Исследование проблем борьбы с вирусами и антивирусные программы)
Содержание:
Введение
Компьютеры стали настоящими помощниками человека и без них уже не может обойтись ни одна коммерческая фирма, ни государственная организация, ни сфера библиотечной деятельности. Сегодня библиотеки в первую очередь ориентируются на пользователя, а не только занимаются формированием своих фондов. Ориентация на пользователя становится основой стратегией и тактикой, как процессов комплектования библиотечного фонда, так и обслуживания читателей. Поэтому без компьютеризации при том комплексной, не обойтись, т.к. она способна обеспечить решение задач оптимального формирования, использования и управления фондами, а также создать пользователям комфортные условия работы с информацией и первоисточниками. Однако в связи с этим особенно обострилась проблема защиты информации. Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность. Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ – вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Все чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении все более совершенных, саморазмножающихся программ. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них. Для этого и сделали антивирусные программы.
Глава 1. Компьютерный вирус: характеристика появления и развития
1.История появления компьютерного вируса
Компьютерный вирус – это специально написанная, как правило, небольшая по размерам программа, которая может записывать свои копии в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т.д., причем эти копии сохраняют возможность к «размножению». Процесс внедрения вирусом своей копии в другую программу называется заражением, а программа или иной объект, содержащий вирус – зараженным.
Сегодня науке известно около 30 тысяч компьютерных вирусов. Как и обычным вирусам, вирусам компьютерным для «размножения» нужен «носитель» - здоровая программа или документ, в которых они прячут участки своего программного кода. Сам вирус невелик, его размер редко измеряется килобайтами. Однако натворить эта «кроха» может немало. В тот момент, когда пользователь запускает на своем компьютере зараженную программу или открывает документ, вирус активизируется и заставляет компьютер следовать его, вируса, инструкциям. Это приводит к удалению какой-либо информации, причем чаще всего – безвозвратно. Кроме этого современные вирусы могут испортить не только программы, но и
«железо». Например, уничтожают содержимое BIOS материнской платы или повреждают жесткий диск.
Вирусы появились приблизительно 30 лет назад. Именно тогда, в конце 60-х, когда о персональном компьютере можно было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США, обнаружились очень необычные программы. Необычны они были тем, что не выполняли распоряжения человека, как другие программы, а действовали сами по себе. Причем, своими действиями они сильно замедляли работу компьютера, но при этом ничего не портили и не размножались.
Но продлилось это недолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные к размножению и получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal, а компьютеры из семейства IBM-360/370 были заражены вирусом Christmas.
К 80-м годам число активных вирусов измерялось уже сотнями. А появление и распространение персональных компьютеров породило настоящую эпидемию – счет вирусов пошел на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 г. – впервые его использовал в своем докладе на конференции по информационной безопасности сотрудник Лехайского университета США Ф. Коуэн.
Первые компьютерные вирусы были простыми и неприхотливыми – от пользователей не скрывались, «скрашивали» свое разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и «шутками» («Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!»). Выявить такие вирусы было нетрудно – они «приклеивались» к исполняемым (com или exe)файлам, изменяя их оригинальные размеры.
Позднее вирусы стали прятать свой программный код так, что ни один антивирус не мог его обнаружить. Такие вирусы назывались «невидимками» (stealth).
В 90-е годы вирусы стали «мутировать» - постоянно изменять свой программный код, при этом пряча его в различных участках жесткого диска. Такие вирусы-мутанты стали называться «полиморфными».
Весомый вклад в распространение вирусов внес Internet. Впервые внимание общественности к проблеме Internet-вирусов было привлечено после появления знаменитого «червя Морриса» - относительно безобидного экспериментального вируса, в результате неосторожности его создателя распространившегося по всей мировой Сети. А к 1996-1998 гг. Интернет стал главным поставщиком вирусов. Возник даже целый класс Internet-вирусов, названных «троянскими». Эти программы не причиняли вреда компьютеру и хранящейся в нем информации, зато с легкостью могли «украсть» пароль и логин для доступа к Сети, а также другую секретную информацию.
В 1995г., после появления операционной системы Windows 95, были зарегистрированы вирусы, работающие под Windows 95. Примерно через полгода были обнаружены вирусы, которые действовали на документах, подготовленных в популярных программах из комплекта Microsoft Office. Дело в том, что в текстовый редактор Microsoft Word и в табличный редактор Microsoft Excel был встроен язык программирования – Visual Basic for Applications (VBA), предназначенный для создания специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия зараженного файла вирус активировался и заражал все документы Microsoft Office. Первоначально макровирусы наносили вред только текстовым документам, позднее они стали уничтожать информацию.
