Главная Photoshop

Классификация компьютерных вирусов и антивирусных программ. Обзор антивирусных программ для персональных пользователей Защита от Dr

21.09.2022

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры, CRC-сканеры (ревизоры). Существуют также антивирусы блокировщики и иммунизаторы.

Сканеры . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы "эвристического сканирования", т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории – "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов.

Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз, которые сканерам приходится хранить и пополнять, и относительно небольшая скорость поиска вирусов.

CRC-сканеры . Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т. д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие "анти-стелс" алгоритмы реагируют практически на 100 % вирусов сразу после появления изменений на компьютере. Характерный недостаток этих антивирусов заключается в невозможности обнаружения вируса с момента его появления и до тех пор, пока не будут произведены изменения на компьютере. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в восстанавливаемых файлах или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.

Блокировщики . Антивирусные блокировщики – это резидентные программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю. К "вирусоопасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочный сектор диска и др., которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно активизируется.

Иммунизаторы . Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Сегодня, как никогда, антивирусное программное обеспечение является не только самым востребованным в системе безопасности любой «операционки», но и одним из ее главных компонентов. И если раньше у пользователя был весьма ограниченный, скромный выбор, то сейчас таких программ можно найти очень много. Но если посмотреть на список «Топ-10 антивирусов», можно заметить, что не все они равнозначны в плане функциональных возможностей. Рассмотрим наиболее популярные пакеты. При этом в анализ будут включены и платные, и условно-бесплатные (антивирус на 30 дней), и свободно распространяемые приложения. Но обо всем по порядку.

Топ-10 антивирусов для Windows: критерии тестирования

Прежде чем приступать к составлению некоего рейтинга, пожалуй, следует ознакомиться с основными критериями, которые в большинстве случаев применяются при тестировании такого программного обеспечения.

Естественно, рассмотреть все известные пакеты просто невозможно. Однако среди всех призванных обеспечить защиту компьютерной системы в самом широком смысле, можно выделить наиболее популярные. При этом учтем и официальные рейтинги независимых лабораторий, и отзывы пользователей, которые используют тот или иной программный продукт на практике. Кроме того, мобильные программы затрагиваться не будут, остановимся на стационарных системах.

Что же касается проведения основных тестов, как правило, они включают в себя несколько главных аспектов:

  • наличие платных и бесплатных версий и ограничений, связанных с функциональностью;
  • скорость штатного сканирования;
  • быстрота определения потенциальных угроз и возможность их удаления или изоляции в карантине при помощи встроенных алгоритмов;
  • частота обновления антивирусных баз;
  • самозащита и надежность;
  • наличие дополнительных возможностей.

Как видно из вышеприведенного списка, проверка работы антивирусного ПО позволяет определить сильные и слабые стороны того или иного продукта. Далее буду рассмотрены наиболее популярные программные пакеты, входящие в Топ-10 антивирусов, а также даны их основные характеристики, конечно же, с учетом мнения людей, которые их используют в повседневной работе.

Программные продукты «Лаборатории Касперского»

Для начала рассмотрим программные модули, разработанные «Лабораторией Касперского», которые на постсоветском пространстве являются чрезвычайно востребованными.

Тут нельзя выделить какую-то одну программу, ведь среди них можно найти и штатный сканер Kaspersky Antivirus, и модули вроде Internet Security, и портативные утилиты типа Virus Removal Tool, и даже загрузочные диски для поврежденных систем Rescue Disc.

Сразу же стоит отметить два главных минуса: во-первых, судя по отзывам, практически все программы, за редким исключением, являются платными или условно-бесплатными, а во-вторых, системные требования необоснованно завышены, что делает невозможным их применение в относительно слабых конфигурациях. Естественно, это и отпугивает многих рядовых пользователей, хотя активационные ключи Kaspersky Antivirus или Internet Security запросто можно найти во Всемирной паутине.

С другой стороны, ситуация с активацией может быть исправлена и другим способом. Например, ключи Kaspersky можно генерировать при помощи специальных приложений вроде Key Manager. Правда, такой подход является, мягко говоря, противоправным, тем не менее, как выход, он используется многими юзерами.

Скорость работы на современных машинах находится в средних пределах (почему-то для новых конфигураций создаются все более тяжеловесные версии), зато постоянно обновляемые базы данных, уникальность технологий определения и удаления известных вирусов и потенциально опасных программ здесь на высоте. Неудивительно, что «Лаборатория Каперского» сегодня является лидером среди разработчиков защитного ПО.

