Ростелеком ТВ 

Методы защиты от вредоносных программ. Анализ программного обеспечения для реализации основных методов защиты информации

Все знают, что для защиты от вредоносных программ нужно использовать антивирусы. Но в то же время нередко можно услышать о случаях проникновения вирусов на защищенные антивирусом компьютеры. В каждом конкретном случае причины, по которым антивирус не справился со своей задачей могут быть разные, например:

  • Антивирус был отключен пользователем
  • Антивирусные базы были слишком старые
  • Были установлены слабые настройки защиты
  • Вирус использовал технологию заражения, против которой у антивируса не было средств защиты
  • Вирус попал на компьютер раньше, чем был установлен антивирус, и смог обезвредить антивирусное средство
  • Это был новый вирус, для которого еще не были выпущены антивирусные базы

Но в целом можно сделать вывод , что просто наличия установленного антивируса может оказаться недостаточно для полноценной защиты, и что нужно использовать дополнительные методы. Ну а если антивирус на компьютере не установлен, то без дополнительных методов защиты и вовсе не обойтись.

Если взглянуть, на приведенные для примера причины пропуска вируса антивирусом, можно увидеть, что первые три причины связаны с неправильным использованием антивируса, следующие три - с недостатками самого антивируса и работой производителя антивируса. Соответственно и методы защиты делятся на два типа - организационные и технические.

Организационные методы направлены в первую очередь на пользователя компьютера. Их цель состоит в том, чтобы изменить поведение пользователя, ведь не секрет, что часто вредоносные программы попадают на компьютер из-за необдуманных действий пользователя. Простейший пример организационного метода - разработка правил работы за компьютером, которые должны соблюдать все пользователи.

Технические методы, наоборот, направлены на изменения в компьютерной системе. Большинство технических методов состоит в использовании дополнительных средств защиты, которые расширяют и дополняют возможности антивирусных программ. Такими средствами защиты могут быть:

  • Брандмауэры - программы, защищающие от атак по сети
  • Средства борьбы со спамом
  • Исправления, устраняющие "дыры" в операционной системе, через которые могут проникать вирусы

Ниже все перечисленные методы рассмотрены подробнее.

Организационные методы

Правила работы за компьютером

Как уже говорилось, самым простым примером организационных методов защиты от вирусов является выработка и соблюдение определенных правил обработки информации. Причем правила тоже можно условно разделить на две категории:

  • Правила обработки информации
  • Правила использования программ

К первой группе правил могут относиться, например, такие:

  • Не открывать почтовые сообщения от незнакомых отправителей
  • Проверять сменные накопители (дискеты, компакт-диски, flash-накопители) на наличие вирусов перед использованием
  • Проверять на наличие вирусов файлы, загружаемые из Интернет
  • Работая в Интернет, не соглашаться на непрошенные предложения загрузить файл или установить программу

Общим местом всех таких правил являются два принципа:

  • Использовать только те программы и файлы, которым доверяешь, происхождение которых известно
  • Все данные, поступающие из внешних источников - с внешних носителей или по сети - тщательно проверять

Вторая группа правил, обычно включает такие характерные пункты:

  • Следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы
  • Регулярно обновлять антивирусные базы
  • Регулярно устанавливать исправления операционной системы и часто используемых программ
  • Не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений

Здесь также можно проследить два общих принципа:

  • Использовать наиболее актуальные версии защитных программ - поскольку способы проникновения и активации вредоносных программ постоянно совершенствуются, разработчики защитных программ постоянно добавляют новые технологии защиты и пополняют базы известных вредоносных программ и атак. Следовательно, для наилучшей защиты рекомендуется использовать самые последние версии
  • Не мешать антивирусным и другим защитным программам выполнять свои функции - очень часто пользователи считают, что защитные программы неоправданно замедляют работу компьютера, и стремятся за счет безопасности повысить производительность. В результате значительно увеличиваются шансы на заражение компьютера вирусом

Политика безопасности

На домашнем компьютере пользователь сам устанавливает себе правила, которым он считает нужным следовать. По мере накопления знаний о работе компьютера и о вредоносных программах, он может сознательно менять настройки защиты или принимать решение об опасности тех или иных файлов и программ.

В большой организации все сложнее. Когда коллектив объединяет большое количество сотрудников, выполняющих разные функции и имеющих разную специализацию, сложно ожидать от всех разумного поведения с точки зрения безопасности. Поэтому в каждой организации правила работы с компьютером должны быть общими для всех сотрудников и утверждены официально. Обычно, документ, содержащий эти правила называется инструкцией пользователя. Кроме основных правил, перечисленных выше, он должен обязательно включать информацию о том, куда должен обращаться пользователь при возникновении ситуации, требующей вмешательства специалиста.

При этом инструкция пользователя в большинстве случаев содержит только правила, ограничивающие его действия. Правила использования программ в инструкцию могут входить только в самом ограниченном виде. Поскольку большинство пользователей недостаточно компетентны в вопросах безопасности, они не должны, а часто и не могут менять настройки средств защиты и как-то влиять на их работу.

Но если не пользователи, то кто-то другой все-таки должен отвечать за настройку средств защиты и за управление ими. Обычно это специально назначенный сотрудник или группа сотрудников, которые сосредоточены на выполнении одной задачи - обеспечении безопасной работы сети.

Сотрудникам, ответственным за безопасность, приходится устанавливать и настраивать защитные программы на большом количестве компьютеров. Если на каждом компьютере заново решать, какие настройки безопасности должны быть установлены, несложно предположить, что разные сотрудники в разное время и на разных компьютерах установят пусть и похожие, но несколько разные настройки. В такой ситуации будет очень сложно оценить, насколько защищена организация в целом, т. к. никто не знает всех установленных параметров защиты.

Чтобы избежать описанной ситуации в организациях выбор параметров защиты осуществляется не на усмотрение ответственных сотрудников, а в соответствии со специальным документом - политикой безопасности. В этом документе написано, какую опасность несут вредоносные программы и как от них нужно защищаться. В частности, политика безопасности должна давать ответы на такие вопросы:

  • Какие компьютеры должны быть защищены антивирусами и другими программами
  • Какие объекты должны проверяться антивирусом - нужно ли проверять заархивированные файлы, сетевые диски, входящие и исходящие почтовые сообщения и т. д.
  • Какие действия должен выполнять антивирус при обнаружении зараженного объекта - поскольку обычные пользователи не всегда могут правильно решить, что делать с инфицированным файлом, антивирус должен выполнять действия автоматически, не спрашивая пользователя

Вредоносная программа - компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы .

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации - угрозы нарушения целостности, конфиденциальности, доступности.

Местом глобального распространения вредоносных программ является, конечно же, Internet.

Интернет, без сомнения, вещь в наше время нужная, для кого-то просто необходимая. За небольшой отрезок времени можно найти нужную информацию, ознакомиться с последними новостями, а также пообщаться с множеством людей и все это не выходя из дома, офиса и т.д. Но не забывайте, что по этой "толстой трубе" хакеры легко могут влезть в ваш компьютер и получить доступ к вашей личной информации.

