся ревизоры и полифаги. Ревизоры анализируют последствия от деятельности компьютерных вирусов и других вредоносных программ. Последствия проявляются в изменении данных, которые изменяться не должны. Именно факт изменения данных является признаком деятельности вредоносных программ с точки зрения ревизора. Другими словами, ревизоры контролируют целостность данных и по факту нарушения целостности принимают решение о наличии в компьютерной среде вредоносных программ.

Полифаги действуют по-другому. Они на основе анализа данных выделяют фрагменты вредоносного кода (например, по его сигнатуре) и на этой основе делают вывод о наличии вредоносных программ. Удаление или лечение пораженных вирусом данных позволяет предупредить негативные последствия исполнения вредоносных программ. Таким образом, на основе анализа в статике предупреждаются последствия, возникающие в динамике.

Схема работы и ревизоров, и полифагов практически одинакова - сравнить данные (или их контрольную сумму) с одним или несколькими эталонными образцами. Данные сравниваются с данными. Таким образом, для того чтобы найти вирус в своем компьютере, нужно, чтобы он уже сработал, чтобы появились последствия его деятельности. Этим способом можно найти только известные вирусы, для которых заранее описаны фрагменты кода или сигнатуры. Вряд ли такую защиту можно назвать надежной.

Анализ процессов

Несколько по-иному работают антивирусные средства, основанные на анализе процессов. Эвристические анализаторы, так же как и вышеописанные, анализируют данные (на диске, в канале, в памяти и т.п.). Принципиальное отличие состоит в том, что анализ проводится в предположении, что анализируемый код - это не данные, а команды (в компьютерах с фон-неймановской архитектурой данные и команды неразличимы, в связи с этим при анализе и приходится выдвигать то или иное предположение.)

Эвристический анализатор выделяет последовательность операций, каждой из них присваивает некоторую оценку опасности и по совокупности опасности принимает решение о том, является ли данная последовательность операций частью вредоносного кода. Сам код при этом не выполняется.

Другим видом антивирусных средств, основанных на анализе процессов, являются поведенческие блокираторы. В этом случае подозрительный код выполняется поэтапно до тех пор, пока совокупность инициируемых кодом действий не будет оценена как опасное (либо безопасное) поведение. Код при этом выполняется частично, так как завершение вредоносного кода можно будет обнаружить более простыми методами анализа данных.

Технологии обнаружения вирусов

Технологии, применяемые в антивирусах, можно разбить на две группы:

  • Технологии сигнатурного анализа
  • Технологии вероятностного анализа

Технологии сигнатурного анализа

Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен.

С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа

Технологии вероятностного анализа в свою очередь подразделяются на три категории:

  • Эвристический анализ
  • Поведенческий анализ
  • Анализ контрольных сумм

Эвристический анализ

Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения. Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

Поведенческий анализ

Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий.

Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.

Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

Анализ контрольных сумм

Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы. Анализаторы контрольных сумм (также используется название ревизоры изменений) как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Антивирусные комплексы

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.

Помимо этого антивирусный комплекс дополнительно может включать в себя поведенческие анализаторы и ревизоры изменений, которые не используют антивирусное ядро.

Выделяют следующие типы антивирусных комплексов:

  • Антивирусный комплекс для защиты рабочих станций
  • Антивирусный комплекс для защиты файловых серверов
  • Антивирусный комплекс для защиты почтовых систем
  • Антивирусный комплекс для защиты шлюзов.

Облачный и традиционный настольный антивирус: что выбрать?

(По материалам ресурса Webroot.com)

Современный рынок антивирусных средств – это в первую очередь традиционные решения для настольных систем, механизмы защиты в которых построены на базе сигнатурных методов. Альтернативный способ антивирусной защиты – применение эвристического анализа.

Проблемы традиционного антивирусного ПО

В последнее время традиционные антивирусные технологии становятся все менее эффективными, быстро устаревают, что обусловлено рядом факторов. Количество вирусных угроз, распознаваемых по сигнатурам, уже настолько велико, что обеспечить своевременное 100%-ное обновление сигнатурных баз на пользовательских компьютерах – это часто нереальная задача. Хакеры и киберпреступники все чаще используют ботнеты и другие технологии, ускоряющие распространение вирусных угроз нулевого дня. Кроме того, при проведении таргетированных атак сигнатуры соответствующих вирусов не создаются. Наконец, применяются новые технологии противодействия антивирусному обнаружению: шифрование вредоносного ПО, создание полиморфных вирусов на стороне сервера, предварительное тестирование качества вирусной атаки.

