Классификация, характеристики, примеры. Антивирусы Дайте их классификацию антивирусов

Основные методы определения вирусов

нтивирусные программы развивались параллельно с эволюцией вирусов. По мере того как появлялись новые технологии создания вирусов, усложнялся и математический аппарат, который использовался в разработке антивирусов.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном. Речь идет о программах, в которых вирус определяется классическим ядром по некоторой маске. Смысл алгоритма заключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, а с другой — достаточно большой, чтобы избежать ложных срабатываний (когда «свой» воспринимается как «чужой», и наоборот).

Первые антивирусные программы, построенные по этому принципу (так называемые сканеры-полифаги), знали некоторое количество вирусов и умели их лечить. Создавались эти программы следующим образом: разработчик, получив код вируса (код вируса поначалу был статичен), составлял по этому коду уникальную маску (последовательность 10-15 байт) и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность байтов, делала заключение о том, что файл инфицирован. Данная последовательность (сигнатура) выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.

Описанные подходы использовались большинством антивирусных программ вплоть до середины 90-х годов, когда появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен так называемым эмулятором процессора, позволяющим находить шифрующиеся и полиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.

Принцип эмуляции процессора демонстрируется на рис. 1 . Если обычно условная цепочка состоит из трех основных элементов: ЦПУ®ОС®Программа, то при эмуляции процессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве и реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.

Второй механизм, появившийся в середине 90-х годов и использующийся всеми антивирусами, — это эвристический анализ. Дело в том, что аппарат эмуляции процессора, который позволяет получить выжимку действий, совершаемых анализируемой программой, не всегда дает возможность осуществлять поиск по этим действиям, но позволяет произвести некоторый анализ и выдвинуть гипотезу типа «вирус или не вирус?».

В данном случае принятие решения основывается на статистических подходах. А соответствующая программа называется эвристическим анализатором.

Для того чтобы размножаться, вирус должен совершать какие-либо конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра) содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является данная программа вирусом или нет.

При этом процент пропуска вируса, даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.

Классификация антивирусных программ

лассифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения (рис. 2).

Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты - сканерами.

Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт — это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.

Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Программы двойного назначения - это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker - ревизор изменений на основе контрольных сумм - может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

Обзор наиболее популярных персональных антивирусов

Обзор вошли наиболее популярные антивирусы для персонального использования от пяти известных разработчиков. Следует отметить, что некоторые из рассмотренных ниже компаний предлагают несколько версий персональных программ, различающихся по функциональности и соответственно по цене. В нашем обзоре мы рассмотрели по одному продукту от каждой компании, выбрав наиболее функциональную версию, которая, как правило, носит название Personal Pro. Другие варианты персональных антивирусов можно найти на соответствующих сайтах.

Антивирус Касперского

Personal Pro v. 4.0

Разработчик: «Лаборатория Касперского». Web-сайт: http://www.kaspersky.ru/ . Цена 69 долл. (лицензия на 1 год).

Антивирус Касперского Personal Pro (рис. 3) — одно из наиболее популярных решений на российском рынке и содержит целый ряд уникальных технологий.

Поведенческий блокиратор модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.

Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.

Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

Norton AntiVirus 2003 Professional Edition

Разработчик: Компания Symantec. Web-сайт: http://www.symantec.ru/ .

Цена 89,95 евро.

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Цена 39,95 долл.

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры, CRC-сканеры (ревизоры). Существуют также антивирусы блокировщики и иммунизаторы.

Сканеры . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы "эвристического сканирования", т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории – "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов.

Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз, которые сканерам приходится хранить и пополнять, и относительно небольшая скорость поиска вирусов.

CRC-сканеры . Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т. д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие "анти-стелс" алгоритмы реагируют практически на 100 % вирусов сразу после появления изменений на компьютере. Характерный недостаток этих антивирусов заключается в невозможности обнаружения вируса с момента его появления и до тех пор, пока не будут произведены изменения на компьютере. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в восстанавливаемых файлах или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.

Блокировщики . Антивирусные блокировщики – это резидентные программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю. К "вирусоопасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочный сектор диска и др., которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно активизируется.

Иммунизаторы . Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Для обнаружения, удаления и защиты от компьютерных вирусов существует несколько разновидностей программ. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

1. вакцины;

2. детекторы;

3. ревизоры;

4. сторожа;

5. мониторы;

6. полифаги;

7. эвристические анализаторы.