И еще два слова о восстановительном диске. Он по-своему уникален, поскольку загружает сканер с графическим интерфейсом еще до старта самой Windows, позволяя удалять угрозы даже из оперативной памяти.

То же самое касается и портативной утилиты Virus Removal Tool, способной отследить любую угрозу на зараженном терминале. С ним может сравниться разве что аналогичная утилита от Dr. Web.

Защита от Dr. Web

Пред нами еще один их сильнейших представителей в области обеспечения безопасности - известнейший «Доктор Уэб», стоявший у истоков создания всего антивирусного ПО с незапамятных времен.

Среди огромного количества программ тоже можно найти и штатные сканеры, и средства защиты для Интернет-серфинга, и портативные утилиты, и восстановительные диски. Всего не перечислишь.

Главным фактором в пользу ПО этого разработчика можно назвать высокую скорость работы, моментальное определение угроз с возможностью либо полного удаления, либо изоляции, а также умеренную нагрузку на систему в целом. В общем, с точки зрения большинства пользователей, это некий облегченный вариант «Касперского». кое-что интересное здесь все же есть. В частности, это Dr. Web Katana. Считается, что это программный продукт нового поколения. Он ориентирован на использование «песочных» технологий, т. е. помещение угрозы в «облако» или «песочницу» (как хотите, так это и назовите) на анализ, перед тем как она проникнет в систему. Однако, если разобраться, особых инноваций здесь нет, ведь такая методика применялась еще в бесплатном антивирусе Panda. К тому же, по словам многих пользователей, Dr. Web Katana является неким подобием Security Space с такими же технологиями. Впрочем, если говорить в общем, любое ПО этого разработчика является достаточно стабильным и мощным. Неудивительно, что многие юзеры отдают предпочтение именно таким пакетам.

Программы компании ESET

Говоря о Топ-10 антивирусов, нельзя не упомянуть еще одного ярчайшего представителя этой области - компанию ESET, которая прославилась таким известным продуктом, как NOD32. Чуть позже на свет появился и модуль ESET Smart Security.

Если рассматривать эти программы, можно отметить интересный момент. Чтобы активировать полную функциональность любого пакета, можно поступить двояко. С одной стороны - это приобретение официальной лицензии. С другой - можно установить пробный антивирус бесплатно, но активировать его каждые 30 дней. С активацией тоже интересная ситуация.

Как отмечают абсолютно все пользователи, для ESET Smart Security (или для штатного антивируса) на официальном сайте можно было найти свободно распространяемые ключи в виде логина и пароля. До недавнего времени можно было использовать только эти данные. Сейчас процесс несколько усложнился: сначала нужно логин и пароль на специальном сайте, преобразовать в номер лицензии, а только потом вводить его в регистрационное поле уже в самой программе. Впрочем, если не обращать внимания на такие мелочи, можно отметить, что этот антивирус является одним из лучших. Плюсы, отмечаемые пользователями:

  • обновление баз вирусных сигнатур производится несколько раз в сутки,
  • определение угроз на высшем уровне,
  • отсутствуют какие бы то ни было конфликты с компонентами системы (файроволл),
  • пакет обладает сильнейшей самозащитой,
  • отсутствуют ложные тревоги и т. д.

Отдельно стоит отметить, что нагрузка на систему минимальна, а задействование модуля «Антивор» позволяет даже защитить данные от кражи или неправомерного использования в корыстных целях.

Антивирус AVG

AVG Antivirus является платным ПО, рассчитанным на обеспечение комплексной безопасности компьютерных систем (есть и бесплатная усеченная версия). И хотя сегодня этот пакет уже не входит в пятерку лучших, тем не менее он демонстрирует достаточно высокую скорость работы и стабильность.

В принципе, он идеально подходит для домашнего пользования, поскольку, кроме скорости работы, имеет удобный русифицированный интерфейс и более-менее стабильное поведение. Правда, как отмечают некоторые юзеры, иногда он способен пропускать угрозы. И это касается не вирусов как таковых, а, скорее, шпионских программ или рекламного "барахла", называемого Malware и Adware. Собственный модуль программы, хотя и широко разрекламирован, все же, по словам юзеров, выглядит несколько недоработанным. Да и дополнительный брэндмауэр частенько способен вызывать конфликты с «родным» файрволлом Windows, если оба модуля находятся в активном состоянии.

