Вирус и антивирус

     При неаккуратной работе с антивирусными программами можно не только переносить с ними вирусы, но и вместо лечения файлов безнадежно их испортить. Полезно иметь хотя бы общее представление о том, что могут и чего не могут компьютерные вирусы, об их жизненном цикле, о важнейших методах защиты.

     Любой современный антивирусный продукт - это не только набор отдельных  технологий детектирования, но и сложная  система защиты, построенная на собственном  понимании антивирусной компанией  того, как нужно обеспечивать безопасность от вредоносных программ. При этом принятые многие годы назад архитектурные и технические решения серьезно ограничивают возможности изменять соотношение проактивных и реактивных методов защиты. Например, в антивирусной системе Eset NOD32 используются как эвристические, так и сигнатурные методы борьбы с вредоносным кодом, но роли между этими двумя технологиями распределяются не так, как в других антивирусах: в то время как большинство антивирусов отталкивается от сигнатурных методов, дополняя их эвристиками, у Eset NOD32 все наоборот. Основным способом противостояния вредоносным программам здесь являются так называемые расширенные эвристики (Advanced Heuristics), представляющие собой сочетание эмуляции, эвристик, алгоритмического анализа и сигнатурного метода. В итоге расширенные эвристики Eset NOD32 позволяют проактивно детектировать почти 90% всех угроз, а остальные устраняются сигнатурными методами. Надежность такого подхода подтверждается результатами независимых тестирований.

     Основными функциональными особенностями  Esest NOD32 являются:

• эвристический анализ, позволяющий обнаруживать неизвестные угрозы;
•   технология ThreatSense – анализ файлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы (adware), phishing-атак и других угроз;
•   проверка и удаление вирусов из заблокированных для записей файлов (к примеру, защищенные системой безопасности Windows библиотеки DLL);
•   поверка протоколов HTTP, POP3 и PMTP.

     Установка предложена в трех режимах: "Типичный" (для большинства пользователей), "Расширенный" (частичная настройка устанавливаемых компонентов) и "Эксперт" (полностью настраиваемая установка). Сразу же предлагается указать, используете ли вы прокси-сервер, а также запрашиваются некоторые настройки будущих обновлений. Кроме того, NOD32 заранее интересуется, желаете ли вы использовать "двунаправленную систему своевременного обнаружения" – функция передачи лаборатории Eset подозрительных объектов, найденных на компьютере. Все компоненты защиты при желании будут предложены к установке с подробным описанием поэтапно.

     Для защиты системы вниманию пользователя предложены следующие модули:

     - Antivirus MONitor (AMON). Сканер, автоматически проверяющий файлы перед их запуском или просмотром;

     - NOD32. Сканирование всего компьютера или выбранных разделов. Отличительная особенность – программирование на запуск в часы с наименьшей загрузкой;

     - Internet MONitor (IMON). Резидентный сканер, проверяющий Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3;

     -  Email MONitor (EMON). Модуль для работы с почтовыми клиентами, сканирует входящие и исходящие электронные сообщения через интерфейс MAPI (применяется в Microsoft Outlook и Microsoft Exchange);

     - Document MONitor (DMON). Основан на использовании запатентованного интерфейса Microsoft API, проверяет документы Microsoft Office.

     Интерфейс и работа. Пользователи домашних сетей сразу же мысленно сравнят интерфейс NOD32 с популярным сетевым сканером Netlook – антивирус использует схожую структуру доступа к компонентам. Интерфейс NOD32 организован максимально эргономично и эффективно. Основные пункты меню содержат подзаголовки, которые в свою очередь открывают справа от основного окна область работы с выбранным модулем или компонентом. Каждый подпункт (кроме сканера NOD32) предлагает подробнейшую настройку, которая подойдет скорее специалисту или администратору, нежели рядовому пользователю. Тем не менее, при желании разобраться во всех тонкостях модулей NOD32 вам будет предложена справка, наглядно демонстрирующая и объясняющая назначение настроек.

     Обновление – одна из сильных сторон NOD32. Первоначально на выбор предложены целых 3 сервера с возможностью последующего добавления адресов. Также поддерживаются локальные обновления с сетевых ресурсов. Присутствует возможность создания дискет или CD с обновлениями. Обновление происходит каждые несколько часов.  

     Антивирус Касперского Personal.

     Антивирус Касперского  Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционных систем Windows 98/ME, 2000/NT/XP, от всех известных видов вирусов, включая потенциально опасное программное обеспечение. Программа осуществляет постоянный контроль всех источников проникновения вирусов - электронной почты, Интернета, дискет, компакт-дисков и т.д. Уникальная система эвристического анализа данных эффективно нейтрализует неизвестные вирусы. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):

• Постоянная защита компьютера - проверка всех запускаемых,    открываемых и сохраняемых на компьютере объектов на присутствие вирусов.
• Проверка компьютера по требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.

Антивирус Касперского Personal теперь не проверяет повторно те объекты, которые были проанализированы во время предыдущей проверки и с тех пор не изменились, не только при постоянной защите, но и при проверке по требованию. Такая организация работы заметно повышает скорость работы программы.

     Программа создает  надежный барьер на пути проникновения  вирусов через электронную почту. Антивирус Касперского Personal автоматически осуществляет проверку и лечение всей входящей и исходящей почтовые корреспонденции по протоколам POP3 и SMTP и эффективно обнаруживает вирусы в почтовых базах.

     Программа поддерживает более семисот форматов архивированных и сжатых файлов и обеспечивает автоматическую антивирусную проверку их содержимого, а также удаление вредоносного кода из архивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE.

