Не существует программ, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивирусного ПО (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Более того, невозможность существования абсолютного антивируса была математически доказана Фредом Коэном на основе теории конечных автоматов.
В настоящее время рынок антивирусных программ изобилует продуктами, как известных фирм-производителей, так и малоизвестных (возможно, пока). Авторитетнейшее английское издание в области антивирусного ПО Virus Bulletin дает ссылку на 55 компаний-производителей данного ПО. Среди них можно выделить 10 наиболее эффективных, апробированных и распространенных продуктов (в данный «хит-парад» заведомо не включены отечественные антивирусные программы от «Лаборатории Касперского» и «Диалог-Наука»):
- Aladdin Knowledge Systems eSafe v.2.2;
- Command AntiVirus v.4.58.3;
- Computer Associates InoculateIT Personal Edition v.5.2;
- F-Secure Anti-Virus v.5.1;
- Network Associates McAfee VirusScan v.5.0.1;
- Norman Virus Control v.4.72;
- Panda Antivirus Platinum v.6.15.01;
- Sophos Anti-Virus v.3.36;
- Symantec Norton AntiVirus 2001;
- Trend Micro PC-cillin 2000 v.7.51.
- Надежность и удобство работы — отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
- Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (MS Word, Excel, Office97), упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. Для сканеров (см. ниже), как следствие, важной является также периодичность появления новых версий (апдейтов), т.е. скорость настройки сканера на новые вирусы.
- Существование версий антивируса под все популярные платформы (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.), присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий с возможностью администрирования сети.
- Скорость работы и прочие сервисные опции (планировщик, фильтры, встроенная помощь, утилиты и т.п.).
Классификация антивирусных программ
Сканеры
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса.
Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.
Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.
Сканеры также можно разделить на две категории — «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов и трояцев. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
Сканеры также делятся на «резидентные» (мониторы), производящие сканирование «на-лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам — размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов.
CRC-сканеры
Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.
Блокировщики
Антивирусные блокировщики — это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ.
Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера («железа»). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает «ложное срабатывание» защиты.
Иммунизаторы
Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток таких иммунизаторов неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время.
Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример — печально известная строка «MsDos», предохраняющая от ископаемого вируса «Jerusalem»). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.
Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие — 60 секунд. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.
Источник: geum.ru
Основы работы антивирусных программ
Самыми эффективными средствами защиты от вирусов являются специализированные программы, способные распознать и обезвредить вирусы в файлах, письмах и других объектах. Такие программы называются антивирусами, и для того, чтобы обезопасить себя от вредоносных программ, необходимо использовать их обязательно.
В современных антивирусных продуктах используется два основных подхода к обнаружению вирусов:
· Сигнатурные методы — точные методы обнаружения вредоносного кода, основанные на сравнении файла с известными образцами вирусов;
· Проактивные / эвристические методы — приблизительные методы обнаружения, которые позволяют с определенной уверенностью сказать, что файл заражен.
Сигнатурные методы (метод сравнения с эталоном). Принцип работы — это поиск известных вирусов по маске. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает проверяемые файлы в поиске масок известных вирусов.
Антивирусные сканеры способны найти только уже известные вирусы. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить маску, поэтому антивирусные сканеры их не обнаруживают.
Эвристический анализ. Для того чтобы размножаться, компьютерный вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные сектора дисков и дискет на наличие в них кода, характерного для вирусов. Первый эвристический анализатор появился в начале 90-х годов прошлого века. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.
Также надо отметить такие методы как:
· Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находятся антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг отслеживает все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов полученные через Интернет или скопированные на жесткий диск с компакт-диска либо флэш-накопителей.
· Метод обнаружения изменений. При реализации метода обнаружения изменений антивирусные программы, называемые ревизорами диска, запоминают первоначальные характеристики всех областей диска, которые могут подвергнуться нападению, а затем переолически проверяют их. При сопоставлении значений характеристик областей, антивирусная программа может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.
· Встраивание антивирусов в BIOS компьютера. В материнские платы компьютеров тоже встраивают простейшие средства защиты от вредоносного ПО. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков.
