Вирусные и антивирусные программы
Реферат
по
теме: "ВИРУСНЫЕ И АНТИВИРУСНЫЕ ПРОГРАММЫ"
Содержание
Вступление
.
Вирусы
Определение
вирусов
Пути
проникновения вируса в компьютер
Виды
компьютерных вирусов
«Троянские
кони», программные закладки и сетевые черви
Вирусы вымогатели
2.
Антивирусы
Определение
антивирусов
Виды
антивирусных программ
Методы
антивирусной защиты
Сигнатурные
методы
Эвристические
методы
Дополнительные
методы антивирусной защиты
.
Современные антивирусные программы
Microsoft
Security
Essentials
Norton
360
avast!.Web
NOD32
Заключение
Источники
Вступление
История компьютерных вирусов и антивирусов.
Первые антивирусные программы появились еще
зимой 1984 года (первый вирус для персональных компьютеров Apple появился в
1977 году, и только в 1981 году появились вирусы, представляющие какую-либо
угрозу) под названиями CHK4BOMB и BOMBSQAD. Их написал американский программист
Энди Хопкинс (Andy Hopkins). CHK4BOMB позволяла проанализировать текст
загрузочного модуля и выявить все текстовые сообщения и «подозрительные»
участки кода. Программа BOMBSQAD перехватывала операции записи и
форматирования, выполняемые через BIOS. При выявлении запрещённой операции
можно было разрешить или запретить её выполнение. Компьютерные легенды гласят,
что также в начале 1970-х (предположительно - в 1974г.) на мейнфреймах этого
времени появляется программа, получившая название «Кролик» (Rabbit). Эта
программа клонировала себя, занимала системные ресурсы и таким образом снижала
производительность системы. Достигнув определенного уровня распространения на
зараженной машине «Кролик» нередко вызывал сбой в её работе. Скорее всего
«Кролики» не передавались от системы к системе и являлись сугубо местными
явлениями - ошибками или шалостями системных программистов, обслуживавших
компьютер. Более подробно о развитии вирусов в период 1970 - 2000 годов.
Первый антивирус в современном
понимании этого термина, то есть резидентный, «защищающий» от вирусных атак,
появился в 1985 году. Программа DRPROTECT создана усилиями Джи Вонг (Gee Wong).
Разработка блокировала все операции (запись, форматирование), выполняемые через
BIOS. В случае выявления такой операции программа требовала рестарта системы.
Антивирусные программы до
начала 90-х годов представляли собой, по сути, набор из нескольких десятков
сигнатур (образцов вирусного кода), которые хранились в теле программы.
Предполагалась также процедура поиска этих сигнатур в файлах. Причем зачастую
эти сигнатуры разработчики даже не шифровали. Получалось так, что порой один
антивирус легко мог «найти вирус» в другом. Усложнение ситуации с вирусами
повлекло за собой и усложнение программ, которые были призваны бороться с ними.
Как это обычно бывает, совсем скоро инициатива по разработке и впоследствии
продаже антивирусных программ перешла к большим компаниям, состоящим,
естественно, более чем из одного программиста-энтузиаста. С гордостью стоит
отметить, что в развитии этой индустрии одну из ведущих ролей сыграли
программисты из России.
В 1992 году появилась программа
MtE - генератор полиморфного (постоянно меняющегося) кода, которым мог
воспользоваться не только опытный, но и любой начинающий программист.
Полиморфные вирусы стали появляться каждый день, а всевозможные дополнительные
способы борьбы, такие как усложнение алгоритмических языков сверки кода, - перестали
работать. Спасло ситуацию только появление эмулятора кода. Система «снимала»
зашифрованную часть полиморфного вируса и добиралась до постоянного тела
вируса. Первой антивирусной программой с эмулятором стал AVP Евгения
Касперского
Помимо эмулятора кода,
позволившего антивирусам подстроиться под стремительно набиравшую обороты
«индустрию вирусов», примерно в то же время появились такие системы защиты, как
криптоанализ, статистический анализ, эвристический анализатор и поведенческий
блокиратор. Расписывать, в чем заключается их суть, мы не будем, отметим
только, что на их принципах, заданных уже более 15 лет назад, антивирусы
большей частью «выезжают» до сих пор.
С появлением Windows с присущей
ей многозадачностью и разветвленной системой сложных программ появились новые
требования к производителям антивирусов. Среди них - необходимость проверять
файлы «на лету» (в момент обращения к ним) и хорошая работа с программами,
такими как Microsoft Office. Количество разработчиков антивирусов тогда резко
сократилось ввиду более строгих требований к ним, предъявляемых временем.
Правда, и прибыль их существенно выросла. На широкое распространение Интернета
и следующего за ним по пятам развития вредоносных (шпионских) программ,
маскирующихся под самые обыкновенные, разработчики антивирусного ПО ответили
внедрением «защиты шлюзов, периметра» - файерволов. На данный момент борьба с
вирусами продолжается. Сейчас во всем мире работает около 60 компаний,
разрабатывающих антивирусное ПО.
