Антивирусные программы

РЕФЕРАТ

АНТИВИРУСНЫЕ ПРОГРАММЫ

1 Основы работы антивирусных программ

Общие сведения

Антивирусные программы - это программы, основной задачей которых является защита именно от вирусов, или точнее, от вредоносных программ.

Методы и принципы защиты теоретически не имеют особого значения, главное чтобы они были направлены на борьбу с вредоносными программами. Но на практике дело обстоит несколько иначе: практически любая антивирусная программа объединяет в разных пропорциях все технологии и методы защиты от вирусов, созданные к сегодняшнему дню.

Из всех методов антивирусной защиты можно выделить две основные группы:

Сигнатурные методы - точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов

Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен

Сигнатурный анализ

Слово сигнатура в данном случае является калькой на английское signature, означающее "подпись" или же в переносном смысле "характерная черта, нечто идентифицирующее". Собственно, этим все сказано. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.

Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу.

Задачу выделения сигнатур, как правило, решают люди - эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Как правило - потому что в наиболее простых случаях могут применяться специальные автоматизированные средства выделения сигнатур. Например, в случае несложных по структуре троянов или червей, которые не заражают другие программы, а целиком являются вредоносными программами.

Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вирусов, а значит рано или поздно сигнатура нового вируса попадает в антивирусные базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.

Одно из распространенных заблуждений насчет сигнатур заключается в том, каждая сигнатура соответствует ровно одному вирусу или вредоносной программе. И как следствие, антивирусная база с большим количеством сигнатур позволяет обнаруживать больше вирусов. На самом деле это не так. Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура, и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, уже нельзя.

Соотношение количества сигнатур и количества известных вирусов для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вирусов. Если же вспомнить, что антивирусные компании обмениваются образцами вирусов, можно с высокой долей уверенности считать, что антивирусные базы наиболее известных антивирусов эквивалентны.

Важное дополнительное свойство сигнатур - точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса. Если бы сигнатурный анализ давал только ответ на вопрос, есть вирус или нет, но не давал ответа, что это за вирус, очевидно, лечение было бы не возможно - слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.

Другое важное, но уже отрицательное свойство - для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры почти беспрепятственно. Почти - потому что в защите от новых вирусов помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.

Эвристический анализ

Слово "эвристика" происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов

Поиск вирусов, похожих на известные

Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями

Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо

Низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

- Удаление файла.

- Запись в файл.

- Запись в определенные области системного реестра.

- Открытие порта на прослушивание.

- Перехват данных вводимых с клавиатуры.

- Рассылка писем.

- И др.

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Отрицательные черты те же, что и раньше:

- Ложные срабатывания.

- Невозможность лечения.

- Невысокая эффективность.

Дополнительные средства

Практически любой антивирус сегодня использует все известные методы обнаружения вирусов. Но одних средств обнаружения мало для успешной работы антивируса, для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции.

Модуль обновления

В первую очередь, каждый антивирус должен содержать модуль обновления. Это связано с тем, что основным методом обнаружения вирусов сегодня является сигнатурный анализ, который полагается на использование антивирусной базы. Для того чтобы сигнатурный анализ эффективно справлялся с самыми последними вирусами, антивирусные эксперты постоянно анализируют образцы новых вирусов и выпускают для них сигнатуры. После этого главной проблемой становится доставка сигнатур на компьютеры всех пользователей, использующих соответствующую антивирусную программу.

Именно эту задачу и решает модуль обновления. После того, как эксперты создают новые сигнатуры, файлы с сигнатурами размещаются на серверах компании - производителя антивируса и становятся доступными для загрузки. Модуль обновления обращается к этим серверам, определяет наличие новых файлов, загружает их на компьютер пользователя и дает команду антивирусным модулям использовать новые файлы сигнатур.

Модули обновления разных антивирусов весьма похожи друг на друга и отличаются типами серверов, с которых они могут загружать файлы обновлений, а точнее, типами протоколов, которые они могут использовать при загрузке - HTTP, FTP, протоколы локальных Windows-сетей. Некоторые антивирусные компании создают специальные протоколы для загрузки своих обновлений антивирусной базы. В таком случае модуль обновления может использовать и этот специальный протокол.

Второе, в чем могут отличаться модули обновления - это настройка действий, на случай, если источник обновлений недоступен. Например, в некоторых модулях обновления можно указать не один адрес сервера с обновлениями, а адреса нескольких серверов, и модуль обновления будет обращаться к ним по очереди, пока не обнаружит работающий сервер. Или же в модуле обновления может быть настройка - повторять попытки обновления с заданным интервалом определенное количество раз или же до тех пор, пока сервер не станет доступным. Эти две настройки могут присутствовать и одновременно.

Модуль планирования

Второй важный вспомогательный модуль - это модуль планирования. Существует ряд действий, которые антивирус должен выполнять регулярно: в частности, проверять весь компьютер на наличие вирусов и обновлять антивирусную базу. Модуль планирования как раз и позволяет настроить периодичность выполнения этих действий.