Виды антивирусных программ
Различают следующие виды антивирусных программ:
· программы-ревизоры (CRC — сканеры);
Программы-фаги используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. В начале своей работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к лечению файлов.
Программы-ревизоры используют для поиска вирусов метод обнаружения изменений. Принцип работы основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов / системных секторов. Затем в базе данных антивируса сохраняются эти CRC-сумма, а также некоторая другая информация: длины файлов, даты их последней модификации и другие параметры. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
Но даже при высокой эффективности, CRC-сканеры имеют недостаток. Они не могут определить вирус в новых файлах (в электронной почте, на дисках, в файлах, восстановленных из резервных копий или распаковываемых из архива), так как в их базах отсутствует информация об этих файлах.
Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики — это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся запросы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков или MBR (Master Boot Record) жесткого диска, попытки программ остаться в памяти резидентно и т.п., то есть вызовы, характерные для вирусов в момент их размножения.
Программы-иммунизаторы — это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщение о заражении и блокирующие заражение каким-либо типом вируса. Имунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый разз проверяют его на изменение (в настоящие время практичски не используется). Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Этот иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится.
Источник: infopedia.su
BitDefender представил иммунизатор для USB
Бесплатная утилита от известного поставщика антивирусных продуктов призвана защитить съемные диски пользователей и их компьютеры от вредоносного программного обеспечения, которое эксплуатирует функционал автозапуска содержимого.
Когда-то давно иммунизаторы были второй ветвью противовирусных решений наряду с привычными нам сегодня сигнатурными сканерами. Продукты подобного рода боролись с инфекциями, имитируя заражение компьютера; вирус, попадая в систему, определял ее как уже пораженную и не активировал вредоносные процедуры. Однако такая схема требовала выпускать иммунизаторы под каждую отдельную разработку злоумышленников, и с ростом числа угроз этот класс защитных программ постепенно вышел из употребления.
Тем не менее, активный прогресс разнообразных червей, размножающихся при помощи функционала автозапуска с носителей данных, вновь напомнил о забытом подвиде антивирусов: инфекции подобного рода используют для самоактивации файл autorun.inf, помещаемый в корень диска, а, следовательно, со всеми ними можно попробовать побороться посредством иммунизации. Именно так решили поступить эксперты из лаборатории BitDefender.
Разработанный ими продукт — USB Immunizer — ведет борьбу с инфекциями на двух фронтах: во-первых, он защищает съемные устройства от создания вредоносного файла autorun.inf, а, во-вторых, позволяет выключить автозапуск содержимого с USB-накопителей и / или жестких дисков на пользовательском компьютере. Программа невелика по размеру (чуть более мегабайта), проста в применении и бесплатна. Загрузить ее можно здесь.
Оборона Flash-носителей организована следующим образом: после нажатия кнопки «Иммунизация» программа создает в корне выбранного диска папку с именем autorun.inf, содержащую еще несколько файлов и подкаталогов. Все они, включая родительскую, имеют атрибуты «Только для чтения», «Скрытый» и «Системный». Поскольку в одной директории не может быть одновременно файла и папки с одинаковыми именами, то, по задумке создателей, вредоносному программному обеспечению не удастся поместить на USB-накопитель файл autorun.inf, и это исключит автозапуск опасного содержимого. Защита же компьютера от самоактивации нежелательных приложений достигается за счет правки реестра (ключ настройки политик NoDriveTypeAutoRun).
Инициативу BitDefender вполне можно считать хорошей попыткой обезопасить пользователей от вредоносного автозапуска, но вопрос об эффективности утилиты фактически уже сейчас остается открытым: ведь вирусу на инфицированной машине, откровенно говоря, ничто не мешает удалить созданную иммунизатором папку и записать на носитель свой autorun.inf, а содержимое этого файла легко настраивается таким образом, что опасное приложение активируется при открытии съемного диска в Проводнике (чему конфигурация ключа NoDriveTypeAutoRun никак не препятствует).
Источник: www.anti-malware.ru