1. Вирусы
Определение вирусов
Компьютерные вирусы - вредоносные само
распространяющиеся программы; основным признаком компьютерного вируса является
его способность создавать собственные копии (не всегда похожие на оригинал) и
внедрять их в исполняемые объекты (программы, системные области…)
Вредоносный программный код, обычно
замаскированный под что-нибудь привлекательное (например, фотография
популярного спортсмена) или полезное и выполняющий незапланированные либо
нежелательные действия, например повреждение данных.
(Virus - лат.) - вид программ, характеризующихся
способностью скрытого от пользователя саморазмножения для поражения других
программ, компьютеров или сетей.
В общем случае компьютерный вирус - это
небольшая программа, которая приписывает себя в конец исполняемых файлов, драйверов,
или "поселяется" в загрузочном (BOOT) секторе диска. При запуске
заражённых программ и драйверов вначале происходит выполнение вируса, а уже
потом управление передаётся самой программе. Если же вирус
"поселился" в загрузочном секторе, то его активизация происходит в
момент загрузки операционной системы с такого диска. В тот момент, когда
управление принадлежит вирусу, обычно выполняются различные неприятные для
пользователя, но необходимые для продолжения жизни данного вируса действия. Это
нахождение и заражение других программ, порча данных и т. д. Вирус может также
остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера.
После окончания работы вируса управление передаётся заражённой программе,
которая обычно работает "как ни в чём не бывало", маскируя тем самым
наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком
поздно, когда большинство программ уже заражено. В этих случаях потери от
зловредных действий вируса могут быть очень велики. В последнее время появились
так называемые макровирусы. Они передаются вместе с документами, в которых
предусмотрено выполнение макрокоманд (например, документы текстового редактора
Word), отсюда и их название. Макровирусы представляют собой макрокоманды,
которые предписывают переносить тело вируса в другие документы, и, по
возможности, совершать различные вредные действия. Наибольшее распространение в
настоящее время получили макровирусы, заражающие документы текстового редактора
Word и табличного редактора Excel.
Пути проникновения вируса в компьютер
вредоносный антивирусный защита сигнатурный
Основными путями проникновения вирусов в
компьютер являются съемные диски (гибкие и лазерные), а также компьютерные
сети. Заражение жесткого диска вирусами может произойти при загрузке программы
с дискеты, содержащей вирус. Такое заражение может быть и случайным, например,
если дискету не вынули из дисковода А и перезагрузили компьютер, при этом
дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус
может попасть, даже если дискету просто вставили в дисковод зараженного
компьютера и, например, прочитали ее оглавление. Вирус, как правило, внедряется
в рабочую программу таким образом, чтобы при ее запуске управление сначала
передалось ему и только после выполнения всех его команд снова вернулось к
рабочей программе. Получив доступ к управлению, вирус, прежде всего,
переписывает сам себя в другую рабочую программу и заражает ее. После запуска
программы, содержащей вирус, становится возможным заражение других файлов.
Наиболее часто вирусом заражаются загрузочный
сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне
редко заражаются текстовые файлы. После заражения программы вирус может
выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь
внимания. И, наконец, не забывает возвратить управление той программе, из
которой был запущен. Каждое выполнение зараженной программы переносит вирус в
следующую. Таким образом, заразится все программное обеспечение.
Виды компьютерных вирусов
Рекламные программы. Под
рекламными и информационными программами понимаются такие программы, которые,
помимо своей основной функции, также демонстрируют рекламные баннеры и
всевозможные всплывающие окна с рекламой. Такие сообщения с рекламой порой бывает
достаточно нелегко скрыть или отключить.
Такие рекламные программы
основываются при работе на поведение пользователей компьютера и являются
достаточно проблемными по соображениям безопасности системы.
Бэкдоры (Backdoor) Утилиты
скрытого администрирования позволяют, обходя системы защиты, поставить
компьютер установившего пользователя под свой контроль. Программа, которая
работает в невидимом режиме, дает хакеру неограниченные права для управления
системой.
С помощью таких
backdoor-программ можно получить доступ к персональным и личным данным
пользователя. Нередко такие программы используются в целях заражения системы
компьютерными вирусами и для скрытой установки вредоносных программ без ведома
пользователя.
Загрузочные вирусы Нередко
главный загрузочный сектор вашего HDD поражается специальными загрузочными
вирусами.
Вирусы подобного типа заменяют
информацию, которая необходима для беспрепятственного запуска системы. Одно из
последствий действия таковой вредоносной программы это невозможность загрузки
операционной системы...сеть это полноценная сеть в Интернет, которая подлежит
администрированию злоумышленником и состоящая из многих инфицированных
компьютеров, которые взаимодействуют между собой. Контроль над такой сетью
достигается с использованием вирусов или троянов, которые проникают в систему.