В течение 1998-1999 гг. мир потрясли несколько разрушительных вирусных атак: в результате деятельности вирусов Melissa, Win95.CIH и Chernobyl были выведены из строя около миллиона компьютеров во всех странах мира. Вирусы портили жесткий диск и уничтожали BIOS материнской платы.
Не сомнения, что вирусные атаки будут продолжаться и впредь. Поэтому пользователям компьютеров остается только обзавестись хорошей антивирусной программой.
2.Типы компьютерных вирусов
Компьютерные вирусы бывают следующих типов:
Файловые вирусы поражают файлы exe или com. Первым заражается командный процессор, а через него все остальные программы. Наиболее опасны резидентные вирусы, которые остаются в оперативной памяти постоянно.
Загрузочные или бутовые вирусы – поражают загрузочные секторы жестких дисков и дискет. Они наиболее опасны для компьютера, так как в результате их разрушительной деятельности компьютер перестает загружать операционную систему. Иногда заражение происходит даже при просмотре содержания зараженной дискеты.
Сетевые вирусы поражают компьютеры, которые работают в локальной и глобальной сети.
Макровирусы – программы, представляющие собой макрокоманды, использующиеся в сложных приложениях. В настоящее время макровирусы часто распространяются через программы пакета Microsoft Office, так как файлы документов и шаблонов включают макросы. В качестве примеров макровирусов можно привести Cap, Wazzu, Npad.
Пакетные вирусы – наиболее простой тип вирусов, у которых ядро программы содержится в командном пакетном файле с расширением
6 Черви – данная категория вредоносных программ для распространения использует сетевые ресурсы. Название этого класса было дано исходя из способности червей «переползать» с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Также благодаря этому черви обладают исключительно высокой скоростью распространения.
Черви проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
Вирусы – программы, которые заражают другие программы – добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом – заражение. Скорость распространения вирусов несколько ниже, чем у червей.
Троянские программы – программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к «зависанию», воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом «полезного» программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.
Все троянские программы можно разделить на три основных класса по выполняемым действиям:
- Логические (временные) бомбы - программы, различными методами удаляющие/модифицирующие информацию в определённое время, либо по какому то условию.
- Шпионы - собирающие информацию (имена, пароли, нажатия на клавиши) и складирующие её определённым образом, а не редко и отправляющие собранные данные по электронной почте или другим методом.
- Собственно BackDoor программы - удалённое управление компьютером или получение команд от злоумышленника (через локальную/глобальную сеть, по электронной почте, в файлах, от других приложений, например тех же червей или вирусов)
Признаки проявления вируса
При заражении компьютера вирусом важно обнаружить его. Для этого необходимо знать об основных признаках проявления вирусов. К ним можно отнести следующие:
Прекращение работы или неправильная работа ранее успешно функционировавших программ;
Медленная работа компьютера;
Невозможность загрузки операционной системы;
Исчезновение файлов и каталогов или искажение их содержимого;
Изменение даты и времени модификации файлов;
Изменение размеров файлов;
Неожиданное значительное увеличение количества файлов на диске;
Существенное уменьшение размера свободной оперативной памяти;
Вывод на экран непредусмотренных сообщений или изображений;
10. Подача непредусмотренных звуковых сигналов;
11. Частые зависания и сбои в работе компьютера.
Способы борьбы с компьютерными вирусами
Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:
1.Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса
2.Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков
3.Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры.
4.Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных.
5.Создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки
6.Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках.
Глава 2. Антивирусная программа, как средство защиты от компьютерных вирусов
3 Основные группы антивирусных программ
Данные программы можно классифицировать по пяти основным группам:
Фильтры - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например, о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT- вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.
Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов:
Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.
К последней группе относятся самые неэффективные антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций. В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.
4 Примеры антивирусных программ
Антивирусная программа лаборатории «Касперского»
«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов. Персональные продукты версии 7.0 являются продолжением и усовершенствованием линейки продуктов предыдущего, шестого поколения. Антивирус Касперского 6.0 и Kaspersky Internet Security 6.0, вышедшие в 2006 году, стали настоящим прорывом в области защиты домашних пользователей, уверенно завоевав лидирующие мировые позиции благодаря своей высочайшей эффективности, надежности и удобству использования.
Антивирус Касперского 7.0 вобрал в себя все лучшие идеи и технологии, заложенные в шестой версии, дополнив их возросшей за счет новейших разработок эффективностью, производительностью и еще более удобным пользовательским интерфейсом.
