Преподаватель который помогает студентам и школьникам в учёбе.

Исследование проблем борьбы с вирусами и антивирусные программы (Понятие и классификация антивирусных программ)

Содержание:

Введение

Актуальность. Обстановку в современной сети интернет иначе как «криминогенной» назвать нельзя. Постоянные вирусные и троянские атаки терроризируют практически всех пользователей интернета — домашних пользователей, небольшие и средние компании, глобальные корпорации и государственные структуры. О причинах подобной криминализации сети говорилось и говорится довольно много — это корыстный интерес. Что конкретно имеется в виду? Извлечение нелегальной прибыли путем создания и распространения вредоносных программ — это:

воровство личной и корпоративной информации о банковском счете;
воровство номеров кредитных карт и паролей от них;
проводить DDoS- атаки, требуя денег для остановки нападения (кибер-рэкет);
создание сети троянских прокси-серверов. Они могут быть использованы для рассылки спама, а также для получения коммерческой выгоды;
создание программы , которые будут загружать и устанавливать рекламное ПО на зараженном компьютере;
установка троян - дозвонов , которые будет периодически вызывать платные услуги.

Цель работы – провести анализ антивирусных программ; выявить проблемы антивирусной индустрии.

Достижение указанной цели определило постановку и решение следующих задач:

исследовать понятие и виды антивирусных программ;
исследовать методические основы антивирусных программ;
провести краткий обзор антивирусных программ;
провести анализ проблем в антивирусной индустрии.

Объектом исследования является антивирусная индустрия. Основным видом деятельности, которого является создание антивирусных программ.

Теоретико-методологическую основу исследования составили научные труды, посвященные анализу антивирусных программ. При разработке и решении поставленных задач использовались методы системного и статистического анализа, в том числе сравнения, группировки.

Информационная основа работы. При выполнении работы использовались законодательные и нормативно-правовые акты Российской Федерации в области защиты информации.

Глава 1. Общая характеристика антивирусных программ

1.1. Понятие и классификация антивирусных программ

Под компьютерными вирусами подразумеваются программы, которые непреднамеренно попадают на компьютер пользователя и приносят вред данным и системе в целом. Лучше всего определить вирус получится не описанием того что он делает, а тем каким путем он (вирус) распространяется и инфицирует другие программы.

Поведение компьютерного вируса очень схоже на поведение биологического вируса. Биологический вирус проникает в организм человека и распространяется на все органы человека до тех пор, пока иммунная система не откажет либо будет уничтожен дополнительно внешними факторами. Также и компьютерный вирус проникает в компьютерную систему и прикрепляется к программе (к приложению, к набору программ). После запуска программы вирус начинает свою деятельность и распространяется на другие части системы.

Вирусы могут быть как доброкачественными, так и злокачественными. В первом случае компьютер может понести не такой серьезный вред, как во втором.

Антивирус это специальная программа, для защиты персонального компьютера от проникновения компьютерных от вирусов, шпионских и вредоносных программ, хакерских атак и скрытого доступа с целью кражи ценных личных данных или несанкционированого управления системой.

Если в компьютере нет ценной информации, для чего устанавливать антивирус? Компьютерные вирусы препятствуют нормальной работе ОС Windows. Многие из них разработаны с целью создавать неудобства при работе с компьютером и приводить, в конце концов, в неработоспособное состояние. Однажды включите компьютер, а он не запустится (операционная система не смогла стартовать). Никому также не понравится сталкиваться с постоянными тормозами и глюками. И тогда пожалеете, что не захотели скачать антивирус.

Вы не интересовались, как распространяется нежелательные электронные письма - спам? Все знают, что это незаконно и за рассылку спама грозит штраф или тюремное заключение. Хакеры создают бот сети из зараженных компьютеров "зомби". Они скрыто управляют такими компьютерами для распространения спама и прочих незаконных действий. Пользователи могут даже не подозревать, что с их компьютеров распространяется спам. И потом людям нужно доказывать свою невиновность, что это без их ведома, рассылался спам. Почему так происходит? Потому что пользователи не побеспокоились об антивирусной защите и безопасности компьютера. Еще хуже случай, когда хакеры выполняют взлом через удаленный компьютер, ничего не знающего пользователя с его IP адреса.

Различают следующие виды антивирусных программ:

— программы-детекторы;

— программы-доктора, или фаги;

— программы-ревизоры;

— программы-фильтры;

— программы-вакцины, или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние.

Данный софт имитирует заражение ваших файлов некоторыми вирусами. В результате этого, если произойдет "вторжение" настоящего вредоносного софта на ваш компьютер, то вирусы "посчитают", что данные уже заражены и попросту не будут их инфицировать. Справедливо будет отметить, что данный способ не является эффективным для защиты системы. Это связано с тем, что некоторые вирусы попросту не производят проверку на предмет того, заражена система или же нет. Также способы такой проверки у вирусных агентов могут значительно различаться. Поэтому в наше время данный вариант защиты практически не используется.

Программы-ревизоры способны сохранять в определенную базу все данные о состоянии на какой-либо момент критических системных областей для работы.

В дальнейшем текущие файлы попросту сравниваются с теми, что были зарегистрированы ранее. Таким образом, это дает возможность выявлять все подозрительные изменения, если последние имели место. К преимуществам этих инструментов можно отнести низкие аппаратные требования, а также высокую скорость работы. А все дело в том, что ревизорам вообще не нужны никакие антивирусные базы. Ведь различие и восприятие производятся исключительно по принципу неизменности исходных файлов.

Все это дает возможность эффективно восстановить систему, если она была повреждена деятельностью тех или иных вредоносных модулей. Но, естественно здесь есть и некоторые недостатки. Они заключаются в невозможности быстро реагировать на факт появления вируса в системе компьютера. Также во время проверки новые файлы исключаются. Этим охотно пользуется большинство вирусов, которые заражают исключительно вновь созданные файлы. К числу программ-ревизоров относится широко распространенная программа Kaspersky Monitor.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

— попытки коррекции файлов с расширениями СОМ. ЕХЕ;
— изменение атрибутов файла;
— прямая запись на диск по абсолютному адресу;
— запись в загрузочные секторы диска;
— загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны. так как способны обнаружить вирус на самой ранней стадии его существования, до размножения. Однако они не «лечат» файлы и диски.

Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины или иммунизаторы — это резидентные программы. предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

1.2. Методика использования антивирусных программ

В первую очередь нужно следить за тем, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Если к программам поставляются обновления, проверьте их на "свежесть". Обычно выход новых версий антивирусов анонсируется, поэтому достаточно посетить соответствующие сайты.

"Национальность" антивирусов в большинстве случаев не имеет значения, так как на сегодняшний день процесс эмиграции вируса в другие страны и иммиграции антивирусных программ ограничивается только скоростью интернета, поэтому и вирусы, и антивирусы не признают границ.

Если на компьютере обнаружен вирус, самое главное – не паниковать, так как паника никогда не доводила до добра: непродуманные действия могут привести к печальным последствиям. Если вирус обнаружен в каком-то из новых файлов и еще не проник в систему, нет причин для беспокойства: "убейте" этот файл (или удалите вирус любимой антивирусной программой) и спокойно работайте дальше. В случае обнаружения вируса сразу в нескольких файлах на диске или в загрузочном секторе проблема становится более сложной, но все равно разрешимой – антивирусы не зря едят свой хлеб.

Следует еще раз обратить внимание на термин "ложное срабатывание". Если в каком-либо одном файле, который достаточно долго "живет" на компьютере, какой-либо один антивирус обнаружил вирус, то это, скорее всего, ложное срабатывание. Если такой файл запускался несколько раз, а вирус так и не переполз в другие файлы, это очень странно. Попробуйте проверить этот файл другими антивирусами. Если они хранят молчание, отправьте этот файл в лабораторию фирмы-производителя антивируса, обнаружившего в нем вирус.

Как удалить вирус? Какими методами бороться с этим вирусом? Откуда эта напасть взялась? Вот первые вопросы, которые появляются у среднестатистического компьютерного пользователя. Например, на рабочем столе компьютера появился какой-то загадочный баннер, который заблокировал работу Windows и требует отправки смс на неизвестный короткий номер. Что делать?

Во-первых, ни в коем случае нельзя вестись на предложение назойливого рекламного сообщения и отправлять смс. Тут налицо вымогательство у юзера денег. Смс не бесплатно, да и отправка ее не даст никакого результата: никто и не подумает прислать обещанный код для разблокировки системы и удаления баннера.

Самый простой и эффективный способ бороться с вирусом – попытаться найти в недрах интернета, на официальном сайте антивирусной компании, код для блокировки нужного вида вируса. Как правило, ведущие компании тщательно отслеживают появление новых разновидностей вредоносных вирусов и разрабатывают программы по их ликвидации. Если же нужный код не найден, и убрать баннер не удается, тогда стоит попытаться позвонить на рекламный короткий номер, указанный на баннере. В подавляющем большинстве случаев такой звонок бесплатный. Оператор на другом конце провода выслушает претензии, попросит прочитать текст сообщения, а затем, через некоторое время, вышлет на адрес электронной почты персональный код для устранения «болезни».

Еще один способ «убить» компьютерный вирус и при этом сохранить данные, сохраненные на ПК, – провести диагностику и «лечение» собственными руками, пользуясь инструкциями. Найти такой мануал можно в том же интернете. При этом нужно лишь перестраховаться и обратиться на специализированный форум, где инструкции выложены на всеобщее обозрение каким-нибудь специалистом. Если же какой-либо сайт предлагает скачать мануал в архиве, не стоит этого делать. Кто знает, не проникнет ли под видом полезного файла на Ваш компьютер еще какой-нибудь «зверь» из разряда вымогателей денег?

Даже совершенно пустая дискета может стать источником распространения вируса - достаточно забыть ее в дисководе и перезагрузить компьютер (если, конечно же, в BIOS Setup загрузочным диском отмечен флоппи-диск).

Также необходимо обращать особое внимание на чистоту модулей, сжатых утилитами типа LZEXE, PKLITE или DIET, файлов в архивах (ZIP, ARC, ICE, ARJ и т.д.) и данных в самораспаковывающихся файлах, созданных утилитами типа ZIP2EXE.

Если случайно упаковать файл, зараженный вирусом, то обнаружение и удаление такого вируса без распаковки файла практически невозможно. В данном случае типичной будет ситуация, при которой все антивирусные программы, неспособные сканировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять. Штаммы вируса могут проникнуть и в backup-копии программного обеспечения при обновлении этих копий. Причем архивы и backup-копии являются основными поставщиками давно известных вирусов. Вирус может годами "сидеть" в дистрибутивной копии какого-либо программного продукта и неожиданно проявиться при установке программ на новом компьютере.

Никто не гарантирует полного уничтожения всех копий компьютерного вируса, так как файловый вирус может поразить не только выполняемые файлы, но и оверлейные модули с расширениями имени, отличающимися от COM или EXE.

Загрузочный вирус может остаться на какой-либо дискете и внезапно проявиться при случайной попытке перезагрузиться с нее. Поэтому целесообразно некоторое время после удаления вируса постоянно пользоваться резидентным антивирусным сканером (не говоря уже о том, что желательно пользоваться им постоянно).

Выводы.

Антивирус — является антивирусной программой, устанавливаемой в систему, предназначение которой, выявление и блокирование программ-вирусов или другого вредоносного программного обеспечения.

В отличие от антивирусных сканеров, данный тип ПО, может являться основной защитой на вашем ПК. Также современные антивирусы в некоторых случаях выполняют действия по излечению, то есть восстановлению измененных или инфицированных файлов программами - вирусами. Антивирус может выполнять профилактическую функцию, защищая файлы от модификации, таким образом, снижая риск заражения отдельных файлов или всей системы.

Большинство современных антивирусных программы состоят из компонентов, модулей, каждый из которых выполняет свою задачу.