Традиционная антивирусная защита чаще всего строится в архитектуре «толстого клиента». Это означает, что на компьютер клиента устанавливается объемный программный код. С его помощью выполняется проверка поступающих данных и выявляется присутствие вирусных угроз.

Такой подход имеет ряд недостатков. Во-первых, сканирование в поисках вредоносного ПО и сравнение сигнатур требует значительной вычислительной нагрузки, которая «отнимается» у пользователя. В результате продуктивность компьютера снижается, а работа антивируса иногда мешает выполнять параллельно прикладные задачи. Иногда нагрузка на пользовательскую систему бывает настолько заметна, что пользователи отключают антивирусные программы, убирая тем самым заслон перед потенциальной вирусной атакой.

Во-вторых, каждое обновление на машине пользователя требует пересылки тысяч новых сигнатур. Объем передаваемых данных обычно составляет порядка 5 Мбайт в день на одну машину. Передача данных тормозит работу сети, отвлекает дополнительные системные ресурсы, требует привлечения системных администраторов для контроля трафика.

В-третьих, пользователи, находящиеся в роуминге или на удалении от стационарного места работы, оказываются беззащитны перед атаками нулевого дня. Для получения обновленной порции сигнатур они должны подключиться к VPN -сети, которая удаленно им недоступна.

Антивирусная защита из облака

При переходе на антивирусную защиту из облака архитектура решения существенно меняется. На компьютере пользователя устанавливается «легковесный» клиент, основная функция которого – поиск новых файлов, расчет хэш-значений и пересылка данных облачному серверу. В облаке проводится полномасштабное сравнение, выполняемое на большой базе собранных сигнатур. Эта база постоянно и своевременно обновляется за счет данных, передаваемых антивирусными компаниями. Клиент получает отчет с результатами проведенной проверки.

Таким образом, облачная архитектура антивирусной защиты имеет целый ряд преимуществ:

  • объем вычислений на пользовательском компьютере оказывается ничтожно мал по сравнению с толстым клиентом, следовательно, продуктивности работы пользователя не снижается;
  • нет катастрофического влияния антивирусного трафика на пропускную способность сети: пересылке подлежит компактная порция данных, содержащая всего несколько десятков хэш-значений, средний объем дневного трафика не превышает 120 Кбайт;
  • облачное хранилище содержит огромные массивы сигнатур, значительно больше тех, которые хранятся на пользовательских компьютерах;
  • алгоритмы сравнения сигнатур, применяемые в облаке, отличаются значительно более высокой интеллектуальностью по сравнению с упрощенными моделями, которые используются на уровне локальных станций, а благодаря более высокой производительности для сравнения данных требуется меньше времени;
  • облачные антивирусные службы работают с реальными данными, получаемыми от антивирусных лабораторий, разработчиков средств безопасности, корпоративных и частных пользователей; угрозы нулевого дня блокируются одновременно с их распознаванием, без задержки, вызванной необходимостью получения доступа к пользовательским компьютерами;
  • пользователи в роуминге или не имеющие доступа к своим основным рабочим местам, получают защиту от атак нулевого дня одновременно с выходом в Интернет;
  • снижается загрузка системных администраторов: им не требуется тратить время на установку антивирусного ПО на компьютеры пользователей, а также обновления баз сигнатур.

Почему традиционные антивирусы не справляются

Современный вредоносный код может:

  • Обойти ловушки антивирусов создав специальный целевой вирус под компанию
  • До того как антивирус создаст сигнатуру он будет уклоняться, используя полиморфизм, перекодирование, используя динамические DNS и URL
  • Целевое создание под компанию
  • Полиморфизм
  • Неизвестный еще никому код – нет сигнатуры

Сложно защититься

Скоростные антивирусы 2011 года

Российский независимый информационно-аналитический центр Anti-Malware.ru опубликовал в мае 2011 года результаты очередного сравнительного теста 20 наиболее популярных антивирусов на быстродействие и потребление системных ресурсов.

