Компьютерные вирусы и методы защиты от вирусов

1. Каждое письмо, принимаемое или отправляемое пользователем, перехватывается Почтовым Антивирусом.
2. Почтовое сообщение разбирается на составляющие его части: заголовок письма, тело, вложения.
3. Тело и вложения почтового сообщения (в том числе вложенные OLE-объекты) проверяются на присутствие в нем опасных объектов. Распознавание вредоносных объектов происходит на основании баз, используемых в работе приложения, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.
4. В результате проверки на вирусы возможны следующие варианты поведения:

• Если тело или вложение письма содержит вредоносный код, Почтовый Антивирус блокирует письмо, помещает копию зараженного объекта в резервное хранилище и пытается обезвредить объект. В результате успешного лечения письмо становится доступным для пользователя, если же лечение произвести не удалось, зараженный объект из письма удаляется. В результате антивирусной обработки в тему письма помещается специальный текст, уведомляющий о том, что письмо обработано Антивирусом Касперского.

• Если тело или вложение письма содержит код, похожий на вредоносный, но стопроцентной гарантии этого нет, подозрительная часть письма помещается в специальное хранилище - карантин.
• Если в письме не обнаружено вредоносного кода, оно сразу же становится доступным для пользователя.

Для обеспечения безопасности работы в Интернете Антивирус Касперского содержит - Веб-Антивирус.

 

Рисунок 4. Окно Веб-Антивируса

Этот компонент защищает информацию, поступающую на компьютер по HTTP-протоколу, а также предотвращает запуск на компьютере опасных скриптов.

Защита HTTP-трафика обеспечивается по следующему алгоритму:

1. Каждая веб-страница или файл, к которому происходит обращение пользователя или некоторой программы по протоколу HTTP, перехватывается и анализируется Веб-Антивирусом на присутствие вредоносного кода. Распознавание вредоносных объектов происходит на основании баз, используемых в работе Антивируса Касперского, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.
2. В результате анализа возможны следующие варианты поведения:
• Если веб-страница или объект, к которому обращается пользователь, содержат вредоносный код, доступ к нему блокируется. При этом на экран выводится уведомление о том, что запрашиваемый объект или страница заражены.
• Если файл или веб-страница не содержат вредоносного кода, они сразу же становятся доступны для пользователя.

Проверка скриптов выполняется  по следующему алгоритму:

1. Каждый запускаемый на веб-странице скрипт перехватывается Веб-Антивирусом и анализируется на присутствие вредоносного кода.
2. Если скрипт содержит вредоносный код, Веб-Антивирус блокирует его, уведомляя пользователя специальным всплывающим сообщением.
3. Если в скрипте не обнаружено вредоносного кода, он выполняется.

 

Программа  защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах приложения. Это обеспечивает специально разработанный компонент - Проактивная защита.

Рисунок 5. Окно Проактивной защиты

Превентивные технологии, на которых построена Проактивная защита «Антивируса Касперского», позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред вашему компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется на основании записей баз приложений, превентивные технологии распознают новую угрозу на вашем компьютере по последовательности действий, выполняемой некоторой программой. В поставку программы включен набор критериев, позволяющих определять, насколько активность той или иной программы опасна. Если в результате анализа активности последовательность действий какой-либо программы вызывает подозрение, Антивирус Касперского применяет действие, заданное правилом для активности подобного рода.

По мнению экспертов Anti-Malware.ru (компании по тестированию и сравнительным анализам антивирусных программ), к достоинствам Антивируса Касперского относятся:

• Высокая скорость реакции на новые угрозы;
• Высокая частота обновлений антивирусных баз;
• Отличный поведенческий блокиратор, не имеющий аналогов у конкурентов;
• Возможности эффективного удаления руткитов;
• Хорошая самозащита
• Широкая поддержка упаковщиков (большинство исполняемых файлов хранятся в упакованном виде, перед тем как проверять такой файл на содержание сигнатуры вируса, его следует распаковать);
• Широкая функциональность: поиск активных руткитов, проверка трафика HTTP "на лету", возможность отмены изменений, сделанных вредоносными программами, включенное в состав средство аварийного восстановления, автоматическая настройка нагрузки на центральный процессор, организация доверенной зоны и ещё некоторые возможности.