Для обновления антивирусной базы рекомендуется использовать небольшой интервал - один час или три часа, в зависимости от возможностей канала доступа в Интернет. В настоящее время новые модификации вредоносных программ обнаруживаются постоянно, что вынуждает антивирусные компании выпускать новые файлы сигнатур буквально каждый час. Если пользователь компьютера много времени проводит в Интернете, он подвергает свой компьютер большому риску и поэтому должен обновлять антивирусную базу как можно чаще.

Полную проверку компьютера нужно проводить хотя бы потому, что сначала появляются новые вредоносные программы, а только потом сигнатуры к ним, а значит всегда есть возможность загрузить на компьютер вредоносную программу раньше, чем обновление антивирусных баз. Чтобы обнаружить эти вредоносные программы, компьютер нужно периодически перепроверять. Разумным расписанием для проверки компьютера можно считать раз в неделю.

Исходя из сказанного, основная задача модуля планирования - давать возможность выбрать для каждого действия расписание, которое больше всего подходит именно для этого типа действия. Следовательно модуль обновления должен поддерживать много различных вариантов расписания из которых можно было бы выбирать.

Модуль управления

По мере увеличения количества модулей в антивирусе возникает необходимость в дополнительном модуле для управления и настройки. В простейшем случае - это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:

- Настройке параметров антивирусных модулей.

- Настройке обновлений.

- Настройке периодического запуска обновления и проверки.

- Запуску модулей вручную, по требованию пользователя.

- Отчетам о проверке.

- Другим функциям, в зависимости от конкретного антивируса.

Основные требования к такому модулю - удобный доступ к настройкам, интуитивная понятность, подробная справочная система, описывающая каждую настройку, возможность защитить настройки от изменений, если за компьютером работает несколько человек. Подобным модулем управления обладают все антивирусы для домашнего использования. Антивирусы для защиты компьютеров в крупных сетях должны обладать несколько иными свойствами.

Уже не раз говорилось, что в большой организации за настройку и правильное функционирование антивирусов отвечают не пользователи компьютеров, а специальные сотрудники. Если компьютеров в организации много, то каждому ответственному за безопасность сотруднику придется постоянно бегать от одного компьютера к другому, проверяя правильность настройки и просматривая историю обнаруженных заражений. Это очень неэффективный подход к обслуживанию системы безопасности.

Поэтому, чтобы упростить работу администраторов антивирусной безопасности, антивирусы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:

· Поддержка удаленного управления и настройки - администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места.

· Защита настроек от изменений - модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирус, чтобы пользователь не мог ослабить антивирусную защиту организации.

Это далеко не все требования к управлению антивирусной защитой в крупной организации, а только основные принципы. Подробнее об особенностях антивирусной защиты сетей и требованиях к модулям управления будет рассказано позже в соответствующем разделе.

Карантин

Среди прочих вспомогательных средств во многих антивирусах есть специальные технологии, которые защищают от возможной потери данных в результате действий антивируса.

Например, легко представить ситуацию, при которой файл детектируется как возможно зараженный эвристическим анализатором и удаляется согласно настройкам антивируса. Однако эвристический анализатор никогда не дает стопроцентной гарантии того, что файл действительно заражен, а значит с определенной вероятностью антивирус мог удалить незараженный файл.

Или же антивирус обнаруживает важный документ зараженный вирусом и пытается согласно настройкам выполнить лечение, но по каким-то причинам происходит сбой и вместе с вылеченным вирусом теряется важная информация.

Разумеется, от таких случаев желательно застраховаться. Проще всего это сделать, если перед лечением или удалением файлов сохранить их резервные копии, тогда если окажется, что файл был удален ошибочно или была потеряна важная информация, всегда можно будет выполнить восстановление из резервной копии.

Тестирование работы антивируса

После того как антивирус установлен и настроен, каждый пользователь хочет убедиться, что он все сделал правильно и антивирусная защита работает. Но как это проверить? Первое, что приходит в голову: взять где-нибудь зараженный файл и посмотреть поймает ли его антивирус. Но, как и у многих простых решений, у этого есть ряд очевидных недостатков:

· Зараженный файл не так-то просто найти. Даже если воспользоваться поиском в Интернете и найти какие-то файлы, нет никакой гарантии, что они действительно заражены. Т. е. если антивирус обнаружит в них вирусы, значит они заражены, а антивирус работает, но если не обнаружит, то неизвестно - антивирус не работает, или файлы не заражены

· Использовать для тестирования настоящие вирусы крайне опасно. Если пользователь все же ошибся и неправильно выполнил установку или настройку антивируса, в процессе тестирования он может на самом деле заразить свой компьютер, в результате чего потерять данные или стать источником заражения для других компьютеров.

Значит нужен такой способ тестирования антивирусов, который был бы безопасным, но давал четкий ответ на вопрос, корректно ли работает антивирус. Понимая важность проблемы, организация EICAR при участии антивирусных компаний создала специальный тестовый файл, который был назван по имени организации - eicar.com.

Eicar.com - это исполняемый файл в COM-формате, который не выполняет никаких вредоносных действий, а просто выводит на экран строку "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Тем не менее, все антивирусные компании договорились включить этот файл в свои антивирусные базы и детектировать его как вирус, специально чтобы пользователи могли без риска протестировать свою антивирусную защиту.