Пакет Avira

Avira - еще один представитель семейства антивирусов. Принципиально от большинства подобных пакетов он не отличается. Однако если почитать о нем отзывы пользователей, можно найти достаточно интересные посты.

Многие ни в коем случае не рекомендуют использовать бесплатную версию, поскольку некоторые модули в ней попросту отсутствуют. Чтобы обеспечить надежную защиту, придется приобретать платный продукт. Зато годится такой антивирус для 8-й и 10-й версий, у которых сама система использует много ресурсов, а пакет их задействует на самом низком уровне. В принципе, Avira лучше всего подходит, скажем, для бюджетных ноутбуков и слабеньких компьютеров. О сетевой установке, правда, и речи быть не может.

Облачный сервис Panda Cloud

Бесплатный в свое время стал чуть ли не революцией в области антивирусных технологий. Использование так называемой «песочницы» для отправки подозрительного контента на анализ перед его проникновением в систему сделало это приложение особо популярным среди пользователей всех уровней.

И именно с «песочницей» этот антивирус сегодня и ассоциируется. Да, действительно, такая технология, в отличие от других программ, позволяет не пускать угрозу в систему. К примеру, любой вирус сначала сохраняет свое тело на винчестере или в оперативной памяти, а только потом начинает свою деятельность. Здесь же дело до сохранения не доходит. Сначала подозрительный файл отправляется в облачный сервис, где проходит проверку, а только потом может быть сохранен в системе. Правда, по утверждениям очевидцев, увы, это может занимать достаточно много времени и неоправданно сильно грузит систему. С другой стороны, тут стоит себя спросить, что важнее: безопасность или увеличенное время проверки? Впрочем, для современных компьютерных конфигураций со скоростью Интернет-соединения на уровне 100 Мбит/сек и выше он может использоваться без проблем. Кстати, и собственная защита обеспечивается именно через «облако», что иногда вызывает нарекания.

Сканер Avast Pro Antivirus

Теперь несколько слов еще об одном ярком представителей Он достаточно популярен у многих юзеров, однако, несмотря на наличие той же «песочницы», антишпиона, сетевого сканера, брэндмауэра и виртуального кабинета, к сожалению, Avast Pro Antivirus по основным показателям производительности, функциональности и надежности явно проигрывает таким грандам, как программные продукты «Лаборатории Касперского» или приложения, использующие технологии Bitdefender, хотя и демонстрирует высокую скорость сканирования и низкое потребление ресурсов.

Пользователей в этой продукции привлекает в основном то, что бесплатная версия пакета является максимально функциональной и особо не отличается от платного ПО. К тому же этот антивирус работает на всех версиях Windows, включая «десятку», и отлично себя ведет даже на устаревших машинах.

Пакеты 360 Security

Перед нами, наверное, один из самых скоростных антивирусов современности - 360 Security, разработанный китайскими специалистами. Вообще, вся продукция с маркировкой «360» отличается завидной скоростью работы (тот же Интернет-браузер 360 Safety Browser).

Несмотря на основное предназначение, программа имеет дополнительные модули по устранению уязвимостей операционной системы и ее оптимизации. Но ни скорость работы, ни свободное распространение не идут ни в какое сравнение с ложными тревогами. В списке программ, имеющих по этому критерию наивысшие показатели, данное ПО занимает одно из первых мест. Как считают многие специалисты, конфликты возникают на системном уровне из-за дополнительных оптимизаторов, действие которых пересекается с выполнением задач самой ОС.

Программные продукты на основе технологий Bitdefender

Еще один «старичок» среди наиболее известных защитников «операционок» - Bitdefender. К сожалению, в 2015 году он уступил пальму первенства продуктам «Лаборатории Касперского», тем не менее в антивирусной моде, если можно так выразиться, является одним из законодателей стиля.

Если посмотреть несколько внимательнее, можно заметить, что многие современные программы (тот же пакет 360 Security) в разных вариациях выполнены именно на основе данных технологий. Несмотря на богатую функциональную базу, здесь тоже есть свои недочеты. Во-первых, русский антивирус (русифицированный) Bitdefender вы не найдете, поскольку такового не существует в природе вообще. Во-вторых, несмотря на применение самых последних технологических разработок в плане защиты системы, увы, он показывает уж слишком высокое число ложных срабатываний (кстати, по словам специалистов, это характерно для всей группы программ, созданных на основе Bitdefender). Наличие дополнительных компонентов-оптимизаторов и собственных файрволлов в целом сказывается на поведении таких антивирусов не в лучшую сторону. Зато в скорости работы этому приложению не откажешь. Кроме того, для проверки используются P2P, но напрочь отсутствует проверка электронной почты в режиме реального времени, что многим не по нраву.

