Антивирусы и их классификация

Итак, программа Adinf: o имеет высокую  скорость работы; o способна с успехом  противостоять вирусам, находящимся  в памяти; o позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить  вирус; o может обрабатывать до 32000 файлов на каждом диске; o в отличие от AVSP, в котором пользователю приходится самому анализировать, заражена ли машина Stealth-вирусом, загружаясь сначала с  винчестера, а потом с эталонной  дискеты, в ADinf эта операция происходит автоматически; o в отличие от других антивирусов Advansed Diskinfoscope не требует  загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается; o ADinf имеет хорошо выполненный дружественный  интерфейс, который в отличие  от AVSP реализован не в текстовом, а  в графическом режиме; o при инсталляции ADinf в систему имеется возможность  изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень  полезная функция, так как в последнее  время появилось множество вирусов, "охотящихся" за антивирусами (например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за ADinf.

Существует несколько вариантов  ревизора Adinf для различных операционных систем. Каждый из них имеет свои особенности.

Ревизор ADinf предназначен для операционных систем MS-DOS и Windows 
95/98. Это развитие первого варианта ревизора, созданного еще в 1991 году. Сегодня ADinf это самое надежное средство для обнаружения как известных, так и новых неизвестных вирусов. Это единственный в мире ревизор, проверяющий файловую систему чтением по секторам напрямую через BIOS компьютера.

Ревизор ADinf for Windows предназначен для  операционной системы 
Windows 3.xx. Ко всем свойствам ревизора ADinf этот вариант программы добавляет удобный графический интерфейс пользователя.

Ревизор ADinf Pro предназначен для контроля за сохранностью особо ценной информации, например баз данных или документов, в среде операционных систем MS-DOS, Windows 3.xx и Windows 95/98. Особенностью этого варианта программы является использование 64-битной хэш-функции для контроля целостности файлов, разработанной известной Российской фирмой ЛАН-Крипто. Использование этой хэш-функции гарантирует не только обнаружение случайных изменений файлов или изменений, вызванных вирусами, но и делает невозможным преднамеренную незаметную модификацию данных на диске.

Ревизор ADinf32 – это 32-битное многопоточное  приложение для операционных систем Windows 95/98 и Windows NT с современным интерфейсом  пользователя. Этот вариант программы  не только обладает всеми достоинствами  других вариантов, но и содержит много нового по сравнению с ними. Следует заметить, что программа Adinf хорошо интегрирована с другими программами комплекта DSAV фирмы «Диалог-Наука». Так, Adinf создает список новых и измененных файлов на диске, а Aidstest и DrWeb могут проверять файлы из этого списка, что значительно сокращает время работы этих программ.

 

 

 

 

AVP

(AntiViral Toolkit Pro)

      Данная программа была создана ЗАО «Лаборатория Касперского». AVP обладает одним из самых совершенных механизмов обнаружения вирусов. Сегодня AVP практически ни в чем не уступает западным аналогам. AVP предоставляет пользователям максимум сервиса – возможность обновления антивирусных баз через Интернет, возможность задания параметров автоматического сканирования и лечения зараженных файлов. Обновления на сайте AVP появляются практически еженедельно, а база данных включает описания уже почти 40 тысяч вирусов.

AVP состоит из нескольких важных  модулей:

1)AVP сканер проверяет жесткие  диски на предмет заражения  вирусами. 
Можно задать полный поиск, при котором программа будет проверять все файлы подряд, а также задать режим проверки архивированных файлов. Одно из главных преимуществ AVP – борьба с макровирусами. Пользователь может выбрать специальный режим, при котором будут проверяться документы, созданные в формате Microsoft Office. После обнаружения вирусов или зараженных файлов, AVP предлагает на выбор несколько вариантов: удалить вирусы из файлов, удалить сами зараженные файлы или переместить их в специальную папку.

2)AVP Monitor. Эта программа автоматически  загружается при запуске 
Windows. AVP Monitor автоматически проверяет все запускаемые на компьютере файлы и открываемые документы и в случае вирусной атаки сигнализирует об этом пользователю. Более того, в большинстве случаев AVP Monitor просто не дает зараженному файлу запуститься, блокируя процесс его выполнения. Эта функция программы очень полезна для тех, кто постоянно имеет дело со множеством новых файлов, например, для активных пользователей Интернет (т.к. каждые пять минут запускать AVP для проверки скачанных файлов невозможно, то здесь на помощь приходит AVP Monitor).