Получить eicar.com можно на сайте организации EICAR по адресу http://www.eicar.org/anti_virus_test_file.htm, но проще создать этот файл самому. Дело в том, что машинный код файла eicar.com состоит из печатных символов и его можно создать при помощи любого текстового редактора. Например, можно воспользоваться стандартным для операционных систем Windows редактором Notepad. В окне Notepad нужно набрать строку

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

сохранить файл под именем eicar.com, и все - тестовый файл готов.

Рис. 1 - Тестовый файл eicar.com

Созданный описанным способом файл eicar.com ничем не отличается от доступного на сайте организации EICAR, можно загрузить и убедиться самому. Его можно пытаться скопировать на защищенную машину, запускать на ней или же просто проверять, чтобы проверить работу антивируса в разных режимах.

Тестирование антивируса при помощи eicar.com тоже не идеально. Концепция тестового файла и сам тестовый файл, разрабатывались в начале 90-х годов, когда едва ли не единственным типом вредоносных программ были файловые вирусы. Поэтому eicar.com в первую очередь позволяет протестировать, как антивирус справляется с файловыми вирусами и близкими по структуре вредоносными программами - большинством троянов, некоторыми червями.

Однако сейчас разнообразие вредоносных программ гораздо больше. И соответственно больше антивирусных модулей, предназначенных для защиты от различных угроз. Например, во многих антивирусах имеется специальный модуль защиты от скрипт-вирусов, а поскольку eicar.com скрипт-вирусом не является, он непригоден для тестирования таких модулей. Точно так же eicar.com непригоден для тестирования специальных модулей для защиты от макровирусов. К сожалению, на сегодняшний день новых способов тестирования антивирусных средств, которые поддерживались бы всеми производителями антивирусов нет, и приходится полагаться на старые способы.

2 Классификация антивирусов

Общие сведения

Обязательное свойство любой качественной защиты - это способность не мешать выполнению основных функций защищаемой системы, предмета или человека. Такая защита должна обеспечивать безопасность, не вмешиваясь в деятельность защищаемого объекта, по возможности быть невидимой, ее влияние - сведено к минимуму. Однако от этого ни в коем случае не должна страдать надежность.

В случае антивирусной защиты такой баланс обычно достигается путем введения двух различных режимов работы антивирусных программ с возможностью самостоятельной подробной настройки пользователем параметров каждого из них, а также разработки отдельных программных комплексов для компьютеров, выполняющих разные функции.

Режимы работы антивирусов

Надежность антивирусной защиты обеспечивается не только способностью отражать любые вирусные атаки. Другое не менее важное свойство защиты - ее непрерывность. Это означает, что антивирус должен начинать работу по возможности до того, как вирусы смогут заразить только что включенный компьютер и выключаться только после завершения работы всех программ. Однако с другой стороны, пользователь должен иметь возможность в любой момент запросить максимум ресурсов компьютера для решения своей, прикладной задачи и антивирусная защита не должна ему помешать это сделать. Оптимальный выход в этой ситуации - это введение двух различных режимов работы антивирусных средств: один с небольшой функциональностью, но работающий постоянно, и второй - тщательная и более ресурсоемкая проверка на наличие вирусов по запросу пользователя. Такое разделение принято в большинстве современных антивирусов.

Проверка в режиме реального времени

Проверка в режиме реального времени, или постоянная проверка, обеспечивает непрерывность работы антивирусной защиты. Это реализуется с помощью обязательной проверки всех действий, совершаемых другими программами и самим пользователем, на предмет вредоносности, вне зависимости от их исходного расположения - будь это свой жесткий диск, внешние носители информации, другие сетевые ресурсы или собственная оперативная память. Также проверке подвергаются все косвенные действия через третьи программы.

Требование к невмешательству осуществляется с помощью задания персональных настроек, наиболее точно отражающих специфику конкретного компьютера. В большинстве случаев, например, можно безболезненно отключить из проверки файлы ряда графических форматов, текстовые файлы, архивы (поскольку при распаковке все содержащиеся в архиве файлы все равно будут проверены), исходящую почту.

Постоянная проверка защиты системы от заражения необходима даже в случае, если вредоносный код каким-либо способом уже проник на компьютер - например, еще до установки антивируса. Следовательно, этот режим должен быть включен с момента начала загрузки операционной системы и выключаться только в последнюю очередь.

Проверка по требованию

В некоторых случаях наличия постоянно работающей проверки в режиме реального времени может быть недостаточно. Возможна ситуация, когда на компьютер был скопирован зараженный файл, исключенный из постоянной проверки ввиду больших размеров и, следовательно, вирус в нем обнаружен не был. Если этот файл на рассматриваемом компьютере запускаться не будет, то вирус может остаться незамеченным и проявить себя только после пересылки его на другой компьютер, что может сильно повредить репутации отправителя - распространителя вирусов. Для исключения подобных случаев используется второй режим работы антивируса - проверка по требованию.

Для такого режима обычно предполагается, что пользователь лично укажет какие файлы, каталоги или области диска необходимо проверить и время, когда нужно произвести такую проверку - в виде расписания или разового запуска вручную. Обычно рекомендуется проверять все чужие внешние носители информации, такие как дискеты, компакт диски, flash-накопители каждый раз перед чтением информации с них, а также весь свой жесткий диск не реже одного раза в неделю.