При работе, вредоносные программы никак себя не проявляют, ожидая команды со
стороны злоумышленника. Подобные сети применяются для рассылки СПАМ сообщений
или для организации DDoS атак на нужные сервера. Что интересно, пользователи
зараженных компьютеров могут совершенно не догадываться о происходящем в сети.
Эксплойт (дословно брешь в
безопасности) - это такой скрипт или программа, которые используют
специфические дырки и уязвимости ОС или какой-либо программы. Подобным образом
в систему проникают программы, с использованием которых могут быть получены
права доступа администратора.(дословно шутка, ложь, мистификация, шутка, обман)
Уже на протяжении нескольких
лет многие пользователи сети Интернет получают электронные сообщения о вирусах,
которые распространяются якобы посредством e-mail. Подобные предупреждения
массово рассылаются со слезной просьбой отправить их всем контактам из вашего
личного листа.
Ловушки Honeypot (горшочек
меда) - это сетевая служба, которая имеет задачу наблюдать за всей сетью и
фиксировать атаки, при возникновении очага. Простой пользователь совершенно не
догадывается о существовании такой службы. Если же хакер исследует и мониторит
сеть на наличие брешей, то он может воспользоваться услугами, которые
предлагает такая ловушка. При этом будет сделана запись в log-файлы, а также
сработает автоматическая сигнализация.
Вирусы DIR Интересный класс
вирусов, появившийся недавно. Эти вирусы изменяют файловую систему диска очень
хитрым образом. В таблице размещения файлов (FAT) для всех исполняемых файлов
ссылки на начало заменяются ссылками на тело вируса. Адреса же начала файлов в
закодированном виде помещаются в неиспользуемые элементы директории. В
результате, как только вы запускаете любую программу, управление автоматически
получает вирус. Он остаётся в памяти резидентно и при работе восстанавливает
правильные ссылки на начала файлов. Если диск, заражённый вирусом DIR, попадает
на чистый компьютер, считать с него данные, естественно, оказывается
невозможным (читается только один кластер). При попытке протестировать файловую
структуру - скажем Norton Disk Doctor - на экран выдаётся сообщение об огромном
количестве ошибок, но стоит запустить хоть одну программу с заражённого диска,
как файловая система тут же "восстанавливается". На самом же деле
происходит инфицирование ещё одного компьютера.
Макровирусы - это очень
маленькие программы, которые написаны на макроязыке приложений. Такие
программки распространяются только среди тех документов, которые созданы именно
для этого приложения. Для активации таких вредоносных программ необходим запуск
приложения, а также выполнение инфицированного файла-макроса. Отличие от
обычных вирусов макросов в том, что заражение происходит документов приложения,
а не запускаемых файлов приложения.
Фарминг - это скрытая
манипуляция host-файлом браузера для того, чтобы направить пользователя на
фальшивый сайт. Мошенники содержат у себя сервера больших объемов, на таких
серверах хранятся большая база фальшивых интернет-страниц. При манипуляции
host-файлом при помощи трояна или вируса вполне возможно манипулирование
зараженной системой. В результате этого зараженная система будет загружать
только фальшивые сайты, даже в том случае, если Вы правильно введете адрес в
строке браузера.дословно переводится как "выуживание" личной
информации пользователя при нахождении в сети интернет. Злоумышленник при своих
действиях отправляет потенциальной жертве электронное письмо, где указано, что
необходимо выслать личную информацию для подтверждения. Нередко это имя и
фамилия пользователя, необходимые пароли, PIN коды для доступа к счетам
пользователя онлайн. С использованием таких похищенных данных, хакер вполне
может выдать себя за другое лицо и осуществить любые действия от его имени.
Полиморфные вирусы - это
вирусы, использующие маскировку и перевоплощения в работе. В процессе они могут
изменять свой программный код самостоятельно, а поэтому их очень сложно
обнаружить, потому что сигнатура изменяется с течением времени.
Программные вирусы Компьютерный
вирус - это обычная программа, которая обладает самостоятельно прикрепляться к
другим работающим программам, таким образом, поражая их работу. Вирусы
самостоятельно распространяют свои копии, это значительно отличает их от
троянских программ. Также отличие вируса от червя в том, что для работы вирусу
нужна программа, к которой он может приписать свой код.
Руткит - это определенный набор
программных средств, который скрыто устанавливается в систему пользователя,
обеспечивая при этом сокрытие личного логина киберпреступника и различных
процессов, при этом делая копии данных.
Скрипт-вирусы и черви Такие
виды компьютерных вирусов достаточно просты для написания и распространяются в
основном посредством электронной почты. Скриптовые вирусы используют скриптовые
языки для работы чтобы добавлять себя к новым созданным скриптам или
распространяться через функции операционной сети. Нередко заражение происходит
по e-mail или в результате обмена файлами между пользователями. Червь это
программа, которая размножается самостоятельно, но которая инфицирует при этом
другие программы. Черви при размножении не могут стать частью других программ,
что отличает их от обычных видов компьютерных вирусов.