3)AVP Inspector – последний и очень  важный модуль комплекта AVP, позволяющий  отлавливать даже неизвестные  вирусы. «Инспектор» использует  метод контроля изменения размера  файлов. Внедряясь в файл, вирус  неизбежно увеличивает его объем,  и «инспектор» легко его обнаруживает.

Кроме всего перечисленного существует так называемый Центр Управления AVP – «пульт управления» всеми программами комплекса AVP. Самая важная функция этой программы – встроенный Планировщик Задач, позволяющий осуществлять оперативную проверку (а если понадобится – и лечение системы) в автоматическом режиме, без участия пользователя, но в заданное им время.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава III Антивирусная поверка электронной почты.

Если на заре развития компьютерных технологий основным каналом распространения  вирусов был обмен файлами  программ через дискеты, то сегодня  пальма первенства принадлежит электронной  почте. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены вирусами. К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для здоровья компьютера. В чем опасность файлов вложения? В качестве такого файла пользователю могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *.xls), зараженный компьютерным вирусом. Запустив полученную программу на выполнение или открыв для просмотра документ, пользователь может инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем. В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на ваш компьютер – дело времени.

Возможны и другие попытки проникновения  на компьютер через электронную  почту. Например, могут прислать сообщение  в виде документа HTML, в который  встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое дело.

Защита от вирусов, распространяющихся по почте.

Помимо чисто административных мер, для борьбы с вирусами и другими  вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы). Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.

Кроме того, эффективность антивирусов  очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки  антивирусного сканера и т.д. К  сожалению, многие владельцы компьютеров  не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению.

Антивирусы для почтовых серверов.

Понимая актуальность проблемы распространения  вирусов по электронной почте, многие компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие  антивирусы анализируют поток данных, проходящий через почтовый сервер, не допуская передачи сообщений с  зараженными файлами вложений. Существует и другое решение – подключение  к почтовым серверам обычных антивирусов, предназначенных для проверки файлов. Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и к тому же включит режим автоматического обновления базы данных через Интернет. Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов – к ним будут приходить сообщения, уже очищенные от вирусов.

Действия, выполняемые почтовыми  серверами при отправке и получении  зараженных писем, зависят от настройки  антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом, защищенный почтовый север SMTP откажет ему в этом, а почтовая программа выведет на экран предупреждающее  сообщение. Если же кто-то пошлет на ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса.

Несмотря на постоянно растущую популярность платформы Microsoft 
Windows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных UNIX-подобных систем. Основное преимущество Linux – очень низкая стоимость приобретения. Каждый может загрузить через Интернет дистрибутив Linux и установить его на любое количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернета, в том числе и серверы электронной почты. Среди других преимуществ Linux и подобных ОС следует отметить открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.

 

Doctor Web для UNIX-систем.

Для защиты почтовых серверов, работающих под управлением операционных систем Linux, FreeBSD и Solaris, с успехом можно  использовать антивирусную программу Doctor Web Игоря Данилова. В комплект антивируса входят программа- демон DrWebD и программа-сканер DrWeb, а также  решения для интеграции с почтовыми  системами: CommuniGate Pro, Sendmail, Qmail, Exim, Postfix.

Демон DrWebD снабжен открытым документированным  интерфейсом и может использоваться практически во всех системах обработки  данных в качестве подключаемого  внешнего антивирусного фильтра. Открытые исходные тексты некоторых компонентов  интеграции позволяют проводить  аудит, модифицировать интерфейсные компоненты для более полного удовлетворения требованиям разработчика. Кроме  того, эти исходные тексты могут  служить примером для написания  собственных компонентов интеграции. В процессе своей работы демон 
DrWebD автоматически проверяет все сообщения электронной почты, проходящие через сервер. При этом проверяются файлы вложений (даже упакованные), а также все объекты, встроенные в документы. При обнаружении вируса в почтовом сообщении тело вируса изымается и перемещается в зону “карантина”, после чего получателю сообщения и администратору сервера посылается извещение. Таким образом пользователи Sendmail будут надежно защищены от вредоносных программ, распространяющихся через электронную почту. Аналогичный механизм взаимодействия предусмотрен и для других почтовых серверов. Doctor Web автоматически загружает через Интернет обновления антивирусных баз данных, что необходимо для надежной антивирусной защиты.