Персональные продукты седьмой версии созданы в соответствии с разработанной <Лабораторией Касперского> концепцией тройной защиты, предполагающей использование трех основных методов обнаружения угроз: сигнатурного, проактивного и эвристического. Такой многоуровневый защитный комплекс не имеет аналогов в мире и обладает непревзойденной эффективностью. В версии 7.0 впервые реализован эвристический анализатор нового поколения, который позволяет обнаруживать и обезвреживать еще не известные образцы вредоносных программ, основываясь на особенностях их поведения.
Кроме того, в комплексное решение для защиты от всех видов информационных угроз, Kaspersky Internet Security 7.0, включен ряд усовершенствований, значительно повышающих его функциональность и уровень защиты. Так, новый модуль Parental Control, обладающий лингвистическим анализатором и черными списками запрещенных адресов, позволяет родителям контролировать деятельность детей в Интернете (к примеру, можно запретить доступ к веб-ресурсам, содержащим насилие, порнографию, пропаганду наркотиков).
Программа состоит из следующих компонентов:
Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере
Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера.
Веб-Антивирус – компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.
Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.
Антивирус Касперского 7.0 – это классическая защита компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного программного обеспечения.
Три степени защиты от известных и новых интернет угроз:
1) проверка по базам сигнатур
2) эвристический анализатор
3) поведенческий блокиратор
Защита от вирусов, троянских программ и червей.
Защита от шпионского (spyware) и рекламного (adware) программного обеспечения. Проверка файлов, почты и интернет трафика в режиме реального времени. Автоматическое обновление баз.
Avast Home Edition 4.7
Антивирусная программа Avast Home Edition 4.7, антивирус от чешских разработчиков является младшим продуктом в целой линейке. Avast Home Edition может проверять файлы, оперативную память, E-mail, находить макровирусы. Кроме стандартного резидентного модуля, имеются также отдельные модули для защиты почты, интернет-пейджеров. По интерфейсу программа похожа, скорее, на медиаплеер, чем на антивирус. Процесс установки очень прост – пользователю сразу предлагается указать, для каких почтовых клиентов необходимо установить защиту. Также Avast Home Edition легок в освоении, например, уровень резидентной защиты и глубины сканирования можно настроить с помощью ползунка, и не надо ломать голову, какие файловые расширения стоит проверять, а какие – нет.
Одним из преимуществ программы является Генератор Восстановительной Базы Данных (сокращенно VRDB). Эта эксклюзивная разработка компании отвечает за восстановление файлов после удаления вируса, так как иногда после этой операции некоторые байты могут остаться измененными или вообще пропасть. Программа находит для каждого файла уникальный кэш, хранит его в своей защищенной папке и при необходимости вычисляет версию файла до изменений. Единственный минус то, что создание базы кэшей всех файлов – длительная процедура, поэтому сразу после инсталляции рекомендуется в настройках указать создание VRDB (Генератор Восстановительной Базы Данных) во время бездействия компьютера.
Еще одной очень хорошей возможностью является проверка компьютера при загрузке перед стартом системы. Таким образом, Avast! Home Edition имеет доступ к файлам, обычно заблокированным ОС. (Бесплатная версия) русифицирована и имеет удобный интерфейс, содержит резидентный монитор, сканер, средства автоматического обновление баз и т.д.
Антивирусная программа Доктор Вебер
В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web, которую предлагает фирма «Диалог-Наука». Эта программа была создана в 1994 г. И. А. Даниловым. Dr.Web относится к классу детекторов - докторов, но в отличие от последнего имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", так переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. В пользу этой программы говорит тот факт, что крупную лицензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Инкомбанк.
Управление режимами осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную. Doctor Web может создавать отчет о работе, загружать знакогенератор Кириллицы, поддерживать работу с программно-аппаратным комплексом Sheriff.
Тестирование винчестера Dr.Web-ом занимает большое количество времени, поэтому не каждый пользователь может себе позволить тратить, столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно проверять принесенные извне дискеты.
Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.
При начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе.
Интерфейс данной программы на первый взгляд не имеет четких основных пунктов. Очень много окон , заголовков, что для начинающего пользователя осложняет ориентировку. Для себя я выделила несколько главных пунктов, содержание которых будет описано далее
1.В пункте «Список отчета» можно увидеть наименование объекта, путь к нему, его статус и определить необходимое действие относительно данного объекта.
2. В пункте «Статистика» можно увидеть работу, проделанную данной антивирусной программой, время и скорость операций на трех дисках – C:, E:, D:.
3. В пункте «Настройки» предложен ряд разделов, которые можно настроить на свое усмотрение. Это типы файлов, действие, отчет, пути, события, обновления и общие сведения.
