Антивирусная программа (антивирус) — изначально программа для обнаружения и лечения программ, заражённых компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации).
Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив — программы, создававшиеся как файрволы, также обретают функции, роднящие их с антивирусами (например Outpost Firewall), что со временем может привести к ещё более очевидному распространению смысла термина на средства защиты вообще. Можно также вспомнить сходство назначений ADinf (позиционировавшийся как антивирус) и tripwire (IDS).
Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.
К сожалению, конкуренция между антивирусными компаниями привела к тому, что развитие идёт в сторону увеличения количества обнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения их детектирования (идеал — 100%-е детектирование) и алгоритмов лечения заражённых файлов.
Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.Содержание [убрать] 1 Методы обнаружения вирусов 1.1 Метод соответствия определению вирусов в словаре 1.2 Метод обнаружения странного поведения программ 1.3 Метод обнаружения при помощи эмуляции 1.4 Другие методы обнаружения вирусов 2 Важные замечания 3 Классификация антивирусов 4 Антивирусные компании и программы 5 См. также
Методы обнаружения вирусов
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач: Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре Основная статья: Обнаружение, основанное на сигнатурах
Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий: Удалить инфицированный файл. Заблокировать доступ к инфицированному файлу. Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса). Попытаться восстановить файл, удалив сам вирус из тела файла. В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ Основная статья: Обнаружение аномалий
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: Проактивная защита, Поведенческий блокиратор, Host Intrusion Prevention System (HIPS). В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe'n'Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
Метод обнаружения при помощи эмуляции Основная статья: Обнаружение, основанное на эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Другие методы обнаружения вирусов
Ряд других методов предлагается в исследованиях и используется в антивирусных программах (см. также эвристическое сканирование).
Важные замечания Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах. Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами. Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление. Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам незаражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы. Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы необнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы. Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу. Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие. Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.
Классификация антивирусов
Касперский, Евгений Валентинович [1] использовал следующую классификацию антивирусов в зависимости от их принципа дейтсвия (определяющего функциональность):
Сканеры (устаревший вариант "полифаги") Определяют наличие вируса по БД[2], хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется акутальностью вирусной базы и наличием эвристического анализатора (см. Эвристическое сканирование).
Ревизоры Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений. (Класс близкий к IDS).
Сторожа (мониторы) Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.
Вакцины Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных (2007) условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим. ↑ Касперский Е. "Компьютерные вирусы в MS-DOS". Москва, "Эдель", 1992 ↑ несмотря на название до сей поры автору правки не известны антивирусы, хранящие антивирусную базу во внешней СУБД - используется внутренняя
Антивирусные компании и программы AOL® Virus Protection в составе AOL Safety and Security Center ActiveVirusShield от AOL (на базе KAV 6,бесплатная) AhnLab Aladdin Knowledge Systems Alwil AVG AVZ из России (бесплатная) Avira Из Германии BitDefender из Румынии BullGuard из Дании Computer Associates США Comodo Group США ClamAV — GPL ClamWin — GPL ClamAV for Windows Dr.Web из России Eset NOD32 из Словакии Frisk Software из Исландии F-Secure из Финляндии GeCAD из Румынии (Microsoft купил компанию в 2003) GFI Software Grisoft (AVG) Hauri H+BEDV из Германии Kaspersky из России McAfee США MicroWorld Technologies из Индии MKS из Польши Norman из Норвегии Panda Software из Испании Sophos из Великобритании Stiller Research ROSE SWE Sybari Software (Microsoft купил компанию в начале 2005) Symantec США или Великобритания Trojan Hunter Trend Micro из Японии (номинально Тайвань-США) [1] Украинский Национальный Антивирус c Украины [2] ВирусБлокАда (VBA32) [3] VirusBuster из Венгрии ZoneAlarm AntiVirus (из Zone Labs) Quick Heal AntiVirus из Индии
Антивирусы
AntiVir PersonalEdition Classic 6.32.00.51 - Обновился бесплатный антивирус германской сборки. Эту программу всегда отличали качество работы и быстрая реакция на появление новых вирусов. Она включает в себя резидентный монитор, сканер и программу обновления. AntiVir PersonalEdition Classic может постоянно следить за файлами и архивами, которые могут быть потенциальными переносчиками вирусов. Отыскиваются также и макросы, которые внедряются в офисные документы. Программа не требовательна к ресурсам и показывает хорошие результаты в работе по скорости и качеству поиска. Отдельно стоит отметить, что антивирусная база AntiVir PersonalEdition Classic составляет более 150.000 вирусов.