Цель данного теста - показать, какие персональные антивирусы оказывает наименьшее влияние на осуществление пользователем типовых операций на компьютере, меньше "тормозят" его работу и потребляют минимальное количество системных ресурсов.

Среди антивирусных мониторов (сканеров в режиме реального времени) целая группа продуктов продемонстрировала очень высокую скорость работы, среди них: Avira, AVG, ZoneAlarm, Avast, Антивирус Касперского, Eset, Trend Micro и Dr.Web. С этими антивирусами на борту замедление копирования тестовой коллекции составило менее 20% по сравнению с эталоном. Антивирусные мониторы BitDefender, PC Tools, Outpost, F-Secure, Norton и Emsisoft также показали высокие результаты по быстродействию, укладывающиеся в диапазон 30-50%. Антивирусные мониторы BitDefender, PC Tools, Outpost, F-Secure, Norton и Emsisoft также показали высокие результаты по быстродействию, укладывающиеся в диапазон 30-50%.

При этом Avira, AVG, BitDefender, F-Secure, G Data, Антивирус Касперского, Norton, Outpost и PC Tools в реальных условиях могут быть значительно быстрее за счет имеющейся у них оптимизации последующий проверок.

Наилучшую скорость сканирования по требованию показал антивирус Avira. Немного уступили ему Антивирус Касперского, F-Secure, Norton, G Data, BitDefender, Антивирус Касперского и Outpost. По скорости первого сканирования эти антивирусы лишь немного уступают лидеру, в тоже время все они имеют в своем арсенале мощные технологии оптимизации повторных проверок.

Еще одной важной характеристикой скорости работы антивируса является его влияние на работу прикладных программ, с которыми часто работает пользователь. В качестве таких для теста были выбраны пять: Internet Explorer, Microsoft Office Word, Microsoft Outlook , Adobe Acrobat Reader и Adobe Photoshop. Наименьшее замедление запуска этих офисных программ показали антивирусы Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost и G Data.

Пользователь современного персонального компьютера имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для существования опасности, которая получила название компьютерного вируса.

Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере. В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные, файлово-загрузочные, макровирусы и троянские программы.

  • Сетевые вирусы распространяются по различным компьютерным сетям.
  • Файловые вирусы внедряются главным образом в исполняемые модули. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.
  • Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).
  • Файлово-загрузочные вирусы заражают как файлы, так и загрузочные секторы дисков.
  • Макровирусы написаны на языках высокого уровня и поражают файлы документов приложений, которые имеют встроенные языки автоматизации (макроязыки), такие, например, как приложения семейства Microsoft Office.
  • Троянские программы , маскируясь под полезные программы, являются источником заражения компьютера вирусами.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ :

  • - программы-детекторы;
  • - программы-доктора, или фаги;
  • - программы-ревизоры;
  • - программы-фильтры;
  • - программы-вакцины, или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора , или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги , т. е. программы-доктора, предназначенные для поиска н уничтожения большого количества вирусов. Наиболее известные из них: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

В связи с тем, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная программа Kaspersky Monitor.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

  • - попытки коррекции файлов с расширениями СОМ. ЕХЕ;
  • - изменение атрибутов файла;
  • - прямая запись на диск по абсолютному адресу;
  • - запись в загрузочные секторы диска;

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны. так как способны обнаружить вирус на самой ранней стадии его существования, до размножения. Однако они не «лечат» файлы и диски.

Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины или иммунизаторы — это резидентные программы. предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

На сегодняшний день перечень доступных антивирусных программ весьма обширен. Они различаются как по цене (от весьма дорогих до абсолютно бесплатных), так и по своим функциональным возможностям. Наиболее мощные (и, как правило, более дорогие) антивирусные программы представляют собой пакеты специализированных утилит , способных при совместном их использовании поставить заслон практически любому виду вредоносных программ.