4. В пункте помощь предложены разделы помощи, техническая поддержка, купля/продажа лицензии, регистрация и информация о программе.
При тщательном изучении интерфейса и его возможностей, с точки зрения обывателя, я сделала заключение, что программа полная и логически завершенная. Единственным недостатком, по моему мнению, является неудобный, без четкой структуры интерфейс. Достоинство в том, что все программы постоянно совершенствуются и обновляются. Фирма постоянно оповещает клиентов обо всех новинках, появляющихся в ее арсенале, предоставляет своим клиентам максимум сервиса.
5 Сравнительный анализ антивирусных сҏедств.
1 ESET NOD32 Smart Security
Это один из самых популярных на сегодняшний день антивирусных продуктов. Многие даже считают, что это лучший антивирус для Windows на сегодняшний день. И действительно, у него есть большое количество преимуществ, заслуживающих внимания.
Так здесь есть полноценный фаервол, функции защиты от ботов, автоматическое сканирование в режиме Smart Mode и многое другое. У него есть только 30 дней пробного периода. После этого придется заплатить порядка 400 рублей за полгода.
Также ESET NOD32 Smart Security отличают такие преимущества:
Функция Anti-Theft, позволяющая вернуть потерянный компьютер.
Приятный глазу интерфейс.
Средствами ESET NOD32 Smart Security можно создать загрузочный диск.
Множество дополнительных функций вроде родительского контроля.
Все-таки ESET NOD32 Smart Security часто не срабатывает при наличии явных угроз. Это, кстати, подтверждено многими испытаниями в реальных условиях. Зато процент ложных срабатываний у него минимальный.
2 Kaspersky Internet Security
Как ни крути, лучшим в плане защиты от вирусов все-таки является проверенный годами и миллионами пользователей по всему миру Kaspersky Internet Security. Да, за него придется заплатить, причем как минимум 4000 рублей. К тому же, он сильно грузит систему и на слабых машинах его вряд ли стоит использовать. Зато с Kaspersky Internet Security можно не переживать за то, что на компьютер что-то попадет.
Кроме самой мощной на сегодняшний день защиты от вирусов, данный продукт отличается большим количеством дополнительных модулей (родительский контроль, безопасные платежи, защита из облака, поиск уязвимостей и много чего еще). Поэтому если Ваш компьютер потянет такую нагрузку, лучше всего пользоваться именно Kaspersky Internet Security.
6 Методика тестирования Проверка защиты при загрузке вредоносных файлов из Интернета.
В тестировании на загрузку вредоносных файлов использовались 886 образцов (все файлы с расширением .exe),
Для осуществления загрузки вредоносные образцы были размещены в онлайн-хранилище Amazon S3. Каждый файл имел свой уникальный URL-адрес.
Для загрузки использовался менеджер загрузок FlashGet. Менеджер загрузки выбирался не из соображения популярности, а из условия, что для антивируса не должно быть разницы, какой программой (браузер, менеджер загрузок и т.п.) пользователь скачивает файлы из Интернета.
Алгоритм действий при тестирования на загрузку с проверкой остатков по требованию:
Установка продукта. Перезагрузка системы.
Обновление антивирусных баз. Перезагрузка системы.
Запуск пакетной загрузки вредоносных файлов (886 образцов). Загрузка ведется в 3 потока. По завершению - проводится ожидание обработки антивирусом обнаруженных угроз при загрузке. Перезагрузка системы.
Отключение защиты продукта до перезагрузки. Контроль и анализ загруженных файлов в папке загрузки: определение количества загруженных файлов, контроль md5 по исходным файлам. В случае определения битого файла он исключался, как безопасный для пользователя.
Определение уровня обнаружения при загрузке. Перезагрузка системы.
Сканирование по требованию загруженных остатков. Ожидание обработки обнаруженных угроз. Перезагрузка системы.
Контроль и анализ остатков. Определение общего обнаружения уровня угроз. Восстановление системы до первоначального состояния.
Проверка ложно положительных срабатываний
В тестировании на ложно-положительные срабатывания использовались чистые файлы популярных программ и утилит, загруженных с официальных сайтов разработчиков. Всего для проверки использовалось 57 615 чистых файлов.
Алгоритм действий при тестирования на ложно-положительные срабатывания:
Установка продукта. Перезагрузка системы.
Обновление антивирусных баз. Перезагрузка системы.
Включение сканирования по требования папки с чистыми файлами.
Анализ результатов проверки.
При проверке чистых файлов не учитывались срабатывания антивирусов на рекламные модули, входящие в состав программ, если антивирус доступно и понятно давал описание при обнаружении.
