Антивирусная защита - наиболее распространенная мера для обеспечения информационной безопасности ИТ-инфраструктуры в корпоративном секторе. Однако только 74% российских компаний применяют антивирусные решения для защиты, показало исследование, проведенное «Лабораторией Касперского» совместно с аналитической компанией B2B International (осень 2013 года).

В отчете также говорится, что на фоне взрывного роста киберугроз, от которых компании защищаются простыми антивирусами, российский бизнес начинает все чаще использовать комплексные инструменты защиты. Во многом по этой причине на 7% увеличилось применение средств шифрования данных на съемных носителях (24%). Кроме того, компании стали охотнее разграничивать политики безопасности для съемных устройств. Возросло и разграничение уровня доступа к различным участкам ИТ-инфраструктуры (49%). При это компании малого и среднего бизнеса уделяют большее внимание контролю съемных устройств (35%) и контролю приложений (31%).

Исследователи также обнаружили, что несмотря на постоянное обнаружение новых уязвимостей в программном обеспечении, российские компании все еще не уделяют должного внимания регулярному обновлению программного обеспечения. Более того, количество организаций, занимающихся установкой исправлений, снизилось по сравнению с прошлым годом, и составило всего лишь 59%.

Современные антивирусные программы способны эффективно обнаруживать вредоносные объекты внутри файлов программ и документов. В некоторых случаях антивирус может удалить тело вредоносного объекта из зараженного файла, восстановив сам файл. В большинстве случаев антивирус способен удалить вредоносный программный объект не только из программного файла, но и из файла офисного документа, не нарушив его целостность. Использование антивирусных программ не требует высокой квалификации и доступно практически любому пользователю компьютера .

Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер).

Рейтинг антивирусов

2019: Две трети антивирусов для Android оказались бесполезными

В марте 2019 года австрийская лаборатория AV-Comparatives, специализирующаяся на тестировании антивирусного софта, опубликовала результаты исследования, которые показали бесполезность большинство подобных программ для Android .

Лишь 23 антивируса, размещенного в официальном каталоге Google Play Store , точно распознают вредоносные программы в 100% случаев. Остальной софт либо не реагирует на мобильные угрозы, либо принимает за них абсолютно безопасные приложения.

В AV-Comparatives изучили 250 популярных защитных приложений из официального каталога Google Play и пришли к выводу: почти две трети антивирусов для Android не выполняют заявленных в их рекламе функций

Специалисты изучили 250 антивирусов и сообщили, что только 80% из них могут выявлять более 30% зловредов. Таким образом, 170 приложений провалили тест. В число продуктов, которые справились с испытаниями, вошли в основном решения крупных производителей, включая Avast , Bitdefender , ESET , F-Secure , G-Data, «Лабораторию Касперского» , McAfee , Sophos , Symantec , Tencent , Trend Micro и Trustwave .

В рамках эксперимента исследователи установили каждое антивирусное приложение на отдельное устройство (без эмулятора) и автоматизировали аппараты на запуск браузера, загрузку и последующую установку вредоносного ПО. Каждое устройство было протестировано на примере 2 тыс. наиболее распространенных в 2018 году Android-вирусов.

Согласно расчетам AV-Comparatives, большинство антивирусных решений для Android являются подделками. Десятки приложений имеют практически идентичный интерфейс, а их создателей явно больше интересует показ рекламы, чем в написание работающего антивирусного сканера.

Некоторые антивирусы «видят» угрозу в любом приложении, которое не внесено в их «белый список». Из-за этого они, в ряде совсем уж анекдотичных случаев, поднимали тревогу из-за своих собственных файлов, так как разработчики забыли упомянуть их в «белом списке».

2017: Microsoft Security Essentials признан одним из самых худших антивирусов

В октябре 2017 года немецкая антивирусная лаборатория AV-Test опубликовала результаты комплексного тестирования антивирусов. По данным исследования, фирменное программное обеспечение Microsoft , предназначенное для защиты от вредоносной активности, почти хуже всех справляется со своими обязанностями.

По результатам испытаний, проведенных в июле-августе 2017 года, эксперты AV-Test назвали лучшим антивирусом для Windows 7 решение Kaspersky Internet Security , которое получило 18 баллов при оценке уровня защиты, производительности и удобства использования.

В тройку лидеров вошли программы Trend Micro Internet Security и Bitdefender Internet Security , заработавшие по 17,5 балла. О положении продуктов других антивирусных компаний, которые попали в исследование, можно узнать из иллюстраций ниже:

Во многих сканерах используются также алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта.

Сканеры также можно разделить на две категории - универсальные и специализированные. Универсальные сканеры рассчитаны на поисх и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов.

