Наиболее известные антивирусные программы
Линейка продуктов «Лаборатории Касперского» (AVP). Основными направлениями деятельности этой компании являются:
· защита домашних ПК;
· защита рабочих станций;
· защита файловых серверов;
· защита почтовых шлюзов;
· защита разного рода серверов.
В соответствии с этими направлениями программные продукты лаборатории Касперского объединяются в комплексные пакеты для:
· домашних пользователей;
· малого и среднего бизнеса, для борьбы с вирусами всех типов в сетях малого и среднего масштаба, содержащих до 100 рабочих станций и использующих различные операционные среды;
· корпоративных пользователей, предназначенные для обеспечения полномасштабной структуры компьютерной безопасности для систем корпоративного масштаба.
Линейка антивирусных программ от компании
«ДиалогНаука»
Еще одной известной отечественной компанией, производящей антивирусные продукты является «ДиалогНаука».
Антивирус этой лаборатории представляет собой комбинацию антивирусного сканера Doctor Web и резидентного сторожа SpIDer Guard, интегрированного в операционную систему компьютера. Эвристический анализатор Doctor Web в сочетании с ежедневно обновляющимися вирусными базами представляет собой надежную защиту от вирусов, троянских коней, почтовых червей и иных видов вредоносного программного кода.
Программа построена по модульному принципу, то есть разделена на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависимое от среды. Подобная организация позволяет использовать одни и те же файлы вирусной базы Dr.Web для разных платформ, подключать ядро к различным оболочкам и приложениям, реализовывать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.
Программа предлагает наглядные средства выбора объектов тестирования путем просмотра дерева подкаталогов. Обновление антивирусной базы производится автоматически через Интернет.
Ознакомительную версию программы Dr.Web можно получить по адресу http://www.dialognauka.ru. Этот сайт предлагает также бесплатно проверить на наличие вирусов ваши файли в режиме on-line (через Интернет).
Другие антивирусные программы
В рейтинге наиболее популярных антивирусных программ также присутствуют:
1. Программный продукт Norton AntiVirus фирмы Symantec (http://www.symantec.ru/) является одной из лучших систем антивирусной защиты. Он обеспечивает:
· защиту от более чем 10000 известных вирусов;
· поиск и уничтожение макро-вирусов, заражающих файлы Word и Excel;
· бесплатное ежемесячное обновление базы данных вирусов;
· защиту от неизвестных вирусов;
· постоянный контроль проникновения вирусов и вирусоподобной деятельности, выполняемый в фоновом режиме работы ОС;
· проверку на вирус сетевых и сжатых дисков;
· уничтожение полиморфных вирусов (мутантов);
· автоматическую проверку на вирус дискет, вставляемых в дисковод;
· использование модуля Repair Wizard, облегчающего восстановление поврежденных файлов.
2. Программные продукты фирмы McAfee Associates. (http://www.mcafee.ru). С этого сайта можно загрузить 30-дневную версию антивирусной программы.
В Интернет существует сайт с информацией о новых вирусах и о приносимых ими непрятностях: Энциклопедия вирусов http://www.viruslist.com.
Подробные сведения окомпьютерных вирусах и антивирусных программных продуктах привнедены в статьях:
Е. Касперский Энциклопедия компьютерных вирусов. http:\\www. kaspersky.com
Казарин О.В Безопасность программного обеспечения компьютерных систем. http:\\www.citoforum.ru
Компьютерные вирусы
Компьютерные вирусы можно классифицировать по среде их обитания на:
· Файловые вирусы:
§Обычные файловые вирусы
§OBJ, LIB и вирусы в исходных текстах
§Файловые черви
§Link-вирусы
§Companion-вирусы
§Parasitic-вирусы
§Overwriting-вирусы
· Загрузочные
· Макровирусы
§Для MS Word
§Excel
§Access
§PowerPoint
§Многоплатформенные
§Для других приложений
· Скрипт-вирусы
§Для Windows
§Для DOS
§Для других систем
· Смешанного типа
Файловые вирусы
Файловые вирусы — это вирусы, которые при размножении используют файловую систему какой-либо ОС. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС: DOS, Windows, OS/2, Macintosh, UNIX и т.д.