В последнее время, разработчики антивирусных программ, предлагают пользователям комплексные решения, которые включают в себя большую часть или даже все вышеуказанные программы.

Вакцины – это программы, предназначенные для предотвращения заражения файлов от какого-либо одного, конкретного вируса. Вакцины применяются, если отсутствуют программы, могущие обезвредить данный вирус. Вакцинация возможна только от известных вирусов, которые можно обнаружить, но по какой-либо причине невозможно обезвредить. Программа-вакцина модифицирует защищаемую программу или диск таким образом, чтобы это не отражалось на их работе, но при этом настоящий вирус считал защищаемую программу зараженной и поэтому не внедрялся в ее исполняемый код.

Действия программ-вакцин основано на одном из базовых свойств компьютерных вирусов, – не заражать повторно уже инфицированную программу. Для этих целей, при заражении программ, вирусы используют так называемую «черную метку», которая бы позволяла отличать уже инфицированные программы от неинфицированных. Это может быть, например, установка времени создания файла в 24 часа 1 минуту и 62 секунды. Т.к. нормальные программы не могут иметь подобного времени создания, то, обнаружив, что файл создан в это время, вирус считает, что он заражен и не пытается инфицировать его повторно.

Таким образом, программа вакцина просто создает «черную метку» конкретного вируса на защищаемой программе, не изменяя её исполняемого кода, а вирус, обнаруживая такую метку, уже не пытается заразить данный файл.

«Детекторы» или «сканеры» - это программы, которые осуществляют поиск характерной для конкретного вируса сигнатуры, в оперативной памяти компьютера или в файлах на жестком диске, и при обнаружении, выдают соответствующее сообщение. Недостатком этого класса антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам.

«Ревизоры» - это программы, которые относятся к самым надёжным средствам защиты от вирусов.

Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т.д. На обнаружении таких изменений основывается работа антивирусных программ, называемых «ревизорами».

Они построены на принципе, обратном принципу построения сканеров. Ревизоры не знают в лицо конкретные вирусы, но они запоминают информацию о каждом конкретном логическом диске и по изменению этой информации, позволяют надежно обнаруживать как известные, так и новые, неизвестные вирусы.

В случае обнаружения изменения сведений об имеющихся на диске данных, вся соответствующая информация об измененном объекте предоставляется пользователю. А тот уже сам должен принять решение: стоит ли, например, проверять данный файл на вирус (если это исполняемый файл) или проигнорировать сообщение, если файл изменялся самим пользователем.

Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, его контрольная сумма, дата и время модификации, и некоторые другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, позволяющие обнаруживать даже вирусы таких классов как «стелс» - вирусы и «полиморфные» вирусы, а некоторые даже могут восстановить исходную версию проверяемой программы, удалив изменения, внесенные вирусом.

Преимуществом ревизоров являются – высочайшая скорость проверки дисков (во много десятков раз превышающая скорость работы сканеров) и высокая надежность обнаружения даже неизвестных вирусов.

«Сторожа» - это небольшие резидентные программы, предназначенные для обнаружения подозрительных действий, возникающих при работе пользователя на компьютере, и характерных для вирусов. К числу таких действий могут относиться:

1. попытки коррекции файлов с расширениями COM, EXE, DLL и т.д., обычно неизменяемых;

2. изменение атрибутов файла;

4. запись в загрузочные сектора диска;

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

Одним из самых крупных недостатков программ этого класса является то, что при неправильной (а иногда даже и при правильной) настройке, они буквально «засыпают» пользователя предупреждениями, в результате чего их обычно отключают.

«Мониторы» (или программы-фильтры) – это антивирусные программы, основанные по принципу полифага, и использующие для обнаружения вирусов базу данных их сигнатур. Антивирусный монитор располагается резидентно в памяти компьютера, и проверяет на наличие вирусов только те программы, над которыми производит какие-либо манипуляции пользователь, или операционная система.

Обычно антивирусные мониторы проверяют все файлы, над которыми производятся следующие манипуляции:

1. запуск программы на выполнение;

2. изменение атрибутов файла;

3. открытие документ (Microsoft Office);

4. копирование или перемещение файла;

5. редактирование файла;

Программы-фильтры являются полезными с той точки зрения, что помогают пользователю обнаружить вирус на самой ранней стадии его существования, еще до того момента, когда распространение вируса примет характер эпидемии.

«Полифаги» - это программы, которые способны благополучно удалить вирус и восстановить работоспособность испорченных программ.