Хотя поставщики аппаратного и программного обеспечения, а также официальные лица в правительстве принимают позы защитников личной информации, в которую постороннее вторжение недопустимо, имеются серьезные основания опасаться, что наши путешествия по Internet не останутся без внимания чьих-то "внимательных" глаз, анонимность и безопасность не гарантируется. Хакеры могут легко читать послания по электронной почте, а Web-серверы протоколируют все и вся, включая даже перечень просматриваемых Web-страниц.

Эволюция вирусных систем

1949 год. Американский ученый венгерского происхождения Джон фон Науманн (John von Naumann) разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного сообщества.

В начале 60-х инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

Конец 60-х - начало 70-х годов. Появление первых вирусов. В ряде случаев это были ошибки в программах, приводивших к тому, что программы копировали сами себя, засоряя жесткий диск компьютеров, что снижало их продуктивность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой настоящего вируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер - на котором и был создан .

Проблема вредоносных программ - рекламных и шпионских - заслуживает повышенного внимания как одна из самых главных неприятностей, с которыми ежедневно сталкиваются современные пользователи компьютеров. Их пагубное воздействие проявляется в том, что они подрывают принцип надёжности компьютера и нарушают неприкосновенность личной жизни, нарушают конфиденциальность и разрывают отношения между защищёнными механизмами работы компьютера, посредством некоторых комбинаций шпионских действий. Подобные программы часто появляются без ведома получателя, и даже при обнаружении от них трудно избавиться. Заметное снижение производительности, беспорядочная смена пользовательских настроек и появление новых сомнительных панелей инструментов или аддонов являются лишь немногими страшными последствиями заражения "шпионом" или рекламной программой. "Шпионы" и другие вредоносные программы могут также прилаживаться к более незаметным режимам функционирования компьютера и глубоко внедряться в сложные механизмы работы операционной системы так, чтобы в значительной степени осложнить их обнаружение и уничтожение.

Снижение производительности является, наверное, самым заметным последствием вредоносных программ, так как напрямую влияет на работу компьютера до такой степени, что даже непрофессионал может это обнаружить. Если пользователи не так настораживаются, когда то и дело всплывают рекламные окна, пусть компьютер и не подключён к Интернету, то снижение отзывчивости операционной системы, поскольку потоки вредоносного кода конкурируют с системой и полезными программами, явно говорит о появлении проблем. Меняются программные настройки, таинственным образом добавляются новые функции, необычные процессы появляются в диспетчере задач (иногда их бывает и десяток), или программы ведут себя так, будто их использует кто-то другой, а вы потеряли над ними контроль. Побочные эффекты вредоносных программ (будь то рекламная или шпионская программа) приводят к серьёзным последствиям, и, тем не менее, многие пользователи продолжают вести себя легкомысленно, открывая настежь дверь к своему компьютеру .

В современном Интернет в среднем каждое тридцатое письмо заражено почтовым червем, около 70% всей корреспонденции - нежелательна. С ростом сети Интернет увеличивается количество потенциальных жертв вирусописателей, выход новых операционных систем влечет за собой расширение спектра возможных путей проникновения в систему и вариантов возможной вредоносной нагрузки для вирусов. Современный пользователь компьютера не может чувствовать себя в безопасности перед угрозой стать объектом чей-то злой шутки - например, уничтожения информации на винчестере - результатов долгой и кропотливой работы, или кражи пароля на почтовую систему. Точно так же неприятно обнаружить себя жертвой массовой рассылки конфиденциальных файлов или ссылки на порно-сайт. Кроме уже ставших привычными краж номеров кредитных карт, участились случаи воровства персональных данных игроков различных онлайновых игр - Ultima Online, Legend of Mir, Lineage, Gamania. В России также зафиксированы случаи с игрой "Бойцовский клуб", где реальная стоимость некоторых предметов на аукционах достигает тысяч долларов США. Развитие получили и вирусные технологии для мобильных устройств. В качестве пути проникновения используются не только Bluetooth-устройства, но и обычные MMS-сообщения (червь ComWar).

Разновидности вредоносных программ

Компьютерный вирус - разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.

Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы-шпионы и даже спам. (Спам (англ. spam) - рассылка коммерческой, политической и иной рекламы или иного вида сообщений лицам, не выражавшим желания их получать. Легальность массовой рассылки некоторых видов сообщений, для которых не требуется согласие получателей, может быть закреплена в законодательстве страны. Например, это может касаться сообщений о надвигающихся стихийных бедствиях, массовой мобилизации граждан и т.п. В общепринятом значении термин "спам" в русском языке впервые стал употребляться применительно к рассылке электронных писем) Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру, организуя вирусные эпидемии .

Вирусы распространяются, внедряя себя в исполняемый код других программ или же заменяя собой другие программы. Какое-то время даже считалось, что, являясь программой, вирус может заразить только программу - какое угодно изменение не-программы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получат управления, будучи информацией, не используемой процессором в качестве инструкций. Так, например неформатированный текст не мог бы быть переносчиком вируса.

Однако позднее злоумышленники добились, что вирусным поведением может обладать не только исполняемый код, содержащий машинный код процессора. Были написаны вирусы на языке пакетных файлов. Потом появились макровирусы, внедряющиеся через макросы в документы таких программ, как Microsoft Word и Excel.

Некоторое время спустя взломщики создали вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем обычные данные. Вирусы стали распространяться посредством внедрения в последовательности данных (например, картинки, тексты, и т.д.) специального кода, использующего уязвимости программного обеспечения.

Троянская программа (также - троян, троянец, троянский конь, трой) - вредоносная программа, проникающая на компьютер под видом безвредной - кодека, скринсейвера, хакерского ПО и т.д.

"Троянские кони" не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и "червей", которые копируют себя по сети. Впрочем, троянская программа может нести вирусное тело - тогда запустивший троянца превращается в очаг "заразы".

Троянские программы крайне просты в написании: простейшие из них состоят из нескольких десятков строк кода на Visual Basic или C++.

Название "троянская программа" происходит от названия "троянский конь" - деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальное коварство истинных замыслов разработчика программы.

Троянская программа, будучи запущенной на компьютере, может:

мешать работе пользователя (в шутку, по ошибке или для достижения каких-либо других целей);

шпионить за пользователем;

использовать ресурсы компьютера для какой-либо незаконной (а иногда и наносящей прямой ущерб) деятельности и т.д.

Маскировка троянской программы. Для того, чтобы спровоцировать пользователя запустить троянца, файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т.п. Злоумышленник может перекомпилировать существующую программу, добавив к её исходному коду вредоносный, а потом выдавать за оригинал или подменять его.

Чтобы успешно выполнять эти функции, троянец может в той или иной степени имитировать (или даже полноценно заменять) задачу или файл данных, под которые она маскируется (программа установки, прикладная программа, игра, прикладной документ, картинка). Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно.

Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы, открытые для записи накопители самого компьютера), носители информации или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном "целевом" компьютере.

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).

Методы удаления. Трояны обладают множеством видов и форм, поэтому не существует абсолютно надёжной защиты от них.