Сканеры также делятся на резидентные (мониторы), производящие сканирование на-лету, и нерезидентные, обеспечивающие проверку системы только по запросу. Как правило, резидентные сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.

CRC-сканеры

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту слабость CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

Блокировщики

Антивирусные блокировщики - это резидентные программы, перехватывающие вирусо-опасные ситуации и сообщающие об этом пользователю. К вирусо-опасным относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний.

Иммунизаторы

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальним, поскольку нельзя иммунизировать файлы от всех известных вирусов.

Классификация антивирусов по признаку изменяемости во времени

По мнению Валерия Конявского , антивирусные средства можно разделить на две большие группы - анализирующие данные и анализирующие процессы.

Анализ данных

К анализу данных относятся ревизоры и полифаги. Ревизоры анализируют последствия от деятельности компьютерных вирусов и других вредоносных программ. Последствия проявляются в изменении данных, которые изменяться не должны. Именно факт изменения данных является признаком деятельности вредоносных программ с точки зрения ревизора. Другими словами, ревизоры контролируют целостность данных и по факту нарушения целостности принимают решение о наличии в компьютерной среде вредоносных программ.

Полифаги действуют по-другому. Они на основе анализа данных выделяют фрагменты вредоносного кода (например, по его сигнатуре) и на этой основе делают вывод о наличии вредоносных программ. Удаление или лечение пораженных вирусом данных позволяет предупредить негативные последствия исполнения вредоносных программ. Таким образом, на основе анализа в статике предупреждаются последствия, возникающие в динамике.

Схема работы и ревизоров, и полифагов практически одинакова - сравнить данные (или их контрольную сумму) с одним или несколькими эталонными образцами. Данные сравниваются с данными. Таким образом, для того чтобы найти вирус в своем компьютере, нужно, чтобы он уже сработал, чтобы появились последствия его деятельности. Этим способом можно найти только известные вирусы, для которых заранее описаны фрагменты кода или сигнатуры. Вряд ли такую защиту можно назвать надежной.

Анализ процессов

Несколько по-иному работают антивирусные средства, основанные на анализе процессов. Эвристические анализаторы, так же как и вышеописанные, анализируют данные (на диске, в канале, в памяти и т.п.). Принципиальное отличие состоит в том, что анализ проводится в предположении, что анализируемый код - это не данные, а команды (в компьютерах с фон-неймановской архитектурой данные и команды неразличимы, в связи с этим при анализе и приходится выдвигать то или иное предположение.)

Эвристический анализатор выделяет последовательность операций, каждой из них присваивает некоторую оценку опасности и по совокупности опасности принимает решение о том, является ли данная последовательность операций частью вредоносного кода. Сам код при этом не выполняется.

Другим видом антивирусных средств, основанных на анализе процессов, являются поведенческие блокираторы. В этом случае подозрительный код выполняется поэтапно до тех пор, пока совокупность инициируемых кодом действий не будет оценена как опасное (либо безопасное) поведение. Код при этом выполняется частично, так как завершение вредоносного кода можно будет обнаружить более простыми методами анализа данных.

Технологии обнаружения вирусов

Технологии, применяемые в антивирусах, можно разбить на две группы:

• Технологии сигнатурного анализа
• Технологии вероятностного анализа

Технологии сигнатурного анализа

Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен.

С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа

Технологии вероятностного анализа в свою очередь подразделяются на три категории:

• Эвристический анализ
• Поведенческий анализ
• Анализ контрольных сумм

Эвристический анализ

Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения. Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

Поведенческий анализ

Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий.

Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.

Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

Анализ контрольных сумм

Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы. Анализаторы контрольных сумм (также используется название ревизоры изменений) как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Антивирусные комплексы

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.

Помимо этого антивирусный комплекс дополнительно может включать в себя поведенческие анализаторы и ревизоры изменений, которые не используют антивирусное ядро.

Выделяют следующие типы антивирусных комплексов:

• Антивирусный комплекс для защиты рабочих станций
• Антивирусный комплекс для защиты файловых серверов
• Антивирусный комплекс для защиты почтовых систем
• Антивирусный комплекс для защиты шлюзов.

Облачный и традиционный настольный антивирус: что выбрать?

(По материалам ресурса Webroot.com)

Современный рынок антивирусных средств – это в первую очередь традиционные решения для настольных систем, механизмы защиты в которых построены на базе сигнатурных методов. Альтернативный способ антивирусной защиты – применение эвристического анализа.