Шпионское ПО Шпионы могут
переслать личные данные пользователя без его ведома третьим лицам. Шпионские
программы при этом анализируют поведение пользователя в сети Интернет, а также,
основываясь на собранных данных, демонстрируют пользователю рекламу или pop-up
(всплывающие окна), которые непременно заинтересуют пользователя.
Троянские программы это
программы, которые должны выполнять определенные полезные функции, но после
запуска таких программ выполняются действия другого характера (разрушительные).
Трояны не могут размножаться самостоятельно, и это основное их отличие их от
компьютерных вирусов. Если произошло заражение, можете прочесть статью как
удалить троян.
Зомби - это инфицированный
компьютер, который инфицирован вредоносными программами. Такой компьютер
позволяет хакерам удаленно администрировать систему и с помощью этого совершать
различные нужные действия (DoS атаку, рассылка спама и т.п.).
«Троянские кони», программные закладки и сетевые
черви
«Троянский конь» - это программа, содержащая в
себе некоторую разрушающую функцию, которая активизируется при наступлении
некоторого условия срабатывания. Обычно такие программы маскируются под
какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или
"троянизировать" другие программы - вносить в них разрушающие
функции. «Троянские кони» представляют собой программы, реализующие помимо
функций, описанных в документации, и некоторые другие функции, связанные с
нарушением безопасности и деструктивными действиями. Отмечены случаи создания
таких программ с целью облегчения распространения вирусов. Списки таких
программ широко публикуются в зарубежной печати. Обычно они маскируются под
игровые или развлекательные программы. Программные закладки также содержат
некоторую функцию, наносящую ущерб вычислительной системе, но эта функция,
наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не
будет вызывать подозрений, тем дольше закладка сможет работать. Если вирусы и
«Троянские кони» наносят ущерб посредством лавинообразного саморазмножения или
явного разрушения, то основная функция вирусов типа "червь",
действующих в компьютерных сетях, - взлом атакуемой системы, т.е. преодоление
защиты с целью нарушения безопасности и целостности. В более 80% компьютерных
преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую
систему через глобальную сеть Internet. Когда такая попытка удается, будущее
компании, на создание которой ушли годы, может быть поставлено под угрозу за
какие-то секунды. Этот процесс может быть автоматизирован с помощью вируса,
называемого сетевой червь. Червями называют вирусы, которые распространяются по
глобальным сетям, поражая целые системы, а не отдельные программы. Это самый
опасный вид вирусов, так как объектами нападения в этом случае становятся
информационные системы государственного масштаба. С появлением глобальной сети
Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к.
ему в любой момент может подвергнуться любой из миллионов компьютеров,
подключенных к этой сети.
Вирусы вымогатели
В России набирает обороты
эпидемия компьютерных вирусов семейства Trojan.Winlock. "В январе 2010
года количество россиян, пострадавших от вредоносных программ, требующих за
разблокировку Windows отправить платное SMS-сообщение, составило несколько
миллионов", - сообщает российский разработчик средств информационной
безопасности компания "Доктор Веб".
Первые модификации
Trojan.Winlock не представляли серьезной угрозы. В частности, вирусы
автоматически удалялись с компьютера через несколько часов после установки, не запускались
в безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали
отправить авторы "троянца", была не столь высокой, как сейчас (в
среднем около 10 рублей в сравнении с 300-600 рублями).
С ноября 2009 года эта схема
отъема денег пользуется все большим успехом у злоумышленников - новые
модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о
блокировке Windows, которое выскакивает поверх всех окон и делает невозможным
нормальную работу на компьютере, вирусописатели требуют гораздо больше денег.
"Троянцы" уже не удаляются автоматически из системы через некоторое
время, но приобретают дополнительный функционал. В частности, они препятствуют
запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов,
утилит для сбора информации, которая может помочь в лечении
системы).Вредоносные программы семейства Trojan.Winlock распространяются через
"бреши" в Windows (в частности Internet Explorer), вредоносные сайты
(скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают
установку какой-либо вредоносной программы на зараженном компьютере).Только за
январь число пострадавших в России от блокировщиков Windows составило несколько
миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения -
300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО
только в первом месяце 2010 года составили сотни миллионов рублей.
2. Антивирусы
Определение антивирусов
Виды антивирусных программ
Для обнаружения, удаления и защиты от
компьютерных вирусов разработано несколько видов специальных программ, которые
позволяют обнаруживать и уничтожать вирусы. Такие программы называются
антивирусными.
Различают следующие виды антивирусных программ:
.Программы-детекторы осуществляют поиск
характерной для конкретного вируса последовательности байтов (сигнатуры вируса)
в оперативной памяти и в файлах и при обнаружении выдают соответствующее
сообщение.
.Программы-доктора или фаги, а также
программы-вакцины не только находят зараженные вирусами файлы, но и
"лечат" их, т.е. удаляют из файла тело программы вируса, возвращая
файлы в исходное состояние. Среди фагов выделяют полифаги, т.е.