Для обнаружения и удаления троянов необходимо использовать антивирусные программы. Если антивирус сообщает, что при обнаружении трояна он не может удалить его, то можно попробовать выполнить загрузку ОС с альтернативного источника и повторить проверку антивирусом. Если троян обнаружен в системе, то его можно также удалить вручную (рекомендуется "безопасный режим").

Чрезвычайно важно для обнаружения троянов и другого вредоносного ПО, регулярно обновлять антивирусную базу данных установленного на компьютере антивируса, так как ежедневно появляется множество новых вредоносных программ .

Сетевой червь - разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. Червь является самостоятельной программой.

Одни из первых экспериментов по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978. Термин возник под влиянием научно-фантастических романов Дэвида Герролда "Когда ХАРЛИ исполнился год" и Джона Браннера "На ударной волне"

Одним из наиболее известных компьютерных червей является "Червь Морриса", написанный Робертом Моррисом (Robert Morris) младшим, который был в то время студентом Корнельского Университета. Распространение червя началось 2 ноября 1988, после чего червь быстро заразил большое количество компьютеров, подключённых к интернету.

Черви могут использовать различные механизмы ("векторы") распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.

Часто выделяют так называемые ОЗУ-резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из "инфекционной" части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может "догрузить" по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (например, DoS-атаки).

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная "инфекционная" часть, так как обычно пользователь-жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком.

Анализ антивирусных программ

Евгений Касперский в 1992 году использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность) :

Сканеры (устаревший вариант - "полифаги") - определяют наличие вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора (см.: Эвристическое сканирование).

Ревизоры (класс, близкий к IDS) - запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений.

Сторожа (мониторы) - отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Вакцины - изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных (2007 год) условиях, когда количество возможных вирусов измеряется сотнями тысяч, этот подход неприменим.

Современные антивирусы сочетают все вышесказанные функции.

Антивирусы так же можно разделить на:

Продукты для домашних пользователей:

Собственно антивирусы;

Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т.д.);

Корпоративные продукты:

Серверные антивирусы;

Антивирусы на рабочих станциях ("endpoint").

Avast! Home Edition

Вместо простого "серого" окна мы видим оригинальный пластичный интерфейс темно-синего цвета. Для запуска достаточно выбрать, что именно требуется проверить -- локальные, сменные диски или отдельные директории, -- и нажать кнопку "Start". Можно также определить качество проверки (Quick, Standard или Thorough) и необходимость включения в нее архивов. Предусмотрен, естественно, и резидентный монитор, перехватывающий вирусы на лету.

Антивирус обладает наличием всех необходимых функций для защиты компьютера от вирусов. Антивирус включает в себя следующие компоненты: сканер, монитор, сканер электронной почты, систему автоматического обновления антивирусной базы через Интернет. Программа может как находить, так и лечить заражённые вирусами файлы. Для безопасного хранения и лечения заражённых файлов в этой антивирусной программе реализована функция Вирусного хранилища, в котором и происходят все операции с зараженными вирусами файлами. Этот антивирус умеет совместно работать с файрволлами сторонних производителей (поддерживается работа с Kerio Personal, Zone Alarm Pro и файерволлом, встроенным в Windows XP), что позволяет надёжно защитить компьютер от различных интернет-угроз и вирусных атак.

AVIRA Antivirus for Windows Desktop

Лёгкий в использовании антивирус. Обнаруживает почтовые вирусы, троянов, шпионов, червей, двойное расширение файлов и т.д. Есть автоматическое обновление баз и мониторинг в реальном времени. Планировщик и эвристический анализ.

Хороший отечественный антивирус с высокой степенью "подозрительности". Отличается высокой скоростью. Возможности: -- полная проверка всей системной памяти Windows;- автоматическое обновление через Интернет;-резидентный антивирусный контроль файлов (сторож SpIDer);- интеллектуальная технология контроля вирусной активности SpIDer-Netting. Как и Антивирус Касперского "висит в памяти", сканируя на вирусы все файлы. По сравнению с Антивирус Касперского более быстрый, но может пропускать вирусы если вы не будете скачивать обновления антивирусной базы. Реализована проверка почтовых файлов, кодированных программами UENCODE и MIME, и проверка альтернативных потоков данных (ADS) для файловой системы NTFS.

Бесплатный аналог известного антивирусного пакета Dr.Web с несколько урезанной функциональностью.

NOD32 представляет полностью интегрированный комплекс программных средств, характеризующихся высочайшим уровнем обнаружения, скоростью сканирования и феноменально низкой нагрузкой на системные ресурсы, что отмечено многими престижными международными наградами.

Kaspersky Antivirus

Пакет антивирусных инструментов Лаборатории Касперского. В состав включены программа-резидент, сканер диска, ScriptChecker, набор баз данных по вирусам. Многочисленные настройки по времени автоматического запуска программы сканирования на вирусы, по типам файлов для сканирования. Мощные эвристические алгоритмы поиска. Kaspersky Anti-Virus Monitor -- программа, постоянно находящаяся в оперативной памяти компьютера и отслеживающая все в ней происходящее. Kaspersky Anti-Virus Scanner -- модуль для качественного сканирования содержимого дисков вашего компьютера с возможностью настройки глубины, приоритета и массы других параметров проверки. Kaspersky Anti-Virus Updater -- программа обновления вирусных баз, которые используются другими модулями для обнаружения зараженных объектов. Kaspersky Anti-Virus Control Centre -- управляющая оболочка Антивируса Касперского, выступающая в роли интеллектуального планировщика. Kaspersky Anti-Virus Mail Checker -- программа, предназначенная для обеспечения антивирусной защиты пользователей, применяющих для работы с электронной почтой программу Microsoft Outlook. Kaspersky Anti-Virus Rescue Disk -- компонент пакета Антивирус Касперского, предназначенный для создания комплекта дисков аварийного восстановления. Kaspersky Anti-Virus Script Checker -- сервис для защиты от скрипт-вирусов, которые могут содержаться в письмах и на web-страницах. Антивирус Касперского обнаруживает вирусы в архивированных и упакованных файлах более 700 форматов, а также лечит файлы форматов ZIP, ARJ, CAB и RAR .

Kaspersky Worm Removal Tool

Бесплатная утилита для нейтрализации наиболее распространенных вирусов-червей. В случае обнаружения вируса Kaspersky Worm Removal Tool, удаляет его и восстанавливает поврежденные записи в реестре. При запуске программы из командной строки есть возможность ключами настроить параметры сканирования. Можно проверить, как локальные, так и сетевые диски.

Norton AntiVirus

Norton AntiVirus является одной из лучших антивирусных программ на мировом рынке. Автоматически удаляет вирусы, интернет-червей и троянские компоненты, не создавая помех работе пользователя. Есть функция Norton Internet Worm Protection (Защита от интернет-червей) позволяет блокировать ряд наиболее сложных и опасных червей (например, Blaster и Sasser) до того, как они проникнут в компьютерную систему. Кроме того, Norton AntiVirus в состоянии обнаруживать "шпионские" модули и другие угрозы, не являющиеся вирусными по своей природе.