     Простота настройки  программы осуществляется за счет возможности  выбора одного из трех предопределенных уровней: Максимальная защита, Рекомендуемая защита и Максимальная скорость.

     Обновления антивирусных баз осуществляется каждый час, при  этом обеспечивается их гарантированная  доставка при разрыве или смене  соединений с Интернетом.

     В состав Антивируса Касперского включен  специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения, - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые вами или программами файлы.

     По умолчанию Файловый Антивирус проверяет ТОЛЬКО НОВЫЕ или ИЗМЕНЕННЫЕ ФАЙЛЫ, то есть файлы, которые добавились или изменились со времени последнего обращения к ним. Это возможно благодаря применению новых технологий iChecker и iSwift. Для реализации технологий используется таблица контрольных сумм файлов. Процесс проверки файла выполняется по следующему алгоритму:

1. Каждый файл, к которому происходит обращение пользователя или некоторой программы, перехватывается компонентом.
2. Файловый Антивирус проверяет наличие информации о перехваченном файле в базе iChecker и iSwift. Далее возможны следующие действия:
• Если информации о перехваченном файле в базе нет, он подвергается детальной антивирусной проверке. Контрольная сумма проверенного файла фиксируется в базе.
• Если информация о файле присутствует в базе, Файловый Антивирус сравнивает текущее состояние файла с его состоянием, зафиксированным в базе на момент предыдущей проверки. При полном совпадении информации файл передается пользователю для работы без проверки. Если файл каким-то образом изменился, он будет детально проверен, и новая информация о нем будет записана в базу.

     Процесс проверки включает следующие действия:

1. Файл анализируется на присутствие вирусов. Распознавание вредоносных объектов происходит на основании сигнатур угроз, используемых в работе. Сигнатуры содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания.
2. В результате анализа возможны следующие варианты поведения:
1. Если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл, помещает его копию в резервное хранилище и пытается обезвредить файл. В результате успешного лечения файл становится доступным для работы, если же лечение произвести не удалось, файл удаляется.
2. Если в файле обнаружен код, похожий на вредоносный, но стопроцентной гарантии этого нет, файл помещается в специальное хранилище - карантин.
3. Если в файле не обнаружено вредоносного кода, он сразу же становится доступным для работы.

     Помимо  обеспечения защиты ваших данных программа обладает дополнительными сервисами, расширяющими возможности работы с Антивирусом Касперского.

     В процессе работы программа  помещает некоторые объекты в  специальные хранилища. Цель, которая  при этом преследуется, - обеспечить максимальную защиту данных с минимальными потерями.

• Резервное хранилище содержит копии объектов, которые были изменены или удалены в результате работы Антивируса Касперского. Если какой-либо объект содержал важную для вас информацию, которую не удалось полностью сохранить в процессе антивирусной обработки, вы всегда сможете восстановить объект из его резервной копии.
• Карантин содержит возможно зараженные объекты, которые не удалось обработать с помощью текущей версии сигнатур угроз.

     Рекомендуется периодически просматривать списки объектов, возможно некоторые из них уже неактуальны, а некоторые можно восстановить.

     Часть сервисов направлена на помощь в работе с программой, например:

• Сервис Служба технической поддержки обеспечивает всестороннюю помощь в работе с Антивирусом Касперского. Эксперты Лаборатории Касперского постарались включить все возможные способы обеспечения поддержки: on-line поддержка, форум вопросов и предложений от пользователей программы и т.д.
• Сервис уведомлений о событиях помогает настраивать оповещение пользователей о важных моментах в работе Антивируса Касперского. Это могут быть как события информационного характера, так и ошибки, которые требуют безотлагательного устранения, и знать о них крайне важно.
• Сервис самозащиты программы и ограничения доступа к работе с ней обеспечивает защиту собственных файлов программы от изменения и повреждения со стороны злоумышленников, запрещает внешнее управление сервисами программы, а также вводит разграничение прав других пользователей вашего компьютера на выполнение некоторых действий с Антивирусом Касперского. Например, изменение уровня защиты может значительно повлиять на безопасность информации на вашем компьютере.
• Сервис управления лицензионными ключами позволяет получать подробную информацию об используемой лицензии, производить активацию вашей копии программы, а также осуществлять управление файлами лицензионных ключей.

     Создание диска аварийного восстановления позволит восстановить работоспособность компьютера на уровне, предшествующем заражению. Это особенно полезно в ситуации, когда после повреждения вредоносным кодом системных файлов невозможно произвести загрузку операционной системы компьютера.

     Также предоставляется возможность изменять внешний вид Антивируса Касперского и настраивать параметры текущего интерфейса программы.

     Антивирусная  утилита AVZ.

     Антивирусная  утилита AVZ является инструментом для  исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:

• SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты);
• Руткитов и вредоносных программ, маскирующих свои процессы
• Сетевых и почтовых червей;
• Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
• Троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer);
• Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;

     Утилита является прямым аналогом программ Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей  программы является удаление AdWare, SpyWare и троянских программ.

     Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем и загружают информацию и программный код на пораженный компьютер в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных – паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна.

     Особенностью  программы AVZ является возможность  настройки реакции программы  на каждую из категорий вредоносных  программы – например, можно задать режим уничтожения найденных  вирусов и троянских программ, но заблокировать удаление AdWare.

     Другой  особенностью AVZ являются многочисленные эвристические проверки системы, не основанные на механизме поиска по сигнатурам – это поиск RootKit, клавиатурных шпионов, различных Backdoor по базе типовых  портов TCP/UDP. Подобные методы поиска позволяют находить новые разновидности вредоносных программ.