Класифікація антивірусних засобів. Антивірусні програми. Класифікація вірусів Класифікація вірусів та антивірусного програмного забезпечення

шкідливий програма антивірусне зараження

Для своєї успішної роботи вірусам необхідно перевіряти, чи файл вже зараженим (цим самим вірусом). Так вони уникають самознищення. Для цього віруси використовують сигнатуру. Більшість звичайних вірусів (включаючи макровіруси) використовує символьні сигнатури. Складніші віруси (поліморфні) використовують сигнатури алгоритмів. Незалежно від типу сигнатури вірусу антивірусні програми використовують їх виявлення «комп'ютерних інфекцій». Після цього антивірусна програма намагається знищити виявлений вірус. Однак цей процес залежить від складності вірусу та якості антивірусної програми. Як уже говорилося, найбільш складно виявити троянських коней та поліморфні віруси. Перші не додають своє тіло до програми, а впроваджують всередину неї. З іншого боку, антивірусні програми повинні витратити чимало часу, щоб визначити сигнатуру поліморфних вірусів. Справа в тому, що їхні сигнатури змінюються з кожною новою копією.

Для виявлення, видалення та захисту від комп'ютерних вірусів існують спеціальні програми, які називаються антивірусними. Сучасні антивірусні програми є багатофункціональними продуктами, що поєднують у собі як профілактичні засоби, так і засоби лікування вірусів і відновлення даних.

Кількість та різноманітність вірусів велика, і щоб їх швидко та ефективно виявити, антивірусна програма повинна відповідати деяким параметрам:

1. Стабільність та надійність роботи.

2. Розміри вірусної бази програми (кількість вірусів, які правильно визначаються програмою): з урахуванням постійної появи нових вірусів, база даних повинна регулярно оновлюватися.

3. Можливість програми визначати різноманітні типи вірусів, та вміння працювати з файлами різних типів (архіви, документи).

4. Наявність резидентного монітора, що здійснює перевірку всіх нових файлів «на льоту» (тобто автоматично, у міру їхнього запису на диск).

5. Швидкість роботи програми, наявність додаткових можливостей типу алгоритмів визначення навіть невідомих програм вірусів (евристичне сканування).

6. Можливість відновлювати заражені файли, не стираючи їх із жорсткого диска, лише видаливши з них віруси.

7. Відсоток помилкових спрацьовувань програми (помилкове визначення вірусу в «чистому» файлі).

8. Кросплатформенність (наявність версій програми під різні операційні системи).

Класифікація антивірусних програм:

1. Програми-детектори забезпечують пошук та виявлення вірусів в оперативній пам'яті та на зовнішніх носіях, і при виявленні видають відповідне повідомлення. Розрізняють детектори:

Універсальні - використовують у своїй роботі перевірку незмінності файлів шляхом підрахунку та порівняння з еталоном контрольної суми;

Спеціалізовані - виконують пошук відомих вірусів за їх сигнатурою (ділянку коду, що повторюється).

2. Програми-доктора (фаги) як знаходять заражені вірусами файли, а й «лікують» їх, тобто. видаляють із файлу тіло програми вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто. програми-лікарі, призначені для пошуку та знищення великої кількості вірусів.

3. Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора.

4. Програми-фільтри (сторожі) є невеликими резидентними програмами, призначеними для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

Спроби корекції файлів із розширеннями СОМ та ЕХЕ;

Зміна атрибутів файлів;

Прямий запис на диск за абсолютною адресою;

Запис у завантажувальні сектори диска;

5. Програми-вакцини (імунізатори) - це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які «лікують» цей вірус. Вакцинація можлива лише від відомих вірусів Безруков Н. Комп'ютерна вірусологія: Підручник [Електронний ресурс]: http://vx.netlux.org/lib/anb00.html.

Насправді архітектура антивірусних програм набагато складніша і залежить від конкретного розробника. Але один факт незаперечний: усі технології, про які я розповідав, настільки тісно переплелися один в одному, що часом неможливо зрозуміти, коли в хід пускаються одні та починають працювати інші. Подібна взаємодія антивірусних технологій дозволяє найбільш ефективно використовувати їх у боротьбі з вірусами. Але не варто забувати, що не існує ідеального захисту, і єдиний спосіб застерегти себе від подібних проблем - постійні оновлення ОС, добре налаштований файрволл, антивірус, що часто оновлюється, і - головне - не запускати/завантажувати підозрілі файли з інтернету.

Користувач сучасного персонального комп'ютера має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість існування небезпеки, яка отримала назву комп'ютерного вірусу.

Комп'ютерним вірусом називається спеціально написана програма, здатна мимоволі приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера та обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення різноманітних перешкод у роботі на комп'ютері. Залежно від довкілля віруси можна розділити на мережні, файлові, завантажувальні, файлово-завантажувальні, макровіруси та троянські програми.

  • Мережеві вірусипоширюються різними комп'ютерними мережами.
  • Файлові вірусивпроваджуються головним чином виконувані модулі. Файлові віруси можуть впроваджуватися й інші типи файлів, але, зазвичай, записані у таких файлах, вони будь-коли отримують управління і, отже, втрачають здатність до розмноження.
  • Завантажувальні вірусивпроваджуються в завантажувальний сектор диска (Boot-сектор) або сектор, що містить програму завантаження системного диска (Master Boot Record).
  • Файлово-завантажувальні вірусизаражають як файли, і завантажувальні сектори дисків.
  • Макровірусинаписані мовами високого рівня і вражають файли документів додатків, які мають вбудовані мови автоматизації (макромови), такі, наприклад, як сімейства Microsoft Office.
  • Троянські програми, маскуючись під корисні програми, є джерелом зараження комп'ютера вірусами.

Для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які дозволяють виявляти та знищувати віруси. Такі програми називають антивірусними. Розрізняють такі види антивірусних програм:

  • - Програми-детектори;
  • - програми-лікарі, або фаги;
  • - Програми-ревізори;
  • - Програми-фільтри;
  • - Програми-вакцини, або імунізатори.

Програми-детекториздійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті та у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити ті віруси, які відомі розробникам таких програм.

Програми-лікарі, або фаги, а також програми-вакцинияк знаходять заражені вірусами файли, а й «лікують» їх, т. е. видаляють з файлу тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, Т. е. Програми-лікарі, призначені для пошуку н знищення великої кількості вірусів. Найбільш відомі з них: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

У зв'язку з тим, що постійно з'являються нові віруси, програми-детектори та програми-лікарі швидко застарівають, і потрібне регулярне оновлення версій.

