По всей видимости, создатели первых компьютеров никогда не могли бы предположить, что со временем появятся угрозы безопасности самой системе и пользовательским данным, хранящимся в памяти устройств. Но… они появились, что вызвало необходимость создания действенных средств защиты, которые позже получили название «антивирусные программы». Список наиболее известных и мощных пакетов будет представлен ниже. А пока остановимся на понимании того, что же собой представляют компьютерные вирусы, и как их можно выявить, изолировать или удалить.
это что такое? Немного истории
Итак, что же собой представляют вирусные угрозы и средства борьбы с ними? Если посмотреть на те далекие времена, когда компьютерные технологии только начинали развиваться, как правило, вирусы представляли собой исполняемые файлы (.exe, .bat и т. д.), запуск которых активировал встроенные коды и команды, позволявшие наносить ущерб компьютерным системам.
В отличие от современных вирусных апплетов, они работали исключительно только после активации соответствующих файлов самим пользователем, а их действия в основном были направлены на нарушение работы операционной системы. Таким образом, изначально антивирусы защищали только систему, но не информацию.
Предмет защиты
Сегодня такие угрозы встречаются все реже. Приоритетом для вирусов становится шпионская деятельность, кража конфиденциальных данных, Впрочем, в категорию вирусов попадают и разного рода рекламные модули, которые могут активизироваться в системе и вызывать неудобство работы, скажем, в сети Интернет.
Собственно, и пути проникновения угроз в компьютерные системы изменились достаточно сильно. Большей частью это связано с интернетом. Реже можно встретить вирусы на съемных носителях. Однако и поведение их тоже очень сильно отличается от того, что было раньше. Они могут маскироваться под официальные программы или системные службы, проникать в систему под видом стандартных библиотек, содержащих исполняемые коды, создавать собственные копии и т. д.
После активации отследить такие действия очень сложно, поэтому и рекомендуется установить антивирусную программу, независимо от того, связан ли пользователь с интернетом. Последствия могут быть самыми катастрофическими, например, пропажа денег с карточного счета. Такая как логины и пароли доступа к финансовым службам или секретным разработкам, сейчас востребована как никогда. Как тут не вспомнить известное выражение о том, что тот, кто владеет информацией, владеет миром?
Виды вирусов
Само собой разумеется, что вирусы и антивирусная защита связаны между собой очень тесно. Вот только главная проблема состоит в том, что вирусы всегда на шаг впереди защитного ПО. Неудивительно, ведь сегодня они в интернете растут как грибы после дождя, а разработчики средств противодействия таким угрозам попросту не успевают за ними.
Чего только стоят недавно появившиеся вирусы-шифровальщики, которые при проникновении на компьютеры моментально зашифровывают пользовательскую информацию при помощи 1024-битных алгоритмов, хотя антивирусные лаборатории только-только подошли к возможности противодействия 128-битному шифрованию. Но методы прогнозирования тут тоже есть.
Итак, что мы имеем на сегодняшний день? Как считается, наиболее распространенными на современном этапе развития компьютерных технологий являются следующие типы вирусов:
- загрузочные;
- файловые;
- загрузочно-файловые;
- документные;
- сетевые.
По типу работы их разделяют на резидентные и нерезидентные. Разница только в том, что может оставаться в памяти машины после завершения работы связанного с ним приложения или службы, а нерезидентный функционирует исключительно только в период действия программы.
И это только малая часть того, что должны уметь обнаруживать и обезвреживать антивирусные программы. Это, к сожалению, для многих простейших бесплатных пакетов оказывается, мягко говоря, задачей непосильной. Но для полного понимания всего, что связано с антивирусным ПО, для начала разберемся в принципах его работы и методов определения существующих или потенциальных угроз.
Технологии выявления потенциальных угроз
Прежде всего отметим, что большинство сегодня известных антивирусных приложений опираются на так называемые базы сигнатур вирусов. Иными словами, это данные, которые содержат примеры структур таких угроз и выводы о поведении их в зараженной системе.
Такие базы обновляются чуть ли не ежечасно и в самих антивирусных пакетах, и на удаленных серверах разработчиков. Во втором случае это связано с появлением новых угроз. Огромным плюсом таких баз является то, что на основе имеющихся результатов анализа можно достаточно просто определять и новые потенциально опасные элементы, которые в базах сигнатур отсутствуют. Таким образом, можно сказать, что антивирусные программы - это целые комплексы, состоящие из основных программных пакетов, баз вирусов и средств взаимодействия между ними.
Сигнатурный анализ
Если говорить о методологии, которая применяется в определении угроз, одно из первых мест занимает сигнатурный анализ, который заключается в сравнении структур файлов вируса с имеющимися шаблонными или ранее определенными схемами, что неразрывно связано с эвристическим анализом.
Для выявления потенциальных угроз это вещь просто незаменимая, хотя 100-процентной гарантии определения угрозы для современных вирусов нет.
Разновидности вероятностных тестов
Еще одна технология, которую используют практически все известные на сегодня защитные пакеты (например, антивирус «Доктор Веб», «Касперский» и многие другие), состоит в определении угрозы на основе ее структурного вида и поведения в системе.
Она имеет три ответвления: эвристический и поведенческий анализ и метод сравнения контрольных сумм файлов (чаще всего применяется для выявления вирусов, способных маскироваться под системные службы и безобидные программы). Тут вам и сравнение встроенных кодов, и анализ воздействия на систему, и многое другое.
Но самым мощным средством, как считается, является сравнение контрольных сумм, что позволяет выявить потенциальную угрозу в 99,9% случаев из 100.
Проактивная защита
Одним из методов прогнозирования в определении потенциальных угроз можно назвать проактивную защиту. Такие модули имеются в большинстве антивирусных программ. Но насчет целесообразности ее применения существует два диаметрально противоположных мнения.
С одной стороны, вроде бы и можно определить потенциально небезопасную программу или файл на основе сигнатурного и вероятностного анализа. Но с другой - при таком подходе очень часто проявляется ложное срабатывание даже с блокированием легитимных приложений и программ. Тем не менее, как часть общей технологии, такая методика применяется практически повсеместно.
Наиболее известные антивирусные программы: список
Теперь, пожалуй, перейдем к антивирусным программам непосредственно. Само собой разумеется, охватить их все не получится, поэтому ограничимся наиболее известными и мощными и рассмотрим антивирусные компьютерные программы, включающие в себя и коммерческое, и бесплатное ПО.