По способу заражения файлов файловые вирусы делятся на обычные, которые встраивают свой код в файл, по возможности не нарушая его функциональности, а также на overwriting, паразитические (parasitic), компаньон-вирусы (сompanion), link-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.
Overwriting-вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после чего файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения быстро перестают работать.
Parasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяются на вирусы, записывающиеся в начало, в конец и в середину файлов.
Companion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл-двойник, причем при запуске зараженного файла управление получает(запускается на выполнение) именно этот двойник, то есть вирус. При этом программа-двойник выполняет «вредные действия». Файловые черви (worms) являются разновидностью компаньон-вирусов, однако не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Размножаясь, программы черви «засоряют"
Часто встречаются вирусы, заражающие библиотекикомпиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие такие файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.
Загрузочные вирусы
Загрузочные вирусы называются так потому, что заражают загрузочный (boot) сектор. (Загрузочным сектором называется сектор, с которого начинается загрузка ПК). Загрузочные вирусы замещают код программы, получающей управление при загрузке системы. Таким образом, при перезагрузке управление передается вирусу. При этом оригинальный boot-сектор обычно переносится в какой-либо другой сектор диска.
Макровирусы
Макровирусы являются программами на языках, носящих название макроязыков, , встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов.Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения — Word, Excel и пр.
Скрипт-вирусы
Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, для Windows, для других систем.
Помимо описанных классов, существует большое количество сочетаний: например, файлово-загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Особенности алгоритмов работы вирусов
Разнообразие вирусов позволяет классифицировать их также по особенностям работы их алгоритмов. Об этом стоит поговорить отдельно.
Резидентные вирусы
Вирус находится в оперативной памяти и перехватывает обращения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти, перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения ее работы.
Стелс-вирусы
Стелс-вирусы (невидимки) скрывают факт своего присутствия в системе. Они изменяют информацию таким образом, что файл появляется перед пользователем в незараженном виде, например, временно лечат зараженные файлы.
Полиморфик-вирусы
Полиморфик-вирусы используют шифрование для усложнения процедуры определения вируса. Данные вирусы не содержат постоянных участков кода, что достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Именно поэтому полиморфик-вирус невозможно обнаружить при помощи выявления участков постоянного кода, специфичных для конкретного вируса. Полиморфизм встречается в вирусах всех типов — от загрузочных и файловых DOS-вирусов до Windows-вирусов и даже макровирусов.
Сетевые черви
Вторым типом вредоносных программ являются так называемые сетевые черви, которые размножаются, но не являются частью других файлов. Эти программы для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевых червей является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию.
Сетевые черви подразделяются на Internet-черви (распространяются по Internet путем рассылки своих копий в виде вложений в сообщения e-mail), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты). Существуют также смешанные типы, которые совмещают в себе сразу несколько технологий.
Троянские программы
В отдельную группу вредоносных программ выделяют троянскиепрограммы, которые не размножаются и не рассылаются сами. Троянские программы подразделяют в свою очередь на несколько групп.
Эмуляторы DDoS-атак приводят к атакам на Web-серверы (См. главу, посвященную Internet ), при которых на Web-сервер из разных мест поступает большое количество пакетов, что и приводит к отказам работы системы. Похитители секретной информации воруют информацию.
Утилиты несанкционированного удаленного управления, внедряясь в ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру и возможность управления им. Это программы воруют различную системную информацию и пересылают ее хакерам. Некоторые из этих программ позволяют злоумышленникам получить доступ к какому-либо компьютеру и выполнять на нем различные операции без ведома и участия пользователя компьютера. Существенный интерес для хакеров представляют пароли, то есть хакер может заниматься своими делами, не всегда законными, под чужим именем.
Дроппер (от англ. drop — бросать) – программа, которая “сбрасывает” в систему вирус или другие вредоносные программы, при этом сама больше ничего не делая.
Классификация антивирусных программ
Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения.
Чистый антивирус отличается наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальная особенность в этом случае заключается в возможности лечения. Если вирус известен, значит, возможно лечение. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории — on access и on demand, которые соответственно осуществляют контроль по доступу или проверку по требованию. Например, в терминологии продуктов «Лаборатории Касперского» on access-продукт — это «Монитор», а on demand-продукт — это «Сканер» . Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт — это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
Кроме того, антивирусные программы, так же как и вирусы, можно разделить по платформе.