Програми-ревізоривідносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата та час модифікації та інші параметри. Програми-ревізори мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми, що перевіряється від змін, внесених вірусом. До програм-ревізорів належить широко поширена програма Kaspersky Monitor.

Програми-фільтриабо «сторожа» є невеликими резидентними програмами, призначеними для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

  • - Спроби корекції файлів з розширеннями СОМ. ЄХЕ;
  • - Зміна атрибутів файлу;
  • - Прямий запис на диск за абсолютною адресою;
  • - запис у завантажувальні сектори диска;

При спробі будь-якої програми зробити зазначені дії «сторож» надсилає користувачеві повідомлення та пропонує заборонити чи дозволити відповідну дію. Програми-фільтри дуже корисні. оскільки здатні виявити вірус на ранній стадії його існування, до розмноження. Однак вони не «лікують» файли та диски.

Для знищення вірусів потрібно застосувати інші програми, наприклад, фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання файлу, що виконується), а також можливі конфлікти з іншим програмним забезпеченням.

Вакцини або імунізатори- Це резидентні програми. що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які «лікують» цей вірус. Вакцинація можлива лише від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів кожному комп'ютері дозволяють уникнути поширення вірусної епідемії інші комп'ютери.

Незважаючи на те, що загальні засоби захисту інформації та профілактичні заходи дуже важливі для захисту від вірусів, необхідне застосування спеціалізованих програм. Ці програми можна поділити на кілька видів:

  • ? Програми-детектори перевіряють, чи є у файлах на диску специфічна комбінація байтів (сигнатура) для відомого вірусу та повідомляють про це користувачеві (VirusScan/SCAN/фірми McAfee Associates).
  • ? Програми-лікарі або фаги «лікують» заражені програми, «викушуючи» із заражених програм тіло вірусу, як з відновленням, так і без відновлення довкілля (зараженого файлу) - модуль програми SCAN, що лікує, - програма CLEAN.
  • ? Програми доктора-детектори (Aidstest Лозинського, Doctor Web Данилова, MSAV, Norton Antivirus, AVP Касперського) здатні визначити наявність відомого вірусу на диску та зцілити заражений файл. Найпоширеніша група антивірусних програм на сьогоднішній день.

У найпростішому випадку команда перевірки вмісту диска на наявність вірусів має вигляд: aidstest /ключ1/ключ 2 /ключ 3 /---

  • ? Програми-фільтри (сторожі) розташовуються резидентно в оперативній пам'яті ПК та перехоплюють ті звернення до операційної системи, які використовуються вірусами для розмноження та завдання шкоди та повідомляють про них користувачу:
  • - Спроба зіпсувати головний файл OS COMMAND.COM;
  • - Спроба прямого запису на диск (попередній запис видаляється), при цьому видається повідомлення, що якась програма намагається копіювати на диск;
  • - форматування диска,
  • - резидентне розміщення програми у пам'яті.

Виявивши спробу однієї з цих дій, програма-фільтр видає користувачеві опис ситуації та вимагає від нього підтвердження. Користувач може дозволити чи заборонити виконання цієї операції. Контроль дій, притаманний вірусів, здійснюється шляхом заміни обробників відповідних переривань. До недоліків цих програм можна віднести настирливість (сторож, наприклад, видає попередження про будь-яку спробу копіювання файлу, що виконується), можливі конфлікти з іншим програмним забезпеченням, обхід сторожів деякими вірусами. Приклади фільтрів: Anti4us, Vsafe, Disk Monitor.

Слід зазначити, що на сьогоднішній день багато програм класу доктор-детектор ще й мають резидентний модуль - фільтр (сторож), наприклад, DR Web, AVP, Norton Antivirus. Таким чином, такі програми можна класифікувати як доктор-детектор-сторж.

  • ? Апаратно-програмні антивірусні засоби (Апаратно-програмний комплекс Sheriff). В одному ряду з програмами-сторожами стоять апаратно-програмні антивірусні засоби, що забезпечують надійніший захист від проникнення вірусу в систему. Такі комплекси складаються із двох частин: апаратної, яка встановлюється у вигляді мікросхеми на Материнську плату та програмної, що записується на диск. Апаратна частина (контролер) відстежує всі операції запису на диск, програмна частина, перебуваючи в оперативній пам'яті резидентно, відстежує всі операції введення/виведення інформації. Однак можливість застосування цих засобів вимагає уважного розгляду з точки зору конфігурації додаткового обладнання, що використовується на ПК, наприклад, дискових контролерів, модемів або мережевих плат.
  • ? Програми-ревізори (Adinf/Advanced Disk infoscope/c лікувальним блоком ADinf Cure Module Мостового). Програми-ревізори мають дві стадії роботи. Спочатку вони запам'ятовують відомості про стан програм та системних областей дисків (завантажувального сектора та сектора з таблицею розбиття жорсткого диска на логічні розділи). Передбачається, що в цей момент програми та системні області дисків не заражені. Потім при порівнянні системних областей та дисків з вихідними у разі виявлення невідповідності повідомляється користувачеві. Програми-ревізори здатні виявити невидимі (STEALTH) віруси. Перевірка довжини файлу недостатня, деякі віруси змінюють довжину заражених файлів. Більш надійна перевірка - прочитати весь файл і визначити його контрольну суму (побитно). Змінити весь файл так, щоб його контрольна сума залишилася незмінною, практично неможливо. До незначних недоліків ревізорів можна віднести те, що для безпеки вони повинні використовуватися регулярно, наприклад, щодня викликатися з файлу AUTOEXEC.BAT. Але безперечними перевагами є висока швидкість перевірок і те, що вони не вимагають частого оновлення версій. Версії ревізора навіть піврічної давності надійно виявляють та видаляють сучасні віруси.
  • ? Програми-вакцини чи імунізатори (CPAV). Програми-вакцини модифікують програми та диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого виробляється вакцинація, вважає ці програми та диски вже зараженими. Робота цих програм недостатньо ефективна.