Антивирус от Microsoft

Еще одним приложением, которое отличается завидным срабатыванием по поводу и без повода, является собственный продукт Microsoft под названием Security Essentials.

В Топ-10 антивирусов этот пакет включен, по всей видимости, только потому, что разработан исключительно для Windows-систем, а значит, не вызывает абсолютно никаких конфликтов на системном уровне. К тому же кому, как не специалистам из Microsoft, знать все дыры в безопасности и уязвимость своих же операционных систем. Кстати, интересен тот факт, что первоначальные сборки Windows 7 и Windows 8 в базовой комплектации имели MSE, но потом по каким-то причинам от этого комплекта отказались. Впрочем, именно для «Винды» он может стать простейшим решением в плане зашиты, хотя на особую функциональность рассчитывать и не приходится.

Приложение McAfee

Что касается этого приложения, выглядит оно достаточно интересно. Наибольшую популярность, правда, оно заработало в области применения на мобильных девайсах со всевозможными блокировками, тем не менее на стационарных компьютерах этот антивирус ведет себя не хуже.

Программа имеет низкоуровневую поддержку сетей P2P при совместном доступе к файлам Instant Messenger, а также предлагает 2-уровневую защиту, в которой главная роль отведена модулям WormStopper и ScriptStopper. Но в целом, по словам потребителей, функциональный набор находится на среднем уровне, а сама программа ориентирована скорее на выявление шпионского ПО, компьютерных червей и троянов и предотвращение проникновения в систему исполняемых скриптов или вредоносных кодов.

Объединенные антивирусы и оптимизаторы

Естественно, здесь были рассмотрены только входящие в Топ-10 антивирусов. Если говорить об остальном софте такого плана, можно отметить некоторые пакеты, содержащие антивирусные модули в своих наборах.

Что предпочесть?

Естественно, все антивирусы имеют и определенные сходства, и различия. Что же установить? Тут нужно исходить из потребностей и обеспечиваемого уровня защиты. Как правило, корпоративным клиентам стоит приобрести что-то помощнее с возможностью сетевой установки (Kaspersky, Dr. Web, ESET). Что же касается домашнего использования, здесь юзер сам выбирает, что ему нужно (при желании можно найти даже антивирус на год - без регистрации или покупки). Но, если посмотреть на отзывы пользователей, лучше установить Panda Cloud, даже несмотря на некоторую дополнительную нагрузку на систему и время проверки в «песочнице». Зато именно тут есть полная гарантия того, что угроза не проникнет в систему никоим образом. Впрочем, каждый волен сам выбирать, что именно ему нужно. Если не затрудняет активация, пожалуйста: в домашних системах прекрасно работают продукты ESET. Но вот использовать оптимизаторы с антивирусными модулями в качестве основного средства защиты крайне нежелательно. Ну а говорить, какая программа занимает первое место, тоже нельзя: сколько пользователей, столько и мнений.

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (программы-дитекторы), CRC-сканеры (ревизоры). Существуют также антивирусы блокировщики и иммунизаторы.

Сканеры . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы «эвристического сканирования», т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории – «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов.

Сканеры также делятся на «резидентные» (мониторы), производящие сканирование «на лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз, которые сканерам приходится хранить и пополнять, и относительно небольшая скорость поиска вирусов.

CRC-сканеры . Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т. д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие «анти-стелс» алгоритмы, реагируют практически на 100 % вирусов сразу после появления изменений на компьютере. Характерный недостаток этих антивирусов заключается в невозможности обнаружения вируса с момента его появления и до тех пор, пока не будут произведены изменения на компьютере. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в восстанавливаемых файлах или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Блокировщики . Антивирусные блокировщики – это резидентные программы, перехватывающие «вирусоопасные» ситуации и сообщающие об этом пользователю. К «вирусоопасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочный сектор диска и др., которые характерны для вирусов в моменты их размножения.

К достоинствам блокировщиков относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно активизируется.