Антивирусные комплексы

Второй способ оптимизации работы антивируса - это создание различных его версий для компьютеров, служащих разным целям. Зачастую они отличаются лишь наличием тех или иных специфических модулей и различием в интерфейсе, в то время как непосредственно антивирусная проверка осуществляется одной и той же подпрограммой, называемой антивирусным ядром1).

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз

Всякая локальная сеть, как правило, содержит компьютеры двух типов - рабочие станции, за которыми непосредственно сидят люди, и сетевые серверы, используемые для служебных целей. В соответствии с характером выполняемых функций сервера делятся на:

· Сетевые, которые обеспечивают централизованное хранилище информации: файловые сервера, сервера приложений и другие.

· Почтовые, на которых работает программа, служащая для передачи электронных сообщений от одного компьютера к другому.

· Шлюзы, отвечающие за передачу информации из одной сети в другую. Например, шлюз необходим для соединения локальной сети с Интернет.

Следовательно, выделяют четыре вида антивирусных комплексов - для защиты рабочих станций, файловых серверов, почтовых систем и шлюзов.

Рабочие станции - это компьютеры локальной сети, за которыми непосредственно работают пользователи. Главной задачей комплекса для защиты рабочих станций является обеспечение безопасной работы на рассматриваемом компьютере - для этого необходима проверка в режиме реального времени, проверка по требованию и проверка локальной электронной почты.

Сетевые сервера- это компьютеры, специально выделенные для хранения или обработки информации. Они обычно не используются для непосредственной работы за ними и поэтому в отличие от рабочих станций проверка электронной почты на наличие вирусов тут не нужна. Следовательно, антивирусный комплекс для файловых серверов должен производить проверку в режиме реального времени и проверку по требованию.

Антивирусный комплекс для защиты почтовых систем предназначен для проверки всех проходящих электронных писем на наличие в них вирусов. То есть проверять другие файлы, размещенные на этом компьютере, он не обязан (для этого существует комплекс для защиты сетевых серверов). Поэтому к нему предъявляются требования по наличию собственно программы для проверки всей принимаемой и отправляемой почтовой корреспонденции в режиме реального времени, и дополнительно механизма проверки по требованию почтовых баз данных.

Аналогично в соответствии со своим назначением, антивирусный комплекс для шлюза осуществляет только проверку проходящих через шлюз данных.

Поскольку все вышеперечисленные комплексы используют сигнатурный анализ, то в обязательном порядке в них должно входить средство для поддержания антивирусных баз в актуальном состоянии, то есть механизм их обновления. Дополнительно часто оказывается полезным модуль для удаленного централизованного управления, который позволяет системному администратору со своего рабочего места настраивать параметры работы антивируса, запускать проверку по требованию и обновление антивирусных баз3) .

Антивирус для домашнего компьютера часто отличается особой простотой в настройках и интерфейсе и не требует от пользователя особых знаний. Это же можно сказать и про защиту мобильных пользователей4) . Однако по всем остальным параметрам, кроме отсутствия возможности централизованно и удаленно управляться системным администратором, такие программы относятся к антивирусному комплексу для защиты рабочих станций.

Средства защиты от нежелательной корреспонденции

Из уже пройденного материала известно, что одной из наиболее многочисленных групп вредоносных программ являются почтовые черви. Также известно, что львиную долю почтовых червей составляют так называемые пассивные черви, принцип действия которых заключается в попытке обмануть пользователя и заставить его запустить зараженный файл.

Схема обмана очень проста: зараженное червем письмо должно быть похожим на письма, часто встречающиеся в обычной почте:

Письма от друзей со смешным текстом или картинкой

Письма от почтового сервера, о том что какое-то из сообщений не может быть доставлено

Письма от провайдера с информацией об изменениях в составе услуг

Письма от производителей защитных программ с информацией о новых угрозах и способах защиты от них

И другие подобные письма

При рассылке зараженных писем, червь составляет их текст по заданному автором вируса шаблону и таким образом все зараженные этим червем письма будут похожи.

Следовательно, проблема состоит в том, чтобы защитить пользователя от определенного рода нежелательных писем, похожих друг на друга. Практически аналогичным образом формулируется и проблема защиты от спама - нежелательной почты рекламного характера. И для решения этой проблемы есть специальные средства - антиспамовые фильтры, которые можно применять и для защиты от почтовых червей.

Для фильтрации нежелательной почты в антиспамовых фильтрах применяется несколько методов:

Черные и белые списки адресов. Черный список - это список тех адресов, письма с которых фильтр отбраковывает сразу, не применяя других методов. В этот список нужно заносить адреса, если с них постоянно приходят ненужные или, хуже того, зараженные письма. Белый список, наоборот - список адресов хорошо известных пользователю людей или организаций, которые передают только полезную информацию. Антиспамовый фильтр можно настроить так, что будут приниматься только письма от адресатов из белого списка

Базы данных образцов спама. Как и антивирус, антиспамовый фильтр может использовать базу данных образцов нежелательных писем для удаления писем, соответствующих образцам

Самообучение. Антиспамовые фильтры можно "обучать", указывая вручную, какие письма являются нормальными, а какие нежелательными. Через некоторое время антиспамовый фильтр начинает с большой достоверностью самостоятельно определять нежелательные письма по их похожести на предыдущий спам и непохожести на предыдущие нормальные письма