Среди всего этого огромного количества отдельно можно выделить следующие пакеты:
- антивирусные продукты «Лаборатории Касперского»;
- антивирус «Доктор Веб» и его сопутствующие программные продукты;
- антивирусные пакеты ESET (NOD32, Smart Security);
- Avast;
- Avira;
- Bitdefender;
- Comodo Antivirus;
- 360 Security;
- Panda Cloud;
- Microsoft Security Essentials;
- McAffe;
- продукция Symantec;
- антивирусы от Norton;
- оптимизаторы со встроенными антивирусными модулями вроде Advanced System Care и т. д.
Естественно, здесь можно найти три типа программ:
- полностью свободно распространяемые (бесплатные);
- условно-бесплатные (shareware-версия, или «пробный антивирус») со сроком пробной работы порядка 30 дней;
- коммерческие продукты (платные), требующие покупки лицензии или специального активационного ключа.
Бесплатные, условно-бесплатные и платные версии пакетов: в чем разница?
Говоря о разных типах приложений, стоит отметить, что разница между ними состоит не только в том, что за одни нужно платить или активировать их, а за другие нет. Суть гораздо глубже. К примеру, пробный антивирус, как правило, работает всего 30 дней и предоставляет пользователю возможность оценить все его возможности. Но по истечении этого срока он может либо отключаться полностью, либо блокировать некоторые важные защитные модули.
Понятно, что после отключения ни о какой защите и речи быть не может. Но во втором случае пользователь, грубо говоря, получает такой себе облегченный (Lite) антивирус, бесплатная версия которого не имеет полноценного набора для определения угроз и обладает только самым необходимым для выявления и нейтрализации вирусов либо в уже зараженной системе, либо на стадии их проникновения. Но, как показывает практика, такие сканеры способны пропускать не только потенциально опасные программы, скрипты или апплеты, но и иногда даже не распознают уже существующие вирусы.
Простейшие методы обновления баз данных и ПО
Что касается обновления, во всех пакетах эти процессы полностью автоматизированы. При этом происходит и апдейт базы данных сигнатур, и модулей самой программы (особенно часто это касается коммерческих продуктов).
Однако для некоторых программ можно использовать и специальные свободно распространяемые ключи, которые активируют абсолютно все функции пакета на некий определенный срок. Например, по такому принципу работают пакеты NOD32, ESET Smart Security, программы «Лаборатории Касперского» и многие другие. Достаточно просто ввести специальный логин и пароль, чтобы программа заработала в полную силу. Иногда может понадобиться преобразование таких данных в код лицензии. Но эта проблема решается при помощи официальных сайтов разработчика, где вся операция занимает пару секунд.
Что выбрать пользователю?
Как видно из всего вышесказанного, антивирусные программы - это достаточно сложные системы, причем не локального характера, а состоящие из множества модулей, между которыми должно обеспечиваться непосредственное взаимодействие (базы сигнатур, модули программы, сканеры, файрволлы, анализаторы, «доктора» для удаления вредоносных кодов из зараженных объектов и т. д.).
Что же касается выбора, безусловно, для полной комплексной защиты не рекомендуется использовать примитивные программы или бесплатные версии коммерческих продуктов, которые подходят только для домашней установки, да и то только при условии, что с такого терминала не осуществляется выход в Интернет. Ну а для целых компьютерных систем с разветвленными локальными подключениями, вне всякого сомнения, придется покупать официальные лицензионные релизы такого ПО. Зато потом, если не полностью, то, по крайней мере, в очень большой мере можно быть уверенным в безопасности и системы, и данных, в ней хранящихся.
Различают следующие виды антивирусных программ:
Программы-фаги (сканеры);
Программы-ревизоры (CRC-сканеры);
Программы-блокировщики;
Программы-иммунизаторы.
Программы-фаги (сканеры) используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем сканирования в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Программы-фаги не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги - программы-фаги, предназначенные для поиска и уничтожения большого числа вирусов.
Программы-фаги можно разделить на две категории - универсальные и специализированные сканеры. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от ОС, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов. Специализированные сканеры, рассчитанные только на макровирусы, оказываются более удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
Программы-фаги делятся также на резидентные мониторы, производящие сканирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. Резидентные мониторы обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.
К достоинствам программ-фагов всех типов относится их универсальность. К недостаткам следует отнести относительно небольшую скорость поиска вирусов и относительно большие размеры антивирусных баз.
Наиболее известные программы-фаги: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-фаги быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы, а также некоторая другая информация (длины файлов, даты их последней модификации и др.) затем сохраняются в БД антивируса. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если информация о файле, записанная в БД, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Как правило, сравнение состояний производят сразу после загрузки ОС.
CRC-сканеры, использующие алгоритмы анти-стелс, являются довольно мощным средством против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у CRC-сканеров имеется недостаток, заметно снижающий их эффективность: они не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их БД отсутствует информация об этих файлах.
К числу CRC-сканеров относится широко распространенная в России программа ADinf (Advanced Diskinfoscope) и ревизор AVP Inspector. Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует собранную ранее информацию о файлах для их восстановления после поражения неизвестными вирусами. В состав ревизора AVP Inspector также входит лечащий модуль, способный удалять вирусы.
Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики - это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» ситуациям относятся вызовы, которые характерны для вирусов в моменты их размножения (вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т. п.).
При попытке какой-либо программы произвести указанные действия блокировщик посылает пользователю сообщение и предлагает запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что бывает особенно полезно в случаях, когда регулярно появляется давно известный вирус. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применять другие программы, например фаги. К недостаткам блокировщиков можно отнести существование путей обхода их защиты и их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла).
Следует отметить, что созданы антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера.
Программы-иммунизаторы - это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа:
· иммунизаторы, сообщающие о заражении,
· и иммунизаторы, блокирующие заражение каким-либо типом вируса.
Иммунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение. У таких иммунизаторов имеется один серьезный недостаток - они не могут обнаружить заражение стелс-вирусом. Поэтому этот тип иммунизаторов практически не используются в настоящее время.
Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Он модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, вирус при этом воспринимает их зараженными и поэтому не внедряется. Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов. Однако в качестве полумеры подобные иммунизаторы могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.