Иммунизаторы . Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Программы-доктора или фаги , а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

· попытки коррекции файлов с расширениями COM, EXE

· изменение атрибутов файла

· прямая запись на диск по абсолютному адресу

· запись в загрузочные сектора диска

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость»(например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS Windows.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Несмотря на то что общие средства защиты информации и профилактические меры очень важны для защиты от вирусов, необходимо применение специализированных программ. Эти программы можно разделить на несколько видов:

  • ? Программы-детекторы проверяют, имеются ли в файлах на диске специфическая комбинация байтов (сигнатура) для известного вируса и сообщают об этом пользователю (VirusScan/SCAN/фир- мы McAfee Associates).
  • ? Программы-доктора или фаги «лечат» зараженные программы, «выкусывая» из зараженных программ тело вируса, как с восстановлением, так и без восстановления среды обитания (зараженного файла) - лечащий модуль программы SCAN - программа CLEAN.
  • ? Программы доктора-детекторы (Aidstest Лозинского, Doctor Web Данилова, MSAV, Norton Antivirus, AVP Касперского) способны определить наличие известного вируса на диске и исцелить зараженный файл. Самая распространенная группа антивирусных программ на сегодняшний день.

В самом простом случае команда проверки содержимого диска на наличие вирусов имеет вид: aidstest /ключ1/ключ 2 /ключ 3 /---

  • ? Программы-фильтры (сторожа) располагаются резидентно в оперативной памяти ПК и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда и сообщают о них пользователю:
  • - попытка испортить главный файл OS COMMAND.COM;
  • - попытка прямой записи на диск (предыдущая запись удаляется), при этом выдается сообщение, что какая-то программа пытается копировать на диск;
  • - форматирование диска,
  • - резидентное размещение программы в памяти.

Выявив попытку одного из этих действий, программа-фильтр выдает пользователю описание ситуации и требует от него подтверждения. Пользователь может разрешить или запретить выполнение данной операции. Контроль действий, характерный для вирусов, осуществляется путем подмены обработчиков соответствующих прерываний. К недостаткам этих программ можно отнести назойливость (сторож, например, выдает предупреждение о любой попытке копирования исполняемого файла), возможные конфликты с другим программным обеспечением, обход сторожей некоторыми вирусами. Примеры фильтров: Anti4us, Vsafe, Disk Monitor.

Следует заметить, что на сегодняшний день многие программы класса доктор-детектор еще и имеют резидентный модуль - фильтр (сторож), например, DR Web, AVP, Norton Antivirus. Таким образом, такие программы можно классифицировать как доктор-детектор-сторж.

  • ? Аппаратно-программные антивирусные средства (Аппаратно-программный комплекс Sheriff). В одном ряду с программами-сторожами стоят аппаратно-программные антивирусные средства, обеспечивающие более надежную защиту от проникновения вируса в систему. Такие комплексы состоят из двух частей: аппаратной, которая устанавливается в виде микросхемы на Материнскую плату и программной, записывающейся на диск. Аппаратная часть (контроллер) отслеживает все операции записи на диск, программная часть, находясь в Оперативной памяти резидентно, отслеживает все операции ввода/вывода информации. Однако возможность применения этих средств требует внимательного рассмотрения с точки зрения конфигурации используемого на ПК дополнительного оборудования, например, дисковых контроллеров, модемов или сетевых плат.
  • ? Программы-ревизоры (Adinf/Advanced Disk infoscope/c лечащим блоком ADinf Cure Module Мостового). Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска на логические разделы). Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при сравнении системных областей и дисков с исходными в случае обнаружения несоответствия сообщается пользователю. Программы-ревизоры способны обнаружить невидимые (STEALTH) вирусы. Проверка длины файла недостаточна, некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму (побитно). Изменить весь файл так, чтобы его контрольная сумма осталась прежней, практически невозможно. К незначительным недостаткам ревизоров можно отнести то, что для обеспечения безопасности они должны использоваться регулярно, например, ежедневно вызываться из файла AUTOEXEC.BAT. Но несомненными их преимуществами являются высокая скорость проверок и то, что они не требуют частого обновления версий. Версии ревизора даже полугодовой давности надежно обнаруживают и удаляют современные вирусы.
  • ? Программы-вакцины или иммунизаторы (CPAV). Программы-вакцины модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Работа этих программ недостаточно эффективна.

Условно стратегию зашиты от вируса можно определить как многоуровневую «эшелонированную» оборону. Структурно это может выглядеть так. Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие определять вновь полученное программное обеспечение на наличие вирусов. На переднем крае обороны находятся программы-фильтры, которые находятся резидентно в памяти компьютера. Эти программы могут первыми сообщить о работе вируса. Второй эшелон «обороны» составляют программы-ревизоры. Ревизоры обнаруживают нападение вируса даже тогда, когда он сумел «просочиться» через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если копии зараженной программы нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные программы, причем контролируют правильность лечения. Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в ПК, испортить важные данные. В «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении.