Анализ служебных заголовков. В письме в относительно скрытой форме хранится служебная информация о том, с какого сервера было доставлено письмо, какой адресат является реальным отправителем и др. Используя эту информацию антиспамовый фильтр также может решать, является письмо спамом или нет. Например, некоторые почтовые сервера, часто использующиеся для рассылки спама, заносятся в специальные общедоступные черные списки, и если письмо было доставлено с такого сервера, вполне вероятно, что это спам. Другой вариант проверки - запросить у почтового сервера, действительно ли существует адресат, указанный в письме как отправитель. Если такого адресата не существует, значит письмо скорее всего является нежелательным

Использование антиспамовых фильтров помогает защититься и от некоторых почтовых червей. Самое очевидное применение - это при получении первого зараженного письма (в отсутствие антивируса это можно определить по косвенным признакам) отметить его как нежелательное и в дальнейшем все другие зараженные письма будут заблокированы фильтром.

Более того, почтовые черви известны тем, что имеют большое количество модификаций незначительно отличающихся друг от друга. Поэтому антиспамовый фильтр может помочь и в борьбе с новыми модификациями известных вирусов с самого начала эпидемии. В этом смысле антиспамовый фильтр даже эффективнее антивируса, т. к. чтобы антивирус обнаружил новую модификацию необходимо дождаться обновления антивирусных баз.

3 Сравнительный анализ антивирусных программ

BitDefender Antivirus Plus v10

где найти: http://www.bitdefender.com/;

размер дистрибутива: 22400 KB;

стоимость: $39.95;

минимальные системные требования: процессор Intel Pentium II 350 МГц, 128 MB RAM, 60 MB свободного места на жестком диске, наличие системы Windows 98/NT/Me/2000/XP.

Основные функциональные особенности:

функция Heuristics in Virtual Environment - эмуляция виртуальной машины, с помощью которой проходят проверку потенциально опасные объекты с использованием эвристических алгоритмов;

автоматическая проверка данных, передаваемых по протоколу POP3, поддержка наиболее популярных почтовых клиентов (MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Lotus Notes, Pegasus, The Bat и другие);

защита от вирусов, распространяющихся через файлообменные Peer-2-Peer сети; формирование личного спам-листа пользователя.

Установка

Пожалуй, один из немногих антивирусов, который заставляет уважать себя буквально с первого экрана установки. BitDefender предлагает на выбор варианты "Typical" (рекомендуемая большинству пользователей), "Custom" (выбираем компоненты самостоятельно) и "Complete" (все доступные возможности программы). А возможности более чем впечатляющие: BitDefender предлагает защиту не только от вирусов, но и от спама и программ-шпионов. Вдобавок имеется встроенный фаервол, дополняющий "оборонные" силы антивируса.



Интерфейс и работа

После установки BitDefender внизу рабочего стола появляется небольшое полупрозрачное окошко, разделенное на две части. Справа мы можем наблюдать за активностью проверки файлов на винчестере, слева показано, как фильтруется трафик, поступающий из Интернета. Интерфейс BitDefender подходит для любой категории пользователей: он не перегружен всевозможными настройками, но при этом позволяет сформировать работу каждого компонента по собственным требованиям. Доступен интерфейс в двух цветовых гаммах: синей и красной (видимо, пользователи могу выбирать его по принадлежности к тому или иному полу). Компоненты BitDefender содержат от трех до пяти уровней защиты, самостоятельно настроить его можно лишь в модулях Antispyware и Antivirus. В противном случае, любой компонент можно отключить. Стоит отдать должное фаерволу, который не оставлял без внимания любое более-менее значимое событие в системе. Даже попытки Opera и Internet Explorer установить связь с Интернетом у BitDefender Firewall вызвали подозрение. Обновление BitDefender производит ежечасно, причем только с централизованного сервера. При желании в закладке Update можно получить список известных на данный момент вирусов в формате txt. Среди дополнительных "плюшек" BitDefender - блокировка набора номера без ведома пользователя и функция ограничения доступа к определенным участкам Интернета, которая будет явно не лишней для многих родителей.

BitDefender Antivirus пока не слишком популярен среди отечественных пользователей, однако стабильно занимает первые места практически во всех западных топ-рейтингах антивирусов. Надежность BitDefender подтверждают сертификаты ICSA Labs, CheckMark и Virus Bulletin. Последняя ежемесячно проверяет, насколько защита антивирусов соответствует новым угрозам. За последние пять месяцев BitDefender Antivirus регулярно получал рейтинг VB 100%.

Esest NOD32 2.5

где найти: http://www.eset.com/;

размер дистрибутива: 11100 KB;

стоимость: $41;

минимальные системные требования: процессор Intel Pentium, 32 MB RAM, 30 MB свободного места на жестком диске, наличие системы Windows 95/98/NT/Me/2000/XP.

Основные функциональные особенности:

эвристический анализ, позволяющий обнаруживать неизвестные угрозы;

технология ThreatSense - анализ файлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы (adware), phishing-атак и других угроз;

проверка и удаление вирусов из заблокированных для записей файлов (к примеру, защищенные системой безопасности Windows библиотеки DLL);

поверка протоколов HTTP, POP3 и PMTP.