Проблемы традиционного антивирусного ПО

В последнее время традиционные антивирусные технологии становятся все менее эффективными, быстро устаревают, что обусловлено рядом факторов. Количество вирусных угроз, распознаваемых по сигнатурам, уже настолько велико, что обеспечить своевременное 100%-ное обновление сигнатурных баз на пользовательских компьютерах – это часто нереальная задача. Хакеры и киберпреступники все чаще используют ботнеты и другие технологии, ускоряющие распространение вирусных угроз нулевого дня. Кроме того, при проведении таргетированных атак сигнатуры соответствующих вирусов не создаются. Наконец, применяются новые технологии противодействия антивирусному обнаружению: шифрование вредоносного ПО, создание полиморфных вирусов на стороне сервера, предварительное тестирование качества вирусной атаки.

Традиционная антивирусная защита чаще всего строится в архитектуре «толстого клиента». Это означает, что на компьютер клиента устанавливается объемный программный код. С его помощью выполняется проверка поступающих данных и выявляется присутствие вирусных угроз.

Такой подход имеет ряд недостатков. Во-первых, сканирование в поисках вредоносного ПО и сравнение сигнатур требует значительной вычислительной нагрузки, которая «отнимается» у пользователя. В результате продуктивность компьютера снижается, а работа антивируса иногда мешает выполнять параллельно прикладные задачи. Иногда нагрузка на пользовательскую систему бывает настолько заметна, что пользователи отключают антивирусные программы, убирая тем самым заслон перед потенциальной вирусной атакой.

Во-вторых, каждое обновление на машине пользователя требует пересылки тысяч новых сигнатур. Объем передаваемых данных обычно составляет порядка 5 Мбайт в день на одну машину. Передача данных тормозит работу сети, отвлекает дополнительные системные ресурсы, требует привлечения системных администраторов для контроля трафика.

В-третьих, пользователи, находящиеся в роуминге или на удалении от стационарного места работы, оказываются беззащитны перед атаками нулевого дня. Для получения обновленной порции сигнатур они должны подключиться к VPN -сети, которая удаленно им недоступна.

Антивирусная защита из облака

При переходе на антивирусную защиту из облака архитектура решения существенно меняется. На компьютере пользователя устанавливается «легковесный» клиент, основная функция которого – поиск новых файлов, расчет хэш-значений и пересылка данных облачному серверу. В облаке проводится полномасштабное сравнение, выполняемое на большой базе собранных сигнатур. Эта база постоянно и своевременно обновляется за счет данных, передаваемых антивирусными компаниями. Клиент получает отчет с результатами проведенной проверки.

Таким образом, облачная архитектура антивирусной защиты имеет целый ряд преимуществ:

• объем вычислений на пользовательском компьютере оказывается ничтожно мал по сравнению с толстым клиентом, следовательно, продуктивности работы пользователя не снижается;
• нет катастрофического влияния антивирусного трафика на пропускную способность сети: пересылке подлежит компактная порция данных, содержащая всего несколько десятков хэш-значений, средний объем дневного трафика не превышает 120 Кбайт;
• облачное хранилище содержит огромные массивы сигнатур, значительно больше тех, которые хранятся на пользовательских компьютерах;
• алгоритмы сравнения сигнатур, применяемые в облаке, отличаются значительно более высокой интеллектуальностью по сравнению с упрощенными моделями, которые используются на уровне локальных станций, а благодаря более высокой производительности для сравнения данных требуется меньше времени;
• облачные антивирусные службы работают с реальными данными, получаемыми от антивирусных лабораторий, разработчиков средств безопасности, корпоративных и частных пользователей; угрозы нулевого дня блокируются одновременно с их распознаванием, без задержки, вызванной необходимостью получения доступа к пользовательским компьютерами;
• пользователи в роуминге или не имеющие доступа к своим основным рабочим местам, получают защиту от атак нулевого дня одновременно с выходом в Интернет;
• снижается загрузка системных администраторов: им не требуется тратить время на установку антивирусного ПО на компьютеры пользователей, а также обновления баз сигнатур.

Почему традиционные антивирусы не справляются

Современный вредоносный код может:

• Обойти ловушки антивирусов создав специальный целевой вирус под компанию
• До того как антивирус создаст сигнатуру он будет уклоняться, используя полиморфизм, перекодирование, используя динамические DNS и URL

• Целевое создание под компанию
• Полиморфизм
• Неизвестный еще никому код – нет сигнатуры

Сложно защититься

Скоростные антивирусы 2011 года

Российский независимый информационно-аналитический центр Anti-Malware.ru опубликовал в мае 2011 года результаты очередного сравнительного теста 20 наиболее популярных антивирусов на быстродействие и потребление системных ресурсов.