Умовно стратегію захисту від вірусу можна визначити як багаторівневу «ешелоновану» оборону. Структурно це може мати такий вигляд. Засобам розвідки в «обороні» від вірусів відповідають програми-детектори, що дозволяють визначати новостворене програмне забезпечення на наявність вірусів. На передньому краї оборони знаходяться програми-фільтри, які знаходяться резидентно в пам'яті комп'ютера. Ці програми можуть першими повідомити про роботу вірусу. Другий ешелон «оборони» становлять програми-ревізори. Ревізори виявляють напад вірусу навіть тоді, коли він зумів проникнути через передній край оборони. Програми-лікарі використовуються для відновлення заражених програм, якщо копії зараженої програми немає в архіві, але вони не завжди лікують правильно. Лікарі-ревізори виявляють напад вірусу та лікують заражені програми, причому контролюють правильність лікування. Найглибший ешелон оборони – це засоби розмежування доступу. Вони не дозволяють вірусам та неправильно працюючим програмам, навіть якщо вони проникли в ПК, зіпсувати важливі дані. У «стратегічному резерві» є архівні копії інформації та «еталонні» дискети з програмними продуктами. Вони дозволяють відновити інформацію у разі її пошкодження.

Шкідливі дії вірусів кожного типу можуть бути найрізноманітнішими. Це і видалення важливих файлів або навіть "прошивки" BIOS, і передача особистої інформації, наприклад паролів, за певною адресою, організація несанкціонованих розсилок електронної пошти та атак на деякі сайти. Можливий і запуск телефонного дзвінка через стільниковий телефон на платні номери. Утиліти прихованого адміністрування (backdoor) здатні навіть передати зловмисникові всю повноту управління комп'ютером. На щастя, з усіма цими бідами можна успішно боротися, і основною зброєю у цій боротьбі буде, звісно, ​​антивірусне програмне забезпечення.

Антивірус Касперського. Мабуть, «Антивірус Касперського» - найвідоміший у Росії продукт цього, а прізвище «Касперський» стало синонімом борця зі шкідливими кодами. Однойменна лабораторія не тільки постійно випускає нові версії свого захисного програмного забезпечення, але й веде просвітницьку роботу серед користувачів комп'ютерів. Найсвіжіша, дев'ята версія «Антивіруса Касперського», як і попередні релізи, відрізняється простим і максимально прозорим інтерфейсом, що поєднує всі необхідні утиліти в одному вікні. Завдяки майстру установки та інтуїтивно зрозумілим пунктам меню налаштувати цей продукт здатний навіть користувач-початківець. Потужність алгоритмів, що використовуються, задовольнить і професіоналів. З детальним описом кожного з виявлених вірусів можна ознайомитись, викликавши відповідну сторінку в Інтернеті безпосередньо із програми.

Dr. Web. Ще один популярний російський антивірус, який змагається за популярністю з «Антивірусом Касперського», - Dr. Web. Його ознайомча версія має цікаву особливість: вона вимагає обов'язкової реєстрації через Інтернет. З одного боку, це дуже добре - відразу після реєстрації проводиться оновлення антивірусних баз і користувач отримує нові дані про сигнатури. З іншого боку, встановити ознайомлювальну версію автономно неможливо, та й, як показав досвід, при нестійкому поєднанні неминучі проблеми.

Panda Antivirus + Firewall 2007. Комплексне рішення в області комп'ютерної безпеки - пакет Panda Antivirus + Firewall 2007 - включає крім антивірусної програми брандмауер, що відстежує мережеву активність. Інтерфейс основного вікна програми вирішений в «природних» зелених тонах, але, незважаючи на зовнішню привабливість, система переходів по меню вибудувана незручно, і користувач може цілком заплутатися в налаштуваннях.

Пакет Panda містить відразу кілька оригінальних рішень, таких як фірмова технологія пошуку невідомих загроз TruePrevent, заснована на найсучасніших евристичних алгоритмах. Варто звернути увагу і на утиліту пошуку вразливих місць комп'ютера – вона оцінює небезпеку «дір» у системі безпеки та пропонує завантажити необхідні оновлення.

Norton Antivirus 2005. Основне враження від продукту знаменитої компанії Symantec – антивірусного комплексу Norton Antivirus 2005 – його орієнтація на потужні обчислювальні системи. Реакція інтерфейсу Norton Antivirus 2005 на дії користувача відчутно запізнюється. Крім того, при інсталяції вона висуває досить жорсткі вимоги до версій операційної системи та Internet Explorer. На відміну від Dr.Web, Norton Antivirus не вимагає обов'язкового оновлення вірусних баз під час встановлення, але про те, що вони застаріли, буде нагадувати протягом усього часу роботи.

McAfee VirusScan. Цікавий антивірусний продукт, який, як запевняють розробники, сканером № 1 у світі - McAfee VirusScan, - ми вибрали для випробувань тому, що в ряді аналогічних додатків він виділявся великим розміром дистрибутива (більше 40 Мбайт). Вважаючи, що така величина обумовлена ​​широким функціоналом, ми приступили до інсталяції і виявили, що крім антивірусного сканера до нього входять брандмауер, а також утиліти очищення жорсткого диска та гарантованого видалення об'єктів з вінчестера (файл-шреддер).

Питання до розділів 6 та 7

  • 1. Етапи розвитку засобів та технологій інформаційної безпеки.
  • 2. Складові стандартної моделі безпеки.
  • 3. Джерела загроз безпеці та їх класифікація.
  • 4. Ненавмисні загрози інформаційної безпеки.
  • 5. Умисні загрози інформаційної безпеки.
  • 6. Класифікація каналів витоку інформації.
  • 7. Регулювання проблем інформаційної безпеки.
  • 8. Структура державної системи захисту.
  • 9. Методи та засоби захисту інформації.
  • 10. Класифікація загроз для безпеки даних.
  • 11. Методи захисту від вірусів.
  • 12. Методи контролю цілісності.
  • 13. Класифікація комп'ютерних вірусів.
  • 14. Засоби захисту від вірусів.
  • 15. Профілактичні антивірусні заходи.
  • 16. Класифікація програмних антивірусних продуктів.

Основні методи визначення вірусів

нтивірусні програми розвивалися паралельно з еволюцією вірусів. У міру того, як з'являлися нові технології створення вірусів, ускладнювався і математичний апарат, який використовувався в розробці антивірусів.