Введение 3
1. Что такое компьютерный вирус? 5
2. Признаки появления вирусов 6
3. Основные меры по защите от вирусов 7
4. Антивирусные программы 7
5. Разновидности антивирусных программ 9
6. Типы антивирусных программ 10
7. Обзор популярных антивирусных программ 13
7.1 Eset NOD32 (Словакия) 13
7.2 Norman Virus Control (Норвегия) 14
7.3 Kaspersky Anti-Virus Personal (Россия) 14
7.4 Avast! 4 Home Edition (Россия) 14
7.5 McAfee VirusScan Enterprise (США) 15
7.7 Panda (Испания) 16
7.8 Naomi 3.2.90 17
7.9 Stop! 5.0 Scanner 17
7.10 Symantec Norton Antivirus (США) 17
7.11 Aidstest (Россия) 19
7.13 ADINF (Россия) 22
8. Основные проблемы антивирусной индустрии 23
9. Антивирусная поверка электронной почты 25
10. Антивирусы для почтовых серверов 26
11. Действия при заражении компьютера вирусом 28
Заключение 30
Список использованной литературы 31
Введение
В настоящее время компьютер прочно вошел в повседневную жизнь. Его возможности используются на работе, при проведении досуга, в быту и других сферах жизни человека. Количество информации, которую люди доверяют своему «электронному другу», с каждым днем растет, поэтому рано или поздно каждый задается вопросом: «Как обеспечить надежную сохранность данных?»
Сегодня невозможно встретить пользователя персонального компьютера, который не слышал бы о компьютерных вирусах. В Интернете такие вредоносные программы существуют в огромном количестве. Самое неприятное, что многие распространители вирусов успешно применяют в своей практике передовые достижения IT-индустрии. В результате то, что должно служить на благо пользователей, в конечном итоге может обернуться для них большими проблемами.
Вирус может попасть на компьютер пользователя вместе с дискетой, пиратским компакт-диском или с сообщением электронной почты. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.
С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Поэтому на любом современном компьютере должна быть обязательно установлена антивирусная программа.
1. Что такое компьютерный вирус?
Компьютерный вирус – это небольшая программа, которая приписывает себя в конец исполняемых файлов, «драйверов», или «поселяется» в загрузочном секторе диска. При запуске зараженных программ и драйверов вначале происходит выполнение вируса, а уже потом управление передается самой программе. Если же вирус «поселился» в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т.д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передается зараженной программе, которая обычно работает «как ни в чем не бывало», маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.
В последнее время появились так называемые макровирусы . Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word ), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word 6.0/7.0 для Windows и табличного редактора Excel 5.0/7.0 для Windows .
2. Признаки появления вирусов
Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со "странностями". К признакам появления вируса можно отнести:
замедление работы компьютера;
невозможность загрузки операционной системы;
частые «зависания» и сбои в работе компьютера;
прекращение работы или неправильная работа ранее успешно функционировавших программ;
увеличение количества файлов на диске;
изменение размеров файлов;
периодическое появление на экране монитора неуместных системных сообщений;
уменьшение объема свободной оперативной памяти;
заметное возрастание времени доступа к жесткому диску;
изменение даты и времени создания файлов;
разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);
загорание сигнальной лампочки дисковода, когда к нему нет обращения.
Надо заметить, что названные симптомы необязательно вызываются компьютерными вирусами, они могут быть следствием других причин, поэтому компьютер следует периодически диагностировать.
3. Основные меры по защите от вирусов
Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:
оснастить компьютер современными антивирусными программами, например NOD32 , Doctor Web, и постоянно обновлять их версии
перед считыванием с дисков информации, записанной на других компьютерах, всегда проверять эти диски на наличие вирусов, запуская антивирусные программы
при переносе на компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами
периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков
обязательно делать архивные копии на дисках ценной информации
использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей.
4. Антивирусные программы
Антивирусная программа (антивирус) - изначально компьютерная программа, которая предназначена для обезвреживания вирусов и различного рода вредоносного ПО, с целью сохранности данных и оптимальной работы вашего персонального компьютера.
Антивирусное ПО , пришлось ждать не долго, оно появилось сразу после появления первых вредоносных программ. В нынешний момент над разработкой антивирусных программ трудятся целые корпорации во главе с тысячами людей, которые постоянно "латают дыры", чтоб наш информационный мир был более чистым и безопасным.
Антивирусные программы (антивирусы ) используют два определенных принципа работы (устранения) с вредоносным ПО:
Сканирование вашего компьютера и сопоставление уже имеющегося вируса с базой данных на сервере определенного производителя.
Сканирование и обнаружение программ, которые ведут себя подозрительно и могут по определению являться вредоносным ПО.
Также можно определить некоторую классификацию антивирусных модулей, которые входят в составы различных антивирусных программ (антивирусов):
1. Сканеры - антивирусный модуль, который работает на основе сопоставления. Другими словами, антивирус ищет наличие вируса по базе сигнатур. Качество сканирования зависит от даты обновления баз данных и от эвристического анализа.
2. Ревизорный модуль - запоминает состояние файловой системы, что в последствии дает возможность сравнить отличия и сопоставить результаты. В случае отличия, вирус ловиться.
3. Мониторы - это специальный программы помощники, которые в случае выявления потенциально опасного вредоносного ПО(чаще всего встречаются EXE файлы) предлагают пользователю на выбор несколько операций, в число которых обязательно входит функция "удалить".
4. Вакцины - принцип действия этого модуля, может напоминать нам обычную "прививку". Другими словами, когда вирус хочет проникнуть и заразить программу, то роль вакцины заключается в том, чтоб показать вирусу, что программа уже заражена. К сожалению, в данный момент, когда количество вирусов в глобальной сети измеряется миллионами, данный способ уже устарел.
Антивирусы защищают ваш компьютер от вирусов и других вредоносных программ, например червей и троянов. Антивирусные программы нужно регулярно обновлять в интернете. Для получения обновлений надо подписаться на услугу обновления антивирусных баз производителя антивирусной программы. Перед подключением к сети Интернет необходимо запускать антивирусную программу!
Основные задачи антивирусов:
Сканирование файлов и программ в режиме реального времени.
Сканирование компьютера по требованию.
Сканирование интернет-трафика.
Сканирование электронной почты.
Защита от атак враждебных веб-узлов.
Восстановление поврежденных файлов (лечение).
5. Разновидности антивирусных программ
Качество антивирусной программы определяется по следующим позициям, приведенными в порядке убывания их важности:
1. Надежность и удобство работы – отсутствие зависаний антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов документов/таблиц (MSWord, Ехсе1, Office 2003), упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. Для сканеров важной является также периодичность появления новых версий, т. е. скорость настройки сканера на новые вирусы.
3. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows NT, WindowsXP, NovellNetWare, OS/2, A1pha, Linux и т. д.), присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий c возможностью администрирования сети.
4. Скорость работы и прочие полезные особенности, функции.
6. Типы антивирусных программ
Самыми популярными и эффективными видами антивирусных программ являются:
1. Антивирусные сканеры.Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые маски. Маской вирусаявляется некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой недостаточно велика, то используются другие методы. К достоинствам сканеров относится их универсальность, к недостаткам-размеры антивирусных баз, которые сканерам приходится переносить за собой, и относительно небольшая скорость поиска вирусов.
2. CRC-сканеры (программы-ревизоры).Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов системных секторов. Эти CRC-суммы затем сохраняются в БД антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если информация о файле, записанная в БД, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие «антистелс»-алгоритмы, являются довольно сильныморужием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их проявления на компьюторе. Однако у этого типа антивирусов есть недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут детектировать вирус в новых файлах, поскольку в их базах данных отсутствует информация об этих файлах.
3. Мониторы (или программы сторожа).Антивирусные мониторы - это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным относятся вызовы на открытие для записи и выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты их размножения. К достоинствам мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда известный вирус постоянно появляется. К недостаткам относится существование путей обхода защиты монитора и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ. Существует несколько более универсальных аппараных мониторов, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные мониторы крайне непопулярными на фоне остальных типов антивирусной защиты.
4. Иммунизаторы (или программы вакцины).Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение.
Второй тип иммунизации защищает систему от поражения вирусом какого-либо определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса, при запуске вирус натыкается на нее и считает, что система уже заражена.
5. Программы-доктора (фаги). Программы-доктора не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют и файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в операвной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.
6. Программы-детекторы. Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти, на внешних носителях, ипри обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов. Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они не способны обнаруживать све известные вирусы.
Детектор позволяет обнаруживать несколько вирусов, называют полидетектором.
Недостаком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
7. Обзор популярных антивирусных программ
Сегодня на отечественном рынке представлено достаточное количество различных антивирусных программ. Некоторые из антивирусных программ распространяются бесплатно, другие-на платной основе. Следует отметить, что эффективность платных антивирусных программ существенно выше, чем бесплатных, поэтому для надежной защиты компьютера (особенно при частом использовании Интернета, а также при работе в локальной сети) рекомендуется установить платную антивирусную программу.
Иногда антивирусные программы могут выдавать ложные сообщения об опасности, принимая за вирусы программы, которые на самом деле таковыми не являются. В подобных случаях лучше всего обратиться за разъяснениями к разработчику антивирусной программы. На самом деле ложные срабатывания антивирусных программ возможны и даже нередки. Во-первых, многие вполне нормальные утилиты и программы в неумелых руках могут стать опасными-повредить операционную систему, снизить уровень безопасности и т.п. Во-вторых, антивирусами нередко блокируются программы для взлома и восстановления паролей, программы для взлома других программ, для увеличения срока действия триальных версий и т.п.
Список некоторых антивирусных программ распространённых в России:
7.1 Eset NOD32 (Словакия)
NOD 32 Antivirus System от Eset Software обеспечивает хорошо сбалансированную безупречную защиту персональных компьютеров и корпоративных систем, работающих на платформах Microsoft Windows 95/98/ME/NT/2000/2003/XP, UNIX/Linux, Novell, MS DOS, а также для почтовых серверов Microsoft Exchange Server, Lotus Domino и других. Главным преимуществом NOD32 является его быстрая работа, невероятное низкое потребление системных ресурсов и не раз доказанная способность ловить 100% вирусов.
7.2 Norman Virus Control (Норвегия)
Разработанная компанией Symantec программа Norton Virus Control ™ 2004 позволяет предотвратить попадание ненужных сообщений в почтовый ящик пользователя. Программа, совместимая с любым почтовым клиентом POP3, производит многоуровневую фильтрацию входящих сообщений электронной почты, выявляя и помечая "макулатурные" письма; при этом вся нужная корреспонденция доставляется без задержки. Кроме того, Norton Virus Control отсекает рекламные заголовки и всплывающие окна, делая прогулку по Интернету куда более приятной.
7.3 Kaspersky Anti-Virus Personal ( Россия )
Антивирус Касперского® Personal Pro является последним технологическим достижением "Лаборатории Касперского" в области защиты домашнего компьютера от вирусных угроз. Помимо обычных антивирусных функций, в Антивирус Касперского® Personal Pro встроены уникальные технологические компоненты, позволяющие пользователю отслеживать все происходящие на компьютере изменения и контролировать поведение документов в формате MS Office, обеспечивая эти документы дополнительным уровнем безопасности. Антивирус Касперского® Personal Pro представляет собой уникальный набор компонентов, некоторые из которых были ранее были доступны только для корпоративных пользователей программных продуктов компании. Теперь все эти средства антивирусной борьбы доступны для домашнего использования.
7.4 Avast! 4 Home Edition (Россия)
Основные характеристики Avast!: Высокий уровень выявления вирусов, троянов и червей. Резидентный (в режиме реального времени) и обычный сканер. Сканирование архивов. Проверка входной и исходной электронной почты. Глубокая интеграция в систему. Проверить тот или иной файл можно непосредственно из проводника Windows, щелкнув по нему правой кнопкой мыши и выбрав надпись "Сканировать...". Карантин Avast! изолирован от операционной системы, что обеспечивает большую безопасность работы. Ни один файл, сохраняемый в карантине не может быть запущен.
7.5 McAfee VirusScan Enterprise (США)
McAfee Anti-Spyware Enterprise - это простое в установке, управлении и мониторинге средство, специально разработанное в соответствии с уникальными требованиями компаний любого размера. Данный продукт поддерживается одной из ведущих антивирусных исследовательских организаций в мире - McAfee® AVERTTM, и обеспечивает всестороннюю защиту от шпионского ПО.
7.6 DoctorWeb (Россия).
В последнее время стремительно растет популярность антивирусной программы - Doctor Web, которая относится к классу детекторов - докторов, но в отличие от многих других антивирусных порограмм имеет так называемый "эвристический анализатор" - алгоритм,позволяющий обнаруживать неизвестные вирусы.