Помимо антивирусной проверки демон  может выполнять фильтрацию сообщений  по содержимому различных полей  заголовков, что может быть использовано для защиты от несанкционированной рассылки сообщений – спама. Одним из несомненных достоинств программы является высокая производительность работы демона DrWebD и сканера DrWeb, достигнутая благодаря использованию совершенных алгоритмов. Это имеет особое значение в том случае, если сервер обладает малой вычислительной мощностью. Кроме того, демон, почтовый фильтр и почтовый сервер могут работать на разных компьютерах, что позволяет при необходимости балансировать нагрузку на серверы и сетевые интерфейсы.

«Антивирус Касперского» для поверки  электронной почты.

Специально для защиты почтовых систем была создана программа 
«Антивирус Касперского (AVP) для Sendmail/Qmail/Postfix». Выполняя реальном времени или по требованию пользователей централизованную фильтрацию всех сообщений, проходящих через почтовый сервер, эта программа удаляет вирусы из электронной почты до того, как они достигнут адресата. При обнаружении вирусов в файлах вложений программа удаляет их и пересылает само сообщение, а также предупреждение об обнаружении вируса на заранее заданный адрес. Это позволяет администратору определять источник вирусов или других вредоновных программ. В программе реализована функция 
“карантин” для зараженных и подозрительных объектов. “Антивирус 
Касперского” может проверять не только вложенные файлы, но и встроенные в документы объекты, упакованные архивы файлов всех основных форматов, а также содержимое вложенных почтовых сообщений любого уровня вложенности.

Среди других достоинств программы  заслуживают упоминания возможность  проверки личных и публичных папок, автоматическое обновление антивирусных баз данных через Интернет, изменение  списка защищаемых ящиков без перезагрузки сервера, встроенная система рассылки предупреждений о случаях вирусных атак, а также удобная система  управления , обновления и конфигурирования программы.

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение

Мобильные вирусы

Все началось с обнаружения 6 июня в Испании Интернет-червя Timofonica. Данный червь не имел особых отличительных черт за исключением того, что он отсылал бессмысленные SMS-сообщения владельцам мобильных телефонов сети MoviStar. Это обстоятельство обусловило распространение слуха о появлении первого вируса, способного заражать непосредственно мобильные телефоны. К счастью, реальность была менее сурова, поскольку кроме посылки SMS-сообщений Timofonica более никакого отношения к телефонам не имел. Двумя месяцами позже была обнаружена утилита под названием HSE, которая имела способность рассылать SMS-сообщения любого содержания на мобильные телефоны ряда немецких сотовых сетей. В отличие от 'Timofonica', эту программу нельзя отнести ни к разряду вирусов, ни Интернет-червей. По сути дела, это просто вредоносная программа, которая может использоваться для совершения несанкционированных действий в отношении владельцев мобильных телефонов. Наконец, 30 августа мир снова облетела новость о появлении "мобильного" вируса, на этот раз обнаруженного норвежской компанией Web2Wap AS.Как выяснилось позже, норвежские специалисты лишь открыли брешь в системе защиты некоторых моделей телефонных аппаратов Nokia, которая позволяла блокировать клавиатуру телефона при посылке на него SMS-сообщения определенного содержания. Однако никакого отношения к вирусам это событие не имеет.Важно подчеркнуть, что сама проблема вирусов для мобильных телефонов пока что не может считаться актуальной. Это обусловлено тем, что современные телефоны не имеют необходимых аппаратных возможностей для существования вирусов. Напомним, что для этого требуется выполнение следующих условий: возможность создавать, модифицировать и обмениваться исполняемыми программными объектами для данного конкретного оборудования, популярность оборудования и достаточно низкий уровень защиты. Однако, появление настоящих "мобильных" вирусов - это вопрос ближайшего будущего. Стандарт MID (Mobile Information Device) на базе языка программирования Java (JavaT 2 Platform Micro Edition - J2ME), представленный 19 августа компанией Sun и рядом ее партнеров, по сути дела открывает зеленый свет разработке вредоносных программ.