Вредоносные действия вирусов каждого типа могут быть самыми разнообразными. Это и удаление важных файлов или даже «прошивки» BIOS, и передача личной информации, например паролей, по определенному адресу, организация несанкционированных рассылок электронной почты и атак на некоторые сайты. Возможен и запуск дозвона через сотовый телефон на платные номера. Утилиты скрытого администрирования (backdoor) способны даже передать злоумышленнику всю полноту управления компьютером. К счастью, со всеми этими бедами можно успешно бороться, и основным оружием в этой борьбе будет, конечно, антивирусное ПО.

Антивирус Касперского. Пожалуй, «Антивирус Касперского» - самый известный в России продукт этого типа, а фамилия «Касперский» стала синонимом борца с вредоносными кодами. Одноименная лаборатория не только постоянно выпускает новые версии своего защитного ПО, но и ведет просветительскую работу среди пользователей компьютеров. Самая свежая, девятая версия «Антивируса Касперского», как и предыдущие релизы, отличается простым и максимально прозрачным интерфейсом, объединяющим все необходимые утилиты в одном окне. Благодаря мастеру установки и интуитивно понятным пунктам меню настроить этот продукт способен даже начинающий пользователь. Мощность используемых алгоритмов удовлетворит и профессионалов. С детальным описанием каждого из обнаруженных вирусов можно ознакомиться, вызвав соответствующую страницу в Интернете непосредственно из программы.

Dr. Web. Еще один популярный российский антивирус, соперничающий по известности с «Антивирусом Касперского», - Dr. Web. Его ознакомительная версия обладает интересной особенностью: она требует обязательной регистрации через Интернет. С одной стороны, это очень хорошо - сразу после регистрации производится обновление антивирусных баз и пользователь получает самые новые данные о сигнатурах. С другой стороны, установить ознакомительную версию автономно невозможно, да и, как показал опыт, при неустойчивом соединении неизбежны проблемы.

Panda Antivirus + Firewall 2007. Комплексное решение в области компьютерной безопасности - пакет Panda Antivirus+Firewall 2007 - включает в себя помимо антивирусной программы брандмауэр, отслеживающий сетевую активность. Интерфейс основного окна программы решен в «природных» зеленых тонах, но, несмотря на внешнюю привлекательность, система переходов по меню выстроена неудобно, и начинающий пользователь вполне может запутаться в настройках.

Пакет Panda содержит сразу несколько оригинальных решений, таких как фирменная технология поиска неизвестных угроз TruePrevent, основанная на самых современных эвристических алгоритмах. Стоит обратить внимание и на утилиту поиска уязвимых мест компьютера - она оценивает опасность «дыр» в системе безопасности и предлагает скачать необходимые обновления.

Norton Antivirus 2005. Основное впечатление от продукта знаменитой компании Symantec - антивирусного комплекса Norton Antivirus 2005 - его ориентация на мощные вычислительные системы. Реакция интерфейса Norton Antivirus 2005 на действия пользователя ощутимо запаздывает. Кроме того, при инсталляции она предъявляет достаточно жесткие требования к версиям операционной системы и Internet Explorer. В отличие от Dr.Web, Norton Antivirus не требует обязательного обновления вирусных баз при установке, но о том, что они устарели, будет напоминать в течение всего времени работы.

McAfee VirusScan. Любопытный антивирусный продукт, являющийся, по уверениям разработчиков, сканером № 1 в мире - McAfee VirusScan, - мы выбрали для испытаний потому, что в ряду аналогичных приложений он выделялся большим размером дистрибутива (более 40 Мбайт). Полагая, что такая величина обусловлена широким функционалом, мы приступили к инсталляции и обнаружили, что помимо антивирусного сканера в него входят брандмауэр, а также утилиты очистки жесткого диска и гарантированного удаления объектов с винчестера (файл-шреддер).