Все действия с каждым антивирусом выполнялись дважды для исключения влияния внешних факторов.
Оценка результатов тестирования
Общая оценка антивирусного решения (A) рассчитывалась по формуле:
A = (D• d+S •s+F•f)/3, где
D - уровень обнаружения после загрузки вредоносного ПО в баллах.
Максимальное значение 10 баллов при 100% обнаружении;
S - общий уровень обнаружения после сканирования по требованию остатков в баллах. Максимальное значение 10 баллов при 100% обнаружения;
F- средний показатель ложно-положительных срабатываний в баллах, определяемый по следующим значениям:
10 баллов - 0 ложно положительных срабатываний
9 баллов – 5 8 баллов - 10
7 баллов - 306 баллов - 60
4 баллов – 240 5 баллов - 120
3 балла – 480 2 балла – 960
Таблица 1.
|
Антивирусные программы |
Загрузка |
Общий детект |
Ложные |
Оценка▼ |
|
|
96.8% |
97.1% |
0 |
9.8 |
|
|
98.3% |
98.4% |
2 |
9.8 |
|
|
FortiClient Endpoint Security Standard 4.2.7 |
94.9% |
95.3% |
0 |
9.7 |
|
|
Avira Internet Security 2012 |
94.6% |
95.9% |
2 |
9.6 |
|
|
88.6% |
93.9% |
2 |
9.3 |
|
|
87.4% |
87.5% |
0 |
9.2 |
|
|
Emsisoft Internet Security Pack 2012 |
97.3% |
99.1% |
14 |
9.2 |
|
|
Kaspersky Internet Security 2012 |
85.8% |
86.3% |
0 |
9.1 |
|
|
89.3% |
88.5% |
3 |
9.1 |
|
|
83.1% |
83.1% |
0 |
8.9 |
Тестирование Virusovnet является независимым и проводилось в условиях, приближенных к реальным. Не стоит воспринимать результаты как окончательное решение в выборе продукта защиты. Для того, чтобы сделать окончательные выводы, можно использовать результаты тестирований независимых лабораторий AV-Comparatives, AV-Test, Virus Bulletin, Virlab, Matousec и других, которые используют различные подходы и методики. В результате, реально получить комплексное представление о продукте.
Дополнительно принять решения позволят личные предпочтения, наличие необходимых функций в антивирусе, производительность системы.
Среди всего того множества угроз, которые известны на сегодняшний день, различают несколько основных классов, в которых компьютерные вирусы объединены по степени и методу воздействия на систему.На этой основе можно составить классификацию вирусов. Но сразу стоит сказать, что список будет весьма условным. Приблизительно выглядит это следующим образом: безвредные угрозы (отличительными особенностями компьютерного вируса являются уменьшение дискового пространства на винчестере и использование слишком большого объема оперативной памяти за счет саморазмножения); неопасные вирусы (в основном, кроме сокращения памяти, используют звуковые или видеоэффекты); опасные программы (приводят к зависанию компьютерных систем и некритичных сбоям в работе); очень опасные приложения и апплеты (подразумевают полный вывод системы из строя, уничтожение или изменение информации, форматирование жесткого диска или его логических разделов, кражу конфиденциальной информации).
7 Windows Defender
Windows Defender
Ранние версии Windows также содержали инструмент под названием «Защитник Windows», но он был предназначен исключительно для защиты от шпионских программ. Если пользователю нужна была антивирусная защита от Microsoft, он устанавливал Microsoft Security Essentials. Новый «Защитник Windows» предлагает точно такой же уровень защиты, поэтому вам даже не нужно устанавливать Microsoft Security Essentials на системы Windows 8.x.
Базовая защита все отслеживаемые интернет-порталом PC Magazine независимые антивирусные лаборатории включают продукты Microsoft в программу тестирования в той или иной форме. В то время как ICSA Labs и West Coast Labs сертифицировали Microsoft за обнаружении.
вредоносного ПО и очистку. Тем не менее, обе лаборатории тестировали защиты корпоративного уровня от Microsoft. Virus Bulletin тестировал непосредственно «Защитник Windows», но из 12 последних тестов продукт получил награду VB100 лишь единожды
Microsoft стал единственным продуктом из 10 протестированных в последнем тесте Denis Technology Labs решений, который не получил сертификацию ни на одном из уровней. Из 300 максимальных баллов Microsoft в итоге набрал отрицательные 86 баллов. Тем не менее, антивирус не выдал ни одного ложного срабатывания, что означает, что ни одна надежная программа не была заблокирована.
Слабая блокировка вредоносного ПО.
