Классификация антивирусных программ

^{Хотя  антивирусные программы, созданные на основе поиска сигнатур, при  обычных обстоятельствах  могут достаточно эффективно препятствовать заражению компьютеров, авторы вирусов стараются обойти такие антивирусы, создавая «олигоморфические», «полиморфические» и «метаморфические» вирусы, отдельные части которых шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с записью в сигнатуре.[8]}

^{Метод обнаружения странного  поведения программ}

^{Основная  статья: Обнаружение  аномалий}

^{Антивирусы, использующие метод  обнаружения подозрительного  поведения программ не пытаются идентифицировать известные вирусы, вместо этого они  прослеживают поведение всех программ. Если программа пытается выполнить какие-либо подозрительные с точки зрения антивирусной программы действия, то такая активность будет заблокирована, или же антивирус может предупредить пользователя о потенциально опасных действиях такой программы.}

^{В настоящее  время подобные превентивные методы обнаружения  вредоносного кода, в том или ином виде, широко применяются  в качестве модуля антивирусной программы, а не отдельного продукта[9].}

^{В отличие  от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Но вместе с тем, такой метод даёт большое количество ложных срабатываний, выявляя подозрительную активность среди не вредоносных программ. Некоторые программы или модули, построенные на этом методе, могут выдавать слишком большое количество предупреждений, что может запутать пользователя.[9]}

^{Метод обнаружения при  помощи эмуляции}

^{Основная  статья: Обнаружение, основанное на эмуляции}

^{Некоторые программы-антивирусы пытаются имитировать  начало выполнения кода каждой новой вызываемой на исполнение программы  перед тем как  передать ей управление. Если программа использует самоизменяющийся код  или проявляет  вирусную активность, такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.}

^{Метод «Белого списка»}

^{Общая технология по борьбе с вредоносными программами  — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».}

^{Эвристический анализ}

^{Основная  статья: Эвристическое  сканирование}

^{В целом  термином «эвристический анализ» сегодня  называют совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов[10].}

^{Эвристическое сканирование в целом  схоже с сигнатурным, однако, в отличие  от него, ищется не точное совпадение с записью в сигнатуре, а допускается расхождение. Таким образом становится возможным обнаружить разновидность ранее известного вируса без необходимости обновления сигнатур. Также антивирус может использовать универсальные эвристические сигнатуры, в которых заложен общий вид вредоносной программы[10]. В таком случае антивирусная программа может лишь классифицировать вирус, но не дать точного названия.}

^HIPS

^{Основная  статья: HIPS}

^{HIPS — система мониторинга  всех приложений, работающих в системе, с чётким разделением прав для разных приложений. Таким образом HIPS может предотвратить деструктивную деятельность вируса, не дав ему необходимых прав. Приложения делятся на группы, начиная от «Доверенных», права которых не ограничены, заканчивая «Заблокированными», которым HIPS не даст прав даже на запуск.[11][12]}

^{Недостатки}

^{Ни  одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов[5].}

^{Антивирусная  программа забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск. Особенно это может быть заметно на слабых компьютерах. Замедление в фоновом режиме работы может достигать 380 %[13].}

^{Антивирусные  программы могут  видеть угрозу там, где  её нет (ложные срабатывания)[14].}

^{Антивирусные  программы загружают обновления из Интернета, тем самым расходуя трафик.}

^{Различные методы шифрования и  упаковки вредоносных  программ делают даже известные вирусы не обнаруживаемыми  антивирусным программным  обеспечением. Для  обнаружения этих «замаскированных»  вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.[8]}

^{Классификация антивирусов}

^{По  набору функций и  гибкости настроек антивирусы можно разделить  на[15]:}

^{Продукты  для домашних пользователей:}

^{Собственно  антивирусы;}

^{Комбинированные продукты (например, к классическому  антивирусу добавлен антиспам, файрвол, антируткит и т. д.);}

