Технологии обнаружения вирусов

Технологии, применяемые в антивирусах, можно разбить на две группы -

• Технологии сигнатурного анализа

• Технологии вероятностного анализа

Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Антивирусная база - база данных, в которой хранятся сигнатуры вирусов

Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен.

С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа в свою очередь подразделяются на три категории:

• Эвристический анализ

• Поведенческий анализ

• Анализ контрольных сумм

Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения.

Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий. Например, для внедрения в систему, почти каждый макровирус использует один и тот же алгоритм: в какой-нибудь стандартный макрос, автоматически запускаемый средой Microsoft Office при выполнении стандартных команд (например, "Save", "Save As", "Open", и т.д.), записывается код, заражающий основной файл шаблонов normal.dot и каждый вновь открываемый документ.

Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.

Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

Как и в предыдущем случае, возможно выделение действий, однозначно трактующихся как неправомерные - форматирование жестких дисков без запроса, удаление всех данных с логического диска, изменение загрузочной записи дискеты без соответствующих уведомлений и пр. Тем не менее, наличие действий неоднозначных - например, макрокоманда создания каталога на жестком диске, заставляет также задумываться о ложных срабатываниях и, зачастую, о тонкой ручной настройке поведенческого блокиратора.

Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы.

Анализаторы контрольных сумм (также используется название "ревизоры изменений") как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Подводя итоги обзора технологий, применяемых в антивирусах, отметим, что сегодня практически каждый антивирус использует несколько из перечисленных выше технологий, при этом использование сигнатурного и эвристического анализа для проверки файлов и именно в этом порядке является повсеместным. В дальнейшем средства, реализующие комбинацию сигнатурного и эвристического анализа, мы будем называть антивирусными сканерами.

Краткая характеристика основных антивирусных программ.

Программа полифаг Kaspersky AntiVirus (KAV) Personal Pro 4.0.5.37

Достоинства:

1. В состав пакета входят не только сканер и монитор, но и ревизор,

2. В состав пакета входит Kaspersky Office Guard, препятствующий вторжению макровирусов.

3. KAV Personal Pro показал очень хорошие результаты, как в сканировании, так и перехвате вирусов "на лету" посредством монитора

Недостатки:

1. Программа перегружена функционально поэтому имеет достаточно долгое время сканирования

2. Очень “прожорлива” к ресурсам процессора,

3. Интерфейс также перегружен различными функциями и не очень удобен для управления.

4. При сканировании жесткого диска KAV использует практически 100% загрузку процессора, т.е. параллельная работа с другим приложением практически невозможна. Работа монитора также замедляет скорость работы других приложений.

Персональная версия антивирусной программы KAV Personal Pro имеет два режима работы интерфейса, один из которых ориентирован на начинающих пользователей, второй - на экспертов. Например, в стандартном режиме сканер данного антивируса позволяет выбирать для контроля только весь диск, а в продвинутом режиме можно указать отдельную папку или даже файл. В то же время оба типа пользователей могут указывать в настройках программы, что делать в случае обнаружения вируса, какие типы файлов сканировать, активировать ли эвристический анализатор и т. д.

Продукт весьма насыщен функционально. Kaspersky Office Guard полностью контролирует работу макросов в приложениях Microsoft Office. Как только запускается какой-либо макрос и в процессе своей работы пытается вызвать макрокоманду, которая входит в список подозрительных, программа активизируется и перехватывает управление. В зависимости от настроек программа Kaspersky Office Guard выполняет одно из четырех действий: разрешает выполнение подозрительной макрокоманды, запрещает ее, полностью останавливает макрос или запрашивает пользователя о дальнейших действиях.

Модуль Kaspersky Inspector, также входящий в состав пакета, - это антивирусная программа - ревизор диска, работающая под управлением ОС MS Windows. Kaspersky Inspector проверяет диски на наличие изменений содержимого файлов и директорий и может использоваться в качестве вспомогательной антивирусной программы или для контроля изменений на диске. Помимо этого, присутствие данного модуля значительно уменьшает время проверки дисков антивирусным сканером KAV, поскольку передает ему на проверку те файлы, которые являются новыми или были изменены. С продуктом также поставляется Script Checker, сканер электронной почты и утилита для создания загрузочной дискеты.

Программа полифаг Panda Antivirus Platinum

Достоинства:

1. Самая высокая скорость,

2. Простое обновление. Сопровождение круглосуточное и бесплатное, обновления бесплатны в течение всего срока жизни продукта и инициируются простым нажатием экранной кнопки.

3. Удачно спроектирован интерфейс, где большие и красочные экраны состояния постоянно держат вас в курсе происходящего.

4. Panda выполняет сканирование на уровне протоколов Internet, таких как POP и HTTP, что обеспечивает дополнительную защиту

Недостатки:

1. Проблемы с выявлением макровирусов,

2. Много ложных срабатываний.

3. Основной экран проверки несколько сбивает с толку: можно далеко не сразу догадаться, как запустить сканирование для определенных дисков.