Цель данного теста - показать, какие персональные антивирусы оказывает наименьшее влияние на осуществление пользователем типовых операций на компьютере, меньше "тормозят" его работу и потребляют минимальное количество системных ресурсов.

Среди антивирусных мониторов (сканеров в режиме реального времени) целая группа продуктов продемонстрировала очень высокую скорость работы, среди них: Avira, AVG, ZoneAlarm, Avast, Антивирус Касперского, Eset, Trend Micro и Dr.Web. С этими антивирусами на борту замедление копирования тестовой коллекции составило менее 20% по сравнению с эталоном. Антивирусные мониторы BitDefender, PC Tools, Outpost, F-Secure, Norton и Emsisoft также показали высокие результаты по быстродействию, укладывающиеся в диапазон 30-50%. Антивирусные мониторы BitDefender, PC Tools, Outpost, F-Secure, Norton и Emsisoft также показали высокие результаты по быстродействию, укладывающиеся в диапазон 30-50%.

При этом Avira, AVG, BitDefender, F-Secure, G Data, Антивирус Касперского, Norton, Outpost и PC Tools в реальных условиях могут быть значительно быстрее за счет имеющейся у них оптимизации последующий проверок.

Наилучшую скорость сканирования по требованию показал антивирус Avira. Немного уступили ему Антивирус Касперского, F-Secure, Norton, G Data, BitDefender, Антивирус Касперского и Outpost. По скорости первого сканирования эти антивирусы лишь немного уступают лидеру, в тоже время все они имеют в своем арсенале мощные технологии оптимизации повторных проверок.

Еще одной важной характеристикой скорости работы антивируса является его влияние на работу прикладных программ, с которыми часто работает пользователь. В качестве таких для теста были выбраны пять: Internet Explorer, Microsoft Office Word, Microsoft Outlook , Adobe Acrobat Reader и Adobe Photoshop. Наименьшее замедление запуска этих офисных программ показали антивирусы Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost и G Data.

С появлением компьютеров и операционных систем, под управлением которых они работали, стали появляться и вредоносные программы, названные по аналогии с медицинской терминологией вирусами. С этим явлением нужно было как-то бороться, поэтому еще в те далекие времена был разработан первый антивирус. Это, по сути, была единственная защита от угроз, на начальном этапе проявлявших деструктивное действие в отношении компьютерной системы. Сегодня вирусы эволюционировали. Соответственно, изменились и антивирусные программы.

Антивирус: это что такое?

Для начала посмотрим на историю развития антивирусного ПО. Если сравнить самые первые средства защиты и современные разработки, можно говорить о том, что сегодняшний антивирус - это комплексная защита и операционной системы, и установленных пользовательских программ, и личных данных пользователя, любой другой конфиденциальной или не подлежащей разглашению информации.

Почему так? Давайте посмотрим на любой современный антивирус. Основные понятия, связанные с его работой, будут рассмотрены отдельно, а пока следует исходить из того, как изменились угрозы со времени своего первого появления.

Действительно, раньше воздействие угроз было направлено в основном только на то, чтобы вывести операционную систему из строя. Первые хакеры занимались созданием таких программ, как сегодня говорят, чисто из спортивного интереса. Со временем их намерения стали выходить даже за рамки закона. Начались кражи секретной информации, активация рекламы, заполнение компьютера ненужным мусором с целью увеличения нагрузки на систему и т.д. Именно поэтому в современном мире работа антивируса не ограничивается только обнаружением деструктивных угроз. В них активно применяются антишпионские и антирекламные модули, обеспечивая наиболее полную защиту от всего того, что можно считать вирусами. Но ведь абсолютно от всего защититься невозможно, ведь вирусы сегодня появляются, как грибы после дождя.

Антивирусная программа - это… Виды антивирусов

Что же касается современных антивирусных программ, их классификация является чисто условной, поскольку большинство пакетов представляет собой полнофункциональные комплексы, рассчитанные на обнаружение, изоляцию или удаление угроз всех известных типов.

Исключение составляют разве что портативные или запускаемые до старта операционной системы сканеры, предназначенные для выявления угроз определенного типа. Например, приложения с общим названием Rescue Disk стартуют до загрузки системы и обнаруживают вирусы, критически воздействующие на систему и вызывающие нарушение ее запуска.

Приложения вроде AdwCleaner и другие программные продукты компании Malwarebytes ориентированы в основном на удаление рекламы и связанных шпионских модулей. Таким образом, далеко не всегда устанавливаемые или портативные приложения обеспечивают полную защиту и могут использоваться в основном для сканирования определенного типа угроз.