^{Корпоративные продукты:}

^{Серверные антивирусы;}

^{Антивирусы  на рабочих станциях («endpoint»);}

^{Антивирусы  для почтовых серверов;}

^{Антивирусы  для шлюзов.}

^{Ложные  антивирусы (лже-антивирусы)}

^{В 2009 году различные производители  антивирусов стали  сообщать о широком  распространении нового типа программ — ложных или лже-антивирусов (rogueware).[16] По сути эти программы или вовсе не являются антивирусами (то есть не способны бороться с вредоносным ПО), или даже являются вирусами (воруют данные кредитных карт и т. п.)[17].}

^{Ложные  антивирусы используются для вымогательства денег у пользователей  путём обмана. Один из способов заражения  ПК ложным антивирусом  следующий[17]. Пользователь попадает на «инфицированный» сайт, который выдаёт ему предупреждающее  сообщение вроде  «На вашем компьютере обнаружен вирус» и предлагает скачать бесплатную программу для удаления вируса. После установки такая программа производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $10 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.}

^{Антивирусные  программы предназначены  для предотвращения заражения компьютера вирусом и ликвидации последствий заражения. В зависимости от назначения и принципа действия различают следующие антивирусные программы:}

^{- сторожа  или детекторы  – предназначены  для обнаружения  файлов зараженных  известными вирусами, или признаков  указывающих на  возможность заражения.}

^{- доктора  – предназначены  для обнаружения  и устранения известных  им вирусов, удаляя  их из тела программы  и возвращая ее  в исходное состояние.  Наиболее известными  представителями  являются Dr.Web, AidsTest, Norton Anti Virus.}

^{- ревизоры  – они контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю.}

^{- резидентные  мониторы или фильтры  – постоянно находятся  в памяти компьютера  для обнаружения попыток выполнить несанкционированные действия.  В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций.}

 

^{- вакцины  – имитируют заражение  файлов вирусами. Вирус будет воспринимать  их зараженными  и не будет внедряться.}

^{Чаще  всего используются Aidstest Лозинского, Drweb, Dr.Solomon.}

^{Полезные  советы:}

^{1.     Применение комплекса  антивирусных программ}

^{2.     Необходимо периодическое  обновление антивирусных  программ}

^{3.     Проверка информации  поступающей из  вне.}

^{4.     Периодическая проверка  всего компьютера.}

^{5.     Осторожность с  незнакомыми файлами.  Их действия могут  не соответствовать  названию.}

^{Определенным  недостатком всех антивирусных пакетов  является то, что  они сильно загружают  систему при работе. Это может проявляться в замедлении работы компьютера, в особенности, если часть модулей активизируются по умолчанию. Избежать большой загрузки процессора и оперативной памяти поможет отключение ряда не слишком необходимых функций сложных мониторингов, оставляя лишь самые простые (например, антивирусный монитор).}

^{Наряду  с классическими  методами борьбы с  вирусами появляются инновациионные методы. К примеру, ряд  фирм предлагают проверку на вирусы через Интернет, так называемых, «электронных больницах». Из числа  последних можно выделить McAfee Clinic. Технология работы следующая. Компьютер пользователя через Интернет проводит программный модуль ActiveX, который берет сигнатуры со специального сайта. В России также оказываются подобные услуги, но в этом случае следует направить зараженный файл или сектор начальной загрузки на сервер компании-производителя антивирусного продукта.}

^{Среди антивирусных программных  продуктов можно  отметить, прежде всего, пакеты: Norton Antivirus (Symantec), Vims Scan (McAfee), Dr.Solomon AV Toolkit (S&S IntL), AntiVirus (IBM), InocuLAN (Computer Associates) и AntiViral Toolkit Pro (Лаборатория Касперского).}

^{По  проведенным специалистами  исследованиям антивирусных сканеров и резидентных  перехватчиков (мониторов) для ОС Windows NT (Windows 2000), были определены лучшие программные продукты. Ими оказались AVP («Лаборатория Касперского»), NAI McAfee VirusScan, Symantec Norton AntiVirus, CA InnoculateIT, Dr Web («ДиалогНаука»), Norman Virus Control, Command AntiVirus и Sophos Anti-Virus.}