Глава 2. Исследование проблем борьбы с вирусами

2.1. Краткий обзор антивирусных программ

Даже самый простой вирус может нанести серьезный вред пользовательским данным и системе в целом. На сегодняшний день рынок программного обеспечения насчитывает сотни тысяч самых разных антивирусов, поэтому пользователю сложно не растеряться и выбрать действительно качественный продукт.

Всего объем рынка обычных антивирусных программ оценивается в 2,7 млрд USD в 2013 году, 3,3 млрд USD в 2014 году; прогноз на 2015 год — 3,8 млрд USD.

Все вендоры (компании-производители) делятся на компании первого эшелона (лидеры), второго эшелона (середнячки) и прочие компании, которые не очень сильно или совсем никак не выделяются на антивирусном ландшафте.
В список лидеров можно включить Symantec, McAfee (NAI) и Trend Micro :

Таблица 1

Список лидеров по продаже антивирусных программ и их годовой оборот

Компания	Годовой оборот $млн.
Компания	2014	2015
Symantec	1098	1364
McAfee (NAI)	577	597
Trend Micro	382	508

Эти три компании занимают лидирующие позиции на всех рынках, за некоторыми исключениями (например, Trend Micro доминирует на японском рынке). Symantec и NAI (McAfee) активно используется североамериканским рынком. Trend Micro изначально тайваньская компания, которая разместила свои акции на японском фондовом рынке. В настоящее время имеет штаб-квартиру в США.

Второй эшалон включает в себя компании, оборот которых значительно ниже, чем в трех ведущих, однако годовой оборот также не менее 1млн.долларов.

Таблица 2

Компании, имеющие не менее 1 млн.долларов

Компания	Годовой оборот $млн.
Компания	2014	2015
Sophos (UK)	97	116
Panda Software (Spain)	65	104
Computer Associates (USA)	61	74
F-Secure (Finland)	36	51
Norman (Norway)	23	31
AhnLab (S.Korea)	21	28

Лаборатория Касперского, в России, также включена в эту группу. Тем не менее, данная компания не раскрывает свою финансовую информацию.

Большинство компаний второго эшелона имеют значительное присутствие в их своих внутренних рынках, но относительно небольшое присутствие на зарубежных рынках. К примеру, компания Sophos является наиболее успешной в Великобритании, Panda в Испании, F-Secure, в скандинавских странах и т.д.

Третья группа компаний включает в себя несколько десятков антивирусных компаний. Наиболее известными являются:

Alwil - Awast (Чехия)

Arcabit - MKS (Польша)

Доктор Веб - Dr.Web (Россия)

ESET - NOD32 (Словакия)

Фриск Программное обеспечение - F-Prot (Исландия)

GRISOFT - AVG (Чехия)

H Avira - AntiVir (Германия)

Hauri - VI Робот (Южная Корея)

Softwin - BitDefender (Румыния)

VirusBuster - VirusBuster (Венгрия)

Большинство компаний в этой группе не разглашают какую-либо финансовую информацию. Однако их годовой оборот можно оценить около $ 10 млн.

Однако компании предлагающие продукты, основанные на лицензированных технологиях в данный список не включены.

Так распределяются доли рынка среди заметных антивирусных игроков. Следует отметить, что не упомянуты некоторые компании, которые выпускают свои антивирусные продукты на базе лицензированных технологий. Например, немецкая компания G-Data, продающая свое антивирусное решение на базе технологий от «Лаборатории Касперского» и SoftWin, а также Microsoft, предлагающая «многоядерное» решение, разработанное компанией Sybari.

Компьютер нуждается в защите, поэтому очень важно выбрать качественное антивирусное программное обеспечение. Для этого составим рейтинг антивирусов, которые чаще используются на рынке России и которые помогут пользователю, определится с выбором, исходя из особенностей используемой операционной системы и технических характеристик устройства.

№8. Malwarebytes - Данное антивирусное программное обеспечение являет собой целую систему для эффективной защиты компьютера от вирусов, вредоносных и шпионских программ. Разработчики позиционируют программу, как мощный аналог большинству антивирусов, который, ко всему прочему, может защитить операционную систему от всплывающих рекламных баннеров и предотвратить скрытую работу некоторых расширений.

Malwarebytes не является полноценным антивирусом, но огромное количество пользователей со всего мира отметили его качественную работу и реальную способность защитить компьютер, поэтому его вполне можно использовать в дополнение к основному защитнику компьютера.

Сканирование системы на наличие внешних и внутренних угроз в программе Malwarebytes

Рисунок 1 - Сканирование системы на наличие внешних и внутренних угроз в программе Malwarebytes

Программа доступна для бесплатного скачивания в качестве демо версии по ссылке, полная стоимость софта составляет 26 долларов (годовая подписка с возможностью регулярного получения обновлений базы данных).

№7. System Care Ultimate- Большое количество пользователей не перестают говорить о том, что большинство популярных антивирусных систем очень сильно тормозят работу компьютера. Если технические характеристики вашего устройства не позволяют работать со сложными типами защитников системы, программа System Care заменить полноценный антивирус.

По данным 2016 года, после полного обновления программы количество пользователей выросло на 2 миллиона человек. Вероятно, такой резкий скачок в популярности программы произошел из-за того, что разработчики смогли добиться стабильной и эффективной работы программы, при этом сам установочный файл занимает мало места. В процессе создания антивируса разработчики старались максимально адаптировать его для Windows 7.

№6. AVAST Free - Данный антивирус знаком всем. AVAST, за долгие годы своего пребывания на рынке, завоевал статус надежного и простого в использовании защитника, который способен быстро обнаружить и обезвредить любой вид угрозы.

Новейшая версия антивируса была разработана специально для Windows 10/8. Некоторые программные составляющие программы были полностью переделаны, что позволило обновленной версии стать более «легкой» и быстрее справляться с поставленными задачами.

Программный интерфейс антивируса AVAST

Рисунок 2 - Программный интерфейс антивируса AVAST

Интерфейс AVAST выполнен из плиток и напоминает метро-интерфейс, который представлен в новых версия ОС «Windows». Помимо обновленного интерфейса, пользователи смогут получать обновления намного быстрее, чем в предыдущих версиях продукта.