С другой стороны, устанавливать в систему несколько антивирусных программ абсолютно нецелесообразно. В лучшем случае можно использовать в паре, скажем, ESET Smart Security и какой-нибудь продукт Malwarebytes. А вот если одновременно инсталлировать антивирусы вроде NOD32 и Kaspersky Free, конфликтов не избежать (они будут «соперничать» между собой). Когда-то в интернете кто-то из пользователей на эту тему высказался, что, мол, установить два таких пакета совместно, это все равно, что посадить в одну камеру Сталина и Гитлера. И доля правды в этом есть.

Принципы работы современных антивирусов

Теперь несколько слов о том, как работает любой современный антивирус. Это процесс, включающий в себя стадии сканирования по требованию, предупреждение вторжения угроз на основе нескольких типов анализа потенциально опасных файлов или ресурсов в интернете и изоляция или полное уничтожение угрозы.

В качестве инструментов определения вирусов используется два типа анализа: сигнатурный и вероятностный.

Сигнатурный анализ

Этот тип анализа базируется непосредственно на обращении к специальным базам данных, в которых имеются сведения об уже известных вирусах.

При сканировании потенциально опасного объекта программа сравнивает его структуру с уже известными структурами других обнаруженных угроз. Именно поэтому можно смело утверждать, что современный антивирус - это приложение, для которого такие базы нужно периодически обновлять, поскольку новая информация в них заносится чуть ли не ежедневно. Как уже было сказано, вирусы эволюционируют намного быстрее, нежели антивирусное ПО. Таим образом, и версия антивируса тоже подлежит обновлению, поскольку встроенные модули устаревают и могут со временем не справляться с возложенными на них функциями.

Вероятностный анализ

Этот тип проверки состоит из трех подтипов: эвристический и поведенческий анализ, плюс метод сравнения контрольных сумм.

Каждый из этих трех типов можно было бы выделить в независимые категории, но в мировой практике они объединены в один тип в виде подразделов. Рассмотрим каждый из них.

Эвристический анализ

Эвристический анализ по сути своей очень похож на сигнатурный, поскольку основан на сравнении структуры угрозы на основе уже известных изолированных угроз.

Разница только в том, что здесь предусмотрено еще и определение встроенных в вирус алгоритмов, на основе которых выявляется предположительный способ возможного воздействия вредоносного кода на компьютерную систему.

Поведенческий анализ

Исходя из названия этого типа тестирования, нетрудно догадаться, что он связан с эвристическим анализом и позволяет произвести прогноз того, как воздействие угрозы скажется на состоянии системы. Однако эта методика задействуется больше применительно к разного рода макросам и скриптам.

Анализ контрольных сумм

Еще один взаимосвязанный компонент, позволяющий определить наличие вируса - сравнение контрольных сумм файлов. Вся информация о структуре любого файла, присутствующего в системе, записывается в кэш, а при попытке изменения объектов происходит сравнение начальной и конечной сумм, соответствующих одному и тому же файлу.

Когда изменения в какой-то файл вносит пользователь или системный процесс, сейчас в расчет не берем. Но вот в случае, когда начинается массовое или одновременное изменение контрольных сумм, это как раз и может свидетельствовать о том, что воздействие вредоносного кода уже активировалось.

Современные антивирусные пакеты

Как правило, почти все современные пакеты защиты требуют активации или ввода кода лицензии. Даже в бесплатном варианте предоставляет их любой антивирус на год (иногда меньше). Платные и условно-бесплатные продукты могут работать в течение ознакомительного периода, после чего их придется либо покупать, либо продлевать срок действия лицензии. Так, например, программы компании ESET можно не покупать. Для них достаточно каждые 30 дней активировать новый код продукта. Отзывы свидетельствуют от том, что в интернете можно найти ежедневно обновляемые логины и пароли, которые потом с помощью специального выпрямителя можно преобразовать в нужный код лицензии.

Что же касается самих антивирусных пакетов, их сегодня разработано достаточно много, однако среди всего того, что предлагается на рынке антивирусного ПО, отдельно можно выделить следующую продукцию (включая антивирусы, интернет-защитники и т.д.):

• продукты «Лаборатории Касперского»;
• средства защиты ESET;
• разработки Dr. Web;
• инструменты Malwarebytes;
• антивирусы Avast, Avira, Panda, AVG, 360 Security, Bitdefender, Comodo, MS Security Essentials, McAfee и многие другие.