Panda Antivirus Platinum

Удобный и простой в настройке антивирус. Panda обладает функциями проверки исходящей и входящей почты, в ней есть эвристический анализ и возможность создания аварийных дискет. Есть также функции, позволяющие обезопасить компьютер от таких неприятных вещей, как утилиты скрытого управления, программы, автоматически производящие дозвон до провайдера, и программы-шутки.

USB Disk Security

Программа, которая обеспечивает вам 100% защиту от вредоносных программ и вирусов распространяемых через сменные носители (USB флешки, карты памяти, внешние жесткие диски и другие носители подключаемые через USB порт). Программа проста в обращении, не требовательны к системным ресурсам и относиться к категории "поставил и забыл". Программа полностью совместима с современными антивирусами что позволяет вам обеспечить наибольшую защиту при использовании их вместе.

Как и следовало ожидать, назвать среди рассмотренных здесь программ, лучший антивирусник невозможно, ведь критериев, которыми могут руководствоваться пользователи при выборе, множество. Несомненно одно - все решения заслуживают внимания пользователей и относятся к числу достойных. При этом самым функциональным среди них является "Антивирус Касперского", обеспечивающий комплексную защиту от наиболее широкого спектра угроз и обладающий впечатляющими возможностями настройки. А вот в плане сочетания высокой функциональности и комфортности использования (то есть простоты применения и минимальной "заметности" в процессе фоновой работы) нам в большей степени приглянулся Eset NOD32. Антивирусы Avast! AntiVirus и Avira AntiVir также нетребовательны к системным ресурсам и потому при работе в фоновом режиме ведут себя скромно, но их возможности устроят не всех пользователей. В первом, к примеру, недостаточен уровень эвристического анализа, во втором пока нет русскоязычной локализации и, на наш взгляд, не очень удобно организовано управление модулями.

Что касается Norton AntiVirus и Dr.Web, то при всей популярности в мире первого и заслуженном признании за былые заслуги второго, пальма первенства в рассматриваемом нами ракурсе явно не на их стороне. Norton AntiVirus, несмотря на то, что последняя его версия гораздо шустрее (в сравнении с предыдущими) в работе и отличается лучше продуманным интерфейсом, по-прежнему заметно нагружает систему и довольно медленно реагирует на запуск тех или иных функций. Хотя справедливости ради, надо заметить, что само сканирование он производит быстро. А Dr.Web на фоне прочих антивирусов не очень впечатляет, ведь его возможности ограничены защитой файлов и почты, но у него есть свой плюс - это самый простой среди рассмотренных антивирусов .

Таблица 1 - Сравнение функциональности антивирусных решений

Антивирус Касперского

Norton Antivirus

Виды сканирования

Быстрое (ограничена зона сканирования), полное и выборочное

Сканирование Smart (не требует настроек) и выборочное сканирование

Быстрое, полное и пользовательское

Быстрая, полная и выборочная

быстрое, стандартное и тщательное

полное и локальное

полное и локальное

полное и локальное

Сканирование отдельных файлов/ папок из проводника Windows

Варианты запуска сканирования

По требованию и по расписанию

По требованию и по расписанию

По требованию и по расписанию

По требованию и по расписанию

По требованию и по расписанию

По требованию и по расписанию

По требованию и по расписанию

По требованию и по расписанию

Защита в режиме реального времени

Использование проактивных методов защиты

+ (Эвристический анализатор)

+ (поведенческий блокиратор)

+ (Эвристический анализатор)

+ (Эвристический анализатор только для анализа почтовых сообщений)

+ (Эвристический анализатор)

+ (Эвристический анализатор)

+ (Эвристический анализатор и поведенческий блокиратор)

Сканирование файлов

Сканирование почтовых сообщений

+ (вредоносные программы)

+ (вредоносные программы)

+ (вредоносные программы)

+ (вредоносные программы)

+ (вредоносные программы)

+ (вредоносные программы)

+ (вредоносные программы, фишинг)

Сканирование мгновенных сообщений

Уведомление о найденных инфекциях

Проверка ОС и ПО на наличие уязвимостей

Блокирование выполнения опасных скриптов

Проверка ссылок на принадлежность к подозрительным/фишинговым адресам

Шпионское программное обеспечение

Spyware (шпионское программное обеспечение) - программа, которая скрытным образом устанавливается на компьютер с целью полного или частичного контроля за работой компьютера и пользователя без согласия последнего.

В настоящий момент существует множество определений и толкований термина spyware. Организация "Anti-Spyware Coalition", в которой состоят многие крупные производители антишпионского и антивирусного программного обеспечения, определяет его как мониторинговый программный продукт, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя, то есть несанкционированно установленный .

Особенности функционирования

Spyware могут осуществлять широкий круг задач, например:

собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания);

запоминать нажатия клавиш на клавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю spyware;

несанкционированно и удалённо управлять компьютером (remote control software) - бэкдоры, ботнеты, droneware;

инсталлировать на компьютер пользователя дополнительные программы;

использоваться для несанкционированного анализа состояния систем безопасности (security analysis software) - сканеры портов и уязвимостей и взломщики паролей;

изменять параметры операционной системы (system modifying software) - руткиты, перехватчики управления (hijackers) и пр. - результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;

перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.

Законные виды применения "потенциально нежелательных технологий":

Tracking Software (программы отслеживания) широко и совершенно законно применяются для мониторинга персональных компьютеров.

Adware может открыто включаться в состав бесплатного и условно-бесплатного программного обеспечения, и пользователь соглашается на просмотр рекламы, чтобы иметь какую-либо дополнительную возможность (например - пользоваться данной программой бесплатно). В таком случае наличие программы для показа рекламы должно явно прописываться в соглашении конечного пользователя (EULA).

Программы удалённого контроля и управления могут применяться для удалённой технической поддержки или доступа к собственным ресурсам, которые расположены на удалённом компьютере.

Дозвонщики (диалеры) могут давать возможность получить доступ к ресурсам, нужным пользователю (например - дозвон к Интернет-провайдеру для подключения к сети Интернет).

Программы для модификации системы могут применяться и для персонализации, желательной для пользователя.

Программы для автоматической загрузки могут применяться для автоматической загрузки обновлений прикладных программ и обновлений ОС.

Программы для анализа состояния системы безопасности применяются для исследования защищённости компьютерных систем и в других совершенно законных целях.

Технологии пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь.

Согласно данным AOL и National Cyber-Security Alliance от 2005 года 61% респондентных компьютеров содержали ту или иную форму spyware, из них 92% пользователей не знали о присутствии spyware на их машинах и 91% сообщили, что они не давали разрешения на инсталляцию spyware.

К 2006 году spyware стали одним из превалирующих угроз безопасности компьютерных систем, использующих Windows. Компьютеры, в которых Internet Explorer служит основным браузером, являются частично уязвимыми не потому, что Internet Explorer наиболее широко используется, но из-за того, что его тесная интеграция с Windows позволяет spyware получать доступ к ключевым узлам ОС.