Для каждого вируса, путем анализа его кода, способов заражения файлов и т.д. выделяется некоторая, характерная только для него, последовательность байт. Эта последовательность называется сигнатурой данного вируса. Поиск вирусов, в простейшем случае, сводится к поиску их сигнатур. После обнаружения вируса в теле программы (или загрузочного сектора, который тоже, впрочем, содержит программу начальной загрузки), полифаг обезвреживает его. Для этого разработчики антивирусных средств тщательно изучают работу каждого конкретного вируса: что он портит, как он портит, где он прячет то, что испортит и т.д.

Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Вирусные базы современных сканеров содержат более 40000 масок вирусов.

Недостатком простых сканеров является их неспособность обнаруживать «полиморфные» вирусы, полностью меняющие свой код. Современные полифаги используют другие методы поиска вирусов. Для этого они используют более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-полифаги быстро устаревают, и требуется регулярное обновление версий баз данных, содержащих сигнатуры вновь появившихся вирусов. Как результат, сканеры устаревают уже в момент выхода новой версии.

Эвристические анализаторы – программы, выполняющие под своим контролем, проверяемые программы и обнаруживающие действия, характерные для вирусов. Благодаря этому эвристические анализаторы способны находить «полиморфные» вирусы также легко, как и обычные вирусы, не использующие механизма маскировки, кроме того, они могут обнаруживать вирусы, ранее неизвестные авторам антивирусной программы.

Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.

Несмотря на то что общие средства защиты информации и профилактические меры очень важны для защиты от вирусов, необходимо применение специализированных программ. Эти программы можно разделить на несколько видов:

• ? Программы-детекторы проверяют, имеются ли в файлах на диске специфическая комбинация байтов (сигнатура) для известного вируса и сообщают об этом пользователю (VirusScan/SCAN/фир- мы McAfee Associates).
• ? Программы-доктора или фаги «лечат» зараженные программы, «выкусывая» из зараженных программ тело вируса, как с восстановлением, так и без восстановления среды обитания (зараженного файла) - лечащий модуль программы SCAN - программа CLEAN.
• ? Программы доктора-детекторы (Aidstest Лозинского, Doctor Web Данилова, MSAV, Norton Antivirus, AVP Касперского) способны определить наличие известного вируса на диске и исцелить зараженный файл. Самая распространенная группа антивирусных программ на сегодняшний день.

В самом простом случае команда проверки содержимого диска на наличие вирусов имеет вид: aidstest /ключ1/ключ 2 /ключ 3 /---

• ? Программы-фильтры (сторожа) располагаются резидентно в оперативной памяти ПК и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда и сообщают о них пользователю:
• - попытка испортить главный файл OS COMMAND.COM;
• - попытка прямой записи на диск (предыдущая запись удаляется), при этом выдается сообщение, что какая-то программа пытается копировать на диск;
• - форматирование диска,
• - резидентное размещение программы в памяти.

Выявив попытку одного из этих действий, программа-фильтр выдает пользователю описание ситуации и требует от него подтверждения. Пользователь может разрешить или запретить выполнение данной операции. Контроль действий, характерный для вирусов, осуществляется путем подмены обработчиков соответствующих прерываний. К недостаткам этих программ можно отнести назойливость (сторож, например, выдает предупреждение о любой попытке копирования исполняемого файла), возможные конфликты с другим программным обеспечением, обход сторожей некоторыми вирусами. Примеры фильтров: Anti4us, Vsafe, Disk Monitor.

Следует заметить, что на сегодняшний день многие программы класса доктор-детектор еще и имеют резидентный модуль - фильтр (сторож), например, DR Web, AVP, Norton Antivirus. Таким образом, такие программы можно классифицировать как доктор-детектор-сторж.

• ? Аппаратно-программные антивирусные средства (Аппаратно-программный комплекс Sheriff). В одном ряду с программами-сторожами стоят аппаратно-программные антивирусные средства, обеспечивающие более надежную защиту от проникновения вируса в систему. Такие комплексы состоят из двух частей: аппаратной, которая устанавливается в виде микросхемы на Материнскую плату и программной, записывающейся на диск. Аппаратная часть (контроллер) отслеживает все операции записи на диск, программная часть, находясь в Оперативной памяти резидентно, отслеживает все операции ввода/вывода информации. Однако возможность применения этих средств требует внимательного рассмотрения с точки зрения конфигурации используемого на ПК дополнительного оборудования, например, дисковых контроллеров, модемов или сетевых плат.
• ? Программы-ревизоры (Adinf/Advanced Disk infoscope/c лечащим блоком ADinf Cure Module Мостового). Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска на логические разделы). Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при сравнении системных областей и дисков с исходными в случае обнаружения несоответствия сообщается пользователю. Программы-ревизоры способны обнаружить невидимые (STEALTH) вирусы. Проверка длины файла недостаточна, некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму (побитно). Изменить весь файл так, чтобы его контрольная сумма осталась прежней, практически невозможно. К незначительным недостаткам ревизоров можно отнести то, что для обеспечения безопасности они должны использоваться регулярно, например, ежедневно вызываться из файла AUTOEXEC.BAT. Но несомненными их преимуществами являются высокая скорость проверок и то, что они не требуют частого обновления версий. Версии ревизора даже полугодовой давности надежно обнаруживают и удаляют современные вирусы.
• ? Программы-вакцины или иммунизаторы (CPAV). Программы-вакцины модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Работа этих программ недостаточно эффективна.