Перші антивірусні алгоритми будувалися з урахуванням порівняння з еталоном. Йдеться про програми, в яких вірус визначається класичним ядром за деякою маскою. Сенс алгоритму полягає у використанні статистичних методів. Маска повинна бути, з одного боку, маленькою, щоб обсяг файлу був прийнятних розмірів, а з іншого досить великий, щоб уникнути помилкових спрацьовувань (коли «свій» сприймається як «чужий», і навпаки).

Перші антивірусні програми, побудовані за цим принципом (так звані сканери-поліфаги), знали кілька вірусів і вміли їх лікувати. Створювалися ці програми так: розробник, отримавши код вірусу (код вірусу спочатку був статичен), становив з цього коду унікальну маску (послідовність 10-15 байт) і вносив їх у базу даних антивірусної програми. Антивірусна програма сканувала файли і, якщо знаходила цю послідовність байтів, робила висновок у тому, що файл інфікований. Ця послідовність (сигнатура) вибиралася таким чином, щоб вона була унікальною і не зустрічалася у звичайному наборі даних.

Описані підходи використовували більшість антивірусних програм аж до середини 90-х років, коли з'явилися перші поліморфні віруси, які змінювали своє тіло за непередбачуваними заздалегідь алгоритмами. Тоді сигнатурний метод був доповнений так званим емулятор процесора, що дозволяє знаходити шифруються і поліморфні віруси, що не мають у явному вигляді постійної сигнатури.

Принцип емуляції процесора демонструється на рис. 1 . Якщо звичайно умовний ланцюжок складається з трьох основних елементів: ЦПУ®ОС®Програма, то при емуляції процесора до такого ланцюжка додається емулятор. Емулятор відтворює роботу програми в деякому віртуальному просторі і реконструює її оригінальний вміст. Емулятор завжди здатний перервати виконання програми, контролює її дії, не даючи нічого зіпсувати, і викликає антивірусне ядро, що сканує.

Другий механізм, що з'явився в середині 90-х років і використовується всіма антивірусами, це евристичний аналіз. Справа в тому, що апарат емуляції процесора, який дозволяє отримати вичавки дій, що здійснюються аналізованою програмою, не завжди дає можливість здійснювати пошук за цими діями, але дозволяє зробити деякий аналіз і висунути гіпотезу типу «вірус чи вірус?».

У разі прийняття рішення грунтується на статистичних підходах. А відповідна програма називається евристичним аналізатором.

Для того, щоб розмножуватися, вірус повинен здійснювати будь-які конкретні дії: копіювання на згадку про пам'ять, запис в секторі і т.д. Евристичний аналізатор (він є частиною антивірусного ядра) містить список таких дій, переглядає код програми, що виконується, визначає, що вона робить, і на основі цього приймає рішення, є дана програма вірусом чи ні.

При цьому відсоток пропуску вірусу, навіть невідомого антивірусної програми, дуже малий. Ця технологія зараз широко використовується у всіх антивірусних програмах.

Класифікація антивірусних програм

ласифікуються антивірусні програми на чисті антивіруси та антивіруси подвійного призначення (рис. 2).

Чисті антивіруси відрізняються наявністю антивірусного ядра, яке виконує функцію сканування за зразками. Принциповим у разі є те, що можливе лікування, якщо відомий вірус. Чисті антивіруси, у свою чергу, на кшталт доступу до файлів поділяються на дві категорії: здійснюють контроль за доступом (on access) або на вимогу користувача (on demand). Зазвичай on access-продукти називають моніторами, а on demand-продукти – сканерами.

Оn demand-продукт працює за такою схемою: користувач хоче щось перевірити і видає запит (demand), після чого здійснюється перевірка. On access-продукт - це резидентна програма, яка відстежує доступ і в момент доступу здійснює перевірку.

Крім того, антивірусні програми, як і віруси, можна розділити залежно від платформи, всередині якої даний антивірус працює. У цьому сенсі поряд із Windows або Linux до платформ можуть бути віднесені Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Програми подвійного призначення - це програми, що використовуються як в антивірусах, так і в ПЗ, яке не є антивірусом. Наприклад, CRC-checker – ревізор змін на основі контрольних сум – може використовуватися не тільки для лову вірусів. Різновидом програм подвійного призначення є поведінкові блокатори, які аналізують поведінку інших програм та при виявленні підозрілих дій блокують їх. Від класичного антивірусу з антивірусним ядром, що розпізнає та лікує від вірусів, які аналізувалися в лабораторії і яким було прописано алгоритм лікування, поведінкові блокатори відрізняються тим, що лікувати від вірусів вони не вміють, оскільки нічого про них не знають. Дана властивість блокаторів дозволяє їм працювати з будь-якими вірусами, у тому числі і з невідомими. Це сьогодні набуває особливої ​​актуальності, оскільки розповсюджувачі вірусів та антивірусів використовують одні й самі канали передачі даних, тобто Інтернет. При цьому антивірусній компанії завжди потрібен час на те, щоб отримати сам вірус, проаналізувати його та написати відповідні лікувальні модулі. Програми з групи подвійного призначення таки дозволяють блокувати поширення вірусу до того моменту, поки компанія не напише лікувальний модуль.

Огляд найпопулярніших персональних антивірусів

Огляд увійшли найпопулярніші антивіруси для персонального використання п'яти відомих розробників. Слід зазначити, що деякі з розглянутих нижче компаній пропонують кілька версій персональних програм, що різняться за функціональністю та відповідно за ціною. У нашому огляді ми розглянули по одному продукту від кожної компанії, вибравши найбільш функціональну версію, яка зазвичай називається Personal Pro. Інші варіанти персональних антивірусів можна знайти на відповідних веб-сайтах.

Антивірус Касперського

Personal Pro v. 4.0

Розробник: "Лабораторія Касперського". Web-сайт: http://www.kaspersky.ru/. Ціна 69 дол. (ліцензія на 1 рік).

Антивірус Касперського Personal Pro (рис. 3) - одне з найбільш популярних рішень на російському ринку і містить цілу низку унікальних технологій.

Поведінковий блокатор модуль Office Guard контролює виконання макросів, припиняючи всі підозрілі дії. Наявність модуля Office Guard дає стовідсотковий захист від макровірусів.