Управление режимами осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную. Doctor Web может создавать отчет о работе, загружать знакогенератор Кириллицы, поддерживает работу с программно-аппаратным комплексом Sheriff.
Но, конечно, главной особенностью "Лечебной паутины" является наличие эвристического анализатора, который подключается ключем /S. Баланса между скоростью и качеством можно добиться, указав ключу уровень эвристического анализа: 0 - минимальный, 1 -оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличению качества. К тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET.
Важной функцией является контроль заражения тестируемых файлов резидентным вирусом. При сканировании памяти нет стопроцентной гарантии, что "Лечебная паутина" обнаружит все вирусы, находящиеся там.
Тестирование винчестера Dr.Web-ом занимает много времени, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно проверять принесенные извне дискеты.
Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения,например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.
7.7 Panda (Испания)
Panda Antivirus Platinum 7 - это инновационное антивирусное решение, отлично адаптированное к потребностям небольших организаций и профессионалов. Программа защищает компьютер и от вирусов, и от хакеров.Благодаря таким встроенным функциям, как межсетевой экран и блокиратор скриптов, Platinum 7 гарантирует защиту от вирусов, хакеров и других опасностей, связанных с сетью Интернет, в рамках единого и простого в использовании продукта.
7.8 Naomi 3.2.90
Прежде всего эта программа предназначается для родителей, которые хотят ограничить своим детям доступ к непристойным интернет-ресурсам. Кроме того, рекомендуется применять Naomi в учебных учреждениях. При своей работе утилита контролирует содержимое, загружаемое из интернета, и запрещает доступ к различным порно-сайтам, а также сайтам, содержащим насилие и пропаганду терроризма, азартные игры и т.д. Такая фильтрация осуществляется по ссылкам и ключевым словам (поддерживается 10 языков), отображаемым на веб-странице. Программа не нуждается ни в каких настройках, можно только задать пароль, чтобы было невозможно отключить фильтрацию интернет-контента без ввода соответствующего пароля. При обнаружении сайта непристойного содержания программа отключает (закрывает) окно браузера.
7.9 Stop! 5.0 Scanner
Антивирус Stop! 5.0 Scanner - исключительно простой в эксплуатации антивирус для домашних пользователей. Cовременный, эффективный антивирусный продукт, способный обнаружить и удалить все известные типы троянских программ, интернет-червей и вредоносных программ. Anti-Spyware Total Protection - защита не только от вирусов и червей. Speed Scan Technology - сверхбыстрое сканирование. Rapidly Live Update - обновление антивируса каждый час. Сканирование архивов и почтовых баз. Анализатор кода, обнаруживающий новые вирусы. Простой и удобный интерфейс.
7.10 Symantec Norton Antivirus (США)
Приложение Norton AntiVirus - также очень популярная в настоящее время антивирусная программа. Ее разработчиком является всемирно известная фирма Symantec. По сравнению с программами «Антивирус Касперского Personal» и Dr.Web для отечественного пользователей этот антивирус обладает одним существенным недостаткам - он не поддерживает русский язык. Некоторые пытаются применить к нем различного рода русификаторы, и иногда это приносит определенный успех.
Разработчиками предусмотрены разные конфигурации программы: для домашнего и офисного применения. Средняя стоимость «домашней» версии составляет около $50.
Процесс инсталляции этого антивируса несложен и доступен даже начинающему пользователю. Необходимо учитывать, что после завершения установки требуется перезагрузить компьютер.
Norton Antiviгus имеет приятный и эргономичный интерфейс. По мнению многих пользователей, он намного современнее, чем интерфейсы других аналогичных программ. К несомненным достоинствам программы следует отнести возможность автоматического обновления антивирусных баз без участия пользователя. Разумеется, необходимое условие - наличие действующего подключения к Интернету. В данной программе реализована очень мощная функция проверки электронной почты. При этом поддерживается работа с наиболее популярными почтовыми программами - Outlook Express, Microsoft Outlook, The Ваt! др. Использование Noгton AntiVirus практически полностью исключает возможность приема и отправки электронных сообщений зараженных вирусами. Для запуска процесса сканирования компьютера (или выбранных объектов) предназначена кнопка Scan Now (Сканировать сейчас), которая расположена в правом нижнем углу окна программы.
К недостаткам рассматриваемого антивируса можно отнести то, что процесс сканирования компьютера (или указанных объектов) требует слишком много ресурсов компьютера, в результате чего заметно замедляется его быстродействие или работа вообще становится невозможной. Однако высокое качество сканирования с лихвой компенсирует этот недостаток.
Обнаруженные в процессе сканирования вирусы и зараженные файлы помещаются в специальную папку. После этого пользователь может досконально с ними разобраться и в зависимости от полученного результата удалить файлы или вернуть их на прежнее место.
7.11 Aidstest (Россия)
Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.
Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.
При запуске Aidstest проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" некоторые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Aidstest с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.
Aidstest тестирует свое тело на наличие известных вирусов, а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. При это возможны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.
Недостатки программы Aidstest:
Не распознает полиморфные вирусы;
Не снабжена эвристическим анализатором, позволяющим находить неизвестные ей вирусы;
Не умеет проверять и лечить файлы в архивах;
Не распознает вирусы в программах, обработанных упаковщиками исполнимых файлов типа EXEPACK, DIET, PKLITE и т.д.
Достоинства Aidstest:
Легка в использовании;
Работает очень быстро;
Распознает значительную часть вирусов;
Хорошо интегрирована с программой-ревизором Adinf;
Работает практически на любом компьютере.
7.12 AVSP
Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки). При запуске AVSP появляется система окон с меню и информация о состоянии программы.
Очень удобна контекстная система подсказок , которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"(OS/2) является поддержка мыши.
Существенный недостаток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта. В состав пакета AVSP входит также резидентный драйвер AVSP.SYS , который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы. Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов , правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы.
При первом запуске AVSP следует протестировать систему на наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно указать, что именно проверять (Boot-сектор, память, или файлы).
Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён несколькими вирусами (при этом "старые" вирусы как бы оттесняются в середину "молодым") то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в AVSP качественное тестирование занимает не намного больше времени, чем скоростное. Если в процессе AVSP обнаружит известный вирус, то следует предпринять те же действия, как и при работе с Aidstest и Dr.Web: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной программе лечить Stealth-вирусы. Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некотором файле, а затем попытается удалить вирус.