AVAST является одним из лучших бесплатных антивирусов мира, поэтому по праву занимает 8 место в данном рейтинге.

№5. AVG - Данный антивирус, благодаря своей простоте и в то же время высокой эффективности, активно обретает новых пользователей, которые положительно отзываются о работе программы.

Среди особенностей можно выделить следующие:

Использование одного из самых хороших в мире алгоритмов для обнаружения и уничтожения вирусов;
Кроссплатформенность. Возможность работать, как с мобильными устройствами, так и с ПК;
Программа может стабильно работать даже на машинах с достаточно низкими техническими характеристиками;
Удобный пользовательский интерфейс.

Бесплатный пакет данной программы вполне может защитить всю систему, ведь работает комплексно. В комплект бесплатной версии входят: сам антивирус, софт для безопасного использования интернета, который устраняет вредоносные ссылки и скрывает рекламные баннеры.

Платная версия программы, помимо всех продуктов, которые входят в бесплатную версию, включает в себя защитник для электронной почты, который фильтрует спам и письма с вредоносными ссылками. Таким образом, AVG является одним из эффективных антивирусов в 2016 году.

№4. Avira - это абсолютно бесплатное антивирусное ПО, которое в новом году успело обрести новых пользователей.

Особенности программы:

Кроссплатформенность. Данная характеристика позволяет антивирусу привлекать все больше и больше пользователей, а также синхронизировать данные на нескольких пользовательских устройствах в режиме онлайн;
В новой версии улучшены алгоритмы поиска вредоносного ПО;
Высокая производительность.

№3. Антивирус Касперского - Данный антивирус не нуждается в дополнительном представлении. Он прекрасно знаком пользователям всего мира. Вот уже более десяти лет антивирус от лаборатории Касперского пользуется огромной популярностью и занимает топовые строчки в большинстве тематических рейтингов со всего мира.

Внешний вид программы «Антивирус Касперского»

Рисунок 3 - Внешний вид программы «Антивирус Касперского»

Данный антивирус является самым популярным защитником на территории всего СНГ. За многие годы работы лаборатория не ограничилась созданием только одного антивируса.

Продукция компании довольно разнообразная:

Сканер угроз для смартфонов (поддержка всех популярных ОС);
Мощный антивирус;
Файервол;
Защитник электронной почты;
Облегченная бесплатная версия антивируса для ПК.

№2. Dr. Web - Данный антивирус использует один из самых эффективных алгоритмов поиска вирусов. Благодаря регулярному обновлению вирусной базы, устройство защищено от всех новых типов вирусов. Благодаря особой технологии поиска вредоносных программ, антивирус способен анализировать поведение подозрительных файлов и таким образом определять их как потенциально опасные. Такая процедура обнаружения используется для тех типов вирусов, которые еще не были занесены в базу данных.

№1. 360 I-Security - Первую строчку рейтинга занимает антивирус, стремительно набирающий свою популярность среди пользователей всего мира — 360 Internet Security.

Функционал софта включает в себя:

Дополнительную программу для устранения уязвимостей операционной системы;
Регулярную установку патчей;
Мощное взаимодействие с системой на программном уровне;
Утилита для очистки устройства от «мусора»;

Множественные тестирования показали, что данный комплекс программ для защиты компьютера не уступает платным аналогам и даже превосходит их, поэтому можно по праву сказать, что данный софт – это лучший бесплатный защитник нового года.

2.2.Основные проблемы антивирусной индустрии и пути их решения

С какими же проблемами может столкнуться антивирусная индустрия, за исключением обычного маркетингового противоборства? Есть вирусы — и есть антивирусы, которые их ловят. И на первый взгляд, антивирус давно стал обычным потребительским товаром, который практически ничем не отличается от конкурирующих продуктов и который покупают либо за более красивый дизайн, либо потому, что данный продукт был удачно разрекламирован, либо по какой-либо еще совсем не технической причине. Т.е. антивирус вроде как давно должен стать тем самым «commodity», продуктом массового потребления, вроде стиральных порошков, зубных щеток или автомобилей.

К сожалению это совсем не так, и часто выбор антивирусного решения основывается не на его дизайне, цене или удачной рекламе, а на технических характеристиках, которые сильно отличаются в различных антивирусных продуктах. Пользователи чаще всего сосредоточены не на тех антивирусных программах, которые защищают от определенного типа вируса или кибератаки, а выбирают такие антивирусы, которые предлагают общий уровень защиты от всех вирусов.

Антивирус должен защищать от всех видов вредоносных программ, и чем он лучше это делает, тем спокойнее живет его пользователь и дольше и крепче спит системный администратор. И тот, кто не понимает этого в теории, очень скоро столкнется с практическими последствиями.

Без хорошей антивирусной программы, кто-то может начать красть деньги с банковского счета пользователя, или компьютер может начать набирать номера телефонов бес согласия пользователя, оставляя пользователю задаваться вопросом, почему исходящий трафик увеличивается с каждым днем все больше и больше.

Предположим, если антивирусный продукт X ловит, предположим, 50% всех вирусов, циркулирующих в настоящее время в Интернете, продукт Y — 90%, а продукт Z — 99,9%, то нетрудно подсчитать вероятность того, в каком случае в результате N атак компьютер останется целым и неинфицированным или, наоборот, в нем поселится какая-нибудь очередная зараза. Если компьютер был атакован 10 раз, то вероятность «провала» для продукта X практически гарантирована (99,9%), для Y более чем вероятна (65%), а для Z опасность бесконечно мала — всего 1%.

К сожалению, далеко не все антивирусные программы, которые можно увидеть на полках магазинов или купить в сети, предлагают защиту, близкую к 100%.

Большинство продуктов не способны гарантировать даже 90%-ный уровень защиты! Это и является главной проблемой перед антивирусной индустрии сегодня.

Проблема № 1.