Понятие “платформа” в антивирусной терминологии немного отличается от общепринятого в компьютерной индустрии. В антивирусной индустрии -платформа — это тот продукт, внутри которого работает антивирус. То есть наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Программы двойного назначения — это программы, используемые и в антивирусах, и в ПО, которое не является антивирусом. Например, CRC-checker — ревизор изменений на основе контрольных сумм (контрольная сумма - итог сложения нескольких битов информации, используемый в качестве критерия при целостности), может использоваться не только для ловли вирусов. Часто, при хранении файлов к комбинации битов, из которых состоит файл, добавляются группы контрольных битов, образующие контрольный байт.
Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.
От классического антивируса с антивирусным ядром, “узнающим” и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом вирус всегда имеет некоторую фору (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
Основные методы определения вирусов, применяемые антивирусными программами.
Алгоритм “сравнение с эталоном”
Самый старый алгоритм — это алгоритм, в котором вирус определяется классическим ядром по некоторой маске. Смысл данного алгоритма заключается в использовании статистических методов.
Алгоритм “контрольной суммы”
Алгоритм контрольной суммы предполагает, что действия вируса изменяют контрольную сумму. Однако синхронные изменения в двух разных сегментах могут привести к тому, что контрольная сумма останется неизменной при изменении файла. Основная задача построения алгоритма состоит в том, чтобы изменения в файле гарантированно приводили к изменению контрольной суммы.
Эвристический анализ
Для того чтобы размножаться, вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор, который является частью антивирусного ядра, содержит список таких действий, просматривая выполняемый код программы, определяет, что она делает и исходя из этого приходит к выводу, является ли данная программа вирусом или нет. Принципиальное отличие эвристического анализатора от поведенческого блокиратора состоит в том, что последний не рассматривает программу как набор команд. Блокиратор отслеживает действия программы в процессе ее работы, а эвристический анализатор начинает работу до выполнения программы. Первый эвристический анализатор появился в начале 90-х годов.
Борьба с вирусами
Для того чтобы обезопасить компьютер от действий вирусов, необходимо придерживаться следующих правил:
·Не использовать автоматический запуск нового электронного письма.
Получив электронное письмо, к которому приложен исполняемый файл, не запускайте этот файл сразу, если не понимаете, что это такое, не слишком хорошо знаете отправителя или не вполне ему доверяете. По электронной почте часто распространяются "троянские кони".Лучшая защита здесь - сохранить вложение как файл, затем проверить его антивирусной программой и лишь затем открыть. .
·Проверять дискеты на вирусы.
Вирусы часто попадают в компьютер с дискет. Поэтому необходимо обязательно проверять антивирусом каждую дискету, вставляемую в дисковод, или запустить резидентную программу, которая будет делать это автоматически при каждом обращении к дискете.
·Регулярно осуществлять резервное копирование информации.
Необходимо регулярно создавать резервные копии хранимой на компьютере информации. При этом нельзя забывать, что сами резервные копии зараженной информации также могут быть заражены. Обнаружив и уничтожив вирус, обязательно сотрите старые копии и создайте новую, “чистую”. Не забудьте также “продезинфицировать” все дискеты, использовавшиеся на зараженной машине.
·Иметь аварийную загрузочную дискету.
Рекомендуется всегда иметь под рукой загрузочную дискету, с которой можно будет загрузиться, если система откажется сделать это обычным образом (увы, некоторые вирусы дают такой эффект). Для этого можно воспользоваться функцией антивирусной программы (она есть практически у всех антивирусов).
·Использовать защиту от макровирусов.
Рекомендуется обезопасить себя при работе с документами Word и Excel и включить встроенную защиту от макровирусов. Для этого нужно выбрать в меню “Сервис” пункт “Параметры”, на странице “Общие” поставить галочку против режима “Защита от вирусов в макросах” и нажать кнопку OK.
·Использовать защиту шаблона Normal в Word.
Большинство макровирусов внедряются в шаблон документов Normal. Например, Word 97, 2000 этот шаблон можно закрыть для изменений. Для этого войдите в редактор Visual Basic ("Сервис"-"Макрос"-"Редактор Visual Basic" или <Alt>+<F11>), выделите в окне проекта (не нашел вWord XP!) проект Normal и выберите в меню "Сервис" пункт "Свойства Normal". Перейдите на закладку "Защита", включите режим "Блокировать просмотр проекта", затем введите и подтвердите пароль. Теперь доступ к Normal.dot закрыт.