К недостаткам:

• Недостаточная устойчивость к сбоям;
• Уступающее некоторым конкурентам качество эвристического анализатора, не позволяющего пока надежно защищать от неизвестных видов угроз;
• Значительное количество ложных срабатываний.

 

 

 

 

Программа Norton AntiVirus

Программа Norton AntiVirus - также очень популярная в настоящее время антивирусная программа. Её разработчиком является фирма «Symantec». По сравнению с программами Антивирус Касперского и Dr. Web для отечественного пользователя этот антивирус обладает одним существенным недостатком – он не поддерживает русский язык.

 

 

Рисунок 6. Интерфейс программы Norton AntiVirus

 

Программа обеспечивает гарантированную защиту компьютера от вирусов, шпионских программ (spyware), рекламных агентов (adware) и других угроз. Кроме того в данной программе реализована мощная функция проверки электронной почты. При этом поддерживается работа с наиболее популярными почтовыми программами – Outlook Express, Microsoft Outlook, The Bat! и другие. Использование Norton AntiVirus практически полностью исключает возможность приёма и отправки электронных сообщений, заражённых вирусом.

В режиме глубокого анализа  антивирус применяет сложные эвристические алгоритмы, предназначенные для обнаружения новых, неизвестных вирусов.

Обнаруженные в процессе сканирования вирусы и заражённые файлы  помещаются в специальную папку. После этого пользователь может досконально с ними разобраться, и в зависимости от полученного результата удалить файлы или вернуть их на прежнее место.

Рисунок 7. Окно центра защиты программы Norton AntiVirus

К сильным сторонам Norton AntiVirus причисляют:

• Удобство и простоту интерфейса;
• Устойчивость к сбоям;
• Качество сигнатурного детектирования;
• Минимальное количество ложных срабатываний.

Его слабые места:

• Сильное замедление системы;
• Минимальные возможные настройки;
• Низкая скорость реакции (это сильно повышает риск заразиться новым вирусом);
• Слабые проактивные технологии;
• Ограниченная поддержка упаковщиков.

 

 

 

 

 

 

 

 

Программа Dr. Weber

Программа Dr. Weber является одной из первых российских антивирусных программ. В её состав входит несколько самостоятельных модулей, которые, как правило, работают независимо друг от друга, хотя используют одну и ту же антивирусную базу.

Модуль Dr.Web Сканер

Модуль Dr.Web Сканер – антивирусный сканер с графическим интерфейсом.

 

 

Рисунок 8. Интерфейс сканера Dr.Web

Программа запускается  по запросу пользователя или по расписанию и производит антивирусную проверку компьютера. По умолчанию программа производит антивирусное сканирование всех файлов с использованием как вирусных баз, так и эвристического анализатора (алгоритм, позволяющий с большой вероятностью обнаруживать неизвестные программе вирусы на основе общих принципов их создания). Исполняемые файлы, упакованные специальными упаковщиками, при проверке распаковываются, проверяются файлы в архивах всех основных распространенных типов (Zip, Arj, Lha, Rar и многих других), файловых контейнерах (PowerPoint, RTF и других), а также файлы в составе писем в почтовых ящиках почтовых программ (формат писем должен соответствовать RFC822).

Параметры сканирования устанавливаются в настройках программы. В частности там, там указываются объекты, которые нужно проверить, определяется порядок действий в случае обнаружения вируса (переименовать заражённый объект, удалить его, вылечить или поместить в указанную папку), устанавливается количество ресурсов компьютера, выделяемых на сканирование, и др.

Модуль SpIDer Mail

Модуль SpIDer Mail представляет собой почтовый сканер и предназначен для проверки почтовых сообщений на предмет заражения их вирусами.

После установки программа  формирует значок с изображением почтового конверта на фоне паучка в Панели задач.