Вопросы к главам 6 и 7

  • 1. Этапы развития средств и технологий информационной безопасности.
  • 2. Составляющие стандартной модели безопасности.
  • 3. Источники угроз безопасности и их классификация.
  • 4. Непреднамеренные угрозы информационной безопасности.
  • 5. Умышленные угрозы информационной безопасности.
  • 6. Классификация каналов утечки информации.
  • 7. Регулирование проблем информационной безопасности.
  • 8. Структура государственной системы защиты информации.
  • 9. Методы и средства защиты информации.
  • 10. Классификация угроз безопасности данных.
  • 11. Методы защиты информации от вирусов.
  • 12. Методы контроля целостности.
  • 13. Классификация компьютерных вирусов.
  • 14. Средства защиты против вирусов.
  • 15. Профилактические антивирусные меры.
  • 16. Классификация программных антивирусных продуктов.

Люди, постоянно работающие за компьютером, часто сталкиваются с проблемами при его эксплуатации, начинают звать на помощь программистов, хотя в большинстве случаев такие казусы случаются из-за невнимательности и необразованности самого пользователя. Ведь основные беды приходят именно с заражением компьютера вирусом. Понятие и классификация компьютерных вирусов - это та основа, знание которой способно предотвратить 50% неполадок на компьютере пользователя.

Знание - сила

Попробуем определить, что же такое компьютерный вирус. Как и в реальной жизни, вирус - это организм, способный к самостоятельному копированию и бесконтрольному размножению. Это программа, способная самостоятельно, без ведома пользователя, развиваться, выполнять свои функции, заложенные в неё программистом. Этого мало для того, чтобы поймать вирус или предотвратить заражение вашего компьютера, однако поможет вам в простейших случаях хотя бы забить тревогу и вызвать специалиста. Классификация компьютерных вирусов поможет последнему с точностью подобрать инструмент, необходимый для спасения вашего компьютера. Поэтому постараемся и мы разобраться в ней.

Общее понятие

Сравнив чуть ранее компьютерный вирус с реальным микроорганизмом, можно провести параллель и с тем, что поражает конкретный вирус или червь. Одной из основополагающих является классификация компьютерных вирусов по среде обитания, ведь, в зависимости от назначения, расположение вируса в компьютерной среде будет также различаться. Приведём общую стандартную схему.

  1. Файловые вирусы. Пожалуй, самыми распространёнными на сегодняшний день являются вирусы, которые поражают файлы на вашем компьютере. В большинстве случаев они проникают в исполняемые файлы или библиотеки программ для исполнения своих задач. Эти вирусы представляют из себя скрипт, написанный на скриптовом языке программирования (например JavA).
  2. Загрузочные вирусы. Как понятно из названия, они запускаются при загрузке операционной системы. Они записывают свой код в загрузочный сектор Windows.
  3. Сетевые вирусы. Достаточно неприятная вещь, рассылающая свои копии по сети, почте или системам обмена сообщениями по типу ICQ. Еще одним неприятным моментом является то, что такой вирус может размножаться до тех пор, пока не заполнит всё место на компьютере пользователя, а в самом худшем случае еще и начнет освобождать себе место, удаляя пользовательские программы.
  4. Макро-вирусы. Поражают исключительно файлы приложений, поддерживающих работу с макросами, такими как Office.

Стоит заметить, что такая классификация вирусов не может быть полной, поскольку развитие этой заразы не стоит на месте, и существуют вирусы, которые можно отнести к нескольким подтипам.

Внимание, опасность!

Рассматривать вирусы можно с абсолютно разных сторон. Если говорить о них по степени воздействия на систему, то классификация компьютерных вирусов кратко будет выглядеть так:


Работают специалисты

Отдельного упоминания заслуживает классификация компьютерных вирусов и антивирусных программ. Большинство специалистов, работающих в сфере компьютерной безопасности, имеют свои классификации и способы обозначения компьютерных вирусов. Например, всем известная лаборатория Касперского. После многих лет работы ими была создана, пожалуй, самая подробная классификация компьютерных вирусов. Касперский выделяет следующие типы "вредителей":

  1. Уже известные сетевые вирусы - черви, использующие для распространения электронную почту.
  2. Упаковщики. Это, скорее, просто вредители, а не вирусы, засланные с определённой целью. Их задача заключается в архивировании файлов таким образом, чтобы их разархивация была невозможна. Зачастую при архивации они в дополнение ещё и кодируют информацию.
  3. Вредоносные утилиты.
  4. Троянские программы. Их название происходит от мифа о троянском коне. Соответствуя своему прототипу, такие вирусы маскируются под безвредные программы для проникновения на компьютер. Их основное функциональное назначение - предоставление доступа злоумышленнику к управлению вашим компьютером. Здесь также можно выделить некоторые подкатегории:

1) вирусы, для удалённого управления вашим компьютером;

2) вирусы для загрузки вредоносного обеспечения из интернета;

3) программы, несанкционированно устанавливающие на компьютер другие вирусы.