Количество и разнообразие вредоносных программ увеличивается из года в год. В результате многие антивирусные компании просто не в состоянии справиться с натиском, и проигрывают в вирусной «гонке вооружений», а пользователи, которые выбрали данный антивирусный продукт, оказываются, защищены далеко не от всех вирусов. Увы, продукты далеко не всех антивирусных компаний можно назвать действительно антивирусными.

При этом лет пять или десять назад можно было сказать, что защищаться от всех новых вирусов и троянских программ не надо — ведь большинство из них так никогда и не попадали в компьютеры пользователей, поскольку были написаны подростками-хулиганами с целью показывания своих навыков либо просто из любопытства, и нужно было защищать только от тех немногих вирусов, которые все же добрались до компьютеров-жертв. Сейчас же это не так. Более 75% вредоносных программ, то есть их подавляющее большинство сейчас создаются из криминального компьютерного подполья с целью заражения необходимого количества компьютеров в сети Интернет, а количество новых вирусов и троянских программ в настоящее время растет на несколько сотен ежедневно (так, в Лабораторию Касперского ежедневно попадают 200-300 новых образцов).

Многие антивирусные компании просто не в состоянии угнаться за ростом количества и разнообразия вредоносных программ.

Данные вирусные образцы поставляются в лабораторию из нескольких источников: от автоматических «липучек» (honeypots — специально разработанных комплексов сбора вредоносных файлов в сети), от зараженных пользователей, от администраторов локальных сетей, от интернет-провайдеров и от других антивирусных компаний. Несмотря на маркетинговую рубку на отведенном рыночном пространстве (как это происходит на всех без исключения рынках), антивирусные компании сотрудничают друг с другом. При обнаружении нового опасного быстро распространяющегося червя антивирусные компании практически моментально оповещают своих коллег-конкурентов и высылают образец (штамм) вируса. И большинство антивирусных компаний обмениваются образцами вируса, по крайней мере, раз в месяц. Также идет обмен информацией в специализированных конференциях, закрытых от посторонних глаз. Это можно назвать профессиональной этикой, но никакого информационного отчуждения в антивирусной среде нет (за исключением компаний-изгоев, запятнавших свою репутацию неэтичными поступками).

Давайте предположим, что новый вирус или троян обнаружен в сети или на зараженном компьютере. Что это означает? А ровно то, что вероятность подцепить данного паразита далеко не нулевая, и не исключено, что в сети уже десятки, сотни, а может, и тысячи уже зараженных пользователей. А если новый паразит является сетевым червем, то счет жертв может достигнуть и миллионы. Поэтому антивирусным компаниям необходимо моментально выпускать обновления своих антивирусных баз. Это приводит нас ко второй проблеме, с которой сталкивается антивирусная индустрия.

Проблема № 2.

Сегодня вредоносные программы распространяются так быстро, что заставляет антивирусные компании выпускать защитные обновления как можно чаще — чтобы свести к минимуму количество пользователей, которые потенциально могут быть подвержены заражению. К сожалению многие антивирусные компании не могут сделать этого и пользователи, которые получили обновления от этих компаний уже на практике заражены.

Однако предположим, что злобный вирус, несмотря на все установленные защиты, пробрался в систему и поселился в ней, а установленный не очень бдительный страж-антивирус не обнаруживает каких-либо подозрительных действий (или антивирус у ленивого пользователя, не спешащего скачать и установить очередные обновления антивирусных баз). Рано или поздно апдейты доставляются, и вирус обнаружен — но не побежден. Чтобы избавиться от вируса раз и навсегда, зараженные файлы должны быть полностью удалены. «Осторожно» является ключевым словом здесь и в этом кроется очередная проблема антивирусных программ.

Проблема № 3.

Третья проблема, с которой сталкиваются антивирусная индустрия –это удаление вредоносного кода обнаруженного на зараженном компьютере. Часто вирусы и троянские программы сделаны таким образом, что позволяют им скрывать факт своего присутствия в системе, и/или встраиваются в нее настолько глубоко, что удаление данного паразита становится сложной задачей. Увы, некоторые антивирусные программы не могут удалить вредоносный код и восстановить данные, которые были изменены вирусом, не вызывая дополнительных проблем.

Далее, любое программное обеспечение потребляет ресурсы компьютера. Антивирусы — не исключение. Чтобы защитить компьютер, антивирусная программа должна выполнить определенные действия: открывать файлы, читать из них информацию, раскрывать архивы для их проверки и т.п. И чем тщательнее проверяются файлы, тем больше требуется ресурсов от компьютера. В результате появляется проблема баланса: полноценная защита или скорость работы.

Проблема № 4.

Целесообразность потребления ресурсов. Увы, данная проблема нерешаема — как показывает практика, все «скорострельные» антивирусы очень сильно «дырявы» и пропускают вирусы и троянские программы, как дуршлаг воду. Тем не менее, обратное тоже неверно: далеко не все антивирусы которые работают медленно, не всегда обеспечивают эффективную защиту.

Для того чтобы сканировать файлы «на лету» и обеспечить постоянную защиту компьютера, антивирусным программам приходится достаточно глубоко проникать в ядро системы, причем проникать приходится в одни и те же зоны. С технической точки зрения, антивирусы должны устанавливать перехватчики системных событий глубоко внутри защищаемой системы и передавать результаты своей работы антивирусному «движку» для проверки перехваченных файлов, сетевых пакетов и других потенциально опасных объектов.

Увы, иногда это просто невозможно – установить два перехватчика на необходимом уровне ядра операционной системы. В результате — несовместимость постоянно работающих антивирусных «мониторов»; второму антивирусу либо не удается перехватить системные события, либо пытается дублировать механизм перехвата, что приводит к краху системы. И в этом кроется следующая антивирусная проблема.

Проблема № 5.

Технологическая исключительность. Антивирусы не терпят наличия конкурирующих программ на одном и том же ПК. Установить два различных антивируса на один компьютер, чтобы обеспечить двойную защиту невозможно по техническим причинам, так как они просто не уживаются друг с другом.