^{В основу практически всех антивирусов входит:}

^ядро;

^{сканер;}

^{монитор активности;}

^{модуль  обновления.}

^{Принцип работы практически  всех антивирусов  следующий:}

^{Найти и удалить инфицированный файл;}

^{Заблокировать доступ к инфицированному  файлу;}

^{Отправить файл в карантин (т. е. недопустить дальнейшего распространения вируса);}

^{Попытаться "вылечить" файл, удалив вирус  из тела файла;}

^{В случае невозможности лечения-удаления, выполнить эту  процедуру при  следующей перезагрузке операционной системы.}

^{Далее представлен список наиболее популярных антивирусных программ на сегодняшний день:}

  ^{Антивирус Касперского} 

^{Антивирус Касперского - продукт  для защиты вашего ПК, чья эффективность  проверена миллионами пользователей во всем мире. Программа  включает в себя основные инструменты для  защиты ПК.}

^{Eset NOD32}

^{ESET NOD32 обеспечивает обнаружение  и блокировку вирусов,  троянских программ, червей, шпионских  программ, рекламного  ПО, фишинг-атак, руткитов  и других интернет-угроз,  представляющих опасность  для компаний. Несмотря  на минимальную  потребность в ресурсах, данное решение обеспечивает непревзойденный уровень проактивной защиты, практически не снижая производительность компьютера. Более подробно описано сдесь.}

^{Symantec Norton Anti-Virus}

^{Разработанная компанией Symantec программа Norton AntiVirus является наиболее популярным антивирусным средством в мире. Эта программа автоматически удаляет вирусы, интернет-червей и троянские компоненты, не создавая помех работе пользователя. Norton AntiVirus позволяет противостоять угрозам самых современных spyware- и adware-программ и блокирует работу таких программ еще до того момента, как пользователь перенаправляется на другой сайт.}

  ^{Dr. Web}

^{Антивирус Dr.Web проверит всю Windows память даже зараженного  компьютера. Доктор Веб проводит полную антивирусную проверку Windows-памяти компьютера и способен остановить вирусный процесс. Важным показателем качества работы антивирусной программы является не только ее способность находить вирусы, но и лечить их, не просто удалять инфицированные файлы вместе с важной для пользователя информацией, но и возвращать их в первоначальное "здоровое" состояние.}

^{Страница разработчика: www.drweb.ru}

^{Trend Micro Internet Security}

^{Trend Micro Internet Security позволяет очень  просто защитить  ваш компьютер,  ваши приватные  персональные данные и вашу онлайн-активность. Продукт обеспечивает защиту как от существующих вирусов, программ-шпионов и кражи данных, так и от будущих веб-угроз. Пользуйтесь электронной почтой, интернет-магазинами, онлайн-банкингом, обменивайтесь цифровыми фотографиями и не беспокойтесь о безопасности вашей приватной информации.}

^{Страница  разработчика: www.ru.trendmicro.com}

^{Avast! Professional Edition}

^{Avast! Professional Edition вобрал в себя  все высокопроизводительные  технологии для  обеспечения одной  цели: предоставить вам наивысший уровень защиты от компьютерных вирусов. Данный продукт представляет собой идеальное решение для рабочих станций на базе Windows. Новая версия ядра антивируса avast! обеспечивает высокий уровень обнаружения вкупе с высокой эффективностью, что гарантирует 100%-ое обнаружение вирусов "In-the-Wild" и высокий уровень обнаружения троянов с минимальным числом ложных срабатываний. Механизм антивирусного ядра сертифицирован ICSA, постоянно принимает участие в тестах VirusBulletin и получает награды VB100%. Внешний вид пользовательского интерфейса отображается с помощью так называемых скинов, поэтому у вас есть возможность настроить внешний вид панели продуктов avast! по своему желанию.}