Про компьютерные вирусы слышал каждый, но мало кто знает, что в их основе лежит серьезная математическая теория, разработка которой была начата еще в 1948 г. Выводы, полученные в результате строгих доказательств, весьма неутешительны. В частности, доказано, что не существует алгоритма для достоверного определения всех вирусов, а кроме того, известны такие их типы, которые не могут быть безошибочно выявлены ни одним способом. Следовательно, идеальную антивирусную программу создать невозможно в принципе. Однако недоступность идеала не означает, что к его достижению не нужно стремиться.
Огромные группы разработчиков защитного ПО чуть ли не ежедневно выпускают новые антивирусные приложения и обновления популярных решений. Обычному пользователю трудно разобраться во всех их достоинствах и недостатках. Постараемся помочь ему выбрать наиболее подходящий антивирус, сравнив между собой десяток самых распространенных приложений. Но вначале поговорим о самих вредоносных программах - вирусах.
Определение понятия "вирус".
Общепринятых определений и классификаций компьютерных вирусов не существует. Сегодня под этим словосочетанием понимают как классическую компьютерную "заразу", так и прочие вредоносные программы, проникающие в систему вопреки желанию пользователя, в числе которых "черви", "трояны", макровирусы и пр.
Основное свойство классической компьютерной "инфекции" — способность к самопроизвольному размножению. Чтобы вирус активизировался и начал атаковать "здоровые" файлы, достаточно просто запустить зараженное приложение.
"Трояны", как правило, ведут себя иначе. Они проникают в систему обычно с электронной почтой, маскируясь под архивы, графические файлы или прикрепленные, с привлекательными именами типа game.exe. Открыв или запустив такое "приложение" к письму, пользователь собственноручно запускает его вредоносный код.
"Черви" паразитируют на уязвимостях в сетевых протоколах и приложениях. Чтобы заразить систему таким образом, нередко достаточно просто зайти на Интернет-сайт "носителя инфекции".
А подвергнуть систему атаке макровируса, поражающего, например, файлы MS Word или Excel, можно, просто открыв зараженный документ.
Вредоносные действия вирусов каждого типа могут быть самыми разнообразными. Это и удаление важных файлов или даже "прошивки" BIOS, и передача личной информации, например паролей, по определенному адресу, организация несанкционированных рассылок электронной почты и атак на некоторые сайты. Возможен и запуск дозвона через сотовый телефон на платные номера. Утилиты скрытого администрирования (backdoor) способны даже передать злоумышленнику всю полноту управления компьютером. К счастью, со всеми этими бедами можно успешно бороться, и основным оружием в этой борьбе будет, конечно, антивирусное ПО.
Средства антивирусов.
В основе работы любой антивирусной программы лежат одни и те же методы распознавания вредоносных объектов. В их числе различные варианты сканирования и мониторинга. Коротко расскажем о самых распространенных из них.
Прямое сканирование.
Этот метод предполагает прямой поиск в оперативной памяти и на винчестере известных последовательностей кода вируса (сигнатур). Для этого разработчики тщательно следят за появлением новых вирусов и вносят их сигнатуры в пользовательские программы путем регулярных обновлений. Метод очень надежен и практически не дает ложных срабатываний. Основной его недостаток — невозможность отыскать вирусы, еще не попавшие в пакеты обновлений, и полиморфные объекты, код которых изменяется при каждом запуске.
Эвристическое сканирование.
Достоинство этого метода — использование при проверке файлов не принципа поиска сигнатур, а комплексного анализа, включая оценку возможного поведения подозрительного объекта. Однако из-за того, что при эвристическом сканировании ищутся не вредоносные объекты как таковые, а объекты, похожие на них, возможны ложные срабатывания. Зато таким путем можно определить легко видоизменяющиеся и неизвестные вирусы.
Мониторинг изменений.
Один из самых заслуженных методов, отслеживающий изменение параметров (размера, даты и пр.) объектов на винчестере. Требует предварительного сбора информации о "здоровой системе". Снижает быстродействие компьютера. Ложные срабатывания неизбежны.
Мониторинг поведения.
Этот метод способен "поймать" неизвестный или полиморфный вирус "на лету", определив его по вредоносным действиям. Отрицательные черты: ложные срабатывания и повышенные требования к ресурсам компьютера.