7.13 ADINF (Россия)
ADinf относится к классу программ-ревизоров. Семейство программ ADinf – это ревизоры дисков, предназначенные для работы на персональных компьютерах под управлением операционных систем MS-DOS, MS-Windows 3.xx, Windows 95/98 и Windows NT/2000. Работа программ основана на регулярном отслеживании изменений, происходящих на жестких дисках. В случае появления вируса, ADinf обнаруживает его по тем модификациям, которые он выполняет в файловой системе и/или загрузочном секторе диска и информирует об этом пользователя. В отличие от антивирусов-сканеров, ADinf не использует в своей работе "портретов" (сигнатур) конкретных вирусов. Поэтому ADinf особенно эффективен для обнаружения новых вирусов, противоядие для которых еще не придумано.
Особенно следует отметить, что для контроля дисков ADinf не использует функции операционной системы. Он читает диск по секторам и самостоятельно разбирает структуру файловой системы, что позволяет ему обнаруживать так называемые вирусы-невидимки (стелс-вирусы).
Полезные свойства ADinf не ограничиваются только лишь борьбой с вирусами. По сути ADinf является системой, позволяющей следить за сохранностью информации на дисках и обнаруживать любые, даже малозаметные изменения в файловой системе, а именно, изменения системных областей, изменения файлов, создание и удаление каталогов, создание, удаление, переименование и перемещение файлов из каталога в каталог. Состав контролируемой информации гибко настраивается, что позволяет ставить под контроль только то, что нужно.
Итак, программа Adinf:
имеет высокую скорость работы;
способна с успехом противостоять вирусам, находящимся в памяти;
позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус;
может обрабатывать до 32000 файлов на каждом диске;
в отличие от AVSP, в котором пользователю приходится самому анализировать, заражена ли машина Stealth-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически;
в отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается;
ADinf имеет хорошо выполненный дружественный интерфейс, который в отличие от AVSP реализован не в текстовом, а в графическом режиме;
при инсталляции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень полезная функция, так как в последнее время появилось множество вирусов, "охотящихся" за антивирусами (например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за ADinf.
8. Основные проблемы антивирусной индустрии
Какие же могут быть проблемы у антивирусных программ, за исключением обычного маркетингового противоборства? Есть вирусы - и есть антивирусы, которые их ловят. И на первый взгляд, антивирус давно стал обычным потребительским товаром, который практически ничем не отличается от конкурирующих продуктов и который покупают либо за более красивый дизайн, либо потому, что данный продукт был удачно разрекламирован, либо по какой-либо еще совсем не технической причине. Т.е. антивирус вроде как давно должен стать тем самым «commodity», продуктом массового потребления, вроде стиральных порошков, зубных щеток или автомобилей.
Основной вопрос - от каких именно компьютерных угроз защищает данное решение и насколько качественна предоставляемая защита.Антивирус должен защищать от всех видов вредоносных программ , и чем он лучше это делает, тем спокойнее живет его пользователь и дольше и крепче спит системный администратор. И кто этого не понимает теоретически, очень скоро осознает всю глубину проблемы практически - когда вдруг куда-то начинают утекать деньги с банковского счета, компьютер сам по себе начинает звонить по каким-то совершенно «левым» телефонным номерам, внезапно и по непонятной причине резко увеличивается исходящий трафик.
Ведь если антивирусный продукт X ловит, предположим, 50% всех современных вирусов, которые в данный момент активны в сети, продукт Y - 90%, а продукт Z - 99,9%, то нетрудно подсчитать вероятность того, в каком случае в результате N атак компьютер останется целым и невредимым или, наоборот, в нем поселится какая-нибудь очередная зараза. Если компьютер был атакован 10 раз, то вероятность «залета» для продукта X практически гарантирована (99,9%), для Y более чем вероятна (65%), а для Z весьма незначительна - всего 1%.
Увы, далеко не все антивирусные продукты, которые можно обнаружить на полках магазинов или в сети, дают защиту, близкую к 100%. Большинство продуктов не гарантирует даже 90%-ный уровень защиты! В этом и заключается основная проблема антивирусных компаний на сегодняшний день.
9. Антивирусная поверка электронной почты
Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства принадлежит электронной почте. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены вирусами.
К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для здоровья компьютера. В чем опасность файлов вложения? В качестве такого файла пользователю могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *.xls), зараженный компьютерным вирусом. Запустив полученную программу на выполнение или открыв для просмотра документ, пользователь может инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем. В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на ваш компьютер – дело времени.
Возможны и другие попытки проникновения на компьютер через электронную почту. Например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое дело.
Помимо чисто административных мер, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).
Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.
Кроме того, эффективность антивирусов очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению.
10. Антивирусы для почтовых серверов
Понимая актуальность проблемы распространения вирусов по электронной почте, многие компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие антивирусы анализируют поток данных, проходящий через почтовый сервер, не допуская передачи сообщений с зараженными файлами вложений. Существует и другое решение – подключение к почтовым серверам обычных антивирусов, предназначенных для проверки файлов.
Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и к тому же включит режим автоматического обновления базы данных через Интернет. Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов – к ним будут приходить сообщения, уже очищенные от вирусов.
Действия, выполняемые почтовыми серверами при отправке и получении зараженных писем, зависят от настройки антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом, защищенный почтовый север SMTP откажет ему в этом, а почтовая программа выведет на экран предупреждающее сообщение.
Если же кто-то пошлет на ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса.
Несмотря на постоянно растущую популярность платформы Microsoft Windows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных UNIX-подобных систем. Основное преимущество Linux – очень низкая стоимость приобретения. Каждый может загрузить через Интернет дистрибутив Linux и установить его на любое количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернета, в том числе и серверы электронной почты.
Среди других преимуществ Linux и подобных ОС следует отметить открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.
Если вирус обнаружен в каком-то из новых файлов и еще не проник в систему, то нет причин для беспокойства: убейте этот файл (или удалите вирус любой антивирусной программой) и спокойно работайте дальше. В случае обнаружения вируса сразу в не скольких файлах на диске или в загрузочном секторе, то проблема становится более сложной.
Хотелось бы обратить особое внимание на термин «ложное срабатывание». Если в каком-либо одном файле, который достаточно долго находится на компьютере, какой-либо один антивирус обнаружил вирус, то это скорее всего ложное срабатывание. По меньшей мере это крайне странно, поскольку такой файл запускался несколько раз, а вирус так и не переполз в другие файлы. Попробуйте проверить файл другими антивирусами. Если они хранят молчание, отправьте этот файл в лабораторию фирмы - производителя антивируса, обнаружившего в нем вирус.