Ревізор Inspector відстежує всі зміни на вашому комп'ютері та, якщо ви знайдете несанкціоновані зміни у файлах або системному реєстрі, дозволяє відновити вміст диска та видалити шкідливі коди. Inspector не вимагає оновлення антивірусної бази: контроль цілісності здійснюється на основі зняття оригінальних відбитків файлів (CRC-сум) та їх подальшого порівняння зі зміненими файлами. На відміну від інших ревізорів, Inspector підтримує всі найбільш популярні формати файлів, що виконуються.

Евристичний аналізатор дозволяє захистити комп'ютер навіть від невідомих вірусів.

Фоновий перехоплювач вірусів Monitor, що постійно присутній у пам'яті комп'ютера, проводить антивірусну перевірку всіх файлів безпосередньо в момент їх запуску, створення або копіювання, що дозволяє контролювати всі файлові операції та запобігати зараженню навіть технологічно досконалими вірусами.

Антивірусна фільтрація електронної пошти запобігає можливості проникнення вірусів на комп'ютер. Модуль Mail Checker, що вбудовується, не тільки видаляє віруси з тіла листа, але і повністю відновлює оригінальний вміст електронних листів. Комплексна перевірка поштової кореспонденції не дозволяє вірусу сховатися в жодному з елементів електронного листа за рахунок перевірки всіх ділянок вхідних та вихідних повідомлень, включаючи прикріплені файли (у тому числі архівовані та упаковані) та інші повідомлення будь-якого рівня вкладеності.

Антивірусний сканер Scanner дозволяє проводити повномасштабну перевірку всього вмісту локальних та мережевих дисків на вимогу.

Перехоплювач скрипт-вірусів Script Checker забезпечує антивірусну перевірку всіх скриптів, що запускаються, до того, як вони будуть виконані.

Підтримка архівованих та компресованих файлів забезпечує можливість видалення шкідливого коду із зараженого компресованого файлу.

Ізоляція інфікованих об'єктів забезпечує ізоляцію заражених та підозрілих об'єктів з подальшим їх переміщенням до спеціально організованої директорії для подальшого аналізу та відновлення.

Автоматизація антивірусного захисту дозволяє створювати розклад та порядок роботи компонентів програми; автоматично завантажувати та підключати нові оновлення антивірусної бази через Інтернет; розсилати попередження про виявлені вірусні атаки електронною поштою тощо.

Norton AntiVirus 2003 Professional Edition

Розробник: Компанія Symantec. Web-сайт: http://www.symantec.ru/.

Ціна 89,95 євро.

Програма працює під керуванням Windows 95/98/Me/NT4.0/2000 Pro/XP.

Ціна 39,95 дол.

Програма працює під керуванням Windows 95/98/Me/NT4.0/2000 Pro/XP.

Антивірусний захист – найпоширеніший захід для забезпечення інформаційної безпеки ІТ-інфраструктури в корпоративному секторі. Однак лише 74% російських компаній застосовують антивірусні рішення для захисту, показало дослідження, проведене Лабораторією Касперського спільно з аналітичною компанією B2B International (осінь 2013 року).

У звіті також йдеться про те, що на тлі вибухового зростання кіберзагроз, від яких компанії захищаються простими антивірусами, російський бізнес починає все частіше використовувати комплексні інструменти захисту. Багато в чому на 7% збільшилося застосування засобів шифрування даних на знімних носіях (24%). Крім того, компанії стали охочіше розмежовувати безпекові політики для знімних пристроїв. Збільшилося і розмежування рівня доступу до різних ділянок ІТ-інфраструктури (49%). При цьому компанії малого та середнього бізнесу приділяють більшу увагу контролю знімних пристроїв (35%) та контролю додатків (31%).

Дослідники також виявили, що, незважаючи на постійне виявлення нових вразливостей у програмному забезпеченні, російські компанії все ще не приділяють належної уваги регулярному оновленню програмного забезпечення. Більше того, кількість організацій, які займаються встановленням виправлень, знизилася порівняно з минулим роком, і становила лише 59%.

Сучасні антивірусні програми здатні ефективно виявляти шкідливі об'єкти усередині файлів програм та документів. У деяких випадках антивірус може видалити тіло шкідливого об'єкта із зараженого файлу, відновивши файл. Найчастіше антивірус здатний видалити шкідливий програмний об'єкт як з програмного файла, а й із файлу офісного документа, не порушивши його цілісність. Використання антивірусних програм не вимагає високої кваліфікації та доступне практично будь-якому користувачеві комп'ютера.

Більшість антивірусних програм поєднує функції постійного захисту (антивірусний монітор) і функції захисту на вимогу користувача (антивірусний сканер).

Рейтинг антивірусів

2019: Дві третини антивірусів для Android виявилися марними

У березні 2019 року австрійська лабораторія AV-Comparatives, що спеціалізується на тестуванні антивірусного софту, опублікувала результати дослідження, які показали марність більшість подібних програм для Android.

Лише 23 антивіруса, розміщеного в офіційному каталозі Google Play Store, точно розпізнають шкідливі програми у 100% випадків. Решта софт або не реагує на мобільні загрози, або приймає за них абсолютно безпечні програми.

Фахівці вивчили 250 антивірусів і повідомили, що лише 80% з них можуть виявляти понад 30% шкідників. Таким чином, 170 програм провалили тест. До продуктів, які впоралися з випробуваннями, увійшли в основному рішення великих виробників, включаючи Avast, Bitdefender, ESET, F-Secure, G-Data, «Лабораторію Касперського», McAfee, Sophos, Symantec, Tencent, Trend Micro і Trustwave.

В рамках експерименту дослідники встановили кожну антивірусну програму на окремий пристрій (без емулятора) і автоматизували апарати на запуск браузера, завантаження та подальшу установку шкідливого ПЗ. Кожен пристрій був протестований на прикладі 2 тис. найпоширеніших у 2018 році Android-вірусів.

Згідно з розрахунками AV-Comparatives більшість антивірусних рішень для Android є підробками. Десятки додатків мають практично ідентичний інтерфейс, а їх творців явно більше цікавить показ реклами, ніж написання чинного антивірусного сканера.

Деякі антивіруси «бачать» загрозу в будь-якій програмі, яка не внесена до їхнього «білого списку». Через це вони, у ряді зовсім анекдотичних випадків, піднімали тривогу через свої власні файли, оскільки розробники забули згадати їх у «білому списку».