Условно стратегию зашиты от вируса можно определить как многоуровневую «эшелонированную» оборону. Структурно это может выглядеть так. Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие определять вновь полученное программное обеспечение на наличие вирусов. На переднем крае обороны находятся программы-фильтры, которые находятся резидентно в памяти компьютера. Эти программы могут первыми сообщить о работе вируса. Второй эшелон «обороны» составляют программы-ревизоры. Ревизоры обнаруживают нападение вируса даже тогда, когда он сумел «просочиться» через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если копии зараженной программы нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные программы, причем контролируют правильность лечения. Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в ПК, испортить важные данные. В «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении.

Вредоносные действия вирусов каждого типа могут быть самыми разнообразными. Это и удаление важных файлов или даже «прошивки» BIOS, и передача личной информации, например паролей, по определенному адресу, организация несанкционированных рассылок электронной почты и атак на некоторые сайты. Возможен и запуск дозвона через сотовый телефон на платные номера. Утилиты скрытого администрирования (backdoor) способны даже передать злоумышленнику всю полноту управления компьютером. К счастью, со всеми этими бедами можно успешно бороться, и основным оружием в этой борьбе будет, конечно, антивирусное ПО.

Антивирус Касперского. Пожалуй, «Антивирус Касперского» - самый известный в России продукт этого типа, а фамилия «Касперский» стала синонимом борца с вредоносными кодами. Одноименная лаборатория не только постоянно выпускает новые версии своего защитного ПО, но и ведет просветительскую работу среди пользователей компьютеров. Самая свежая, девятая версия «Антивируса Касперского», как и предыдущие релизы, отличается простым и максимально прозрачным интерфейсом, объединяющим все необходимые утилиты в одном окне. Благодаря мастеру установки и интуитивно понятным пунктам меню настроить этот продукт способен даже начинающий пользователь. Мощность используемых алгоритмов удовлетворит и профессионалов. С детальным описанием каждого из обнаруженных вирусов можно ознакомиться, вызвав соответствующую страницу в Интернете непосредственно из программы.

Dr. Web. Еще один популярный российский антивирус, соперничающий по известности с «Антивирусом Касперского», - Dr. Web. Его ознакомительная версия обладает интересной особенностью: она требует обязательной регистрации через Интернет. С одной стороны, это очень хорошо - сразу после регистрации производится обновление антивирусных баз и пользователь получает самые новые данные о сигнатурах. С другой стороны, установить ознакомительную версию автономно невозможно, да и, как показал опыт, при неустойчивом соединении неизбежны проблемы.

Panda Antivirus + Firewall 2007. Комплексное решение в области компьютерной безопасности - пакет Panda Antivirus+Firewall 2007 - включает в себя помимо антивирусной программы брандмауэр, отслеживающий сетевую активность. Интерфейс основного окна программы решен в «природных» зеленых тонах, но, несмотря на внешнюю привлекательность, система переходов по меню выстроена неудобно, и начинающий пользователь вполне может запутаться в настройках.

Пакет Panda содержит сразу несколько оригинальных решений, таких как фирменная технология поиска неизвестных угроз TruePrevent, основанная на самых современных эвристических алгоритмах. Стоит обратить внимание и на утилиту поиска уязвимых мест компьютера - она оценивает опасность «дыр» в системе безопасности и предлагает скачать необходимые обновления.

Norton Antivirus 2005. Основное впечатление от продукта знаменитой компании Symantec - антивирусного комплекса Norton Antivirus 2005 - его ориентация на мощные вычислительные системы. Реакция интерфейса Norton Antivirus 2005 на действия пользователя ощутимо запаздывает. Кроме того, при инсталляции она предъявляет достаточно жесткие требования к версиям операционной системы и Internet Explorer. В отличие от Dr.Web, Norton Antivirus не требует обязательного обновления вирусных баз при установке, но о том, что они устарели, будет напоминать в течение всего времени работы.

