Современные вирусы и борьба с ними

Но, тем не менее, не стоит забывать и о важном достоинстве такого типа антивирусов: они способны блокировать распространение Internet-червей, эффективно удалять вирусы из зараженных файлов и загрузочных секторов диска и восстанавливать их работоспособность.

Антивирусы типа монитор по сути являются разновидностью сканеров, которые постоянно присутствуют в памяти компьютера и осуществляют проверку всех используемых файлов в режиме реального времени. На данный момент существует 3 разновидности таких антивирусов:

1)      Файловые мониторы.

2)      Мониторы для специальных приложений.

3)      Мониторы для почтовых программ.

Благодаря фоновому режиму работы антивирусные мониторы позволяют пользователю не обременять себя заботой о ручном сканировании каждого нового файла: антивирусная проверка будет осуществлена автоматически. В случае обнаружения вредоносной программы, монитор, в зависимости от настроек, вылечит файл, заблокирует его выполнение или изолирует, переместив в специальную карантинную директорию для дальнейшего исследования.

Файловые мониторы являются наиболее распространенными среди антивирусов данного типа. Они работают как часть ОС, в режиме реального времени проверяя все находящиеся в компьютере объекты, не зависимо от их принадлежности какому-либо приложению.

Мониторы для почтовых программ представляют собой антивирусные модули, интегрирующиеся в программы обработки электронной почты – как серверные, так и клиентские. По сути дела, они становятся неотъемлемой частью программы и при поступлении нового письма автоматически проверяют его. В отличие от файловых мониторов они требуют меньше системных ресурсов и гораздо более устойчивы, так как возможность системного конфликта на уровне приложения существенно меньше, нежели на уровне операционной системы. В дополнение к этому "почтовые" мониторы проверяют все входящие и исходящие сообщения сразу же после их получения или отправления.

Мониторы для специальных приложений также обеспечивают фоновую проверку объектов, но только в рамках приложения, для которого они предназначены. Наглядным примером могут быть антивирусные мониторы для MS Office.

Третья разновидность антивирусов – ревизоры изменений (integrity checkers). Эта технология защиты основана на том факте, что вирусы являются обычными компьютерными программами, имеющими способность тайно создавать новые или внедряться в уже существующие объекты (файлы, загрузочные секторы). Иными словами, они оставляют следы в файловой системе, которые затем можно отследить и выявить факт присутствия вредоносной программы.

Достоинства ревизоров изменений:

1)      Исключительно высокая скорость работы.

2)      Низкие требования к аппаратной части компьютера.

3)      Высокий процент восстановления файлов и загрузочных секторов, поврежденных вирусами, в том числе неизвестными.

4)      Ревизоры не требуют громоздкой антивирусной базы данных, довольствуясь лишь описаниями способов внедрения вирусов, которые занимают, в зависимости от продукта, всего от 300 до 500 килобайт. Зная эти способы, программа может быстро и эффективно удалить вирус вне зависимости от того, где находится его код: в начале, середине, конце или же вообще разбросан в виде небольших кусков по всему зараженному объекту.

Недостатки ревизоров изменений:             

1)      Неспособность поймать вирус в момент его появления в системе.

2)      Неспособность определить вирус в новых файлах.

3)      Необходимость в наличии регулярного запуска.

Антивирусы типа иммунизаторы делятся на 2 вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файла и каждый раз проверяют его на изменения. Недостаток у этого антивируса всего один, но очень важный: полная неспособность работы со stealth вирусами. Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Файлы модифицируются таким образом, что вирус принимает их за уже зараженные.

Так или иначе, все вышеперечисленные типы антивирусов имеют один огромный недостаток: они неспособны противостоять неизвестным вирусам. Порой за то время, пока даже продвинутые антивирусные компании смогут найти «противоядие» от какого-либо серьезного вируса, компании по всему миру имеют реальную возможность заразиться этим самым вирусом и понести убытки. По моим прогнозам, будущее антивирусных программ – за поведенчискими блокираторами. Именно они имеют реальную возможность со 100% гарантией противостоять атакам новых вирусов. Поведенческий блокиратор это резидентная программа, которая перехватывает различные события и в случае "подозрительных" действий запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор совершает не поиск уникального программного кода вируса (как это делают сканеры и мониторы), не сравнивает файлы с их оригиналами (наподобие ревизоров изменений), а отслеживает и нейтрализует вредоносные программы по их характерным действиям. Идея блокираторов не нова. Она появилась достаточно давно но не получила широкого распространения из-за сложности настройки и требования от пользователя глубоких знаний в области компьютеров. Но, учитывая последние достижения в области искусственного интеллекта, эти недостатки могут сойти на нет.