2017: Microsoft Security Essentials визнаний одним із найгірших антивірусів

У жовтні 2017 року німецька антивірусна лабораторія AV-Test опублікувала результати комплексного тестування антивірусів. За даними дослідження, фірмове програмне забезпечення Microsoft, призначене для захисту від шкідливої ​​активності, майже найгірше справляється зі своїми обов'язками.

За результатами випробувань, проведених у липні-серпні 2017 року, експерти AV-Test назвали найкращим антивірусом для Windows 7 рішення Kaspersky Internet Security, яке отримало 18 балів при оцінці рівня захисту, продуктивності та зручності використання.

У трійку лідерів увійшли програми Trend Micro Internet Security та Bitdefender Internet Security, які заробили по 17,5 балів. Про стан продуктів інших антивірусних компаній, які потрапили в дослідження, можна дізнатися з ілюстрацій нижче:

Багато сканерах використовуються також алгоритми евристичного сканування, тобто. аналіз послідовності команд у об'єкті, що перевіряється, набір деякої статистики і прийняття рішення для кожного об'єкта, що перевіряється.

Сканери також можна розділити на дві категорії – універсальні та спеціалізовані. Універсальні сканери розраховані на пошук та знешкодження всіх типів вірусів незалежно від операційної системи, на роботу в якій розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженої кількості вірусів або лише одного їх класу, наприклад макро-вірусів.

Сканери також поділяються на резидентні (монітори), що проводять сканування на льоту, та нерезидентні, що забезпечують перевірку системи лише за запитом. Як правило, резидентні сканери забезпечують надійніший захист системи, оскільки вони негайно реагують на появу вірусу, в той час як нерезидентний сканер здатний пізнати вірус лише під час чергового запуску.

CRC-сканери

Принцип роботи CRC-сканерів ґрунтується на підрахунку CRC-сум (контрольних сум) для присутніх на диску файлів/системних секторів. Ці CRC-суми потім зберігаються в базі даних антивірусу, як, втім, і інша інформація: довжини файлів, дати їх останньої модифікації і т.д. При наступному запуску CRC-сканери звіряють дані, що містяться в базі даних, з реально підрахованими значеннями. Якщо інформація про файл, записана в базі даних, не збігається з реальними значеннями, то CRC-сканери сигналізують про те, що файл змінено або заражено вірусом.

CRC-сканери не здатні зловити вірус у момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся комп'ютером. CRC-сканери не можуть визначити вірус у нових файлах (в електронній пошті, на дискетах, у файлах, що відновлюються з backup або під час розпакування файлів з архіву), оскільки в їх базах даних відсутня інформація про ці файли. Більше того, періодично з'являються віруси, які використовують цю слабкість CRC-сканерів, заражають тільки файли, що створюються, і залишаються, таким чином, невидимими для них.

Блокувальники

Антивірусні блокувальники - це резидентні програми, що перехоплюють вірусно-небезпечні ситуації та повідомляють про це користувачеві. До вірусо-небезпечних відносяться виклики на відкриття для запису у виконувані файли, запис у boot-сектора дисків або MBR вінчестера, спроби програм залишитися резидентно і т.д., тобто виклики, які характерні для вірусів у моменти з розмноження.

До переваг блокувальників відноситься їх здатність виявляти і зупиняти вірус на ранній стадії його розмноження. До недоліків відносяться існування шляхів обходу захисту блокувальників та велика кількість помилкових спрацьовувань.

Імунізатори

Імунізатори поділяються на два типи: імунізатори, що повідомляють про зараження, та імунізатори, що блокують зараження. Перші зазвичай записуються наприкінці файлів (за принципом файлового вірусу) і запуску файлу щоразу перевіряють його за зміну. Недолік таких імунізаторів лише один, але він летальний: абсолютна нездатність повідомити про зараження стелс-вірусом. Тому такі імунізатори, як і блокувальники, практично не використовуються нині.

Другий тип імунізації захищає систему від ураження вірусом певного виду. Файли на дисках модифікуються таким чином, що вірус сприймає їх за вже заражені. Для захисту від резидентного вірусу на згадку про комп'ютер заноситься програма, що імітує копію вірусу. Під час запуску вірус натикається на неї і вважає, що система вже заражена.

Такий тип імунізації може бути універсальним, оскільки не можна імунізувати файли від усіх відомих вірусів.

Класифікація антивірусів за ознакою змінюваності у часі

На думку Валерія Конявського, антивірусні кошти можна розділити на дві великі групи - аналізують дані та аналізують процеси.

Аналіз даних

До аналізу даних відносяться ревізори та поліфаги. Ревізори аналізують наслідки діяльності комп'ютерних вірусів та інших шкідливих програм. Наслідки проявляються у зміні даних, які не повинні змінюватися. Саме факт зміни даних є ознакою діяльності шкідливих програм з погляду ревізора. Іншими словами, ревізори контролюють цілісність даних та за фактом порушення цілісності приймають рішення про наявність у комп'ютерному середовищі шкідливих програм.

Поліфаги діють інакше. Вони на основі аналізу даних виділяють фрагменти шкідливого коду (наприклад, за його сигнатурою) і на цій основі роблять висновок про наявність шкідливих програм. Видалення або лікування уражених вірусом даних дозволяє запобігти негативним наслідкам виконання шкідливих програм. Таким чином, на основі аналізу у статиці попереджаються наслідки, що виникають у динаміці.

Схема роботи і ревізорів, і поліфагів практично однакова - порівняти дані (або їхню контрольну суму) з одним або декількома еталонними зразками. Дані порівнюються із даними. Таким чином, для того, щоб знайти вірус у своєму комп'ютері, потрібно, щоб він уже спрацював, щоб з'явилися наслідки його діяльності. Цим способом можна знайти тільки відомі віруси, для яких описані фрагменти коду або сигнатури. Навряд чи такий захист можна назвати надійним.

Аналіз процесів

Дещо по-іншому працюють антивірусні засоби, засновані на аналізі процесів. Евристичні аналізатори, як і вищеописані, аналізують дані (на диску, у каналі, у пам'яті тощо.). Принципова відмінність полягає в тому, що аналіз проводиться у припущенні, що аналізований код - це не дані, а команди (у комп'ютерах з фон-нейманівською архітектурою дані та команди невиразні, у зв'язку з цим при аналізі і доводиться висувати те чи інше припущення.)