До релиза Internet Explorer 7 браузер автоматически выдавал окно инсталляции для любого компонента ActiveX, который веб-сайт хотел установить. Сочетание наивной неосведомлённости пользователя по отношению к spyware и предположение Internet Explorer, что все компоненты ActiveX безвредны, внесло свой вклад в массовое распространение spyware. Многие компоненты spyware также используют изъяны в JavaScript, Internet Explorer и Windows для инсталляции без ведома и/или разрешения пользователя.

Реестр Windows содержит множество разделов, которые после модифицирования значений ключей позволяют программе исполняться автоматически при загрузке ОС. Spyware могут использовать такой шаблон для обхождения попыток деинсталляции и удаления .

Spyware обычно присоединяют себя из каждого местонахождения в реестре, позволяющего исполнение. Будучи запущенным, spyware контролирует периодически, не удалено ли одно из этих звеньев. Если да, то оно автоматически восстанавливается. Это гарантирует, что spyware будет выполняться во время загрузки ОС, даже если некоторые (или большинство) звенья в реестре автозапуска удалены.

В отличие от вирусов и сетевых червей, spyware обычно не саморазмножается. Подобно многим современным вирусам, spyware внедряется в компьютер преимущественно с коммерческими целями. Типичные проявления включают в себя демонстрацию рекламных всплывающих окон, кражу персональной информации (включая финансовую, например, номера кредитных карт), отслеживание привычки посещения веб-сайтов или перенаправление адресного запроса в браузере на рекламные или порносайты.

Телефонное мошенничество. Создатели spyware могут совершать мошенничество на телефонных линиях с помощью программ типа "диалер". Диалер может перенастроить модем для дозвона на дорогостоящие телефонные номера вместо обычного ISP. Соединение с этими не вызывающими доверия номерами идёт по международным или межконтинентальным тарифам, следствием чего являются непомерно высокие суммы в телефонных счетах. Диалер не эффективен на компьютерах без модема или не подсоединённых к телефонной линии.

Если угроза со стороны spyware становится более чем назойливой, существует ряд методов для борьбы с ними. Среди них программы, разработанные для удаления или блокирования внедрения spyware, также как и различные советы пользователю, направленные на снижение вероятности попадания spyware в систему.

Тем не менее, spyware остаётся дорогостоящей проблемой. Когда значительное число элементов spyware инфицировало ОС, единственным средством остаётся сохранение файлов данных пользователя и полная переустановка ОС.

Анализ антиspyware программ

Программы, такие как Ad-Aware (бесплатно для некоммерческого использования, дополнительные услуги платные) от Lavasoft и Spyware Doctor от PC Tools (бесплатное сканирование, удаление spyware платное) стремительно завоевали популярность как эффективные инструменты удаления и, в некоторых случаях, препятствия внедрению spyware. В 2004 году Microsoft приобрела GIANT AntiSpyware, переименовав её в Windows AntiSpyware beta и выпустив её как бесплатную загрузку для зарегистрированных пользователей Windows XP и Windows Server 2003. В 2006 году Microsoft переименовал бета-версию в Windows Defender который был выпущен для бесплатной загрузки (для зарегистрированных пользователей) с октября 2006 года и включён как стандартный инструмент в Windows Vista.

Довольно долгое время среди бесплатных антишпионов лидировали AdAware и Spybot S&D. И если первая программа в основном продолжает показывать отличные результаты, то вторая несколько утратила свои позиции. Плюс обеих программ -- наличие защиты в режиме реального времени, чем не могут похвастаться бесплатные версии следующих двух программ.

Первая из этих программ -- относительно новый антишпион Malwarebytes Anti-Malware. Он обладает очень быстрым сканером и радует пользователя довольно частыми обновлениями базы вредоносных программ, что позволяет поддерживать программу в «боевом» состоянии .

Еще один кандидат на присутствие на вашем компьютере -- SuperAntiSpyware. Это тот нечастый случай, когда громкое название программы соответствует ее характеристикам. SuperAntiSpyware имеет очень хорошие показатели выявления и удаления нежелательных программ.

К сожалению недавний лидер среди антишпионских программ Spyware Terminator в последних тестах показывает не лучшие результаты. Между тем, его все-еще можно использовать вместе с Malwarebytes Anti-Malware или SuperAntiSpyware для обеспечения защиты в режиме реального времени.

Стоит также упомянуть довольно популярную программу от компании Microsoft -- Windows Defender. Несмотря на частую критику этой программы ее модули отслеживающие подозрительные изменения системы в режиме реального времени по прежнему на высоте.

Использование более чем одного антишпиона для защиты в режиме реального времени может вызвать конфликты и чрезмерное использование системных ресурсов.

SuperAntiSpyware -- сканирует систему на наличие шпионского и другого вредоносного ПО.

Ad-Aware Free Internet Security - популярная многофункциональная бесплатная антишпионская и антивирусная программа.

AVZ Antiviral Toolkit -- программа для удаления шпионских и рекламных модулей, червей, троянов, диалеров.

Spyware Terminator -- одна из лучших программ для удаления шпионского программного обеспечения.

Malwarebytes" Anti-Malware -- программа для обнаружения и удаления вредоносного софта.

Emsisoft Anti-Malware -- программа для обнаружения и уничтожения вредоносного программного обеспечения.

Windows Defender -- программа для удаления, изоляции и предотвращения появление шпионских модулей.

Spybot - Search & Destroy -- программа для обнаружения и удаления шпионских программ.

Руткит (Rootkit) - программа или набор программ, использующих технологии сокрытия системных объектов (файлов, процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений и пр) посредством обхода механизмов системы.

Термин руткит исторически пришел из мира Unix, где под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Это, как правило, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. Руткит позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.

В системе Windows под термином руткит принято считать программу, которая внедряется в систему и перехватывает системные функции, или производит замену системных библиотек. Перехват и модификация низкоуровневых API функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе, защищая ее от обнаружения пользователем и антивирусным ПО. Кроме того, многие руткиты могут маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие руткиты устанавливают в систему свои драйверы и сервисы (они естественно также являются "невидимыми") .

В последнее время угроза руткитов становится все более актуальной, т.к разработчики вирусов, троянских программ и шпионского программного обеспечения начинают встраивать руткит-технологии в свои вредоносные программы. Одним из классических примеров может служить троянская программа Trojan-Spy. Win32. Qukart, которая маскирует свое присутствие в системе при помощи руткит-технологии. Ее RootKit-механизм прекрасно работает в Windows 95, 98, ME, 2000 и XP.