Итак, ознакомившись с общими сведениями об антивирусах, самое время перейти к главе 4 и знакомству с NOD32, Dr. Web, Kaspersky Internet Security и набирающим популярность AVZ .

Глава 4.

4.1 Антивирус NOD32

NOD32 - антивирусный пакет, выпускаемый фирмой Eset. Возник в конце 1998 года. Название изначально расшифровывалось как Nemocnica na Okraji Disku ("Больница на краю диска").

NOD32 - это комплексное антивирусное решение для защиты в реальном времени от широкого круга угроз. Eset NOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, phishing-атаки. В решении Eset NOD32 используется патентованная технология ThreatSense®. Эта технология предназначена для выявления новых возникающих угроз в реальном времени путем анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.

Наравне с базами вирусов NOD32 использует эвристические методы. Считается, что среди других ведущих антивирусных пакетов NOD32 отличается малым использованием системных ресурсов.

4.1.1 Основные плюсы

Дружественный интерфейс Интерфейс программы лёгок и интуитивно понятен, настройка не вызывает проблем.

Высокая производительность Эффективное обнаружение вредоносных программ не обязательно должно замедлять работу компьютера. NOD32 по большей части написан на языке ассемблера и неоднократно выигрывал награды за высочайшую производительность среди антивирусных приложений. NOD32 в среднем в 2-5 раз быстрее, чем его конкуренты (источник: Virus Bulletin).

Малое влияние на системные ресурсы NOD32 экономит ресурсы жесткого диска и оперативной памяти, оставляя их для критических приложений. Установщик занимает всего 8,6 Мбайт, а приложению требуется менее 20 Мбайт оперативной памяти (это значение может варьироваться с изменением технологии обнаружения). Обновления технологии ThreatSense, включающие записи эвристической логики и вирусные сигнатуры, обычно имеют объем 20-50 Кбайт.

Простота управления Обновления программы и вирусной базы данных выполняются автоматически в фоновом режиме. Если NOD32 используется на личном или домашнем компьютере, можно просто включить функцию автоматического обновления и больше никогда об этом не вспоминать. Предприятия и организации с крупными распределенными сетями могут использовать мощный компонент удаленного администрирования (Remote Administrator), позволяющий разворачивать, устанавливать, наблюдать и контролировать тысячи рабочих станций и серверов NOD32.

4.1.2 Модули и компоненты

Antivirus MONitor (AMON) On-access (резидентный) сканер, который автоматически проверяет файлы перед осуществлением доступа к ним.

NOD32 "On-demand" сканер, который можно запустить вручную для проверки отдельных файлов или сегментов диска. Этот модуль можно также запрограммировать на запуск в часы с наименьшей загрузкой.

Internet MONitor (IMON) Резидентный сканер, работающий на уровне Winsock и препятствующий попаданию зараженных файлов на диски компьютера. Данный модуль проверяет Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3.

E-mail MONitor (EMON) Дополнительный модуль для проверки входящих/исходящих сообщений через интерфейс MAPI, например, в Microsoft Outlook и Microsoft Exchange.

Document MONitor (DMON) Использует запатентованный интерфейс Microsoft API для проверки документов Microsoft Office (включая Internet Explorer).

4.3 Антивирус Dr. WEB

Программа Dr. Web относится к классу антивирусных программных средств, называемых полифагами. Она предназначена для поиска и обезвреживания файловых, загрузочных и файлово-загрузочных вирусов. Cущественной особенностью Dr. Web, которая выделяет его среди других программ-полифагов, является использование оригинального эвристического анализатора наряду с традиционным методом обнаружения вирусов по их сигнатурам (определенной последовательности байтов в теле программы, которая однозначно идентифицирует конкретный вирус). Большинство существующих в настоящее время программ-полифагов используют только метод обнаружения вирусов по сигнатурам.