Вместо послесловия

Как видно из всего вышесказанного, современный антивирус - это достаточно серьезный программный комплекс, ориентированный на своевременное выявление и ликвидацию любой возможной угрозы при попытке проникновения ее в компьютерную систему. Если же рассматривать вполне логичный вопрос по поводу того, какое именно средство использовать для обеспечения полноценной защиты, судя по отзывам специалистов и многих пользователей на форумах, лучше не устанавливать бесплатные программы, поскольку многие из них способны пропускать угрозы, а некоторые еще и вызывают конфликты на уровне системных процессов Windows. При условии того, что инструменты самих Windows-систем явно проигрывают сторонним программам, лучше установить хотя бы какой-нибудь пакет от ESET. Конечно, придется каждый месяц продлевать лицензию. Неудобно. Зато такие пакеты смогут обеспечить защиту и компьютера, и пользовательской информации на всех уровнях.

Антивирусы известны достаточно давно. О таких программах слышали абсолютно все люди, даже далекие от компьютерной техники. В принципе, если говорить в общих чертах, то антивирус - это ключ к пониманию безопасности всей компьютерной системы и сохранности данных.

Что такое антивирус? Общие понятия

Если говорить о том, что представляет собой антивирусное программное обеспечение, то, грубо говоря, это одно приложение или комплекс программных средств, которые предназначены для защиты системы и информации от вредоносных программ, поиска и выявления вирусов, их удаления или лечения зараженных компонентов системы в виде файлов или установленных приложений.

Таким образом, можно сказать, что антивирус - это программное обеспечение для комплексной защиты компьютерной системы от внешних угроз, которые могут проникать в нее из сети Интернет, по электронной почте или при использовании съемных носителей.

Классификация антивирусов

Что касается классификации, антивирусы условно можно разделить по предназначению и технологиям проводимого анализа, не говоря уже об в среде которых предполагается их функционирование.

В смысле предназначения, антивирус - это либо одна программа для анализа, выявления или удаления вредоносных кодов и приложений, либо комбинированный программный пакет, способный не только производить вышеуказанные действия, но и обеспечивать комплексную защиту в плане работы во Всемирной паутине, получения и отправки электронной почты, защиты от шпионских модулей, способных красть информацию в фоновом режиме, когда пользователь об этом даже не догадывается, и т.д. (это так называемые версии антивирусов).

Самым простым примером могут служить два типа Eset NOD32 и Eset Smart Security.

Второй пакет имеет больше возможностей и может не только заниматься определением наличия в системе их и лечить остальные файлы. Здесь имеется достаточно мощный функционал даже для защиты компьютерной системы и данных при постоянном подключении к сети Интернет, да еще и программа обладает функцией «проактивной» защиты, умеет создавать резервные копии для восстановления, может шифровать данные и многое другое.

Важное место в классификации такого ПО занимают и методы анализа. Они делятся на сигнатурный и вероятностный.

Сигнатурный анализ

Сигнатурный метод основан на том, что антивирусная программа сравнивает структуру подозрительных файлов с теми, которые хранятся в сигнатурной базе данных. Именно поэтому можно сказать, что антивирус - это приложение, постоянно требующее обновления. Как уже понятно, такая методология не дает 100-процентной гарантии безопасности, ведь программа способна определить только уже известный вирус. Среди самых простых программ такого типа можно выделить «Аваст» - антивирус, который является бесплатным.

Вероятностный анализ

Что касается анализа этого типа, то он делится на эвристический, поведенческий и контрольных сумм.

Если говорить кратко, то в смысле антивирус - это средство сравнения структуры файлов на основе уже известных вирусов, а также выявление алгоритмов, которые они используют в своей работе.

Поведенческий анализ подразумевает вероятность выполнения определенных действий. Большей частью это относится к исполняемым макросам, скриптам или апплетам. Иными словами, такая методика способна спрогнозировать, какое действие может быть совершено тем или иным подозрительным файлом или приложением.

Сравнение контрольных сумм - это метод, при котором контрольные суммы файлов записываются в кэш, а затем сравниваются с последующими значениями. Вывод о присутствии угрозы можно сделать на основании того, что производится одновременное или массовое изменение объектов системы.

Как уже понятно, практически во всех методиках присутствует весьма условное определение наличия вируса. Так, например, «Аваст» - антивирус, который может принять за угрозу исполнение какой-нибудь макрос-команды, в то время как на самом деле вирусом или вредоносным кодом она не является. В каждом методе оценки вероятности угрозы есть свои плюсы и минусы. Но вот их сочетание в одном программном продукте дает более ощутимые результаты, позволяя выявлять коды или шпионские программы на основе совокупного анализа.

Наиболее известные антивирусы

Что касается антивирусного программного обеспечения, сейчас в мире компьютерных технологий имеется достаточно много простых приложений и целых многофункциональных комплексов. Пожалуй, самым известным программным пакетом можно назвать «Антивирус Касперского», обладающий на сегодняшний день наибольшими возможностями по сравнению со всеми остальными продуктами.