После обнаружения зараженного файла антивирусное ПО, как правило, предлагает пользователю "вылечить" его, переименовать, переместить в специальную карантинную папку или удалить. Все эти действия можно производить автоматически, но в этом случае ущерб от ложных срабатываний может превысить потери от вирусной атаки.
Современные комплексные программы используют сочетания различных методов обнаружения и защиты. Часто в дистрибутив антивирусного пакета сканеры и мониторы входят отдельными утилитами. Особенности различных антивирусных пакетов лучше всего рассмотреть на примерах, наблюдая за действиями программ в условиях, "приближенных к боевым". Итак, переходим к киберманеврам.
Дополнительная информация (info).
Стоимость антивирусной защиты.
Вопрос необходимости приобретения коммерческой версии антивирусной программы рано или поздно встает перед каждым пользователем. С одной стороны, в Интернете достаточно бесплатных антивирусных утилит, а с другой, понятно, что только на основе коммерческих пакетов с гарантированным регулярным обновлением можно выстроить серьезную систему безопасности. Как определить оптимальную сумму расходов на приобретение антивируса? Гораздо проще, чем кажется на первый взгляд. Нужно лишь трезво оценить стоимость содержащейся на винчестере компьютера информации, причем не только с позиции возможных злоумышленников, но и с точки зрения затрат на ее восстановление. Разумеется, если компьютер подключен к локальной сети или на нем хранятся коды доступа к другим устройствам, при оценке нужно рассматривать информацию, находящуюся во всей системе в целом. К этому нужно добавить приблизительную стоимость рабочего времени пользователя или стороннего специалиста, которое может понадобиться на восстановление работоспособности компьютера и приложений. Сравнение полученной величины с ценой антивирусного ПО даст мгновенный ответ на поставленный вопрос.
Недостатки популярных антивирусов.
По мнению некоторых специалистов в области компьютерной безопасности, на сегодняшний день эффективность наиболее популярных антивирусных пакетов может в некоторых случаях оказаться ниже, чем у продуктов новых, не раскрученных брендов. Объяснить этот феномен очень просто: алгоритмы распространенных программ, остающиеся без изменений достаточно продолжительное время, хорошо известны создателям новых вирусов. Это позволяет с успехом их обходить. В то же время нетрадиционные методы поиска, применяемые в "свежих" антивирусах, способны без особого труда определить вредоносный объект. Поэтому владельцам компьютеров настоятельно рекомендуется время от времени проверять свою систему при помощи какого-либо нового антивируса, даже в том случае, если она находится под защитой знаменитых и хорошо себя зарекомендовавших антивирусов.
Основные этапы развития вирусов и антивирусов:
1949 — создание фон Нейманом основ теории вирусов.
1961 — разработка игры Darwin — прообраза компьютерных вирусов.
1970 — первое упоминание слова VIRUS по отношению к компьютерной программе (в фантастическом романе Грегори Бенфорда).
1981 — появление первых вирусов Elk Cloner и Virus.
1998 — эпидемия вируса Win95.CIH (Чернобыль), созданного тайваньским студентом Чень Инхао.
2000 — появление самого вредоносного вируса "I love you", нанесшего ущерб более $10 млрд.
2004 — запуск первого "червя" для мобильных телефонов — Cabir.
2006 — создание первого вируса для RFID-меток, применяемых в магазинах и на складах.
Основные правила антивирусной безопасности.
Вероятность заражения компьютера вирусами снизится до минимума при выполнении нескольких несложных правил, не требующих специальных знаний:
- На компьютере должна быть установлена регулярно обновляемая антивирусная программа.
- При работе в Интернете или локальной сети, а также перед инсталляцией и запуском новых приложений антивирусный монитор должен быть включен.
- Ни в коем случае нельзя открывать неизвестные вложения в электронные письма, даже если они выглядят абсолютно безобидно, а само письмо получено от знакомого адресата.
- В параметрах безопасности всех программ семейства MS Office необходимо запретить выполнение макросов без подтверждения пользователя. • Подтверждать выполнение можно лишь для хорошо известных макросов.
- Все внешние носители информации (флэш-карты, дискеты, оптические диски) необходимо проверять антивирусным сканером.
- Соблюдение всех этих правил не дает полной гарантии безопасности, поэтому всю систему необходимо регулярно проверять на наличие вирусов антивирусной программой.
- Подпись автора
пиво - моя слабость, флуд - моя жизнь...)))