программы-доктора, предназначенные для поиска и уничтожения большого количества
вирусов. Наиболее известными полифагами являются программы Aidstest, Scan,
Norton AntiVirus и Doctor Web.
.Программы-ревизоры запоминают исходное
состояние программ, каталогов и системных областей диска тогда, когда компьютер
не заражен вирусом, а затем периодически или по желанию пользователя сравнивают
текущее состояние с исходным.
.Программы-фильтры или "сторожа"
представляют собой небольшие резидентные программы, предназначенные для
обнаружения подозрительных действий при работе компьютера, характерных для
вирусов.
При попытке какой-либо программы произвести
указанные действия "сторож" посылает пользователю сообщение и
предлагает запретить или разрешить соответствующее действие.
.Вакцины или иммунизаторы - это резидентные
программы, предотвращающие заражение файлов. Вакцина модифицирует программу или
диск таким образом, чтобы это не отражалось на их работе, а вирус будет
воспринимать их зараженными и поэтому не внедрится. В настоящее время
программы-вакцины имеют ограниченное применение.
Методы антивирусной защиты
Основным средством борьбы с вирусами были и
остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы),
не имея представления о том, как они устроены.
Однако без понимания принципов устройства
антивирусов, знания типов вирусов, а также способов их распространения, нельзя
организовать надежную защиту компьютера.
Как результат, компьютер может быть заражен,
даже если на нем установлены антивирусы.
Из всех методов антивирусной защиты можно
выделить две основные группы:
. Сигнатурные методы - точные методы обнаружения
вирусов, основанные на сравнении файла с известными образцами вирусов
. Эвристические методы - приблизительные методы
обнаружения, которые позволяют с определенной вероятностью предположить, что
файл заражен
Сигнатурные методы
Слово сигнатура в данном случае является калькой
на английское signature, означающее "подпись" или же в переносном
смысле "характерная черта, нечто идентифицирующее". Собственно, этим
все сказано. Сигнатурный анализ заключается в выявлении характерных
идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с
выявленными чертами.
Сигнатурой вируса будет считаться совокупность
черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая
случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных
вирусов составляют антивирусную базу.
Задачу выделения сигнатур, как правило, решают
люди - эксперты в области компьютерной вирусологии, способные выделить код
вируса из кода программы и сформулировать его характерные черты в форме,
наиболее удобной для поиска. Как правило - потому что в наиболее простых
случаях могут применяться специальные автоматизированные средства выделения
сигнатур. Например, в случае несложных по структуре троянов или червей, которые
не заражают другие программы, а целиком являются вредоносными программами.
Практически в каждой компании, выпускающей
антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и
пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные
базы в разных антивирусах отличаются. Тем не менее, между антивирусными
компаниями существует договоренность об обмене образцами вирусов, а значит рано
или поздно сигнатура нового вируса попадает в антивирусные базы практически
всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура
нового вируса была выпущена раньше всех.
Одно из распространенных заблуждений насчет
сигнатур заключается в том, каждая сигнатура соответствует ровно одному вирусу
или вредоносной программе. И как следствие, антивирусная база с большим
количеством сигнатур позволяет обнаруживать больше вирусов. На самом деле это
не так. Очень часто для обнаружения семейства похожих вирусов используется одна
сигнатура, и поэтому считать, что количество сигнатур равно количеству
обнаруживаемых вирусов, уже нельзя.
Соотношение количества сигнатур и количества
известных вирусов для каждой антивирусной базы свое и вполне может оказаться,
что база с меньшим количеством сигнатур в действительности содержит информацию
о большем количестве вирусов. Если же вспомнить, что антивирусные компании
обмениваются образцами вирусов, можно с высокой долей уверенности считать, что
антивирусные базы наиболее известных антивирусов эквивалентны.
Важное дополнительное свойство сигнатур - точное
и гарантированное определение типа вируса. Это свойство позволяет занести в
базу не только сами сигнатуры, но и способы лечения вируса. Если бы сигнатурный
анализ давал только ответ на вопрос, есть вирус или нет, но не давал ответа,
что это за вирус, очевидно, лечение было бы не возможно - слишком большим был
бы риск совершить не те действия и вместо лечения получить дополнительные
потери информации.
Другое важное, но уже отрицательное свойство -
для получения сигнатуры необходимо иметь образец вируса. Следовательно,
сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор,
пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно.
Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами. С
момента появления вируса в сети Интернет до выпуска первых сигнатур обычно
проходит несколько часов, и все это время вирус способен заражать компьютеры
почти беспрепятственно. Почти - потому что в защите от новых вирусов помогают
дополнительные средства защиты, например: эвристические методы, используемые в
антивирусных программах.
Эвристические методы
Слово "эвристика" происходит от
греческого глагола "находить". Суть эвристических методов состоит в
том, что решение проблемы основывается на некоторых правдоподобных
предположениях, а не на строгих выводах из имеющихся фактов и предпосылок.