Часто говорят, что антивирусные компании ведут себя как малыши в одной комнате, хватая игрушки друг друга, что несовместимость различных антивирусов на одном компьютере вызвана результатом недобросовестной конкуренции — специально разработанной для того, чтобы вытеснить с рынка других производителей. Однако, это не так. Никакой недобросовестной конкуренции, хочу отметить, в этом вопросе нет. Напротив, разработчики делают все возможное, чтобы не возникало конфликтов с другим популярным программным обеспечением (включая антивирусные).

Вот так, по моему мнению, и распределяются основные практические проблемы антивирусных программ.

Естественно, у производителей антивирусных программ время от времени возникает желание придумать какую-нибудь совершенно новую технологию, которая одним ударом решала бы все перечисленные выше проблемы — разработать своего рода универсальную панацею, которая будет защищать от всех компьютерных болезней раз и навсегда. Это проактивная защита позволит обнаружить вирус и удалить его еще до момента его создания и появления в сети — и это может быть применено ко всем появляющимся вредоносным угрозам.

К сожалению, это просто невозможно. Универсальные средства годятся против тех напастей, которые действуют по каким-либо устоявшимся законам.

Компьютерные вирусы же никаким законам не подчиняются, поскольку являются творением не природы, а изощренного хакерского ума. Т.е. законы, которым подчиняются вирусы, постоянно меняются в зависимости от целей и желаний компьютерного андеграунда.

Компьютерные вирусы никаким законам не подчиняются.

Давайте возьмем пример поведенческого блокиратора, который является конкурентом для традиционных антивирусных решений, основанный на вирусных сигнатурах. Это два совершенно разных, не исключающих друг друга подхода к сканированию вирусов. Сигнатура — представляет собой небольшой фрагмент кода, который можно сравнить с файлами, и антивирус проверяет являются ли они идентичными. Поведенческий блокиратор, с другой стороны, отслеживает за действиями программ при их запуске и прекращает работу программы в случае ее подозрительных или явно вредоносных действий (для этого у них есть специальный набор правил). Оба метода имеют свои преимущества и недостатки.

Одним из преимуществ сигнатурного сканера — гарантированный отлов тех паразитов, которых он «знает в лицо». Минус — не может обнаружить те вредоносные коды, с которыми прежде не сталкивался. Еще один потенциальный минус - это большой объем антивирусных баз и ресурсоемкость. Достоинство поведенческого блокиратора — обнаружение даже неизвестных вредоносных программ. Недостаток — возможны ложные срабатывания, ведь поведение современных вирусов и троянских программ настолько разнообразно, что покрыть их всех единым набором правил просто невозможно. Т.е. поведенческий блокиратор будет гарантированно пропускать что-то вредное и периодически блокировать работу чего-то весьма полезного.

Поведенческий блокиратор имеет также и другой недостаток, а именно — неспособность бороться с принципиально новыми вредоносными программами. Представим себе, что некая компания X разработала поведенческий антивирус AVX, который обнаруживает 100% текущих вирусов. Что же делают хакеры? Конечно — изобретают принципиально новые типы вредоносных программ. И антивирусу AVX срочно потребуются обновления поведенческих правил — апдейты. Потом снова апдейты, поскольку хакеры и вирусописатели не спят. Потом — еще и еще апдейты. И в результате мы придем к тому же сигнатурному сканеру, только сигнатуры будут «поведенческими», а не «кусками кода».

Таким образом, это относится и к другому проактивному методу защиты — эвристическому анализатору. Как только подобные антивирусные технологии начинают мешать хакерам, атаковать свои жертвы, так сразу они создают новые вирусные технологии, позволяющие уклоняться от проактивных методов защиты. Как только продукт с расширенными эвристиками и/или поведенческим блокиратором начинает широко испотльзоваться — тут же эти «продвинутые» технологии перестают работать.

Поведенческий блокиратор или эвристический анализатор требует постоянных доработок и обновлений.

Таким образом, вновь изобретенные проактивные технологии эффективны только в течение относительно короткого промежутка времени. Если хакерам - «подросткам» потребуется несколько недель или месяцев для того, чтобы обойти проактивную защиту, то профессиональным хакерам потребуется один или два дня или всего несколько часов, а может, даже и минут, чтобы преодолеть данную проактиную оборону. Таким образом, поведенческий блокиратор или эвристический анализатор, каким бы эффективным он ни был, требует постоянных доработок и, соответственно, обновлений. При этом следует учесть, что добавление новой записи в базы сигнатурного антивируса — дело нескольких минут, а доводка и тестирование проактивных методов защиты занимает гораздо больше времени. В результате оказывается, что во многих случаях скорость появления апдейта от сигнатурных антивирусов многократно превышает адекватные решения от проактивных технологий. Доказано практикой — эпидемиями новых почтовых и сетевых червей, принципиально новых шпионских «агентов» и прочего компьютерного зловредства.

Конечно, это не означает, что проактивные методы защиты бесполезны. Они отлично справляются со своей частью работы в пределах определенных границ и способны остановить определенное количество вредоносных программ, разработанных менее опытными хакерами-программистами. И по этой причине проактивные методы защиты могут быть полезными дополнениями к традиционным сигнатурным сканерам — однако полагаться на них целиком и полностью нельзя.

2.3. Отсутствие полноценных тестов и проблема выбора антивирусного решения

В этой части курсовой работы давайте поговорим о проблемах, с которыми может столкнуться пользователь, стоящий перед выбором подходящего ему антивирусного программного обеспечения, если он желает себе поставить продукт, который предлагает реальную защиту от вредоносных кодов. Как принять решение?

Наиболее логичным, естественно было бы то - обратиться к сравнительным тестам, желательно как можно более профессиональным. Большинство IT изданий проводят тесты антивирусных программ достаточно часто, тестируют продукты достаточно тщательно, проверяют и сравнивают все — от цены продукта до качества технической поддержки пользователей. Однако тезис испытания на самом деле не является доказательством качества функции антивируса. Это понятно, ведь для того чтобы тщательно протестировать антивирусную составляющую продукта, необходимо иметь значительно большую коллекцию вирусов и троянских программ, располагать соответствующими стендами и процедурами автоматизации тестирования. То есть необходимо формировать специальную группу сотрудников для тестирования антивирусов и выделять им необходимые средства, что большинство IT-изданий не имеют. Естественно, что все (или почти все) компьютерные журналы данными возможностями не располагают. По этой причине истинно антивирусная составляющая подобных тестов либо оставляет желать лучшего, либо СМИ обращаются к экспертам, которые специализируются в области тестирования антивирусных продуктов.