McAfee VirusScan. Любопытный антивирусный продукт, являющийся, по уверениям разработчиков, сканером № 1 в мире - McAfee VirusScan, - мы выбрали для испытаний потому, что в ряду аналогичных приложений он выделялся большим размером дистрибутива (более 40 Мбайт). Полагая, что такая величина обусловлена широким функционалом, мы приступили к инсталляции и обнаружили, что помимо антивирусного сканера в него входят брандмауэр, а также утилиты очистки жесткого диска и гарантированного удаления объектов с винчестера (файл-шреддер).

Вопросы к главам 6 и 7

• 1. Этапы развития средств и технологий информационной безопасности.
• 2. Составляющие стандартной модели безопасности.
• 3. Источники угроз безопасности и их классификация.
• 4. Непреднамеренные угрозы информационной безопасности.
• 5. Умышленные угрозы информационной безопасности.
• 6. Классификация каналов утечки информации.
• 7. Регулирование проблем информационной безопасности.
• 8. Структура государственной системы защиты информации.
• 9. Методы и средства защиты информации.
• 10. Классификация угроз безопасности данных.
• 11. Методы защиты информации от вирусов.
• 12. Методы контроля целостности.
• 13. Классификация компьютерных вирусов.
• 14. Средства защиты против вирусов.
• 15. Профилактические антивирусные меры.
• 16. Классификация программных антивирусных продуктов.

вредоносный программа антивирусный заражение

Для своей успешной работы вирусам необходимо проверять, не является ли файл уже зараженным (этим же вирусом). Так они избегают самоуничтожения. Для этого вирусы используют сигнатуру. Большинство обычных вирусов (включая и макровирусы) использует символьные сигнатуры. Более сложные вирусы (полиморфные) используют сигнатуры алгоритмов. Независимо от типа сигнатуры вируса антивирусные программы используют их для обнаружения «компьютерных инфекций». После этого антивирусная программа пытается уничтожить обнаруженный вирус. Однако этот процесс зависит от сложности вируса и качества антивирусной программы. Как уже говорилось, наиболее сложно обнаружить троянских коней и полиморфные вирусы. Первые из них не добавляют свое тело к программе, а внедряют внутрь нее. С другой стороны, антивирусные программы должны потратить достаточно много времени, чтобы определить сигнатуру полиморфных вирусов. Дело в том, что их сигнатуры меняются с каждой новой копией.

Для обнаружения, удаления и защиты от компьютерных вирусов существуют специальные программы, которые называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как профилактические средства, так и средства лечения вирусов и восстановления данных.

Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам:

1. Стабильность и надежность работы.

2. Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой): с учетом постоянного появления новых вирусов база данных должна регулярно обновляться.

3. Возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы).

4. Наличие резидентного монитора, осуществляющего проверку всех новых файлов «на лету» (то есть автоматически, по мере их записи на диск).

5. Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).

6. Возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы.

7. Процент ложных срабатываний программы (ошибочное определение вируса в «чистом» файле).

8. Кроссплатформенность (наличие версий программы под различные операционные системы).

Классификация антивирусных программ:

1. Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы:

Универсальные - используют в своей работе проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы;

Специализированные - выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода).

2. Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

3. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора.

4. Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

Попытки коррекции файлов с расширениями СОМ и ЕХЕ;

Изменение атрибутов файлов;

Прямая запись на диск по абсолютному адресу;

Запись в загрузочные сектора диска;

5. Программы-вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов Безруков Н. Компьютерная вирусология: Учебник [Электронный ресурс]: http://vx.netlux.org/lib/anb00.html..

На самом деле архитектура антивирусных программ намного сложнее и зависит от конкретного разработчика. Но один факт неоспорим: все технологии, о которых я рассказывал, настолько тесно переплелись друг в друге, что порой невозможно понять, когда в ход пускаются одни и начинают работать другие. Подобное взаимодействие антивирусных технологий позволяет наиболее эффективно их использовать в борьбе с вирусами. Но не стоит забывать, что не существует идеальной защиты, и единственный способ предостеречь себя от подобных проблем -- постоянные обновления ОС, хорошо настроенный файрволл, часто обновляемый антивирус, и -- главное -- не запускать/загружать подозрительные файлы из интернета.