Типовой перечень функций, которые способны выполнять антивирусные программы:

Сканирование памяти и содержимого дисков по расписанию;

Сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;

Выборочное сканирование файлов с измененными атрибутами;

Распознавание поведения, характерного для компьютерных вирусов;

Блокировка и/или удаление выявленных вирусов;

Восстановление зараженных информационных объектов;

Принудительная проверка подключенных к корпоративной сети компьютеров;

Удаленное обновление антивирусного программного обеспечения и баз данных с информацией о вирусах, в том числе автоматическое обновление баз данных по вирусам через Интернет;

Фильтрация трафика Интернета на предмет выявления вирусов в передаваемых программах и документах;

Выявление потенциально опасных Jаvа-апплетов и модулей АсtivеХ;

Ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.

К наиболее мощным и популярным на сегодняшний день в России антивирусным пакетам относятся:

- Dосtоr Wеb (в документации часто именуется более кратко - Dr Wеb) программа российской компании;

- Антивирус Касперского (в документации именуется более кратко - АVР) разработка еще одной российской фирмы

Nоrtоn АntiVirus корпорации Simаntес;

МсАfее VirusScаn компании Nеtwоrk Аssосiаtеs;

Раndа АntiVirus.

Nоd32 АntiVirus.

Популярность перечисленных выше пакетов обусловлена прежде всего тем, что в них реализован комплексный подход к борьбе с вредоносными программами. То есть, установив такой пакет вы избавляетесь от необходимости использовать какие-либо дополнительные антивирусные средства.

Последние версии антивирусных пакетов содержат в своем составе также средства борьбы с вредоносными программами, проникающими из сети (в первую очередь из Интернета). Так какие же, собственно, существуют технологии выявления и нейтрализации компьютерных вирусов?

Специалисты в области антивирусной защиты выделяют пять типов антивирусов реализующих соответствующие технологии: сканеры, мониторы, ревизоры изменений, иммунизаторы и поведенческие блокираторы.

Сканер

Принцип работы антивирусного сканера состоит в том, что он просматривает файлы, оперативную память и загрузочные секторы дисков на предмет наличия вирусных масок, то есть уникального программного кода вируса. Вирусные маски (описания) известных вирусов содержатся в антивирусной базе данных сканера, и если он встречает программный код, совпадающий с одним из этих описаний, то выдает сообщение об обнаружении соответствующего вируса.


Программы-детекторы

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти, на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы. Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги)

Программы-доктора не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги , т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Т.к. постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем по желанию пользователя или периодически сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс- вирусы и могут даже отличить изменения версии проверяемой программы от изменений внесенных вирусом.

Программы-филътры (сторожа)

Программы-фильтры представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.

Такими действиями могут являться:

Попытки коррекции файлов с расширениями СОМ и ЕХЕ;

Изменения атрибутов файлов;

Прямая запись на диск по абсолютному адресу;

Запись в загрузочные сектора диска;

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуются другие программы, например фаги. К недостаткам программ-сторожей можно отнести их назойливость (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим ПО.

Вакцины (иммунизаторы)

Вакцины - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

1. Признаки заражения компьютера?

2. Косвенные признаки заражения компьютера?

3. Действия при появлении признаков заражения вредоносной программой?

4. Источники компьютерных вирусов?

5. Глобальные сети и электронная почта как источник компьютерных вирусов?

6. Электронные конференции как источник компьютерных вирусов?

7. Локальные сети как источник компьютерных вирусов?

8. Пиратское программное обеспечение как источник компьютерных вирусов?

9. Компьютеры общего пользования как источник компьютерных вирусов?

10. Ремонтные службы как источник компьютерных вирусов?

11. Основные правила защиты от компьютерных вирусов?

12. Антивирусные программы?

13. Виды антивирусных программ?

14. Типовой перечень функций, которые способны выполнять антивирусные программы?

15. К наиболее мощным и популярным на сегодняшний день в России антивирусным пакетам относятся?

16. Принцип работы антивирусного сканера?

17. Принцип работы антивирусных программ-детекторов?

18. Принцип работы антивирусных программ-докторов (фагов)?

19. Принцип работы антивирусных программ-ревизоров?

20. Принцип работы антивирусных программ-фильтров (сторожей)?

21. Принцип работы вакцинаторов (иммунизаторов)?