Классификация руткитов

Условно все руткит-технологии можно разделить на две категории:

Руткиты работающие в режиме пользователя (user-mode)

Руткиты работающие в режиме ядра (kernel-mode)

Также, руткиты можно классифицировать по принципу действия и по постоянству существования. По принципу действия:

Методы защиты от вредоносных программ

Стопроцентной защиты от всех вредоносных программ не существует: от эксплойтов наподобие Sasser или Conficker не застрахован никто. Чтобы снизить риск потерь от воздействия вредоносных программ, рекомендуется:

использовать современные операционные системы, имеющие серьёзный уровень защиты от вредоносных программ;

своевременно устанавливать патчи; если существует режим автоматического обновления, включить его;

постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;

использовать специализированные программные продукты, которые для противодействия вредоносным программам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы;

использовать антивирусные программные продукты известных производителей, с автоматическим обновлением сигнатурных баз;

использовать персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

ограничить физический доступ к компьютеру посторонних лиц;

использовать внешние носители информации только от проверенных источников;

не открывать компьютерные файлы, полученные от ненадёжных источников;

отключить автозапуск со сменных носителей, что не позволит запускаться кодам, которые находятся на нем без ведома пользователя (для Windows необходимо gpedit. msc->Административные шаблоны (Конфигурация пользователя) - >Система->Отключить автозапуск->Включен "на всех дисководах").

Современные средства защиты от различных форм вредоносных программ включают в себя множество программных компонентов и методов обнаружения "хороших" и "плохих" приложений. Сегодня поставщики антивирусных продуктов встраивают в свои программы сканеры для обнаружения "шпионов" и другого вредоносного кода, таким образом, всё делается для защиты конечного пользователя. Тем не менее, ни один пакет против шпионских программ не идеален. Один продукт может чересчур пристально относиться к программам, блокируя их при малейшем подозрении, в том числе "вычищая" и полезные утилиты, которыми вы регулярно пользуетесь. Другой продукт более лоялен к программам, но может пропускать некоторый шпионский код. Так что панацеи, увы, нет.

В отличие от антивирусных пакетов, которые регулярно показывают 100% эффективности по обнаружению вирусов в профессиональном тестировании, проводящемся такими экспертами, как "Virus Bulletin", ни один пакет против рекламных программ не набирает более 90%, а эффективность многих других продуктов определяется между 70% и 80%.

Это объясняет, почему одновременное использование, например, антивируса и антишпионской программы, наилучшим образом обеспечивает всестороннюю защиту системы от опасностей, которые могут прийти неожиданно. Практика показывает, что один пакет следует использовать в качестве постоянного "блокировщика", который загружается всякий раз при включении компьютера (например, AVP 6.0), в то время как ещё один пакет (или более) должен запускаться, по крайней мере, раз в неделю, чтобы обеспечить дополнительное сканирование (например, Ad-Aware). Таким образом, то, что пропустит один пакет, другой сможет обнаружить.

Тестирование на защиту от вредоносных программ (Malware Protection Test) является усовершенствованной вариацией испытания на файловой обнаружение (File Detection Test), которое проводилось в последние годы. В связи с изменениями методов проведения тестирования рекомендуется ознакомиться с новой методологией, описанной ниже. Обратите внимание, что лаборатория не рекомендует покупать антивирусное решение на основе исключительно данных индивидуальных испытаний. Пользователи должны учитывать и другие факторы: стоимость, удобство использования, совместимость и поддержку. Установка пробной версии антивируса позволяет провести тестирование в режиме повседневного использования, и на основании данного опыта принять решение о приобретении.

В тестировании принимали участие преимущественно комплексные антивирусы , предназначенные в основном для домашних пользователей. Тем не менее, некоторые вендоры настояли на тестировании своих бесплатных антивирусов и продуктов для корпоративного сектора.

Тестовый набор состоял из 37999 вредоносных образцов. Многие вредоносные экземпляры были собраны после предварительного сбора телеметрических данных с целью выявления новейших широко распространенных угроз, которые представляют серьезную опасность для пользователей. Различные варианты вредоносных программ были сгруппированы, чтобы создать сбалансированный тестовый набор (т.е. избежать чрезмерного представления одного и то же вредоносного образца в наборе). Процесс сбора образцов завершился 24 февраля 2017 года.

Все антивирусы были установлены на полностью обновленную систему на базе 64-битной версии Microsoft Windows 10 Pro (Redstone 1). Все продукты были протестированы в начале марта. Каждый антивирус получил последние обновления и был протестирован с параметрами по умолчанию.

Тестируемые антивирусы

  • CrowdStrike Falcon Prevent 3.0
  • eScan Corporate 360 14.0
  • Seqrite Endpoint Security 17.0

Методология

Тестирование на защиту от вредоносных программ (Malware Protection Test) оценивает способность антивирусов противостоять заражению систему вредоносными файлами до их запуска, во время исполнения и после него. При тестировании каждого антивируса использовалась единая методология. Перед выполнением, все тестовые образцы были подвергнуты сканированиям по требованию, которые выполнялись при подключении к Интернету и без доступа к сети. Т.е. образцы, которые не были обнаружены во время данных проверок, были запущены в тестовой системе - при этом был организован доступ к Интернету, чтобы функции поведенческого анализа смогли полноценно работать. Если антивирус не предотвращал заражение и не отменял вредоносные изменения, внесенные конкретным вредоносным образцом, то считалось, что в данном тестовом сценарии продукт потерпел неудачу. Если антивирус спрашивал у пользователя, нужно ли разрешить запуск опасной программы или заблокировать объект, то неправильное решение приводило к заражению системы. Данный тестовый сценарий рассматривался как “User dependent”, т.е. действие над угрозой зависит от решения пользователя.

Многие тестируемые антивирусы используют облачные технологии защиты, такие как сервисы репутации или облачные сигнатуры, доступ к которым невозможен без активного подключения к Интернету. За счет выполнения сканирований по требованию в режимах онлайн (с доступом к Интернету) и оффлайн (без доступа к Интернету), тест наглядно показывает зависимость каждого продукта от облачных компонентов защиты. В результате можно сделать вывод о том, насколько эффективную защиту предоставляет антивирус, если отсутствует подключение к Интернету. Лаборатория AV-Comparatives рекомендует вендорами, чьи продукты очень жестко привязаны к облачным технологиям, предупреждать пользователей о потере активного подключения, потому что данный факт может серьезно сказаться на качестве предоставляемой защиты. В данном испытании лаборатория проверяла доступность облачных сервисов, но пользователи должны иметь в виду, что далеко не всегда наличие подключения к сети означает, что облачные сервисы доступны и работают корректно. Организация по стандартизации тестирования средств защиты от вредоносных программ (Anti-Malware Testing Standards Organisation) проводит собственное тестирование с целью проверки правильного функционирования облачных служб защиты в различных антивирусах.

Пропущенные угрозы в процентах (меньше - лучше)

Используемый тестовый набор содержал 37999 последних / распространенных вредоносных образцов за последние несколько недель / месяцев.

Тест на файловое обнаружение (File Detection Test), который проводился в последние годы, включал только этап обнаружения вредоносных файлов. Он позволял оценить способность тестируемых антивирусов обнаруживать вредоносные образцы перед запуском. Данная способность остается очень важной функцией антивирусов, которая позволяет убедиться в безопасности файла, прежде чем отправить его друзьям родственникам или коллегам по работе.