Установка

Установка предложена в трех режимах: "Типичный" (для большинства пользователей), "Расширенный" (частичная настройка устанавливаемых компонентов) и "Эксперт" (полностью настраиваемая установка). Сразу же предлагается указать, используете ли вы прокси-сервер, а также запрашиваются некоторые настройки будущих обновлений. Кроме того, NOD32 заранее интересуется, желаете ли вы использовать "двунаправленную систему своевременного обнаружения" - функция передачи лаборатории Eset подозрительных объектов, найденных на компьютере. Все компоненты защиты при желании будут предложены к установке с подробным описанием поэтапно.

Для защиты системы вниманию пользователя предложены следующие модули:

Antivirus MONitor (AMON). Сканер, автоматически проверяющий файлы перед их запуском или просмотром;

NOD32. Сканирование всего компьютера или выбранных разделов. Отличительная особенность - программирование на запуск в часы с наименьшей загрузкой;

Internet MONitor (IMON). Резидентный сканер, проверяющий Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3;

Email MONitor (EMON). Модуль для работы с почтовыми клиентами, сканирует входящие и исходящие электронные сообщения через интерфейс MAPI (применяется в Microsoft Outlook и Microsoft Exchange);

Document MONitor (DMON). Основан на использовании запатентованного интерфейса Microsoft API, проверяет документы Microsoft Office.

Интерфейс и работа

Пользователи домашних сетей сразу же мысленно сравнят интерфейс NOD32 с популярным сетевым сканером Netlook - антивирус использует схожую структуру доступа к компонентам. Интерфейс NOD32 организован максимально эргономично и эффективно. Основные пункты меню содержат подзаголовки, которые в свою очередь открывают справа от основного окна область работы с выбранным модулем или компонентом. Каждый подпункт (кроме сканера NOD32) предлагает подробнейшую настройку, которая подойдет скорее специалисту или администратору, нежели рядовому пользователю. Тем не менее, при желании разобраться во всех тонкостях модулей NOD32 вам будет предложена справка, наглядно демонстрирующая и объясняющая назначение настроек.

Обновление - одна из сильных сторон NOD32. Первоначально на выбор предложены целых 3 сервера с возможностью последующего добавления адресов. Также поддерживаются локальные обновления с сетевых ресурсов. Присутствует возможность создания дискет или CD с обновлениями. Обновление происходит каждые несколько часов.

NOD32 - еще один пример практически безупречной работы антивируса, который гарантирован неоднократным получением награды VB100%, а также сертификатами ICSA и CheckMark (включая категорию AntiSpyware).

Антивирус Касперского 6.0

где найти: http://www.kaspersky.ru/;

размер дистрибутива: 12700 KB;

стоимость: $37;

минимальные системные требования: процессор Intel Pentium 133 МГц, 32 MB RAM, 50 MB свободного места на жестком диске, наличие системы Microsoft Windo

Основные функциональные особенности:

проверка трафика на уровне протоколов POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих, специальные плагины для Microsoft Outlook, Microsoft Outlook Express и The Bat!;

предупреждение пользователя в случае обнаружения изменения как в нормальных процессах, так и при выявлении скрытых, опасных и подозрительных;

контроль изменений, вносимых в системный реестр;

блокирование опасных макросов Visual Basic for Applications в документах Microsoft Office.

Установка

На выбор пользователю представлены два варианта установки: "Полная" и "Выборочная". В последнем случае Касперский предлагает следующие компоненты:

поиск вирусов. Детальная проверка на предмет наличия опасных объектов;

файловый антивирус. Предварительная проверка файлов при попытке их использования;

почтовый антивирус. Проверка входящих/исходящих сообщений;

веб-антивирус. Защита от проникновения вредоносных объектов через протокол HTTP;

проактивную защиту. Противостояние неизвестным угрозам, контроль запуска программ и системного реестра.

Сразу же после установки выбранных компонентов поэтапно с помощью Мастера настройки выбираем необходимые для работы параметры. Прежде всего настраиваем частоту и источник обновлений - Интернет (причем учитывается ваше местоположение) или LAN. Далее настраиваем проверку критических областей компьютера и, наконец, выбираем из двух предложенных режимов защиты. Доступна Базовая (информирование только об опасных объектах) и Интерактивная (информирование об опасных и подозрительных объектах).

Интерфейс и работа

Складывается впечатление, что интерфейс Касперского создавался с первостепенной целью: "убить" у пользователей всякую боязнь вирусов, чему активно способствует элемент "детского" анимационного оформления. Разобраться и освоиться в здешнем "интерьере" не составит труда как начинающему, так и опытному пользователю.

Выбор настроек антивируса организован таким образом, что позволяет специалисту в считаные минуты установить необходимые параметры, а не слишком опытному пользователю - внимательно разобраться и при желании внести изменения без дополнительной помощи со стороны справки, которая при необходимости организует вам подробную и доступную для понимания любого пользователя экскурсию по "недрам" Касперского.

Безопасность представлена в виде трех уровней, на каждом из которых пользователь может добавить или убрать те или иные параметры. Ежедневное обновление производится автоматически. Кстати, в шестой версии Касперского разработчики решили ускорить работу антивируса и добавили возможность проверки только новых и измененных файлов. Правда, эта функция по умолчанию отключена.