·Обязательным условием защиты от вирусов является использование антивирусных программ с постоянным обновлением антивирусных баз этих программ.
Антивирусные программы.
1. Линейка продуктов “Лаборатории Касперского”
1.1. Продукты для малого и среднего бизнеса
1.1. Антивирус Касперского (AVP) Business Optimal предназначен для борьбы с вирусами всех типов в сетях малого и среднего масштаба, содержащих до 100 рабочих станций и использующих в основном однородные операционные среды, и включает следующие элементы:
1.1.1.Антивирус Касперского (AVP) для Windows 95/98/Me и Windows 2000/NT (Wintel) рабочих станций
2.1.1.Антивирус Касперского для OS/2
3.1.1.Антивирус Касперского (AVP) для Linux Workstation
4.1.1.Антивирус Касперского для Windows NT/2000 Server
5.1.1.Антивирус Касперского для Linux Server
6.1.1.Антивирус Касперского для Novell NetWare
7.1.1.Антивирус Касперского для FreeBSD/BSDi UNIX
8.1.1.Антивирус Касперского для Microsoft Exchange Server
9.1.1.Антивирус Касперского (AVP) для Lotus Notes/Domino
10.1.1.Антивирус Касперского (AVP) для Sendmail/Qmail/Postfix
1. для домашних пользователей
1. 1. Антивирус Касперского (AVP) Personal Pro
1. 2. Антивирус Касперского (AVP) Personal
1. 3. Антивирус Касперского (AVP) Lite
1. 4. Антивирус Касперского для Palm OS
1. для корпоративных пользователей
1. Kaspersky Corporate Suite служит для обеспечения полномасштабной структуры компьютерной безопасности для систем корпоративного масштаба.
1. Программный пакет обеспечивает создание независимой от платформенного обеспечения, централизованно управляемой структуры защиты от вирусов и хакерских атак для корпоративных сетей любой топологической сложности, с возможным подключением удаленных участков сети, расположенных на любом конце земного шара.
1. Линейка антивирусных программ от компании «ДиалогНаука»
2.1. Семейство программ Doctor Web
2.1.1. Сканер Doctor Web
· для Windows 95/98/Me/NT/2000;
· для DOS/386 и Windows 3.1x;
· для Novell NetWare;
· для OS/2;
· для Linux/FreeBSD (сканер + daemon).
Cуперсовременный, простой в использовании и исключительно надежный антивирусный сканер, регулярно показывающий отличные результаты в авторитетных международных тестах.
2.1.1. Сторож SpIDer Guard
· для Windows 95/98/Me/NT/2000
Антивирусный сторож нового поколения обеспечивает пользователям максимальный комфорт и безопасность. Постоянно контролируя состояние системы, он не станет беспокоить вас по пустякам, но обязательно предотвратит вторжение компьютерного вируса и при необходимости пресечет вирусную активность.
2.1. Семейство программ ADinf
2.1.1. Ревизор дисков Adinf
· для Windows 95/98/Me/NT/2000;
· для DOS.
Антивирусный ревизор обеспечивает быстрый, полный и исключительно удобный контроль за состоянием файловой системы. В паре со сканером Doctor Web позволяет на 1-2 порядка ускорить процесс сканирования жестких дисков большого объема.
2.1.1. Универсальный лекарь
ADinf Cure Module
· для Windows 3.1x
· для DOS
Лечащий модуль ревизора дисков, позволяющий в подавляющем большинстве случаев восстановить зараженные файлы.
В Интернет существует сайт с информацией о новых вирусах и о приносимых ими непрятностях: Энциклопедия вирусов http://www.viruslist.com. Контрольные вопросы
1. Понятие сервисной программы
2. Операционные оболочки
3. Утилиты; комплект утилит Norton Utilites
4. Программные средства обеспечения сохранности информации: резервированием файлов, восстановлением файлов, применением антивирусных средств
5. Общая характеристика компьютерных вирусов
6. Признаки наличия вирусов
7. Классификация компьютерных вирусов
8. Борьба с вирусами
9. Методы защиты от компьютерных вирусов
10. Антивирусные программы
11. Наиболее известные антивирусные программы