Данный тест на защиту от вредоносных программ (Malware Protection Test) учитывает не только уровни обнаружения участвующих программ, но также их защитные возможности, например, способность предотвратить вредоносные изменения в системе со стороны зловреда. В некоторых случаях антивирусная программа может не обнаружить вредоносный образец, если он находится в неактивном состоянии, но моментально идентифицирует угрозу при запуске. Кроме того, многие антивирусы используют поведенческий анализ для мониторинга и блокировки нежелательных системных изменений, которые обычно свойственны для вредоносных приложений. Данная информация дополняет результаты динамического тестирования антивирусов (Real-World Protection Test), в котором источником вредоносных программ становятся реальные общедоступные URL-адреса. В этом случае веб-фильтры и другие компоненты веб-защиты могут вступить в действие. Тест на защиту от вредоносных программ (Malware Protection Test) воспроизводит ситуацию, когда вредоносная программа поступает из локального источника, например, из локальной сети или съемного USB-устройства флеш-памяти. Оба теста предусматривают запуск вредоносных программ, которые не были идентифицированы функциями защиты, чтобы дать шанс вступить в действие “последней линии обороны”.

Одним из важных аспектов облачных механизмов обнаружения заключается в следующем: авторы вредоносных программ постоянно ищут новые способы для обхода обнаружения и механизмов защиты. Использование облачной защиты позволяет вендорам обнаруживать и классифицировать подозрительные файлы в режиме реального времени с целью защиты от новейших неизвестных видов угроз. Размещение некоторых частей механизма обнаружения в облачном пространстве усложняет авторам вредоносных программ задачу быстрой адаптации к новым правилам обнаружения.

Антивирус, который показывает высокий процент обнаружения угроз, но страдает от ложных срабатываний, не всегда лучше, чем антивирус, который обнаруживает меньше вредоносных файлов, но при этом генерирует меньше ложных тревог.

Уровень наград в тестировании

AV-Comparatives присваивает тестируемым антивирусам рейтинговые награды, которые основываются на уровне обнаружения угроз и на уровне ложных срабатываний. Так как отчет содержит не только итоговые рейтинги, но и сами уровни обнаружения угроз, то опытные пользователи могут быть менее обеспокоены ложными срабатываниями и могут полагаться исключительно на уровень защиты.

* Эти продукты были понижены в результатах из-за ложноположительных срабатываний.

Обзор тестирования на русском языке подготовлен сайтом сайт. С полным отчетом вы можете ознакомиться по этой ссылке (pdf, английский).

Нашли опечатку? Нажмите Ctrl + Enter

Описание презентации по отдельным слайдам:

1 слайд

Описание слайда:

Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious - злонамеренный и software - программное обеспечение, жаргонное название - «малварь», «маловарь», «мыловарь» и даже «мыловарня») - злонамеренная программа, то есть программа, созданная со злым умыслом и/или злыми намерениями. Защита от вредоносных программ

2 слайд

3 слайд

Описание слайда:

Антивирусные программы Современные антивирусные программы обеспечивают комплексную защиту программ и данных на компьютере от всех типов вредоносных программ и методов их проникновения на компьютер: Интернет, локальная сеть, электронная почта, съемные носители информации. Для защиты от вредоносных программ каждого типа в антивирусе предусмотрены отдельные компоненты. Принцип работы антивирусных программ основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вредоносных программ.

4 слайд

Описание слайда:

Антивирусные программы Для поиска известных вредоносных программ используются сигнатуры. Сигнатура - это некоторая постоянная последовательность программного кода, специфичная для конкретной вредоносной программы. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению или удалению. Для поиска новых вирусов используются алгоритмы эвристического сканирования, т. е. анализа последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то антивирусная программа выдает сообщение о возможном заражении объекта.

5 слайд

Описание слайда:

Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирус­ный сканер). Антивирусный монитор запускается автоматически при старте операционной системы и работает в качестве фонового системного процесса, проверяя на вредоносность совершаемые другими программами действия. Основная задача антивирусного монитора состоит в обеспечении максимальной защиты от вредоносных программ при минимальном замедлении работы компьютера. Антивирусный сканер запускается по заранее выбранному расписанию или в произвольный момент пользователем. Антивирусный сканер производит поиск вредоносных программ в оперативной памяти, а также на жестких и сетевых дисках компьютера.

6 слайд

Описание слайда:

Признаки заражения компьютера вывод на экран непредусмотренных сообщений или изображений; подача непредусмотренных звуковых сигналов; неожиданное открытие и закрытие лотка CD/DVD дисковода; произвольный запуск на компьютере каких-либо программ; частые зависания и сбои в работе компьютера; медленная работа компьютера при запуске программ; исчезновение или изменение файлов и папок; частое обращение к жесткому диску (часто мигает лампочка на системном блоке); зависание или неожиданное поведение браузера (например, окно программы невозможно закрыть). Некоторые характерные признаки поражения сетевым вирусом через электронную почту: друзья или знакомые говорят о полученных от вас сообщениях, которые вы не отправляли; в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

7 слайд

Описание слайда:

Действия при наличии признаков заражения компьютера Прежде чем предпринимать какие-либо действия, необходимо сохранить результаты работы на внешнем носителе (дискете, CD- или DVD-диске, флэш-карте и пр.). Далее необходимо: отключить компьютер от локальной сети и Интернета, если он к ним был подключен; если симптом заражения состоит в том, что невозможно загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробовать загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows; запустить антивирусную программу.

8 слайд

Описание слайда:

Компьютерные вирусы и защита от них Компьютерные вирусы являются вредоносными программами, которые могут «размножаться» (самокопироваться) и скрытно внедрять свои копии в файлы, загрузочные секторы дисков и документы. Активизация компьютерного вируса может вызывать уничтожение программ и данных. Название «вирус» по отношению к компьютерным программам пришло из биологии именно по признаку способности к саморазмножению. По «среде обитания» вирусы можно разделить на загрузочные, файловые и макровирусы.

9 слайд

Описание слайда:

Загрузочные вирусы Загрузочные вирусы заражают загрузочный сектор гибкого или жесткого диска. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера. При заражении дисков загрузочные вирусы «подставляют» свой код вместо программы, получающей управление при загрузке системы, и отдают управление не оригинальному коду загрузчика, а коду вируса. При инфицировании диска вирус в большинстве случаев переносит оригинальный загрузочный сектор в какой-либо другой сектор диска. Профилактическая защита от загрузочных вирусов состоит в отказе от загрузки операционной системы с гибких дисков и установке в BIOS вашего компьютера защиты загрузочного сектора от изменений.

10 слайд

Описание слайда:

Файловые вирусы Файловые вирусы различными способами внедряются в исполнимые файлы и обычно активизируются при их запуске. После запуска зараженного файла вирус находится в оперативной памяти компьютера и является активным (т. е. может заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки операционной системы. Практически все загрузочные и файловые вирусы резидентны (стирают данные на дисках, изменяют названия и другие атрибуты файлов и т. д.). Лечение от резидентных вирусов затруднено, так как даже после удаления зараженных файлов с дисков, вирус остается в оперативной памяти и возможно повторное заражение файлов. Профилактическая защита от файловых вирусов состоит в том, что не рекомендуется запускать на исполнение файлы, полученные из сомнительных источников и предварительно не проверенные антивирусными программами.