Обратимся к информационно-аналитическому центру Anti-Malware.ru, который с 2007 года регулярно проводит тестирования на лечение активного заражения, тем самым отслеживая динамику возможностей популярных антивирусов по успешной нейтрализации вредоносных программ, находящихся в активном состоянии.

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособности операционной систем) обнаруживать и удалять уже проникшие на компьютер вредоносные программы в их активном состоянии на практике.

Подготовка теста.

Для проведения тестирования антивирусов на лечение активного заражения 2015 года экспертной группой Anti-Malware.ru были отобраны вредоносные программы по следующим критериям:

максимально полное покрытие используемых технологий маскировки, защиты от обнаружения/удаления;

степень распространенности (на текущий момент или ранее); детектирование файлов-компонентов вредоносной программы всеми участвующими в тестировании антивирусами;

способность противодействовать своему обнаружению/удалению со стороны антивируса и/или восстанавливать свои компоненты в случае их удаления антивирусом;

отсутствие целенаправленного противодействия работе любого тестируемого антивируса (удаление файлов, ключей принадлежащих антивирусу, завершение процессов антивируса, блокировка возможности обновления баз антивируса);

отсутствие целенаправленного противодействия полноценной работе пользователя на компьютере.

При отборе вредоносных программ для теста приоритет отдавался наиболее сложным видам, которые наиболее удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их файловых компонентов со стороны всех участвовавших в тесте антивирусов. Если детектирование отсутствовало, то файловые компоненты анонимно (чтобы избежать специальной манипуляции результатами теста) отправлялись производителям.

Если производитель в течение месяца не присылал уведомлений о добавлении детектирования и, при этом, вредоносный компонентов не детектировался, то вредоносная программа шла в тест по принципу «как есть» (as is).

Все используемые в тесте вредоносные программы были собраны экспертами Anti-Malware.ru во время распространения в Интернет (In The Wild).

Исследования проводились на платформе Microsoft Windows 7 x64.

С учётом того, что за последнее время новые с технологической точки зрения вредоносные программы появлялись достаточно редко, для теста были отобраны следующие вредоносные программы:

APT (Uroburos, Turla) - md5: a86ac0ad1f8928e8d4e1b728448f54f9

Cidox (Rovnix, Mayachok, Boigy) - md5: 951ed97afcbb33ad0ac932823193dd66

Poweliks (Powessere) - md5: 735295a0d9d22e6e212034741312b02f

Backboot (WinNT/Pitou) - md5: 2afb72c2162756c24b055d6227348e88

WMIGhost (HTTBot, Syndicasec) - md5: 0df40b226a4913a57668b83b7c7b443c

Stoned (Bebloh, Shiptob, Bublik) - md5: 0b01450cc58583a0baea99e27b9317a7

Pihar (TDL4,TDSS, Alureon, Tidserv) - md5: 15201d321848bf9b3b211887394e9fa2 SST (PRAGMA, TDSS, Alureon) - md5: e748f65e21e88555c854d79bad714491

Zeroaccess (Sirefef, MAX++) - md5: d2d312277f7577a1d1f9db5e8fb1ad32

Проведение теста.

В тестировании участвовали следующие антивирусные программы (представленные ниже сборки актуальны на момент начала теста), релизные версии:

Avast! Internet Security 2015.10.0.2208

AVG Internet Security 2015.0.5646

Avira Internet Security 14.0.7.468

Eset Smart Security 8.0.304.0

Kaspersky Internet Security 15.0.1.415(b)

BitDefender Internet Security 18.20.0.1429

Emsisoft Internet Security 9.0.0.4799

Dr.Web Security Space Pro 10.0.0.12160

Microsoft Security Essentials 4.6.0305.0

McAfee Internet Security 14.0

Norton Security 22.1.0.9

Qihoo 360 Internet Security 5.0.0.5104

TrustPort Internet Security 15.0.0.5420

Panda Internet Security 15.0.4

Trend Micro Titanium Internet Security 8.0.1133

При установке на зараженную машину использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.):

Процесс установки, по возможности, выполнялся с учетом рекомендованных установщиком действий, в том числе обновление продукта и проверка на вредоносные программы.
Если установщик не предложил перезагрузиться, то запускается проверка поиска вредоносных программ без перезагрузки системы после инсталляции. В случае неуспеха проверки (вредоносная программа не была обнаружена или была обнаружена, но не удалена), система перезагружалась и снова запускалась проверка поиска вредоносных программ.
Если по ходу инсталляции не было произведено обновление, оно выполнялось вручную перед лечением активного заражения.
При лечении активного заражения в первую очередь инициировались проверки из профилей проверок в интерфейсе антивируса (quick scan, startup scan etc). В случае неуспеха первой проверки запускалась проверка каталога из контекстного меню, в котором находятся файлы активной вредоносной программы. В случае неуспеха запускалась проверка всей системы.
Если в интерфейсе антивируса имеется возможность запустить отдельную проверку на руткиты, она производилась первой на всех образцах, содержащих руткит-компоненту.
Если при проверке обнаруживался только один из нескольких компонентов вредоносной программы, то поиск остальных компонентов продолжался после перезагрузки.
Если предлагалось несколько вариантов действий, действия выбирались в следующей последовательности по порядку в случае не успешности: «лечить», «удалить», «переименовать», «карантин».

