Структура антивируса

• Зараженный файл не так-то просто найти. Даже если воспользоваться поиском в Интернете и найти какие-то файлы, нет никакой гарантии, что они действительно заражены. Т. е. если антивирус обнаружит в них вирусы, значит они заражены, а антивирус работает, но если не обнаружит, то неизвестно - антивирус не работает, или файлы не заражены.
• Использовать для тестирования настоящие вирусы крайне опасно. Если пользователь все же ошибся и неправильно выполнил установку или настройку антивируса, в процессе тестирования он может на самом деле заразить свой компьютер, в результате чего потерять данные или стать источником заражения для других компьютеров.

     Значит  нужен такой способ тестирования антивирусов, который был бы безопасным, но давал четкий ответ на вопрос, корректно ли работает антивирус. Понимая  важность проблемы, организация EICAR при  участии антивирусных компаний создала  специальный тестовый файл, который  был назван по имени организации - eicar.com. Eicar.com - это исполняемый файл в COM-формате, который не выполняет  никаких вредоносных действий, а  просто выводит на экран строку "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Тем не менее, все антивирусные компании договорились включить этот файл в  свои антивирусные базы и детектировать  его как вирус, специально чтобы  пользователи могли без риска  протестировать свою антивирусную защиту. Получить eicar.com можно на сайте организации EICAR по адресу http://www.eicar.org/anti_virus_test_file.htm, но проще создать этот файл самому. Дело в том, что машинный код файла eicar.com состоит из печатных символов и его можно создать при помощи любого текстового редактора. Например, можно воспользоваться стандартным для операционных систем Windows редактором Notepad. В окне Notepad нужно набрать строку

     X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

     сохранить файл под именем eicar.com, и все - тестовый файл готов.

       Созданный описанным способом  файл eicar.com ничем не отличается  от доступного на сайте организации  EICAR, можно загрузить и убедиться  самому. Его можно пытаться скопировать  на защищенную машину, запускать  на ней или же просто проверять,  чтобы проверить работу антивируса  в разных режимах. Тестирование  антивируса при помощи eicar.com тоже  не идеально. Концепция тестового  файла и сам тестовый файл, разрабатывались в начале 90-х  годов, когда едва ли не единственным  типом вредоносных программ были  файловые вирусы. Поэтому eicar.com в  первую очередь позволяет протестировать, как антивирус справляется с  файловыми вирусами и близкими  по структуре вредоносными программами  - большинством троянов, некоторыми  червями.

     Однако  сейчас разнообразие вредоносных программ гораздо больше. И соответственно больше антивирусных модулей, предназначенных  для защиты от различных угроз. Например, во многих антивирусах имеется специальный  модуль защиты от скрипт-вирусов, а  поскольку eicar.com скрипт-вирусом не является, он непригоден для тестирования таких  модулей. Точно так же eicar.com непригоден для тестирования специальных модулей  для защиты от макровирусов. К сожалению, на сегодняшний день новых способов тестирования антивирусных средств, которые  поддерживались бы всеми производителями  антивирусов нет, и приходится полагаться на старые способы. 
 
 
 
 

     II.1. Структура Антивирус Касперского 2010.

     Антивирус Касперского 2010 обеспечивает защиту вашего компьютера от известных и новых  угроз. Каждый тип угроз обрабатывается отдельным компонентом программы. Такое построение системы защиты позволяет гибко настраивать  программу под нужды конкретного  пользователя или предприятия в  целом. Антивирус Касперского 2010 включает следующие инструменты защиты:

• Компоненты защиты, которые обеспечивают защиту: файлов и персональных данных системы работы в сети.
• Задачи проверки на вирусы, посредством которых выполняется поиск вирусов в отдельных файлах, папках, дисках или областях, либо полная проверка компьютера. Обновление, обеспечивающее актуальность внутренних модулей программы, а также баз, использующихся для поиска вредоносных программ.
• Мастеры и инструменты, облегчающие выполнение задач, возникающих в процессе работы Антивируса Касперского.
• Сервисные функции, обеспечивающие информационную поддержку в работе с программами и позволяющие расширить его функциональность.

     Антивирус Касперского 2010 – это универсальное средство защиты информации. Комплексная защита обеспечивается на всех каналах поступления и передачи информации. Гибкая настройка любого компонента позволяет максимально адаптировать Антивирус Касперского под нужды конкретного пользователя. Рассмотрим детально нововведения Антивируса Касперского 2010.

     IM-Антивирус  обеспечивает безопасность работы  со многими программами для  быстрого обмена сообщениями.  Компонент проверяет сообщения  на наличие вредоносных объектов. В состав Антивируса Касперского  2010 включен модуль проверки ссылок, который находится под управлением  Веб-Антивируса. Модуль проверяет  все ссылки, расположенные на  веб-странице, на принадлежность  к подозрительным и фишинговым  веб-адресам. Модуль встраивается  в веб-браузеры Microsoft Internet Explorer и  Mozilla Firefox в виде плагина. Контроль  доступа на фишинговые веб-сайты  и защита от фишинг-атак осуществляется  путем проверки ссылок, содержащихся  в сообщениях и на веб-страницах,  а также при попытке доступа  к веб-сайтам, по базе фишинговых  веб-адресов. Проверка на принадлежность  к базе фишинговых веб-адресов  доступна для Веб-Антивируса и  IM-Антивируса.  
В список задач проверки добавлен новый инструмент – поиск уязвимостей, который облегчает поиск и устранение угроз безопасности и уязвимостей в программах, установленных на вашем компьютере и параметрах операционной системы.

     Основные  известные ошибки в работе программы:

     В случае обнаружения угрозы в OLE-объекте  программа не предлагает пользователю выполнить лечение. Возможные действия в такой ситуации - поместить файл на карантин или удалить. Веб-Антивирус  не уведомляет пользователя о скачанных  файлах. Возможны проблемы при отображении  некоторых файлов в специализированной программе дефрагментации PageDefrag. В  некоторых случаях клавиша "^" на виртуальной клавиатуре остается нажатой. Для решения этой проблемы необходимо нажать на нее правой клавишей мыши. В некоторых окнах отчетов  некорректно работает сложная фильтрация. При использовании возможности  записи событий файловой системы  в отчет программы, возможны сильные  замедления при установке Антивируса Касперского 2010 поверх предыдущей версии. При деинсталляции Антивируса Касперского 2010 не удаляются ключи реестра, связанные  с shell extension.