Поскольку такое определение звучит достаточно сложно и непонятно, проще
объяснить на примерах различных эвристических методов.
Сканер McAffee
VirusScan проверяет диск
Если сигнатурный метод основан на выделении
характерных признаков вируса и поиске этих признаков в проверяемых файлах, то
эвристический анализ основывается на (весьма правдоподобном) предположении, что
новые вирусы часто оказываются похожи на какие-либо из уже известных.
Постфактум такое предположение оправдывается наличием в антивирусных базах
сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на
таком предположении эвристический метод заключается в поиске файлов, которые не
полностью, но очень близко соответствуют сигнатурам известных вирусов.
Положительным эффектом от использования этого
метода является возможность обнаружить новые вирусы еще до того, как для них
будут выделены сигнатуры. Отрицательные стороны:
Вероятность ошибочно определить наличие в файле
вируса, когда на самом деле файл чист - такие события называются ложными
срабатываниями
Невозможность лечения - и в силу возможных
ложных срабатываний, и в силу возможного неточного определения типа вируса,
попытка лечения может привести к большим потерям информации, чем сам вирус, а
это недопустимо
Низкая эффективность - против действительно
новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид
эвристического анализа малопригоден
Поиск вирусов, выполняющих подозрительные
действия
Другой метод, основанный на эвристике, исходит
из предположения, что вредоносные программы так или иначе стремятся нанести
вред компьютеру. Метод основан на выделении основных вредоносных действий,
таких как, например:
Удаление файла.
Запись в файл.
Запись в определенные области системного
реестра.
Открытие порта на прослушивание.
Перехват данных вводимых с клавиатуры.
Рассылка писем. - И др.
Понятно, что выполнение каждого такого действия
по отдельности не является поводом считать программу вредоносной. Но если
программа последовательно выполняет несколько таких действий, например,
записывает запуск себя же в ключ автозапуска системного реестра, перехватывает
данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на
какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна.
Основанный на этом принципе эвристический анализатор должен постоянно следить
за действиями, которые выполняют программы.
Преимуществом описанного метода является
возможность обнаруживать неизвестные ранее вредоносные программы, даже если они
не очень похожи на уже известные. Например, новая вредоносная программа может
использовать для проникновения на компьютер новую уязвимость, но после этого
начинает выполнять уже привычные вредоносные действия. Такую программу может
пропустить эвристический анализатор первого типа, но вполне может обнаружить
анализатор второго типа.
Отрицательные черты те же, что и раньше:
Ложные срабатывания.
Невозможность лечения.
Невысокая эффективность.
Дополнительные методы антивирусной защиты
. Модуль обновления - в первую очередь, каждый антивирус
должен содержать модуль обновления. Это связано с тем, что основным методом
обнаружения вирусов сегодня является сигнатурный анализ, который полагается на
использование антивирусной базы. Для того чтобы сигнатурный анализ эффективно
справлялся с самыми последними вирусами, антивирусные эксперты постоянно
анализируют образцы новых вирусов и выпускают для них сигнатуры. Затем
обновляется антивирусная база.
. Модуль планирования - второй важный
вспомогательный модуль - это модуль планирования. Существует ряд действий,
которые антивирус должен выполнять регулярно: в частности, проверять весь
компьютер на наличие вирусов и обновлять антивирусную базу. Модуль планирования
как раз и позволяет настроить периодичность выполнения этих действий.
. Модуль управления - по мере увеличения
количества модулей в антивирусе возникает необходимость в дополнительном модуле
для управления и настройки. В простейшем случае - это общий интерфейсный
модуль, при помощи которого можно в удобной форме получить доступ к наиболее
важным функциям: - Настройке параметров антивирусных модулей. - Настройке
обновлений.
Настройке периодического запуска обновления и
проверки.
Запуску модулей вручную, по требованию
пользователя.
Отчетам о проверке.
Другим функциям, в зависимости от конкретного
антивируса.
. Карантин - Среди прочих вспомогательных
средств во многих антивирусах есть специальные технологии, которые защищают от
возможной потери данных в результате действий антивируса.
Например, легко представить ситуацию, при
которой файл детектируется как возможно зараженный эвристическим анализатором и
удаляется согласно настройкам антивируса. Однако эвристический анализатор
никогда не дает стопроцентной гарантии того, что файл действительно заражен, а
значит с определенной вероятностью антивирус мог удалить незараженный файл.
Или же антивирус обнаруживает важный документ
зараженный вирусом и пытается согласно настройкам выполнить лечение, но по
каким-то причинам происходит сбой и вместе с вылеченным вирусом теряется важная
информация. Разумеется, от таких случаев желательно застраховаться. Проще всего
это сделать, если перед лечением или удалением файлов сохранить их резервные
копии, тогда если окажется, что файл был удален ошибочно или была потеряна
важная информация, всегда можно будет выполнить восстановление из резервной
копии. 5. И другие.