Евристичний аналізатор виділяє послідовність операцій, кожній з них присвоює деяку оцінку небезпеки і за сукупністю небезпеки приймає рішення про те, чи ця послідовність операцій є частиною шкідливого коду. Сам код у своїй не виконується.

Іншим видом антивірусних засобів, що базуються на аналізі процесів, є поведінкові блокатори. У цьому випадку підозрілий код виконується поетапно до тих пір, поки сукупність дій, що ініціюються, дій не буде оцінена як небезпечна (або безпечна) поведінка. Код при цьому виконується частково, оскільки завершення шкідливого коду можна буде виявити простішими методами аналізу даних.

Технології виявлення вірусів

Технології, які застосовуються в антивірусах, можна розбити на дві групи:

  • Технології сигнатурного аналізу
  • Технології імовірнісного аналізу

Технології сигнатурного аналізу

Сигнатурний аналіз - метод виявлення вірусів, що полягає у перевірці наявності у файлах сигнатур вірусів. Сигнатурний аналіз є найбільш відомим методом виявлення вірусів та використовується практично у всіх сучасних антивірусах. Для перевірки антивірусу необхідний набір вірусних сигнатур, який зберігається в антивірусній базі.

З огляду на те, що сигнатурний аналіз передбачає перевірку файлів на наявність сигнатур вірусів, антивірусна база потребує періодичного оновлення підтримки актуальності антивірусу. Сам принцип роботи сигнатурного аналізу також визначає межі його функціональності – можливість виявляти лише вже відомі віруси – проти нових вірусів сигнатурний сканер безсилий.

З іншого боку наявність сигнатур вірусів передбачає можливість лікування інфікованих файлів, виявлених за допомогою сигнатурного аналізу. Однак, лікування допустиме не для всіх вірусів - трояни і більшість черв'яків не піддаються лікуванню за своїми конструктивними особливостями, оскільки є цільними модулями, створеними для заподіяння шкоди.

Грамотна реалізація вірусної сигнатури дозволяє виявляти відомі віруси із стовідсотковою ймовірністю.

Технології імовірнісного аналізу

Технології імовірнісного аналізу у свою чергу поділяються на три категорії:

  • Евристичний аналіз
  • Поведінковий аналіз
  • Аналіз контрольних сум

Евристичний аналіз

Евристичний аналіз – технологія, заснована на ймовірнісних алгоритмах, результатом роботи яких є виявлення підозрілих об'єктів. У процесі евристичного аналізу перевіряється структура файлу, його відповідність до вірусних шаблонів. Найбільш популярною евристичною технологією є перевірка вмісту файлу щодо наявності модифікацій вже відомих сигнатур вірусів та їх комбінацій. Це допомагає визначати гібриди та нові версії раніше відомих вірусів без додаткового оновлення антивірусної бази.

Евристичний аналіз застосовується виявлення невідомих вірусів, і, як наслідок, передбачає лікування. Ця технологія не здатна на 100% визначити вірус перед нею чи ні, і як будь-який ймовірнісний алгоритм грішить помилковими спрацьовуваннями.

Поведінковий аналіз

Поведінковий аналіз - технологія, в якій рішення про характер об'єкта, що перевіряється, приймається на основі аналізу виконуваних ним операцій. Поведінковий аналіз дуже вузько застосовується практично, оскільки більшість дій, притаманних вірусів, можуть виконуватися і звичайними додатками. Найбільшої популярності здобули поведінкові аналізатори скриптів і макросів, оскільки відповідні віруси практично завжди виконують низку однотипних дій.

Засоби захисту, що вшиваються в BIOS, також можна зарахувати до поведінкових аналізаторів. При спробі внести зміни до MBR комп'ютера, аналізатор блокує дію та виводить відповідне повідомлення користувачеві.

Крім цього, поведінкові аналізатори можуть відслідковувати спроби прямого доступу до файлів, внесення змін до завантажувального запису дискет, форматування жорстких дисків і т.д.

Поведінкові аналізатори не використовують для роботи додаткових об'єктів, подібних до вірусних баз і, як наслідок, нездатні розрізняти відомі та невідомі віруси - всі підозрілі програми апріорі вважаються невідомими вірусами. Аналогічно, особливості роботи засобів, що реалізують технології поведінкового аналізу, не передбачають лікування.

Аналіз контрольних сум

Аналіз контрольних сум - це спосіб відстеження змін об'єктах комп'ютерної системи. З аналізу характеру змін - одночасність, масовість, ідентичні зміни довжин файлів - можна робити висновок про зараження системи. Аналізатори контрольних сум (також використовують назву ревізори змін) як і поведінкові аналізатори не використовують у роботі додаткові об'єкти і видають вердикт про наявність вірусу у системі виключно методом експертної оцінки. Подібні технології застосовуються в сканерах при доступі - при першій перевірці з файлу знімається контрольна сума і міститься в кеші, перед наступною перевіркою того ж файлу сума знімається ще раз, порівнюється, і у разі відсутності змін файл вважається незараженим.

Антивірусні комплекси

Антивірусний комплекс - набір антивірусів, які використовують однакове антивірусне ядро ​​або ядра, призначений для вирішення практичних проблем забезпечення антивірусної безпеки комп'ютерних систем. До антивірусного комплексу також обов'язково входять засоби оновлення антивірусних баз.

Крім цього антивірусний комплекс додатково може включати поведінкові аналізатори і ревізори змін, які не використовують антивірусне ядро.

Вирізняють такі типи антивірусних комплексів:

  • Антивірусний комплекс для захисту робочих станцій
  • Антивірусний комплекс для захисту файлових серверів
  • Антивірусний комплекс для захисту поштових систем
  • Антивірусний комплекс для захисту шлюзів

Хмарний та традиційний настільний антивірус: що вибрати?

(За матеріалами ресурсу Webroot.com)

Сучасний ринок антивірусних засобів - це насамперед традиційні рішення для настільних систем, механізми захисту в яких побудовані на базі сигнатурних методів. Альтернативний метод антивірусного захисту – застосування евристичного аналізу.