Тем самым возможности таких программ по обнаружению вирусов ограничены строго определенным набором, который известен автору программы. Использование эвристического анализатора позволяет выявлять также вирусы, сигнатура которых неизвестна автору программы. Алгоритмы, используемые в Dr. Web позволяют выявлять все известные в настоящее время типы вирусов.

Программы семейства Dr. WEB выполняют поиск и удаление известных им вирусов из памяти и с дисков компьютера, а также осуществляют эвристический анализ файлов и системных областей дисков компьютера. Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные, компьютерные вирусы.

В 1999 году появилось новое поколение 32-битных антивирусных программ (DrWeb32). Оно включает в себя набор программ для Windows 95-XP, DOS/386, OS/2 и Novell NetWare, к которым несколько позже присоединились программы для Linux, FreeBSD и Solaris x86.

В комплект программ для Windows 95-XP входит полифаг Dr. WEB и резидентный сторож SpIDer Guard. Программа-полифаг обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков компьютера.

Резидентный сторож (называемый также монитором), находясь в памяти компьютера, постоянно контролирует вирусоподобные ситуации, производимые различными программами с диском и памятью.

Начиная с версии 4.20, в комплект программ для Windows входит Планировщик Dr. WEB, позволяющий производить запуск антивирусных программ и проверку устройств хранения информации, а также осуществлять обновление вирусных баз и компонентов программы по графику, задаваемому пользователем.

Антивирусные программы семейства Dr. WEB для DOS, DOS/386, OS2 и Novell NetWare являются полифагами. В составе программ для Linux и FreeBSD присутствуют как полифаги, так и демоны. (Демон DrWebD может использоваться практически в любых схемах обработки данных в качестве подключаемого внешнего антивирусного фильтра. Например, почтовые системы (такие как sendmail, qmail и др.) могут быть достаточно легко и гибко настроены на использование демона DrWebD для проверки проходящих через почтовый сервер сообщений e-mail).

Программа представляет собой классический полифаг и предназначена для использования в 32-битных операционных системах семейства Windows (т.е. Windows 95/98/2000/ME/XP, а также Windows NT 4.0 и выше). Программа производит сканирование файлов и системных областей дисков компьютера на наличие в них компьютерных вирусов и, при нахождении последних, производит их лечение. Кроме того в составе программы имеется эвристический анализатор, позволяющий находить новые, неизвестные вирусы.

Dr. WEB для Windows выпущена в двух вариантах: с графическим интерфейсом (DrWeb32w) и без него (DrWebwcl). Оба варианта поддерживают одинаковый набор параметров (ключей) командной строки. Но для варианта с графическим интерфейсом все настройки могут производиться из диалоговых панелей. Вариант без графического интерфейса требует несколько меньших ресурсов.

Оба варианта программы используют один и тот же конфигурационный файл и одну и ту же группу настроек в этом файле, что дает возможность попеременного использования данных программ с настройкой требуемых режимов наиболее удобным способом.

4.4 Антивирус Kaspersky Internet Security

Защита Kaspersky Internet Security строится исходя из источников угроз, то есть на каждый источник предусмотрен отдельный компонент приложения, обеспечивающий его контроль и необходимые мероприятия по предотвращению вредоносного воздействия этого источника на данные пользователя. Такое построение системы защиты позволяет гибко настраивать приложение под нужды конкретного пользователя или предприятия в целом.

Kaspersky Internet Security включает:

Компоненты защиты, обеспечивающие защиту вашего компьютера на всех каналах поступления и передачи информации.

Задачи поиска вирусов, посредством которых выполняется проверка компьютера или отдельных файлов, каталогов, дисков или областей, на присутствие вирусов.

Сервисные функции, обеспечивающие информационную поддержку в работе с приложением и позволяющие расширить ее функциональность.

1.4.1 Компоненты защиты

Защита вашего компьютера в реальном времени обеспечивается следующими компонентами защиты:

Файловый Антивирус.

Файловая система может содержать вирусы и другие опасные программы. Вредоносные программы могут годами храниться в вашей файловой системе, проникнув однажды со съемного диска или из интернета, и никак не проявлять себя. Однако стоит только открыть зараженный файл, вирус тут же проявит себя.