В тесте на блокировку вредоносных программ «Защитник Windows» показал слабый результат. При открытии папки, содержащей текущую коллекцию вредоносных образцов, антивирус сразу же принялся ликвидировать обнаруженные угрозы. Тем не менее, продукт обнаружил только 46 процентов зловредов на данном этапе.Baudi antivirus2015 обнаружил и устранил 75 процентов вредоносных программ еще до открытия папки с образцами.
Продолжая тестирование, были открыты образцы, оставшиеся после первой очереди блокировок. Таким образом, «Защитник Windows» получил шанс проанализировать поведение зловредов и очистить установленные следы. Только треть оставшихся образцов была распознана, и две вредоносные программы смогли установить исполняемые файлы на тестовую систему.
Защита от фишинга
Предполагается, что пользователи Windows Defеnder оставляют контент-фильтр Smartscreen включенным в браузере Internet Explorer. На практике данная функция не помогла заблокировать сайты с вредоносным содержимым, URL-адреса оказались слишком новыми для нее.
8 Брандмауэр Windows
Первоначально Windows XP включала Internet Connection Firewall, который (по умолчанию) был выключен из-за проблем совместимости. Настройки Internet Connection Firewall находились в конфигурации сети, поэтому многие пользователи не находили их. В результате в середине 2003 года компьютерный червь Blaster атаковал большое число компьютеров под управлением Windows, используя уязвимость в службе Удаленный вызов процедур Через несколько месяцев червь Sasser провёл аналогичную атаку. В 2004 году продолжалось распространение этих червей, в результате чего непропатченные машины заражались в течение нескольких минут. Microsoft подверглась критике, и поэтому решила значительно улучшить интерфейс и функциональность Internet Connection Firewall и переименовать его в «Брандмауэр Windows».
В брандмауэр Windows встроен журнал безопаснсти , который позволяет фиксировать IP адреса и другие данные, относящиеся к соединениям в домашних и офисной сетях или в Интернете. Можно записывать как успешные подключения, так и пропущенные пакеты. Это позволяет отслеживать, когда компьютер в сети подключается, например, к web-сайту. Данная возможность по умолчанию отключена (её может включить системный администратор)
Версии Windows XP
Брандмауэр Windows под Windows XP Service Pack 2
Брандмауэр Windows был выпущен в составе Windows XP Service Pack 2. Все типы сетевых подключений, такие, как проводное, беспроводное, VPN и даже FIRE WIRE, по умолчанию фильтруются через брандмауэр (с некоторыми встроенными исключениями, разрешающими соединения для машин из локальной сети). Это устраняет проблему, когда правило фильтрации применяется лишь через несколько секунд после открытия соединения, создавая тем самым уязвимость. Системные администраторы могут настраивать файрвол, используя групповую политику. Брандмауэр Windows XP не работает с исходящими соединениями (фильтрует только входящие подключения).
Включение Брандмауэра Windows в SP2 — одна из причин (другой причиной стал DCOM activation security), по которой многие корпорации своевременно не приступили к развёртыванию Service Pack 2. Во время выхода SP2 некоторые web-сайты сообщили о проблемах совместимости со многими приложениями (большинство из которых решаются добавлением исключений в брандмауэр).
Windows Server 2003
В марте 2005 Microsoft выпустила Windows Server Service Pack 1, включающий несколько улучшений в брандмауэр данной серверной операционной системы.
Что такое брандмауэр Windows и как с ним работать
Рано или поздно, каждый человек который активно пользуется компьютером и интернетом, задается вопросом, а что такое брандмауэр windows? Не каждый знает насколько это эффективный инструмент, который способен защитить ваш компьютер от большинства проблем извне.
Правильно настроенный брандмауэр виндовс в сочетании с антивирусной программой, способны защитить ваш компьютер от подавляющего большинства вирусов и атак злоумышленников. Что такое брандмауэр и как с ним работать, читаем далее…
Брандмауэр Windows, он же фаервол (firewall) – это программа проверяющая все данные и подключения из сети интернет, которые запрашивают доступ к вашему компьютеру. В зависимости от настроек брандмауэра, он либо пропускает либо блокирует данные поступающие в ваш компьютер.
Если еще проще, брандмауэр – это стена между интернетом и вашим компьютером.
9Методы обнаружения вирусов
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
Просмотр (сканирование) файлов для поиска известных вирусов, соответствующих определению в словаре вирусов
Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре
Это метод, когда антивирусная программа, просматривая файл, обращается к словарю с известными вирусами, который составлен авторами программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду вируса в словаре, программа антивирус может заняться выполнением одного из следующих действий:
Удалить инфицированный файл.
Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
Попытаться восстановить файл, удалив сам вирус из тела файла.