Как заразиться

Предупреждён - значит вооружён. Так гласит народная мудрость. Зная, где и как существует возможность подхватить компьютерный вирус, можно избежать огромных проблем, связанных с удалением его. Предотвратить заражение намного проще, чем вылечить компьютер после попадания в него вируса. Существует также классификация компьютерных вирусов по способу заражения:

Защита от вирусов

Как уже стало понятно, вредоносных программ существует великое множество. Защититься от них не поможет ни одна классификация вирусов. Компьютерных мошенников, спамеров развелось настолько много, что своими собственными руками справиться со всеми невозможно. Именно для этого существует большое количество антивирусных программ, способных помочь справиться с этой проблемой. Рассмотрим их с точки зрения обычных пользователей.

Самой распространённой антивирусной программой является "Антивирус Касперского". Предлагаемая пользователям во всех возможных магазинах, эта программа способна надёжно защитить компьютер от вредоносных программ. Тем не менее продвинутые пользователи знают о существенных побочных эффектах этой надёжности. "Касперский" не только очень сильно грузит систему и при малейшей опасности поднимает тревогу, но еще и не даёт адекватно работать с пользовательскими приложениями. Поэтому в настоящий момент этот антивирус используется в основном на предприятиях, поскольку его покупку проще провести по бухгалтерии, да и проверочные комиссии по безопасности относятся к нему намного лояльнее. Стоит заметить, что, благодаря этой лаборатории, была создана базовая классификация компьютерных вирусов. Сообщение о том, что найден вирус на компьютера, которое выдаёт их антивирус, к сожалению, не всегда несёт в себе достоверную информацию.

Достойной заменой "Касперскому", может послужить NOD32. Надёжно и прочно защищает, специально для обычных пользователей существуют бесплатные версии. Работает как часы и без сбоев, но абсолютную надёжность обеспечивает исключительно в полной платной комплектации. Поэтому единственным недостатком этого антивируса станет цена, если исключить скачивание неподдерживаемых взломанных версий.

Лидером среди антивирусов по праву можно считать Dr.Web. Не гоняясь за славой и заработком, он предоставляет всем желающим на своём сайте скачать пробную версию с полным функционалом. Одной из главных особенностей "Доктора" является возможность приостановить полностью работу операционной системы, что позволяет поймать даже самых "хитрых вредителей". Этой программой используется собственная классификация вирусов. Компьютерных червей утилита находит быстро и эффективно, а резидентные вирусы не способны "спрятаться" в оперативной памяти.

Врага надо знать в лицо

Итак, выше была рассмотрена классификация компьютерных вирусов. С примерами вам, наверно, было бы проще разобраться, поэтому приведём несколько для наглядности.

Trj.Reboot - заставляет перезагружаться ваш компьютер.

Relax - инфицирует документы Microsoft Word, а также глобальные переменные. Был особенно популярен и актуален на Windows 98. Результатом работы становится выведение на экран информационного сообщения.

Marburg - поражает выполняемые файлы с расширением EXE, запуская их в различных директориях, в результате чего увеличивается их размер.

Flame - компьютерный червь, обнаруженный "Лабораторией Касперского". Его особенность в том, что он состоит из нескольких десятков частей, каждая из которых имеет свой функционал.

Подумайте о безопасности

В данной статье были рассмотрены понятие и классификация компьютерных вирусов. Если вы внимательно и вдумчиво прочитали всё написанное, то наверное уже поняли, что абсолютной защиты не существует. Несмотря на это, выбор средств защиты ложится на ваши плечи. Последнее, что стоило бы указать, так это просто пару полезных советов:

  1. Не лезьте на подозрительные сайты и не переходите по ссылкам, присланным незнакомыми людьми.
  2. Не ведитесь на рекламу и всплывающие окна в интернете.
  3. Если скачиваете программы из интернета, убедитесь в безопасности источника.
  4. В случае если ищете какую-либо программу, старайтесь скачивать её на популярных ресурсах, а не на задворках всемирной паутины.
  5. Не используйте носители данных, которые могли вставляться в компьютеры общего пользования (интернет-кафе).

Следуя этим простым советам, вы сможете обойтись даже без антивируса. А классификация компьютерных вирусов понадобится вам разве что для учебы или саморазвития.