11. Действия при заражении компьютера вирусом
Если же на компьютере действительно найден вирус, то надо сделать следующее.
1. Сразу же выключить питание, чтобы вирус перестал распространяться дальше. Единственное, что можно сделать до выключения питания, - это сохранить результаты текущей работы.
2. Войти в SETUP и включить загрузку с диска А:.
3. Если произошли какие-либо изменения, то необходимо восстановить старые значения.Ни в коем случае не запускать ни одной программы, находящейся на жёстком диске.
4. Необходимо запустить по очереди программы-детекторы.
5. Если программа-детектор обнаружит файловый вирус, то возможны два варианта действий. Если у вас установлена программа-ревизор с лечащем модулем, то восстановление файлов лучше делать с ее помощью. Если такое программы нет, то необходимо воспользоваться для лечения одним из детекторов.
6. После того как все вирусы удалены, необходимо заново перенести операционную систему на жёсткий диск (с помощью команды SYS).
7. Необходимо проверить целостность файловой системы на винчестере (с помощью CHKDSK) и исправить все повреждения.
8. Необходимо ещё раз проверить жёсткий диск на наличие вирусов, если таковых не оказалось, то можно перезагрузиться с винчестера.
9. Необходимо восстановить все необходимые файлы и программы с помощью архива.
10. После того как вирус дезактивирован, вы можете продолжать свою работу. Помимо перечисленных выше пунктов необходимо обращать особое внимание на чистоту модулей, сжатых файлов в архивах (ZIP, ARC, ICE, ARJ и т. д.) и данных в самораспаковывающихся файлах, созданных утилитами типа ZIP2EXE. Если случайно упаковать файл зараженный вирусом, то обнаружение и удаление такого вируса без распаковки файла практически невозможно. В данном случае типичной будет ситуация, при которой все антивирусные программы, неспособные сканировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять.
Штаммы вируса могут проникнуть и в резервные копии ПО при обновлении этих копий причем архивы и резервные копии являются основными поставщиками давно известных вирусов. Вирус может годами сидеть в дистрибутивной копии какого-либо программного продукта и неожиданно проявиться при установке программ на новом компьютере.
Заключение
Несмотря на широкую распространенность антивирусных программ, вирусы продолжают «плодиться». Чтобы справиться с ними, необходимо создавать более универсальные и качественно-новые антивирусные программы, которые будут включать в себя все положительные качества своих предшественников. К сожалению, на данный момент нет такой антивирусной программы, которая гарантировала бы защиту от всех разновидностей вирусов на 100%, но некоторые фирмы, например «Лаборатория Касперского», на сегодняшний день достигли неплохих результатов.
Необходимо следить за тем, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Если к программам подставляются обновления, то необходимо проверить их на «свежесть». Обычно выход новых версий антивирусов анонсируется, поэтому достаточно посетить соответствующие узлы WWW, ftp или BBS.
«Национальность» антивирусов в большинстве случаев не имеет значения, поскольку на сегодняшний день процесс эмиграции вируса в другие страны и иммиграции антивирусных программ ограничивается только скоростью Internet, поэтому как вирусы, так и антивирусы не признают границ.
Список использованной литературы
Антивирусные программы (4)
Реферат >> ИнформатикаХарактеристика антивирусных программ . Антивирусные программы делятся на: программы -детекторы, программы -доктора, программы -ревизоры, программы -фильтры, программы -вакцины. Программы -детекторы обеспечивают...
Антивирусные программы (12)
Курсовая работа >> Информатика12 2.1. Основные группы антивирусных программ 12 2.2. Примеры антивирусных программ 14 Заключение 20 ... 2.2. Примеры антивирусных программ Существует множество антивирусных программ . Рассмотрим наиболее известные из них. Антивирусная программа лаборатории « ...
Донцов Д. Как защитить компьютер от ошибок, вирусов, хакеров. Начали!-Санкт-Петербург: «Питер»,2008
Сычев Ю.Н. Информационная безопасность:учебное пособие,руководство по изучению дисциплины, практикум, тесты, учебная программа.-М.: «АЛЛАНА»,2007
Реферат >> Информатика программа для обнаружения и лечения вредоносных объектов... невозможно обнаружить зашифрованные вирусы. Некоторые антивирусные программы могут значительно понизить быстродействие. ...
Обилие угроз («зараженные» флешки, интернет, локальные сети, неправильно настроенные ОС) привело к необходимости использовать антивирусные программы. Большая часть пользователей предпочитает универсальное решение «все включено», сочетающие в себе полный спектр подпрограмм для сканирования потенциальных источников угроз (почта, сайты, внешние носители и так далее). Но есть и специфичные решения, заточенные только под определенные угрозы.
Существуют следующие виды антивирусных программ
— Antispyware. Популярный на сегодня вид угроз. На сегодня подавляющее количество антивирусных пакетов не классифицирует такое ПО как вредоносное, так как оно является «пограничным». Это привело к появлению целого класса утилит для зачистки системы от шпионского ПО. Кроме того, некоторые антивирусные программы для профессионалов (например AVZ) все же содержат модули определения spyware. Пример пакетов антишпионоского ПО — Search & Destroy, Pestpatrol, Ad-aware.
— Онлайн сканер. Существуют сервисы, позволяющие проверить компьютер, подключенный к интернету на наличие вирусов. Работают посредством технологий ActiveX (тогда работает только в Internet Explorer) или Java. Их основное преимущество — возможность поиска (а у наиболее продвинутых — лечения) зараженных файлов без установки антивирусного пакета. Основной недостаток это типа сервисов — отсутствуют средства профилактики заражения. Вот наиболее известные онлайн сканеры — ESET Online Scanner, Trend Micro HouseCall, Comodo AV Scanner.
— Онлайн сканер «одного файла». Занимается анализом вредоносных, по вашему мнению, файлов. Вы просто загружаете на сервер антивирусной лаборатории выбранный вами объект файловой системы и практически моментально приходит ответ. Время ожидания также зависит от количества программ-эвристиков, которыми проводится проверка, и загрузкой сервера. Это решение идеально подходит для тех ПК, где антивирус не установлен, но надо проверить файлы, принесенные, допустим с соседней машины. К числу наиболее известных можно отнести Dr.Web online check, avast! Online Scanner, VirusTotal, Online malware scan.