Avast! Home Edition 4.6.739 - Новая версия бесплатной антивирусной программы. Возможности: резидентный и обычный сканеры, проверка всей входящей и исходящей почты, интеграция в систему, блокирование потенциально опасных скриптов на веб-страницах, работа из командной строки, планировщик, возможность автообновления через Интернет. Интерфейс - на выбор двух типов: очень простой и интуитивно понятный и "расширенный"; возможно использование скинов. Есть и такая опция, как специализированный антивирусный скринсейвер.
Avast Professional Edition 4.7 - который способен обнаружить большое количество известных вирусов, а также неизвестную деятельность и самомодифицирующиеся вирусы, для которых не возможно прямое обнаружение. AVAST32 предлагает отличную защиту против макро вирусов. Приятный интерфейс.
AVG 7.1.371 - новая версия антивируса AVG . AVG обладает наличием всех необходимых функций для защиты компьютера от вирусов. Антивирус включает в себя следующие компоненты: сканер, монитор, сканер электронной почты, систему автоматического обновления антивирусной базы через интернет.
AVG Anti-virus Free Editoin 7.5 - Антивирусная программа. Обладает полным набором свойств, свойственных качественным комплексным средствам защиты, в том числе возможностью постоянного мониторинга системы, включая проверку электронной почты, и автообновление через Интернет.
AVZ - 3.81 - вышла новая версия бесплатной антивирусной утилиты AVZ предназначеной для обнаружения и удаления: SpyWare и AdWare модулей - это основное назначение утилиты Dialer (Trojan.Dialer), Троянских программ, BackDoor модулей, Сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper. Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
ClamAV 0.81-2c - Новая версия бесплатного антивируса, распространяемого с открытым исходным кодом. Данный продукт достаточно необычен, он основан на одноимённом антивирусе для операционных систем Unix и Linux. ClamAV не имеет графической оболочки и предназначен для работы из командной строки.
Dr.Web 4.33 - Новая версия популярного отечественного антивируса. Данная программа представляет собой мощную комбинацию антивирусного сканера Doctor Web и резидентного сторожа SpIDer Guard, глубоко интегрированного в операционную систему Вашего компьютера. Один из самых совершенных в мире эвристических анализаторов Doctor Web в сочетании с ежедневно обновляющимися вирусными базами представляют собой надежную защиту, непреодолимую для любого вируса, "троянского коня", почтового червя и иных видов вредоносного программного кода. Dr.Web предоставляет пользователям мощную многоуровневую систему защиты от самых разных видов вредоносных программ, включая шпионское и рекламное программное обеспечение. Радикально усовершенствована система эвристического анализа, предоставляющая пользователю возможность защиты от ранее неизвестных вирусов, сигнатуры которых отсутствуют в вирусных базах.
Dr.Web CureIT 4.33 - Опубликована новая версия антивируса. Dr.Web CureIT - это бесплатная версия программы, основанной на антивирусном сканере Dr.Web для Windows. Она позволяет проверить компьютер на наличие в нем инфицированных файлов и вылечить их без установки антивируса Dr.Web. Данный сканер содержит самые последние антивирусные базы, обновление которых происходит два раза в час. Такой оперативностью внесения сегментов вирусного кода может похвастаться далеко не каждый коммерческий антивирус. Следовательно, можно сказать, что этот антивирус будет держать систему в чистоте от самых последних модификаций вирусов и вредоносных программ. Также следует отметить то, что при установке CureIT автоматически выбирает язык интерфейса, согласно языковой версии операционной системы. Этот антивирусный сканер обладает удобным интерфейсом, он прост в работе и рекомендуется для проверки файлов на наличие вирусов как продвинутым пользователям, так и новичкам.