11 слайд

Описание слайда:

Макровирусы Существуют макровирусы для интегрированного офисного приложения Microsoft Office. Макровирусы фактически являются макрокомандами (макросами), на встроенном языке программирования Visual Basic for Applications, которые помещаются в документ. Макровирусы содержат стандартные макросы, вызываются вместо них и заражают каждый открываемый или сохраняемый документ. Макровирусы являются ограниченно резидентными. Профилактическая защита от макровирусов состоит в предотвращении запуска вируса. При открытии документа в приложениях Microsoft Office сообщается о присутствии в них макросов (потенциальных вирусов) и предлагается запретить их загрузку. Выбор запрета на загрузку макросов надежно защитит ваш компьютер от заражения макровирусами, однако отключит и полезные макросы, содержащиеся в документе.

12 слайд

Описание слайда:

Сетевые черви и защита от них Сетевые черви являются вредоносными программами, которые проникают на компьютер, используя сервисы компьютерных сетей. Активизация сетевого червя может вызывать уничтожение программ и данных, а также похищение персональных данных пользователя. Для своего распространения сете­вые черви используют разнообразные сервисы глобальных и локальных компьютерных сетей: Всемирную паутину, элек­тронную почту и т. д. Основным признаком, по которому типы червей различаются между собой, является способ распространения червя - как он передает свою копию на удаленные компьютеры. Однако многие сетевые черви используют более одного способа распространения своих копий по компьютерам локальных и глобальных сетей.

13 слайд

Описание слайда:

Web-черви Отдельную категорию составляют черви, использующие для своего распространения web-серверы. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и модифицирует web-страницы сервера. Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают в браузере зараженную web-страницу), и таким образом проникает на другие компьютеры сети. Разновидностью Web-червей являются скрипты - активные элементы (программы) на языках JavaScript или VBScript. Профилактическая защита от web-червей состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер. Еще более эффективны Web-антивирусные программы, которые включают межсетевой экран и модуль проверки скриптов на языках JavaScript или VBScript

14 слайд

Описание слайда:

Межсетевой экран Межсетевой экран (брандмауэр) - это программное или аппаратное обеспечение, которое проверяет информацию, входящую в компьютер из локальной сети или Интернета, а затем либо отклоняет ее, либо пропускает в компьютер, в зависимости от параметров брандмауэра. Межсетевой экран обеспечивает проверку всех web-страниц, поступающих на компьютер пользователя. Каждая web-страница перехватывается и анализируется межсетевым экраном на присутствие вредоносного кода. Распознавание вредоносных программ происходит на основании баз, используемых в работе межсетевого экрана, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнару­живать новые вирусы, еще не описанные в базах.

15 слайд

Описание слайда:

Почтовые черви Почтовые черви для своего распространения используют электронную почту. Червь либо отсылает свою копию в виде вложения в электронное письмо, либо отсылает ссылку на свой файл, расположенный на каком-либо сетевом ресурсе. В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя. Червь после заражения компьютера начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге пользователя. Профилактическая защита от почтовых червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников. рекомендуется своевременно скачивать из Интернета и устанавливать обновления системы безопасности операционной системы и приложений.

16 слайд

Описание слайда:

Троянские программы и защита от них Троянская программа, троянец (от англ. trojan) - вредоносная программа, которая выполняет несанкционированную пользователем передачу управления компьютером удаленному пользователю, а также действия по удалению, модификации, сбору и пересылке информации третьим лицам.

17 слайд

Описание слайда:

Троянские утилиты удаленного администрирования Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. Утилиты скрытого управления позволяют принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянской программы в системе. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления. Являются одним из самых опасных видов вредоносного программного обеспечения.

18 слайд

Описание слайда:

Троянские программы - шпионы Троянские программы - шпионы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в каком-либо файле на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

19 слайд

20 слайд

Описание слайда:

Хакерские утилиты и защита от них Сетевые атаки на удаленные серверы реализуются с помощью специальных программ, которые посылают на них многочисленные запросы. Это приводит к отказу в обслуживании (зависанию сервера), если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов. Некоторые хакерские утилиты реализуют фатальные сетевые атаки. Такие утилиты используют уязвимости в операционных системах и приложениях и отправляют специально оформленные запросы на атакуемые компьютеры в сети. В результате сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении, и система прекращает работу. Сетевые атаки

21 слайд

Описание слайда:

Утилиты взлома удаленных компьютеров предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа утилит удаленного администрирования) или для внедрения во взломанную систему других вредоносных программ. Утилиты взлома удаленных компьютеров обычно используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере. Профилактическая защита от таких хакерских утилит состоит в своевременной загрузке из Интернета обновлений системы безопасности операционной системы и приложений. Утилиты взлома удалённых компьютеров

22 слайд

Описание слайда:

Руткит (от англ. root kit - «набор для получения прав root») - программа или набор программ для скрытого взятия под контроль взломанной системы. Это утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Руткиты модифицируют операционную систему на компьютере и заменяют основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере. Руткиты

23 слайд

Описание слайда:

Защита от хакерских атак, сетевых червей и троянских программ. Защита компьютерных сетей или отдельных компьютеров от несанкционированного доступа может осуществляться с помощью межсетевого экрана. Межсетевой экран позволяет: блокировать хакерские DoS-атаки, не пропуская на защищаемый компьютер сетевые пакеты с определенных серверов (определенных IP-адресов или доменных имен); не допускать проникновение на защищаемый компьютер сетевых червей (почтовых, Web и др.); препятствовать троянским программам отправлять конфиденциальную информацию о пользователе и компьютере.

Виды и методы защиты информации От преднамеренного искажения, вандализма (компьютерных вирусов) Общие методы защиты информации; профилактические меры; использование антивирусных программ От несанкционированного (нелегального) доступа к информации (её использования, изменения, распространения) Шифрование; паролирование; «электронные замки»; совокупность административных и правоохранительных мер Вид защиты Метод защиты

28 слайд

Описание слайда:

Подводя итоги, следует упомянуть о том, что известно множество случаев, когда фирмы (не только зарубежные) ведут между собой настоящие «шпионские войны», вербуя сотрудников конкурента с целью получения через них доступа к информации, составляющую коммерческую тайну. Регулирование вопросов, связанных с коммерческой тайной, еще не получило в России достаточного развития. Имеющееся законодательство все же не обеспечивает соответствующего современным реалиям регулирования отдельных вопросов, в том числе и о коммерческой тайне. В то же время надо отдавать себе отчет, что ущерб, причиненный разглашением коммерческой тайны, зачастую имеет весьма значительные размеры (если их вообще можно оценить). Наличие норм об ответственности, в том числе уголовной, может послужить работникам предостережением от нарушений в данной области, поэтому целесообразно подробно проинформировать всех сотрудников о последствиях нарушений. Хотелось бы надеяться что создающаяся в стране система защиты информации и формирование комплекса мер по ее реализации не приведет к необратимым последствиям на пути зарождающегося в России информационно - интеллектуального объединения со всем миром. Заключение