Антивирус Касперского 6.0 - один из нынешних лидеров в сфере безопасности - имеет сертификат ICSA Labs и постоянно входит в тройку лучших антивирусов по версиям различных изданий и исследовательских центров.

Panda Antivirus 2007

где найти: http://www.pandasoftware.com/;

размер дистрибутива: 29500 KB;

стоимость: $29.95;

минимальные системные требования: процессор Intel Pentium 150 МГц, 64 MB RAM, 110 MB свободного места на жестком диске, наличие системы Windows 98/Me/2000 Pro/XP.



Установка

Сложно представить себе более простую и быструю установку, чем предлагает Panda 2007. Нам лишь сообщают, от каких угроз защитит данное приложение и без всякого выбора типа установки или источника обновлений менее чем через минуту предлагают защиту от вирусов, червей, троянов, spyware и фишинга, предварительно произведя сканирование памяти компьютера на предмет наличия вирусов.

Интерфейс и работа

Если говорить вкратце, то мы видим перед собой однозначный пример идеального домашнего антивируса, который работает по принципу "установил и забыл". Присутствующие настройки обеспечивают минимальный уровень изменений, в наличии только самое необходимое. Вообще, самостоятельная настройка в данном случае не является обязательной: параметры по умолчанию вполне подойдут большинству пользователей, обеспечивая защиту от фишинговых атак, spyware, вирусов, хакерских приложений и других угроз.

Прокси-сервера и LAN отсутствуют как класс - только обновление через Интернет. Причем обновление настоятельно рекомендуется установить сразу же после установки антивируса, в противном случае, Panda небольшим, но достаточно заметным окошком внизу экрана будет регулярно требовать доступ к "родительскому" серверу, указывая на низкий уровень текущей защиты.

Все угрозы Panda 2007 разделяет на известные и неизвестные. В первом случае мы можем отключить проверку тех или иных видов угроз, во втором случае определяем, подвергать ли файлы, IM-сообщения и электронные письма глубокому сканированию для поиска неизвестных вредоносных объектов. Если Panda обнаруживает подозрительное поведение какого-либо приложения, то немедленно сообщит вам, обеспечивая таким образом защиту от угроз, не включенных в базу данных антивируса.

Panda позволяет производить сканирование всего жесткого диска или отдельных его участков. При этом следует помнить, что по умолчанию проверка архивов отключена. В меню настроек представлены расширения файлов, подвергающихся сканированию, в случае надобности можно добавить собственные расширения. Отдельного упоминания заслуживает статистика обнаруженных угроз, которая представлена в виде круговой диаграммы, наглядно демонстрирующей долю каждого вида угрозы в общем количестве вредоносных объектов. Отчет обнаруженных объектов можно формировать по выбранному промежутку времени.

Выводы? Максимальная безопасность при минимальных заботах со стороны пользователя - один из лучших вариантов для тех, кто желает получать от антивируса лишь небольшое окошко с сообщением о высокой степени защиты вашего компьютера.

McAfee VirusScan Pro 10 (2006)

· где найти: http://uk.mcafee.com/;

· размер дистрибутива: 27700 KB;

· стоимость: $49.95;

· минимальные системные требования: процессор Intel Pentium 133 МГц, 64 MB RAM, 40 MB свободного места на жестком диске, наличие системы Windows 98/Me/2000/XP.

Основные функциональные особенности:

· защита от вирусов, макровирусов, троянов, Интернет-червей, spyware, adware, вредоносных элементов управления ActiveX и Java;

· автоматическая проверка входящей (POP3) и исходящей (SMTP) электронной почты;

· технологии ScriptStopper и WormStopper для блокирования вредоносной активности скриптов и червей.

Установка

На установку ушло менее минуты - антивирус вообще не предлагал каких-либо вариантов и без всяких предварительных проверок сразу же приступил к исполнению своих прямых обязанностей.



Интерфейс и работа

При первом запуске антивируса возникает ощущение дежавю: идея организация работы в главном заимствована у BitDefender. Впоследствии выяснилось, что всплывающие окна с предупреждениями об угрозах незначительно отличаются от таковых в Panda 2007. При первом взгляде на меню хотелось назвать McAfee VirusScan комплексным решением безопасности, но фаервол, инструмент защиты личной информации и антиспамовый модуль хотя и интегрированы в программу, но требуют отдельного приобретения (в сумме около $100). Вообще, антивирус огорчил до неприличия малым числом предоставленных настроек, в которых большее внимание почему-то было уделено проверке e-mail.

Невооруженным глазом видно, что McAfee заботится о вирусных знаниях пользователя. В любой момент можно просмотреть мировую вирусную карту по любой угрозе из списка топ-10, а в главном окне программы находится окошко "вирусная консультация" с описанием произвольного вируса.

Антивирусные базы VirusScan обновляются ежедневно. Но даже при отсутствии оперативно установленных сигнатур работа на уровне эвристического анализа позволит вам чувствовать себя в полной безопасности. Стоит отметить достаточно высокие результаты в многочисленных тестах на защиту от spyware, что избавляет от необходимости установки сторонних программ.