Правда, этот пакет рассчитан на достаточно мощные в плане производительности системы, поскольку дает такую нагрузку в активном режиме, что маломощные компьютеры и ноутбуки просто «захлебнутся» в процессе функционирования. Впрочем, у «Антивируса Касперского» имеются свои минимальные и рекомендуемые системные требования к компьютерному «железу». Так что его еще не на каждый компьютер установишь.

Не меньшей популярностью пользуются и продукты корпорации Eset. Здесь наиболее востребованными являются системы Eset NOD32 и Eset Smart Security, о которых упоминалось выше. Стоит заметить, что продукты "Лаборатории Касперского" и компании Eset являются платными или условно-бесплатными, так что круглую сумму за них выложить придется (конечно, при условии использования лицензионного ПО). Само собой разумеется, что в Интернете можно найти и «крэкнутые» версии. Вот только гарантии полной функциональности не могут дать даже сами взломщики.

Среди бесплатных программ многие пользователи предпочитают тот же Avast, AVG, McAffee, Norton Antivirus и т.д. В принципе, антивирусного ПО сейчас достаточно много, так что каждый пользователь сам выбирает, с чем работать и как защитить систему.

Заключение

Наверное, большинство пользователей уже поняло, что антивирус - это программа для полной защиты не только от вирусов, но и от множества сторонних угроз, связанных со шпионажем или с кражей конфиденциальной информации, в общем, от всего, что может представлять собой угрозу для операционной системы, «железа» (есть и такие вирусы) и пользовательских файлов, которые хранятся на винчестере, съемном носителе или даже в «облачном» хранилище.

Антивирусная программа (антивирус) - изначально компьютерная программа, которая предназначена для обезвреживания вирусов и различного рода вредоносного ПО, с целью сохранности данных и оптимальной работы вашего персонального компьютера.

Антивирусное ПО, пришлось ждать не долго, оно появилось сразу после появления первых вредоносных программ. В нынешний момент над разработкой антивирусных программ трудятся целые корпорации во главе с тысячами людей, которые постоянно "латают дыры", чтоб наш информационный мир был более чистым и безопасным.

Антивирусные программы (антивирусы) используют два определенных принципа работы (устранения) с вредоносным ПО:

· Сканирование вашего компьютера и сопоставление уже имеющегося вируса с базой данных на сервере определенного производителя.

· Сканирование и обнаружение программ, которые ведут себя подозрительно и могут по определению являться вредоносным ПО.

Также можно определить некоторую классификацию антивирусных модулей, которые входят в составы различных антивирусных программ (антивирусов):

1. Сканеры - антивирусный модуль, который работает на основе сопоставления. Другими словами, антивирус ищет наличие вируса по базе сигнатур. Качество сканирования зависит от даты обновления баз данных и от эвристического анализа.

2. Ревизорный модуль - запоминает состояние файловой системы, что в последствии дает возможность сравнить отличия и сопоставить результаты. В случае отличия, вирус ловиться.

3. Мониторы - это специальный программы помощники, которые в случае выявления потенциально опасного вредоносного ПО(чаще всего встречаются EXE файлы) предлагают пользователю на выбор несколько операций, в число которых обязательно входит функция "удалить".

4. Вакцины - принцип действия этого модуля, может напоминать нам обычную "прививку". Другими словами, когда вирус хочет проникнуть и заразить программу, то роль вакцины заключается в том, чтоб показать вирусу, что программа уже заражена. К сожалению, в данный момент, когда количество вирусов в глобальной сети измеряется миллионами, данный способ уже устарел.

Защита домашнего и рабочего ПК от вирусов

1. Домашний ПК - как правило, домашние ПК не так подвергаются вирусным атакам. Обычно, разработчики антивирусного программного обеспечения делают акцент на такие компоненты:

· Антивирус

· Файрволл

· Антируткит

· Антиспам

2. Что же касается рабочих станций, то тут ситуация немного посложнее, поскольку большинство структур работают с серверами. Соответственно, тут и уровень безопасности должен быть выше. Как правило, администраторы используют хорошие серверные антивирусы и приложения для них (клиентские).

В мире существует огромное количество различных корпораций, которые занимаются разработкой все более и более новых антивирусов и накоплением баз данных к ним. На нашем сайте вы сможете найти, только самые крупные и самые успешные компании, антивирусы которых, не один раз выигрывали различного рода тесты и соревнования (Вирус Бюлетин) и т.д.