. Современные антивирусные программы
Антивирус - по сути, является антивирусной
программой, устанавливаемой в систему, предназначение которой, выявление и
блокирование программ-вирусов или другого вредоносного программного
обеспечения. В отличие от антивирусных сканеров, данный тип ПО, может являться
основной защитой на вашем ПК. Также современные антивирусы в некоторых случаях
выполняют действия по излечению, то есть восстановлению измененных или инфицированных
файлов программами - вирусами. Антивирус может выполнять профилактическую
функцию, защищая файлы от модификации, таким образом, снижая риск заражения
отдельных файлов или всей системы. Большинство современных антивирусных
программы состоят из компонентов, модулей, каждый из которых выполняет свою
задачу.
Microsoft
Security
Essentials
Security Essentials - полноценная бесплатная
программа для защиты вашего компьютера от вирусов и шпионского программного
обеспечения и другого вредоносного ПО. Компания Майкрософт предоставляет
возможность скачать бесплатно и пользоваться этим антивирусным продуктом
совершенно бесплатно, без каких либо ограничений. Антивирус отличается
простотой использования, не требовательностью к системным ресурсам.
360
Internet Security - защитит Ваш компьютер от
любых угроз исходящих из Интернета. Предоставленный вариант продукта имеет
великолепные показатели, усовершенствованную функцию защиты, поддерживающие
высокую производительность компьютера, Версия любезно предоставляется авторами
бесплатно на 90 дней.
Антивирус
Антируткит
Профессиональный антиспам
Защита от ботов
Norton File InsightSafe Web
"Умный"
фаерволSystem
Insight
Импульсные обновленияInsight
Network
Мониторинг сети
Download
Insight
Антишпион
Родительский контроль
Защита идентификационных данных
Защита от уязвимостей
Аvast
Аvast! Free
Antivirus (ранее avast! Home
Edition) - популярный бесплатный антивирус специально разработанный для
широкого использования на домашних компьютерах. Установивший его пользователь,
получает полную защиту от вирусов и шпионских программ в режиме реального
времени.
Среди других, наиболее важных возможностей
avast! Free Antivirus - сканер избранных файлов, модуль проверки электронной
почты, сканирование при загрузке, экран P2P, экран интернет-чатов... Есть в
этом антивирусе и «карантин» для изоляции и хранения подозрительных объектов.
Простой интерфейс avast! Free Antivirus обеспечивает быстрый доступ к настройке
всех его параметров, применяемых для более точного и персонализированного
сканирования.
Основные характеристики avast! Free Antivirus:
Высокий уровень обнаружения вирусов, троянов,
червей, веб-руткитов и шпионских программ.
Эвристический движок avast! Free Antivirus
способный выявлять вредоносные программы, которые невозможно определить
обыкновенными средствами.
Резидентный (в режиме реального времени),
загрузочный и обычный сканеры. Сканирование архивов. Планировщик сканирования.
Проверка входной и выходной электронной почты,
пиринговых (P2P) соединений, сообщений интернет-мессенджеров. Экран поведения.
Глубокая интеграция в систему. Любой файл можно
проверить непосредственно из Проводника Windows, щелкнув по нему правой кнопкой
мыши и выбрав надпись «Сканировать...».
Карантин avast! изолированный от операционной
системы, которая обеспечивает большую безопасность работы. Ни один файл,
сохраняемый в карантине не может быть запущен.
Игровой режим. Автоматическое обнаружения
программ работающих в режиме полного экрана, и отключение всплывающих
сообщений.
Небольшие по размеру автоматические или
запланированные обновления вирусных баз. Возможность «ручного» обновления.
Anti-Virus Free Edition - популярный антивирус,
бесплатный для домашнего использования. Гарантированные производителем быстрые
обновления вирусной базы данных, простота использования, низкие системные
требования - основные преимущества этого антивируса.
От платной версии AVG Anti-Virus Free отличает
отсутствие нескольких некритических функций и прямой технической поддержки. AVG
Anti-Virus Free Edition включает следующие компоненты: сканер, монитор, сканер
электронной почты, систему автоматического обновления антивирусной базы.
Основные характеристики AVG Anti-Virus Free:
Автоматические обновления на все время
пользования антивирусом.
AVG Resident Shield проводит сканирование файлов
во время их открытия и программ при их запуске.
AVG E-mail Scanner проверяет всю вашу
электронную почту.
AVG On-Demand Scanner позволяет пользователю
сканировать компьютер на наличие вирусов, как по расписанию так и вручную.
Заботливое обращение с инфицированными файлами
(может лечить зараженные вирусами файлы).
Internet Security - комплексный Антивирус
Касперского с гибридными технологиями защиты и оптимизированной
производительностью для эффективной защиты с высоким быстродействием.
Отечественный антивирус от компании "Лаборатория Касперского". Имеет
огромную функциональность для обеспечения безопасности компьютера. Распознает
новейшие вирусы, обновления для него выходят каждый час. Отлично справляется с
активным заражением. Изо всех рассматриваемых антивирусов имеет наибольшие
требования к системным ресурсам. Защищает от всех видов вредоносных программ,
сетевых атак, онлайн-угроз. Включает передовую защиту для безопасного
Интернет-банкинга и онлайн-платежей.