Eset NOD32 2.7 - Очень быстро работающая антивирусная программа, эффективно защищающая от всех видов вирусов и шпионских (Adware/Spyware/Riskware) программ. Eset NOD32 обладает всеми возможностями, характерными для современных средств защиты компьютера, причем по некоторым, причем очень важным, параметрам Eset NOD32 превосходит абсолютное большинство популярных антивирусных программ. Так, в Eset NOD32 имеется очень мощный эвристический анализатор, позволяющий с большой точностью выявлять еще неизвестные науке вирусы (как показывают тесты Virus Bulletin, это единственный антивирус в мире, который уже более 7 лет не пропустил ни один активный на момент тестирования вирус), а также не менее мощный и надежный встроенный виртуальный эмулятор для обнаружения полиморфных вирусов.
Kaspersky Anti-Virus Personal PRO 7.0 - Состоялся официальный выпуск Антивируса Касперского 7. Антивирус Касперского Personal Pro разработан специально для опытных пользователей. Он обеспечивает полномасштабную защиту всех приложений и содержит новые уникальные компоненты и технологии, теперь доступные и для домашних пользователей. Вирусы, троянские программы, интренет-черви и другие вредоносные программы - все они могут нанести вред вашему домашнему компьютеру. Антивирус Касперского Personal PRO не допустит их присутствия на компьютере благодаря постоянному контролю над всеми потенциальными источниками проникновения - электронной почтой, интернетом, внешними носителями информации.
McAfee AVERT Stinger 2.6.0 - Обновилась утилита, предназначенная для обнаружения и удаления наиболее распространённых вирусов-троянов и вирусов-червей. В частности, программа умеет обнаруживать и корректно удалять такие вирусы, как: BackDoor-AQJ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom, W32/Deborm.worm.gen, W32/Elkern.cav, W32/Nachi.worm, W32/Nimda, W32/Pate, W32/Sdbot.worm.gen и т.д.
NOD32 2.7 - Новая версия популярной антивирусной программы. NOD32, по утверждению многих специалистов, отличается быстрой скоростью работы и высоким качеством проверки файлов на наличие в них вирусов. Функция эвристического анализа позволяет обнаруживать и обезвреживать неизвестные типы вирусов. Вся настройка программы осуществляется в специальном Центре управления, где можно задать параметры сканирования файлов, обновить антивирусную базу, настроить автозагрузку и т.д. Интерфейс программы продуман, доступ к каким-либо действиям или настройкам осуществляется быстро, без лишних и ненужных движений. Содержит лучшую эвристику!
Norton AntiVirus 2008 - новая версия отличного антивируса от Symantec, который автоматически удаляет вирусы, интернет-червей и троянские компоненты, не создавая помех работе пользователя. Новая функция Norton Internet Worm Protection (Защита от интернет-червей) позволяет блокировать ряд наиболее сложных и опасных червей (например, Blaster и Sasser) до того, как они проникнут в компьютерную систему. Кроме того, Norton AntiVirus в состоянии обнаруживать "шпионские" модули и другие угрозы, не являющиеся вирусными по своей природе.
Panda Antivirus Platinum 7.04.00 - хитроумная антивирусная программа, основанная на новейших технологиях. Ее уникальные технологии работают на Winsock уровне. Это значит, что она способна определять любой Internet-вирус ДО ТОГО, как он попадет на жесткий диск, причем совершенно не важно, откуда именно он исходит (web-страница, электронное послание и проч). PA Platinum уничтожает вирусы любых типов (полиморфные, загрузочные, файловые, макровирусы, Java-апплеты, троянцы и т.д.) и любого источника происхождения (вложения в электронное письмо, документы OLE и др).Качайте в обязательном порядке,советую!
Symantec Worm Simulator 1.0 - Новая программа разработки компании Symantec, визуально показывающая распространение интернет-червей. Symantec Worm Simulator предоставляет наглядную информацию о том, как вирусы распространяются через интернет, как они обходят слабые места в безопасности компьютера и с какой скоростью возможно заражение Сети интернет-червём определенного типа.