И все же делать вывод по данной программе без учета работы дополнительных модулей было бы неправильным, в противном случае, McAfee VirusScan выглядит несколько неполноценно. С учетом же всех инструментов этот антивирус демонстрирует готовность в любой момент дать отпор при посягательстве на вашу цифровую собственность.

Dr.Web 4.33а

где найти: http://www.drweb.com/;

размер дистрибутива: 10870 KB;

стоимость: $26;

минимальные системные требования: наличие Windows 95/98/NT/Me/2000/XP. Аппаратные требования соответствуют заявленным для указанных ОС.

Основные функциональные особенности:

защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;

обновление антивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;

проверка системной памяти компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например, CodeRed или Slammer);

эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений вирусных баз.

Установка

Вначале Dr.Web честно предупреждает, что не собирается уживаться с другими антивирусными приложениями и просит убедиться в отсутствии таковых на компьютере. В противном случае совместная работа может привести к "непредсказуемым последствиям". Далее выбираем "Выборочную" или "Обычную" (рекомендуемую) установку и приступаем к изучению представленных основных компонентов:

сканер для Windows. Проверка файлов в ручном режиме;

консольный сканер для Windows. Предназначен для запуска из командных файлов;

SpiDer Guard. Проверка файлов "на лету", предотвращение заражений в режиме реального времени;

SpiDer Mail. Проверка сообщений, поступающих через протоколы POP3, SMTP, IMAP и NNTP.



Интерфейс и работа

В глаза бросается отсутствие согласованности в вопросе интерфейса между модулями антивируса, что создает дополнительный визуальный дискомфорт при и так не слишком дружелюбном доступе к компонентам Dr.Web. Большое количество всевозможных настроек явно не рассчитано на начинающего пользователя, однако довольно подробная справка в доступной форме объяснит назначение тех или иных интересующих вас параметров. Доступ к центральному модулю Dr.Web - сканер для Windows - осуществляется не через трей, как у всех рассмотренных в обзоре антивирусов, а только через "Пуск" - далеко не лучшее решение, которое в свое время было исправлено в Антивирусе Касперского.

Обновление доступно как через Интернет, так и с помощью прокси-серверов, что при небольших размерах сигнатур представляет Dr.Web весьма привлекательным вариантом для средних и крупных компьютерных сетей.

Задать параметры проверки системы, порядок обновления и настройку условий работы каждого модуля Dr.Web можно с помощью удобного инструмента "Планировщик", который позволяет создать слаженную систему защиты из "конструктора" компонентов Dr.Web.

В итоге мы получаем нетребовательную к ресурсам компьютера, достаточно несложную (при ближайшем рассмотрении) целостную защиту компьютера от всевозможных угроз, чьи возможности по противодействию вредоносным приложениям однозначно перевешивают единственный недостаток, выраженный "разношерстным" интерфейсом модулей Dr.Web.

Сравнительное тестирование

Пора переходить от слов к делу, ведь антивирус все-таки не предмет роскоши, а средство защиты от вполне конкретных атак, гарантирующее жизнедеятельность вашего компьютера. Как правило, при выборе антивируса первым встает вопрос о потреблении оперативной памяти - параметра, который часто является определяющим для слабых машин. Практически каждый разработчик на своем сайте или в описании продукта считает непременным долгом заверить вас, что потребление ресурсов сводится к минимуму и работа антивируса никак не отражается на выполнении запущенных процессов.

При ближайшем рассмотрении выяснилось, что единообразно установить данный параметр довольно проблематично: из рассматриваемых продуктов только Panda Antivirus 2007 был представлен одним запущенным файлом, в остальных случаях от двух до девяти одновременных процессов обеспечивали работу программы. Это происходило из-за разбиения работы антивируса на отдельные процессы или по причине наличия множества независимых компонентов. Поэтому было принято решение рассмотреть потребляемую оперативную память с двух сторон: работу основного процесса, производящего текущее сканирование и совокупный показатель всех запущенных процессов. За конечные результаты принимались минимальные показатели, зарегистрированные в первые десять минут работы системы.



Абсолютным лидером стал Panda Antivirus, "кушающий" всего 720 KB - трудно представить себе компьютер, быстродействие которого пострадало бы от такой нагрузки. Вторым оказался Антивирус Касперского, представленный одним и тем же процессом, запущенным одновременно как системный и как установленный профилем пользователя. В остальных случаях ситуация становится более интересной: резкое увеличение потребления ОЗУ (относительно двух лидеров этого теста) наблюдалось во всех случаях антивирусов, использующих параллельные процессы защиты от вирусов, спама, spyware и других угроз. Dr.Web, работающий в системе на основе модулей SpiDer Guard, SpiDer Mail и Планировщик, почти вдвое проигрывает ближайшему конкуренту. Неприятно удивил NOD32, чей эргономичный интерфейс (занимающий в памяти до 1244 KB) оказался лишь "вершиной айсберга" - ядра антивируса, чьи потребности не вполне обоснованы по сравнению с BitDefeder, показавшим практически тот же результат, но предоставляющим при этом на порядок более широкие возможности. Своеобразный антирекорд установил McAfee - именно он использует девять процессов при работе, причем минимальный по потреблению из опознанных задач (проверка обновлений антивируса) требует к себе "внимания" в размере 5256 KB, а непосредственный сканер McAfee Shield занимает непомерные 31244 KB.