Основные компоненты Kaspersky Internet Security:
Файловый антивирус
Контроль программ
Защита от сетевых атакантивирус
Почтовый антивирус
Сетевой экран
Веб-антивирус
Безопасный поиск
Мониторинг активности
Анти-спам
Анти-баннер
Безопасные платежи
Kaspersky Security NetworkRescue
Disk
Виртуальная клавиатура
Безопасный ввод данных
Родительский контроль
Поиск уязвимостей
Восстановление после заражения
.Web
Ещё один антивирус русской сборки. Отлично
справляется с вирусами и троянами, в частности с активным заражением. Один из
лучших антивирусов, защищающий свои файлы от модифицирования и проникновения в
них вредоносного кода (самозащита). Защита от вирусов, шпионского и рекламного
ПО, хакерских атак и утечек информации. Достаточно функционален, но при этом
чтобы получить от него больше пользы, нужно знать как с ним работать. Плохо
распознает новейшие вирусы.
Особенности антивируса Dr.Web:
Лучшее в отрасли лечение
активных заражений.
Возможность установки прямо на
зараженную машину.
Высокая скорость сканирования
благодаря использованию возможностей многопроцессорных систем.
Уникальная технология
блокировки даже еще не известных угроз.
Полная проверка архивов любого
уровня вложенности.
Лучшее детектирование и
нейтрализация сложных вирусов.
Защита от несанкционированного
доступа извне, предотвращение утечек важных данных, блокировка подозрительных
соединений на уровне пакетов и приложений.
ESET NOD32
- одна из самых эффективных антивирусных
программ на сегодняшний день, которая обеспечивает максимальную защиту от
различных угроз, которым во время работы в сети подвергается ваш компьютер.
Антивирус от Словакской компании ESET. Основные преимущества - это быстрая
работа и минимальная требовательность к ресурсам системы, благодаря этому
быстро сканирует компьютер на наличие вирусов. Не умеет справляться с активными
вирусами. Антивирус NOD32 даст полноценный отпор троянам, червям, вирусам и
шпионским программам.
Главные функции антивируса:
Защита настроек программы
Сканирование системы при запуске
Проверка USB
Автоматическое обновление
Режим экономии энергии
Удобный пользовательский интерфейс
Статистика использования антивирусов
(2010 - 2011гг.)
США
Согласно данным OPSWAT, ситуации на рынке
средств защиты от вредоносных программ и других угроз в США:
компания Symantec - 16.24%;
продукты компании Avast - 12.1%;
продукты компаний Microsoft - 10.4 %.
В остальном мире
Согласно результатам "опроса",
доминирующие позиции занимают бесплатные антивирусные решения. На них
приходится более 40% инсталляционной базы. Наиболее популярные решения продукты
компаний:- 16.2 %;- 13.2 %;- 11.5 %.
Однако коммерческие аналоги не спешат сдавать
позиции, и следом идут продукты таких компаний:
компания ESET - 10.3%,- (9.5%);
Лаборатории Касперского - 8.2%.
Результаты аналогичного исследования компании
Gfk
В результате исследования выяснилось, что
российский пользователь больше доверяет защиту своих компьютеров коммерческим
антивирусным решениям, таким как:
Лаборатория Касперского - 41%;- 32%;- 27%.
Заключение
Моё личное мнение построенное на собственном
опыте.
Я считаю что лучшими антивирусами являются:
Платные: 1. Антивирус Касперского
Dr.Web
Бесплатные:1. AVG
Относительно Касперского, я сам им пользуюсь и
он меня никогда не подводил. Однако у него есть значительный минус для слабых
компьютеров, заключающийся в большом потреблении системных ресурсов..Web,
потребляет гораздо меньше системных ресурсов. Но у него имеется собственный
минус заключающийся в том, что он "не очень то" приспособлен для
базовых пользователей. А также имеет пробоины в защите.очень хороший и
бесплатный антивирус. Им я тоже пользовался, некоторое время. Потребляет мало
системных ресурсов и работает достаточно быстро.
Источники
1.
http://hi-tech.mail.ru/prosto7/articles/antivirus.html
.
http://antivirusafrees.ru/page/vidy-computernih-virusov
.
http://antivibest.ru/page/vidy-computer-virus
.
http://chatlandia.burkovsait.ru/banvirus
.
http://compsam.ru/uroki/virus-i-antivirus.html
.
http://ru.wikipedia.org/
.
http: //www.wikiznanie.ru /b/index.php/Антивирусное программное обеспечение
.
http://www.coolreferat.com/Антивирусные_программы_6
.
http://www.frolov-lib.ru/antivirus/articles/mir_pk2/index.html
.
http://chamber6.mybb.ru/viewtopic.php?id=469