И помните, покупая лицензионный продукт, вы не только получаете доступ к новым и самым последним обновлениям сигнатур, но получаете специализированную поддержку, в случае проблем возникших при работе с антивирусным ПО.

Антивирусы защищают ваш компьютер от вирусов и других вредоносных программ, например червей и троянов. Антивирусные программы нужно регулярно обновлять в интернете. Для получения обновлений надо подписаться на услугу обновления антивирусных баз производителя антивирусной программы. Перед подключением к сети Интернет необходимо запускать антивирусную программу!

Основные задачи антивирусов:

· Сканирование файлов и программ в режиме реального времени.

· Сканирование компьютера по требованию.

· Сканирование интернет-трафика.

· Сканирование электронной почты.

· Защита от атак враждебных веб-узлов.

· Восстановление поврежденных файлов (лечение).

Распространение вирусов по электронной почте можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.

· Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.

· Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

· Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

· Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.

· Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы не очень сильно влияют на быстродействие.

· Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.

· Некоторые антивирусные программы на самом деле являются шпионским ПО, которое под них маскируется. Лучше несколько раз проверить, что антивирусная программа, которую вы загружаете, действительно является таковой. Ещё лучше использовать ПО известных производителей и загружать дистрибутивы только с сайта разработчика.

· Некоторые из продуктов, используют несколько ядер для поиска и удаления вирусов и spyware. Например, в разработке NuWave Software, используется 4 ядра (два для поисков вирусов и два для поиска spyware)

Антивирусные программы принято разделять на чистые антивирусы и антивирусы двойного назначения . Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами , а on demand-продукты - сканерами . Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Программы двойного назначения - это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Разновидностью программ двойного назначения являются поведенческие блокираторы , которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.

При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

Антивирусные программы, их классификация и принципы работы

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: доктора, фаги, полифаги). Следом за ними по эффективности и популярности следуют CRC-сканеры (так-же: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа мониторы (фильтры, блокировщики) и иммунизаторы (детекторы).

Сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Сканеры также можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel. Сканеры также делятся на "резидентные", производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы только по запросу.

Какие задачи приходится решать каждому предприятию при выборе эффективного антивирусного решения для защиты корпоративной сети, наиболее подходящего к специфическим условиям работы именно этого предприятия?
Что наиболее важно при выборе антивируса?
Задачи при организации комплексной защиты сети

• Комплексная защита от вирусов и спама
• Выполнение требований законодательства – построение системы защиты в соответствии с требованиями
• Централизованное управление всеми компонентами защиты
• Удобство и простота администрирования
• Богатый функционал
• Нетребовательность к ресурсам
• Совместимость приложений

Актуальные проблемы

• Постоянный рост количества вредоносных программ
• Увеличение количества типов вредоносных программ
• Постоянное увеличение количества пользователей сети Интернет, не имеющих знаний в области информационной безопасности
• Неразвитость рынка услуг
• Отсутствие специализированных тестовых центров

Какой антивирус нужен… предприятию?

• Снижающий нецелевые затраты
• Повышающий общую производительность труда
• Не требующий высокой квалификации администратора
• С гибкой системой ...

...системному администратору?

• Имеющий низкие системные требования
• Простой в обслуживании
• Надежный
• Имеющий возможности тонкой настройки

Вирусы и спам являются основными угрозами информационной безопасности для организаций любого типа и размера. состояния корпоративной сети, работы по предотвращению вирусных атак и действия по преодолению последствий вирусных инцидентов – задачи, которыми приходится заниматься IT-персоналу каждый день. Снижение простоев, вызванных действиями вредоносных объектов, – одна из важнейших задач системных администраторов, от успеха решения которой зависят эффективность функционирования бизнес-процессов целого предприятия и его имидж надежного партнера.

Простои, вызванные неквалифицированными действиями конечных пользователей, которые приводят к невозможности выполнения рабочих задач, могут быть исключены полностью (в случае отключения возможности изменения настроек на защищаемой рабочей станции).

Причины утечки информации

Каналы не злоумышленной утечки информации

Как следует из этих результатов, к числу основных угроз информационной безопасности предприятий относятся:
- распространение вирусов (от 60% на средних и крупных предприятиях до 45% на мелких предприятиях);
- распространение незапрашиваемых рекламных сообщений (от 67% на средних и крупных предприятиях до 25% на мелких предприятиях);
- вмешательство в работу программ (от 38% на средних и крупных предприятиях до 8% на мелких предприятиях);
- несанкционированный доступ к информационным системам и ресурсам предприятия (от 38% на средних и крупных предприятиях до 4% на мелких предприятиях).

Оставьте свой комментарий!