— Антивирусы-сканеры без монитора. Занимаются сканированием и очисткой локальных и внешних носителей от вредоносных программ. В отличие от «комбайнов», содержащих в себе целый набор сетевых экранов и эвристиков, не обладают встроенным модулем. За счет этого достигается хорошая производительность. Самые популярные — Cure it, Clam AntiVirus, Norton Security Scan, Microworld.
— Firewall. Программу также можно отнести к разновидностям антивирусов, так как она занимается отражением автоматизированных попыток проникновения в систему. Механизм — блокировка сетевого трафика и обеспечение невидимости ПК в сети (через блокирование ping и других сервисов). Может быть полезна и в случаях уже произошедшего заражения (блокирует исходящие попытки соединения). Наиболее популярен сегодня Outpost Firewall.
ПРОГРАММЫ ОБНАРУЖЕНИЯ И ЗАЩИТЫ ОТ ВИРУСОВ
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ (рис. 11.11):
§ программы-детекторы;
§ программы-доктора или фаги;
§ программы-ревизоры;
§ программы-фильтры;
§ программы-вакцины или иммунизаторы.
Рис. 11.11. Виды антивирусных программ
Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа ADinf фирмы "Диалог-Наука".
Программы-фильтры или "сторожа" представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
§ попытки коррекции файлов с расширениями СОМ и ЕХЕ;
§ изменение атрибутов файлов;
§ прямая запись на диск по абсолютному адресу;
§ запись в загрузочные сектора диска;
При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Антивирусный комплект АО "Диалог-Наука"
Среди обилия современных программных средств борьбы с компьютерными вирусами предпочтение следует отдать антивирусному комплекту АО "Диалог-Наука", в который входят четыре программных продукта: полифаги Aidstest и Doctor Web (сокращенно Dr.Web), ревизор диска ADinf и лечащий блок ADinf Cure Module. Рассмотрим кратко, как и когда надо применять эти антивирусные программы.
Программа-полифаг Aidstest. Aidstest – это программа, которая умеет обнаруживать и уничтожать более 1300 компьютерных вирусов, получивших наиболее широкое распространение в России. Версии Aidstest регулярно обновляются и пополняются информацией о новых вирусах.
Для вызова Aidstest следует ввести команду:
AIDSTEST
где path - имя диска, полное имя или спецификация файла, маска группы файлов:
* – все разделы жесткого диска,
** – все диски, включая сетевые и диски CD ROM;
options - любая комбинация следующих ключей:
/F - исправлять зараженные программы и стирать испорченные;
/G – проверять все файлы подряд (не только СОМ, ЕХЕ и SYS);
/S – медленная работа для поиска испорченных вирусов;
/X – стирать все файлы с нарушениями в структуре вируса;
/Q – спрашивать разрешение на удаление испорченных файлов;
/В – не предлагать обработку следующей дискеты.
Пример 11.27. Aidstest для проверки и "лечения" диска В:. Обнаруженные зараженные программы будут исправлены. Проверке подлежат все файлы диска. Если файл исправить не удастся, то программа будет просить разрешение на его удаление:
aidstest b: /f /g /q
Программа-полифаг Doctor Web. Эта программа предназначена прежде всего для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование Dr. Web для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублирования проверки практически не происходит, так как Aidstest и Dr. Web работают на разных наборах вирусов.
Программа Dr. Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от Aidstest программа Dr. Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая "вакцинное прикрытие". Это достигается благодаря наличию достаточно мощного эвристического анализатора.
В режиме эвристического анализа программа Dr.Web исследует файлы и системные области дисков, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом.
Предусмотрены три уровня эвристического анализа. В режиме эвристического анализа возможны ложные срабатывания, т.е. детектирование файлов, не являющихся зараженными. Уровень "эвристики" подразумевает собой уровень анализа кода без наличия ложных срабатываний. Чем выше уровень "эвристики", тем выше процент наличия ошибок или ложных срабатываний. Рекомендуются первые два уровня работы эвристического анализатора.
Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на "подозрительное" время их создания. Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов. Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на 100 лет.
В комплект поставки антивирусной программы Dr. Web могут входить также файлы-дополнения к основной вирусной базе программы, расширяющие ее возможности.
Работать с программой Dr. Web можно в двух режимах:
§ в режиме полноэкранного интерфейса с использованием меню и диалоговых окон;
§ в режиме управления через командную строку.
Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим. При использовании второго режима соответствующая команда запуска Dr. Web должна быть включена либо в меню пользователя операционной оболочки Norton Commander, либо в специальный командный файл.
Командная строка для запуска Dr. Web выглядит следующим образом:
DrWeb [диск: [путь] ] [ключи]
где диск:
X: - логическое устройство жесткого диска или физическое устройство гибкого диска, например F: или А:,
* - все логические устройства на жестком диске,
путь - это путь или маска требуемых файлов.
Наиболее важные ключи:
/AL - диагностика всех файлов на заданном устройстве;
/CU[P] - "лечение" дисков и файлов, удаление найденных вирусов;
Р - удаление вирусов с подтверждением пользователя;
/DL - удаление файлов, корректное лечение которых невозможно;
/НА[уровень] - эвристический анализ файлов и поиск в них неизвестных вирусов, где уровень
может принимать значения 0, 1, 2;
/RР[имя файла] – запись протокола работы в файл (по умолчанию в файл REPORT.WEB);
/CL - запуск программы в режиме командной строки, при тестировании файлов и
системных областей не используется полноэкранный интерфейс;
/QU - выход в DOS сразу после тестирования;
/? – вывод на экран краткой справки.
Если в командной строке Dr.Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации DRWEB.INI, расположенного в том же каталоге, что и файл DRWEB.EXE. Файл конфигурации создается в процессе работы с программой Dr. Web с помощью команды сохранения параметров, необходимых для тестирования.
Пример 11.28. Запуск антивирусной программы Dr.Web для проверки и лечения диска В:. Обнаруженные зараженные файлы будут "вылечены". Проверке подлежат все файлы диска. Если файл "вылечить" не удастся, то программа будет просить разрешение на его удаление. Для поиска вирусов должен использоваться эвристический уровень анализа 1. Программа должна выполняться только в режиме командной строки с выходом в DOS после завершения тестирования:
DrWeb В: /AL /CUP /HA1 /QU / CL