Шаги проведения тестирования:

Установка на жесткий диск операционной системы и создание полного образа жесткого диска при помощи Acronis True Image.
Заражение машины с чистой операционной системы (активация вредоносной программы).
Проверка работоспособности вредоносной программы и ее успешной установки в системе.
Перезагрузка зараженной системы.
Проверка активности вредоносной программы в системе.
Установка антивируса и попытка лечения зараженной системы.
Фиксируются показания антивируса, оставшиеся ключи автозагрузки вредоносной программы после успешного лечения. В случае не успешности лечения проверяется активность вредоносной программы или ее компонентов.
Восстановление образа незараженной операционной системы на диске при помощи Acronis True Image (загрузка с CD).
Повторение пунктов 2-8 для всех вредоносных программ и всех антивирусов.

Рисунок 4 - Результаты теста на лечение активного заражения 2015

В данном тесте только 6 из 15 протестированных антивирусов показали достойные результаты по лечению активного заражения, что несколько лучше уровня последних лет. Единственным антивирусом, успешно справившимся с лечением всех образцов из тестового набора, является Kaspersky Internet Security. Разделяют второе, третье и четвёртое места антивирусы Avast! Internet Security, BitDefender Internet Security и Dr.Web Security Space Pro, нейтрализовавшие шесть предложенных образцов из девяти (67%). Пятое и шестое места разделили Microsoft Security Essentials и Norton Security, успешно вылечившие четыре образца из девяти (44%).

Остальные антивирусы провалили тест. Так AVG Internet Security и Eset Smart Security, сумели нейтрализовать лишь три образца из девяти (33,3%). Далее следуют Qihoo 360 Internet Security 5.0.0.5104 и Trend Micro Titanium Internet Security, успешно вылечившие только два образца из девяти (набрав 22,2%). Среди аутсайдеров теста оказались McAfee Internet Security, Panda Internet Security и Avira Internet Security, которые смогли справиться лишь с одним образцом из девяти (11,1%). Полностью провалили тест антивирусы Emsisoft Internet Security и TrustPort Internet Security. Они не смогли вылечить ни одного отобранного для теста образца.
Выводы по главе:

Итак, теперь можно спокойно выбрать из предложенных вариантов антивирус, который нам лучше подойдет, сравнив их по возможностям выявления вирусов и скорости работы.

На сегодняшний день, разработкой антивирусного программного обеспечения занимается около полусотни компаний, выпускающих, как минимум, по 3-4 программных продукта. Существует также немалое количество организаций, занимающихся тестированием и составлением рейтингов различных антивирусов. При схожих методиках и критериях оценки эффективности антивирусного программного обеспечения, результаты тестирования, тем не менее, могут значительно расходиться и однозначно выбрать "лучший антивирус" не могут даже люди, профессионально занимающиеся данным вопросом. Иногда сравнение результатов тестирования антивирусов, выполненные разными организациями, наводят на мысль, что эти данные не стоит воспринимать в качестве решающего фактора при выборе антивируса, а всего лишь, как дополнительную информацию к размышлению.

Заключение

Антивирусная программа — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Основная цель антивируса обнаружить и заблокировать вредоносный код.

Цель анализа антивирусных программ – определить эффективность антивирусных программ и выявить основные проблемы данной индустрии .

Анализ антивирусов показал, что все вендоры (компании-производители) делятся на компании первого эшелона (лидеры), второго эшелона (середнячки) и прочие компании, которые не очень сильно или совсем никак не выделяются на антивирусном ландшафте.

В заключение данной курсовой работы хотелось бы сказать о том, что поставленная мною цель – проведение анализа антивирусных средств и выявление проблем в индустрии антивирусных программ - была достигнута.

Подводя итоги курсовой работы, испытываешь некоторое разочарование – умение лечить активное заражение по-прежнему не является достоинством антивируса у большинства вендоров. Да, некоторые из них все-таки проводят работу над ошибками, новые версии их продуктов показавают лучшие результаты с семплами, принимавшими участие в прошлых тестах, но в большинстве своем результаты не изменились. С новыми же угрозами, в основном, результаты просто провальные. Хуже всего то, что часто антивирус вообще не видит никаких признаков активного заражения, внешне оно может никак себя не проявлять и пользователь пребывает в полном неведении о происходящем.

Неизменно высокое место показал отечественный антивирус Kaspersky Internet Security.

Хотелось бы отметить Avast, показавший явно положительную динамику, и Dr.Web, удививший низкими результатами в борьбе с новыми угрозами. Стабильно хорошие результаты показывает BitDefender, но почивать на лаврах рано, еще есть куда стремиться. Новички теста ничем не порадовали, Emsisoft и Trustport тест провалили полностью».

Список литературы

http://www.viruslist.com. Дата обращения: 05.05.2016.
https://securelist.com/analysis/36063/the-contemporary-antivirus-industry-and-its-problems/.Дата обращения:05.05.2016.
ФЗ об информации, информационных технологиях и о защите информации- 2008 г.
Конеев И. Р., Беляев А. В. Информационная безопасность предприятия.-СПб.: БХВ-Петербург, 2003.- 752с.:ил.
Хореев П.Б., Методы и средства защиты информации в компьютерных системах: учеб. пособие для студ. Высш. учеб. заведений / П.Б. Хореев. 3-е изд., стер. М.: Издательский центр «Академия», 2007. — 256 с.
Ясенев Н.В. Учебно-методическое пособие «Информационная безопасность в экономических системах». — 2006. [Электронный ресурс] — Режим доступа. — URL: http://bookmeta.com/book/177-informacionnaya-bezopasnost-v-yekonomicheskix-sistemax-uchebno-metodicheskoe-posobie-yasenev-nv/8-21-informacionnye-ugrozy.html( Дата обращения 05.05.2016).
Щеглов A.Ю. Защита компьютерной информации от несанкционированного доступа. - C.-П., 2004.- 384 c.
Петраков A.B. Основы практической защиты информации. Учебное пособие. -M., 2005.- 281 c.
Девянин П.H. Садердинов A.A., Трайнев B.A. и др. Учебное пособие. Информационная безопасность предприятия. - M., 2006.- 335.
Будников C.A., Паршин H.B. Информационная безопасность автоматизированных систем: Учебное пособие, издание второе, дополненное -Издательство им."Е.А.Болховитинова, Воронеж, 2011.