В Европе Panda — один из лидирующих антивирусов, а на американском рынке он новичок, впрочем, как и на российском. Пакет Panda Antivirus Platinum построен по принципу "Все необходимое и ничего лишнего". Так, в комплект поставки, кроме качественного антивирусного приложения, входит также межсетевой экран для защиты от атак через ЛВС и Интернет. Программа неплохо детектирует вирусы, причем она не только находит зараженные файлы в архивах, но там же их и исцеляет. Сканер также смог найти инфекцию в трехкратно вложенном архиве.

Сканер может работать в фоновом режиме с минимальным потреблением. Правда, в этом режиме скорость сканирования снижается. Если же вышеупомянутая опция отключена, Panda Antivirus Platinum демонстрирует очень хорошую скорость сканирования, одну из самых высоких в данном тесте.

В целом, этот антивирусный пакет показал очень неплохие результаты, кроме того, надо отметить, что он стремительно развивается (в частности компания работает над повышением эффективности продукта в том, что касается ложных срабатываний и макровирусов).

Программа Norton AntiVirus

Достоинства:

1. Великолепное распознавание и удаление вирусов,

2. Продуманный интерфейс,

3. Легкость инсталляции и очень умеренная цена.

Недостатки:

1. Низкий процент обнаружения вирусов монитором,

2. Через год обновление сигнатур становится платным.

NAV характеризуется наличием в пакете всех необходимых функций. Например, в его состав входит script-checker, благодаря которому можно сэкономить системные ресурсы. Начинающие пользователи могут прибегнуть к услугам мастера, что значительно облегчает применение продукта. Персональный брандмауэр в состав продукта не входит, для этого необходимо приобрести другой пакет - Norton Internet Security.

Norton AntiVirus, один из немногих среди тестируемых продуктов, уничтожает вирусы в заархивированных файлах, в то время как другие лишь детектируют в них наличие вредоносных программ. Файлы, которые невозможно вылечить, продукт автоматически помещает в карантин.

Обновление NAV организовано просто: подписки на новые версии нет, но программа будет автоматически загружать новые сигнатуры через Internet или напоминать вам, что пора это сделать. А самое удобное — это уникальная техника мини-обновлений, когда вы получаете не всю весьма объемистую базу сигнатур, а только изменения к ней.

В процессе тестирования сканер NAV продемонстрировал достаточно неплохие результаты. Однако общую картину подпортил монитор, который смог обнаружить почти в два раза меньшее количество вирусов, чем сканер. Это и повлияло на конечную оценку данного продукта.

Программа полифаг DrWeb for Windows

Достоинства:

1. Качественное обнаружение вирусов в оперативной памяти,

2. Хорошо продуманный эвристический анализатор.

Недостатки:

1. Много ложных срабатываний монитора,

2. Частые зависания при обнаружении BAT- и Script-вирусов,

3. Бесплатные обновления возможны только в период действия его лицензии.

При тестировании сканер неплохо справился с заданием, причем он смог обнаружить вирусы даже в трехуровневых архивах, а ведь с этим заданием, кроме DrWeb for Windows, справился только Антивирус Касперского. К сожалению, монитор зарекомендовал себя гораздо хуже. Во-первых, любое изменение параметров монитора требует перезагрузки компьютера, что неудобно. Во-вторых, при проверке файлов с BAT- и Script-вирусами DrWeb for Windows периодически зависал, причем некоторое время переставала отвечать на запросы пользователя и вся система. В этом случае помогала только полная перезагрузка компьютера. Из-за указанных выше факторов монитор получил низкую оценку за тест.

Версия для Windows выпущена в двух вариантах:

1. С графическим интерфейсом DrWeb32W работает в режиме полноэкранного интерфейса с использованием меню и диалоговых окон. В этом варианте управление и все настройки могут быть выполнены из диалоговых панелей, что обычно более удобно

2. И без него - в режиме управления через командную строку DrWebWCL (консольная версия). Вариант без графического интерфейса требует несколько меньших ресурсов. Режим работы консольного варианта задается набором параметров (ключей) командной строки.

Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим. При использовании второго режима соответствующая команда запуска Dr.Web должна быть включена либо в меню пользователя операционной оболочки Norton Commander, либо в специальный командный файл.

Основные меры по защите от вирусов

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

• оснастите свой компьютер современными антивирусными программами и постоянно обновляйте их версии;

• перед считыванием информации с дискет (flash-drive, zip и других носителей), записанной на других компьютерах, всегда проверяйте эти носители на наличие вирусов, запуская антивирусные программы свое­го компьютера;

• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

• периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков;

• по возможности защищайте свои носители (дискеты) от записи при работе на других компьютерах, если на них не будет производиться запись информации;

• обязательно делайте архивные копии ценной для вас информации;

• отключите в BIOS возможность загрузки со всех носителей, кроме жесткого диска, чтобы исключить заражение компьютера загрузочными вируса­ми;

• используйте антивирусные программы для входного контроля всех исполняемых фай­лов, получаемых из компьютерных сетей.

И самое главное: большинство вирусов проникает на компьютер из-за человеческой беспечности.