Для достижения достаточно продолжительного успеха, при использовании этого метода необходимо периодически пополнять словарь известных вирусов новыми определениями (в основном в онлайновом режиме). Обладающие чувством гражданского долга и технически искушённые пользователи, обнаружив «живьём» новый вирус, могут выслать заражённый файл разработчикам антивирусных программ, которые включат затем новый вирус в словарь.
Антивирусные программы, созданные на основе метода соответствия определению вирусов в словаре, обычно просматривают файлы тогда, когда компьютерная система создаёт, открывает, закрывает или посылает файлы по электронной почте. Таким образом, вирусы можно обнаружить сразу же после занесения их в компьютер и до того, как они смогут причинить какой-либо вред. Надо отметить, что системный администратор может составить график для антивирусной программы, согласно которому могут просматриваться (сканироваться) все файлы на жёстком диске. Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать
В отличие от метода соответствия определению вируса в словаре, метод подозрительного поведения даёт защиту от совершенно новых вирусов, которых ещё нет ни в одном словаре вирусов. Однако, программы, построенные на этом методе, выдают также большое количество ошибочных предупреждений, что делает пользователя мало восприимчивым ко всем предупреждениям. Если пользователь нажимает мышью на окно «Принять» («Accept») в каждом случае появления такого предупреждения, антивирусная программа не приносит никакой пользы. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Таким образом, в современном антивирусном программном обеспечении этот метод используется всё меньше и меньше.
Другие методы обнаружения вирусов
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы, перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Ещё один метод определения вирусов включает в себя использование «песочницы». Песочница имитирует операционную систему и запускает исполняемый файл в этой имитируемой системе. После исполнения программы, антивирусное программное обеспечение анализирует содержимое песочницы на присутствие каких либо изменений, которые можно квалифицировать как вирус. Из-за того, что быстродействие системы снижается и требуется достаточно продолжительное время для выполнения программы, антивирусные программы, построенные по этому методу, обычно используются только для сканирования по запросу пользователя. Следует отметить, что эффективность данных программ намного выше, чем у всех остальных, но и стоимость их тоже выше. Из-за большого времени таких выполнения программ, они не найдут широкого распространения среди рядовых пользователей. Несомненно, эти программы представляют интерес для профессионалов, занимающихся вопросами компьютерной безопасности и восстановлением данных после несанкционированного доступа в компьютер пользователя или атак на сервер.
10 Антивирусные утилиты
Для лечения зараженных компьютеров удобно использовать портативные лечащие утилиты. Такие утилиты могут быть запущены даже, если на компьютере установлена другая антивирусная программа. Лечащие утилиты регулярно обновляются и не требуют установки. Также, их можно использовать для периодической проверки компьютера, если вы сомневаетесь в работе своей антивирусной программы.
KASPERSKY VIRUS REMOVAL TOOL- Бесплатная утилита Касперского, которая позволит просканировать, найти и удалить вирусы, а также почистить от вредоносного кода зараженные файлы операционной системы. Хотя антивирусное программное обеспечение у компании Касперского платное, но данная утилита и многие другие являются бесплатными. Утилиту Kaspersky Virus Removal Tool не нужноустанавливать, просто скачиваем, запускаем, настраиваем и вперед сканировать жёсткие диски компьютера, а он сам автоматически будет удалять и лечить зараженные файлы.
DR WEB cureit-Созданная на основе ядра антивирусной программы Dr.Web, утилита работает без установки самого антивируса в системе. В тоже время она содержит самые последние обновления к вирусной базе Dr.Web, которые обновляются несколько раз в час – по мере обнаружения угроз.
Программа компактная и универсальная, что является ее неоспоримым преимуществом.
Результаты обеззараживания (благодаря мощному аналитическому движку) достаточно высоки: обезвреживаются всевозможные вирусы, троянские программы, черви, руткиты, программы-шпионы и другие потенциально опасные ПО.
Dr.Web CureIt! автоматически определяет язык операционной системы, а сам интерфейс поддерживает перевод на 34 языка. При запуске утилита совершенно не конфликтует с установленной на компьютере антивирусной программой, и не влияет на работу других приложений и производительность самого компьютера.
11Заключение
В настоящее время компьютерные вирусы знакомы всем пользователям компьютерных систем. Актуальность проблемы антивирусной защиты объясняется следующими причинами:
лавинообразный рост числа компьютерных вирусов. В настоящее время число известных вирусов превысило за 256 000 (данные за 21 февраля 2007 г.) и продолжает интенсивно расти.