Проблеми традиційного антивірусного ПЗ

Останнім часом традиційні антивірусні технології стають все менш ефективними, швидко старіють, що обумовлено низкою факторів. Кількість вірусних загроз, що розпізнаються за сигнатурами, вже настільки велике, що забезпечити своєчасне 100% оновлення сигнатурних баз на комп'ютерах - це часто нереальна задача. Хакери та кіберзлочинці все частіше використовують ботнети та інші технології, що прискорюють поширення вірусних загроз нульового дня. Крім того, під час проведення таргетованих атак сигнатури відповідних вірусів не створюються. Нарешті, застосовуються нові технології протидії антивірусному виявленню: шифрування шкідливого ПЗ, створення поліморфних вірусів за сервера, попереднє тестування якості вірусної атаки.

Традиційний антивірусний захист найчастіше будується в архітектурі «товстого клієнта». Це означає, що комп'ютер клієнта встановлюється об'ємний програмний код. З його допомогою виконується перевірка даних, що надходять, і виявляється присутність вірусних загроз.

Такий підхід має низку недоліків. По-перше, сканування у пошуках шкідливого ПЗ та порівняння сигнатур потребує значного обчислювального навантаження, яке «віднімається» у користувача. В результаті продуктивність комп'ютера знижується, а робота антивіруса іноді заважає виконувати паралельно прикладні завдання. Іноді навантаження на систему користувача буває настільки помітна, що користувачі відключають антивірусні програми, прибираючи тим самим заслін перед потенційною вірусною атакою.

По-друге, кожне оновлення на машині користувача вимагає пересилання тисяч нових сигнатур. Обсяг даних зазвичай становить близько 5 Мбайт на день на одну машину. Передача даних гальмує роботу мережі, відволікає додаткові системні ресурси, вимагає залучення системних адміністраторів контролю трафіку.

По-третє, користувачі, які перебувають у роумінгу або на відстані від стаціонарного місця роботи, виявляються беззахисними перед атаками нульового дня. Для отримання оновленої порції сигнатур вони повинні підключитися до мережі VPN, яка віддалено їм недоступна.

Антивірусний захист із хмари

При переході на антивірусний захист із хмари архітектура рішення суттєво змінюється. На комп'ютері користувача встановлюється «легковажний» клієнт, основна функція якого – пошук нових файлів, розрахунок хеш-значень та пересилання даних серверу хмар. У хмарі проводиться повномасштабне порівняння, яке виконується на великій базі зібраних сигнатур. Ця база постійно та своєчасно оновлюється за рахунок даних, що передаються антивірусними компаніями. Клієнт отримує звіт із результатами проведеної перевірки.

Таким чином, хмарна архітектура антивірусного захисту має цілу низку переваг:

  • обсяг обчислень на комп'ютері виявляється мізерно малий в порівнянні з товстим клієнтом, отже, продуктивності роботи користувача не знижується;
  • немає катастрофічного впливу антивірусного трафіку на пропускну спроможність мережі: пересилання підлягає компактна порція даних, що містить лише кілька десятків хеш-значень, середній обсяг денного трафіку не перевищує 120 Кбайт;
  • хмарне сховище містить величезні масиви сигнатур, значно більше тих, які зберігаються на комп'ютерах;
  • алгоритми порівняння сигнатур, що застосовуються у хмарі, відрізняються значно вищою інтелектуальністю порівняно зі спрощеними моделями, які використовуються на рівні локальних станцій, а завдяки вищій продуктивності для порівняння даних потрібно менше часу;
  • хмарні антивірусні служби працюють із реальними даними, одержуваними від антивірусних лабораторій, розробників засобів безпеки, корпоративних та приватних користувачів; загрози нульового дня блокуються одночасно з їх розпізнаванням, без затримки, викликаної необхідністю отримання доступу до комп'ютерів користувача;
  • користувачі в роумінгу або не мають доступу до своїх основних робочих місць, одержують захист від атак нульового дня одночасно з виходом до Інтернету;
  • знижується завантаження системних адміністраторів: їм не потрібно витрачати час на встановлення антивірусного програмного забезпечення на комп'ютери користувачів, а також оновлення баз сигнатур.

Чому традиційні антивіруси не справляються

Сучасний шкідливий код може:

  • Обійти пастки антивірусів, створивши спеціальний цільовий вірус під компанію
  • До того як антивірус створить сигнатуру він ухилятиметься, використовуючи поліморфізм, перекодування, використовуючи динамічні DNS та URL
  • Цільове створення під компанію
  • Поліморфізм
  • Невідомий ще нікому код – немає сигнатури

Важко захиститися

Швидкісні антивіруси 2011 року

Російський незалежний інформаційно-аналітичний центр Anti-Malware.ru опублікував у травні 2011 року результати чергового порівняльного тесту 20 найбільш популярних антивірусів на швидкодію та споживання системних ресурсів.

Мета даного тесту - показати, які персональні антивіруси має найменший вплив на здійснення користувачем типових операцій на комп'ютері, менше "гальмують" його роботу та споживають мінімальну кількість системних ресурсів.

Серед антивірусних моніторів (сканерів у режимі реального часу) ціла група продуктів продемонструвала дуже високу швидкість роботи, серед них Avira, AVG, ZoneAlarm, Avast, Антивірус Касперського, Eset, Trend Micro і Dr.Web. З цими антивірусами на борту уповільнення копіювання тестової колекції склало менше 20% порівняно з еталоном. Антивірусні монітори BitDefender, PC Tools, Outpost, F-Secure, Norton та Emsisoft також показали високі результати швидкодії, що укладаються в діапазон 30-50%. Антивірусні монітори BitDefender, PC Tools, Outpost, F-Secure, Norton та Emsisoft також показали високі результати швидкодії, що укладаються в діапазон 30-50%.

При цьому Avira, AVG, BitDefender, F-Secure, G Data, Антивірус Касперського, Norton, Outpost і PC Tools в реальних умовах можуть бути значно швидше за рахунок оптимізації подальших перевірок.

Найкращу швидкість сканування на вимогу показав антивірус Avira. Дещо поступилися йому Антивірус Касперського, F-Secure, Norton, G Data, BitDefender, Антивірус Касперського та Outpost. За швидкістю першого сканування ці антивіруси лише трохи поступаються лідеру, водночас усі вони мають у своєму арсеналі потужні технології оптимізації повторних перевірок.

Ще однією важливою характеристикою швидкості антивірусу є його вплив на роботу прикладних програм, з якими часто працює користувач. Для тесту було обрано п'ять: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader та Adobe Photoshop. Найменше уповільнення запуску цих офісних програм показали антивіруси Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost та G Data.



ПОХОДЖЕННЯ СТАТТІ