Рисунок 9. Значок программы SpIDer Mail

 Наличие значка  свидетельствует об активности  программы.

Управление программой осуществляется при помощи контекстного меню значка.

Рисунок 10. Контекстное  меню программы SpIDer Mail

Почтовый сторож SpIDer Mail настройках по умолчанию автоматически перехватывает все обращения любых почтовых программ компьютера к POP3-серверам по стандартному для этого протокола порту 110, к SMTP-серверам по стандартному для протокола порту 25, к IMAP4-серверам по стандартному для протокола порту 143 и к NNTP-серверам по стандартному для протокола порту 119.

Программа по умолчанию  включается в состав устанавливаемых  компонентов, постоянно находится  в памяти и автоматически перезапускается при загрузке Windows.

Любое входящее письмо получается вместо почтового клиента антивирусным почтовым сторожем и подвергается антивирусной проверке с максимальной степенью подробности. При отсутствии вирусов или подозрительных объектов оно передается почтовой программе "прозрачным" образом – так, как если бы оно поступило непосредственно с сервера. Аналогично исходящие письма проверяются до отправки на сервер.

Модуль SpIDer Guard

В состав программы Dr. Weber также входит файловый сканер SpIDer Guard.

Рисунок 11. Значок программы SpIDer Guard

Этот модуль предназначен для проверки файлов на наличие вирусов  в тот момент, когда с ними выполняют определённое действие (запускают, записывают на диск и др.). Данная функция также обладает высокой надёжностью – многие специалисты считают именно её самым сильным местом программы. Программа постоянно находится в оперативной памяти, осуществляя проверку файлов "на лету", а также обнаруживая проявления вирусной активности.

Рисунок 12. Контекстное  меню программы SpIDer Guard

По мнению специалистов по антивирусным технологиям, программа Dr.Web выгодно отличается от программ конкурентов на основании следующих качеств:

• Простота установки
• Скорость реакции
• Гибкость настроек

К слабым местам относят:

• Отсутствие активного блокиратора
• Отсутствие средств для борьбы с активным заражением
• Отсутствие средств обнаружения руткитов

 

 

 

Выводы и  предложения

Для успешной работы на компьютере и, особенно в Интернете сегодня недостаточно просто иметь соответствующие навыки. В большой степени результаты работы зависят от того, насколько хорошо пользователь умеет защищать свой компьютер и хранящуюся в нём информацию. Вопрос защиты данных становится всё более актуальным, так как современные мошенники постоянно совершенствуют своё «мастерство» и потеря бдительности может привести к весьма печальным последствиям.

Какому антивирусу доверить свою безопасность – зависит от потребностей пользователя. Если активной работы с Интернетом не ведётся, если посещаются только проверенные сайты из ограниченного списка, если почтовая переписка ведётся только с ограниченным количеством людей, если из Интернета не скачиваются новые программы, то требования к антивирусной защите могут быть самыми минимальными.

Если же ситуация обратная – постоянная работа в Сети, активная переписка, регулярное использование поисковых сервисов, то требования к качеству и функционалу антивирусной защиты резко возрастают. И требования эти следующие:

1. Надёжность работы антивируса и простота использования – наиболее важные критерии, поскольку даже «абсолютный антивирус» может оказаться бесполезным, если он конфликтует с системой, резко уменьшает её производительность или периодически зависает.

Если антивирус требует специальных знаний, которыми не обладает большинст-       во пользователей, то с ним будет слишком сложно работать.

2. Комплексность защиты – второй важный критерий. Под постоянным контролем должны находиться все важные области компьютера, все типы файлов, все элементы сети, которые могут стать объектом вирусной атаки. При этом необходимо умение обнаруживать вредоносный код и во всех каналах его возможного проникновения (почта, веб, FTP и т. д.), защитить все «двери», ведущие внутрь компьютера.
3. Качество защиты – третий ключевой критерий. Антивирусам приходится противостоять достаточно агрессивной среде, которая постоянно совершенствуется: часто новые версии вирусов, червей, троянских программ становятся значительно более сложными, чем их предшественники.