неудовлетворительное состояние антивирусной защиты в существующих корпоративных компьютерных сетях. Сегодня сети российских компаний находятся в постоянном развитии. Однако вместе с этим развитием постоянно растет и число точек проникновения вирусов в корпоративные сети. Как правило, такими точками являются шлюзы и серверы Интернета, серверы файл-приложений, серверы групповой работы и электронной почты, рабочие станции;
в последнее время получили распространение вирусы для мобильных устройств, включая телефоны, и для unix-подобных систем, на которых строятся корпоративные информационные сети.
Хорошая антивирусная программа должна
- обеспечивать эффективную защиту в режиме реального времени. Резидентная часть (монитор) программы должна постоянно находиться в оперативной памяти вашего компьютера и производить проверку всех файловых операций (при создании, редактировании, копировании файлов, запуске их на исполнение), сообщений электронной почты, данных и программ, получаемых из интернета.
-позволять проверять все содержимое локальных дисков "по требованию", запуская проверку вручную или автоматически по расписанию.
-защищать ваш компьютер даже от неизвестных вирусов: программа должна включать в себя технологии поиска неизвестных вирусов, основанные на принципах эвристического анализа.
-уметь проверять и лечить архивированные файлы.
-давать возможность регулярно (ежедневно!) обновлять антивирусные базы (через Интернет, с дискет или CD - как вам удобнее).
Вскоре после появления персональных компьютеров и начала массового распространения вирусов появилось огромное количество антивирусных программ. Сейчас в России используются главным образом две очень хорошие, проверенные, качественные антивирусные программы: Dr Web и Антивирус Касперского. Каждая из них имеет несколько разновидностей, ориентированных на разные сферы применения: для использования на домашних компьютерах, для малого и среднего бизнеса, для крупных корпоративных клиентов, для защиты локальных сетей, для почтовых, файловых серверов, серверов приложений .
12Список использованной литературы
1. Безруков Н.Н. Классификация компьютерных вирусов MS-DOS и методы защиты от них/ Н.Н. Безруков. – М.: СП "ICE", 1990
2. Безруков Н.Н. Компьютерные вирусы/ Н.Н. Безруков. - М.: Наука, 1991.
3. Денисов Т.В. Антивирусная защита//Мой Компьютер-№4-1999г.
4. Могилев А.В. Информатика: учебное пособие для студ. пед. вузов / А.В.Могилев Н.И.Пак, Е.К. Хеннер; Под ред. Е.К. Хеннера. – М.: Изд. Центр «Академия», 2000.-816с
5 . Ф.Файтс, П.Джонстон, М.Кратц "Компьютерный вирус: проблемы и прогноз". Москва, "Мир", 1993 г.
6. Н.Н.Безруков "Классификация компьютерных вирусов MS-DOS и методы защиты от них". Москва, СП "ICE", 1990 г.
7 Компьютерные вирусы (Russian Edition); Подвиг - Москва, 2011. - 132 c.
8. Программы по учебным предметам. План и программы внеурочной деятельности. 1-9 классы. В 2 частях. Часть 2; Академкнига/Учебник - Москва, 2012. -
10. Ершов Ф. И. Антивирусные препараты; ГЭОТАР-Медиа - Москва, 2006.
11 Ершов Ф. И., Романцов М. Г., Мельникова И. Ю. Антивирусные препараты в практике педиатра; ГЭОТАР-Медиа Москва, 2013.
12. Касперский, Е. Компьютерные вирусы в MS-DOS; М.: Русская редакция.
- Проектирование реализации операций бизнес-процесса Складской учет. Выбор комплекса задач автоматизации
- Система защиты информации в банковских системах (Теоретические основы защиты информации на предприятии)
- «Процедура разработки и реализации логистической стратегии в компании»
- Кадровое обеспечение органов местного самоуправления: состояние и пути оптимизации (Теоретические аспекты кадрового обеспечения муниципального управления)
- Налоговая декларация в налоговом учёте
- Формирование и использование финансовых результатов некоммерческих организаций
- Анализ эффективности формирования портфеля ценных бумаг коммерческого банка)
- Страхование и его роль в развитии экономики (Понятие и виды страхование)
- Проблемы формирования и развития валютной системы Российской Федерации ( Валютная система, понятие, категории, элементы )
- «Барьеры на пути эффективных коммуникаций. »
- Процедура разработки и реализации логистической стратегии в компании ( ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ РАЗРАБОТКИ И РЕАЛИЗАЦИИ ЛОГИСТИЧЕСКОЙ СТРАТЕГИИ КОМПАНИИ )
- Кадровое обеспечение органов местного самоуправления: состояние и пути оптимизации (Теоретические аспекты кадрового обеспечения муниципального управления )