В погоне за вирусами

Раз в мире существуют вирусы, значит это кому-либо нужно. Но даже если предположить, что многие вирусописатели занимаются своим делом только из зловредности, не имея при этом никаких дивидендов, то программисты, которые находятся по другую сторону антивирусного фронта, извлекают из этого немалую выгоду. Благодаря данной проблеме возникла целая отрасль программного обеспечения с годовым оборотом, исчисляемым миллиардами долларов.

Помимо этого, в случае эпидемии новых вирусов разработчик должен обладать достаточными ресурсами, чтобы в минимальный срок выпустить противоядие и обеспечить надежную поддержку всех своих пользователей. Эти факторы играют в конкурентоспособности продукта не менее решающую роль, чем, к примеру, качество разработки ядра антивируса.

Антивирусная гигиена

Хотя бреши в компьютерных системах будут находить всегда, применение нескольких правил позволит свести возможную угрозу к минимуму. Для защиты локальных сетей и устранения опасности заражения сервера следует ограничить права пользователей при работе с файлами на дисках сервера.

Рекомендуется использовать несколько антивирусных пакетов различных производителей - например, один из них местный, второй - от заокеанских разработчиков. Причем продукты одного из производителей необходимо установить на сервере, а второго - на рабочих станциях.

Дистрибутивные копии программных продуктов лучше покупать у официальных продавцов ПО. При этом значительно снижается вероятность заражения, хотя известны случаи покупки инфицированных дистрибутивов. Даже загрузка файлов с вэб-ресурсов известных компаний ничего не гарантирует, например, на сервере Microsoft довольно долгое время находился документ, зараженный макровирусом Wazzu.

Похожая ситуация сложилась и с мобильными телефонами. Известны случаи о рассылке вредоносных SMS, однако по причине того, что "зараза" срабатывала только на определенных моделях терминалов (использующих один тип микропрограмм), эта проблема не переросла в глобальную.

Когда компьютер инфицирован...

Если ваш ПК ведет себя необычно (подозрительно медленно работает, приложения не запускаются, на жестком диске без вашего ведома удаляется информация), то возможная причина - заражение вирусом. Поэтому воспользуйтесь антивирусной программой для обнаружения и удаления инфекции, предварительно обновив антивирусные базы.

До полной проверки компьютера необходимо максимально ограничить к нему доступ. Отключить его от локальной сети, не переписывать с него информацию на другие компьютеры и не запускать приложений (кроме антивирусных пакетов).

Если электронные лекари ничего не обнаружили, но подозрение об инфицировании компьютера осталось, обратитесь непосредственно к производителю антивирусного продукта - возможно, вам "повезло" и вы обнаружили новый вирус.

Какое же средство выбрать для защиты от цифровой инфекции? Ответ на этот вопрос можно получить из результатов нашего теста антивирусных продуктов. Дистрибутивы большинства trial-версий описанных программ вы сможете найти на CHIP-CD 5/2003.

Продукт весьма насыщен функционально. Помимо стандартных сканера, монитора и центра управления, в его состав входит Kaspersky Office Guard, который полностью контролирует работу макросов в приложениях Microsoft Office 97/2000. Как только запускается какой-либо макрос и в процессе своей работы пытается вызвать макрокоманду, которая входит в список подозрительных, программа активизируется и перехватывает управление. В зависимости от настроек программа Kaspersky Office Guard выполняет одно из четырех действий: разрешает выполнение подозрительной макрокоманды, запрещает ее, полностью останавливает макрос или запрашивает пользователя о дальнейших действиях.

Модуль Kaspersky Inspector, также входящий в состав пакета, - это антивирусная программа - ревизор диска, работающая под управлением ОС MS Windows. Kaspersky Inspector проверяет диски на наличие изменений содержимого файлов и директорий и может использоваться в качестве вспомогательной антивирусной программы или для контроля за изменениями на диске. Помимо этого, присутствие данного модуля значительно уменьшает время проверки дисков антивирусным сканером KAV, поскольку передает ему на проверку те файлы, которые являются новыми или были изменены. С продуктом также поставляется Script Checker, сканер электронной почты и утилита для создания загрузочной дискеты.

Глосарий

Backdoor-программы - утилиты скрытого администрирования. Аналогичны троянским коням, но в отличие от последних сами не выполняют активных действий, а лишь только открывают доступ на ваш компьютер злоумышленнику.

Denial-of-Service (DoS) атака направлена на прекращение нормального функционирования системы и тем самым предотвращение доступа к системе авторизированных пользователей. Хакеры могут осуществить DoS-атаку посредством разрушения или модификации данных или перенагрузки серверов системы.

Exploit - программная утилита для атаки системы через обнаруженную брешь в ее защите. Естественно, сначала хакеры находят уязвимость в защите, после чего пишут программу для атаки через эту брешь.

Virus hoax - вирусная мистификация, то есть ложное предупреждение о якобы грозном вирусе, который на самом деле не существует. Например, летом прошлого года многие пользователи получили по e-mail предупреждение об угрозе опасного вируса, который записывает свое тело в файл в каталоге Windows. В результате многие пользователи ошибочно удаляли этот служебный файл с жесткого диска ПК.

Антивирус - программа, которая находит и уничтожает вирусы. Полноценным и полнофункциональным антивирусным пакетом принято считать продукты, содержащие сканер, монитор, центр управления с планировщиком и конфигуратором, а также модуль обновления через Интернет.

Вирус - программа, которая удовлетворяет трем обязательным условиям. Во-первых, это способность к самопроизвольному размножению с последующим внедрением копий вируса в файлы, системные области компьютера или даже на другой компьютер по сети. При этом дубликаты также сохраняют способность к дальнейшему распространению. Как правило, вирусы обладают каким-либо деструктивным действием, хотя это и не является обязательным условием.

Вирусы-невидимки (Stealth-вирусы) представляют собой программы, которые перехватывают обращения ОС к пораженным файлам или секторам дисков и "подставляют" вместо себя незараженные участки информации.

Загрузочные вирусы заражают boot-сектор флоппи-диска или винчестера (в некоторых случаях Master Boot Record -MBR). Для защиты от таких вирусов достаточно отключить функцию загрузки системы с флоппи-диска или CD-ROM в установках BIOS.

Макровирусы. Впервые появившиеся в 1995 году, макровирусы сегодня стали фактически самой большой проблемой в антивирусной борьбе. Этот вид вирусов использует язык VBA (Visual Basic for Application) для заражения документов MS Word, MS Excel, MS Outlook и даже MS Access. Для того чтобы обезопасить себя от макровирусов, необходимо отключить автозапуск макросов при открытии документов вышеназванных приложений.

Полиморфные вирусы - разновидность компьютерных вирусов, которые используют специальные алгоритмы для затруднения их поиска и анализа. Они не имеют сигнатур, т. е. не содержат ни одного неизменного участка кода в разных копиях. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Резидентные вирусы отличаются от нерезидентных тем, что после запуска инфицированной программы они остаются в оперативной памяти компьютера.

Сигнатура - последовательность байт, специфичная (в идеале - уникальная) для конкретной программы. Сигнатуры используются сканерами (также называются полифагами) для поиска вирусов.

Скрипт-вирус создается на языке сценариев VBS, разработанном Microsoft. Данный язык исполняется интерпретатором Windows, кроме того, вэб-браузером MS Internet Explorer. Подобные вирусы могут удалять файлы на жестком диске, изменять настройки системы, запускать троянских коней и т. д. Если в вэб-браузере неправильно настроен раздел "Безопасность", то угроза инфицирования такими вирусами существует при посещении вэб-страницы, содержащей вредоносный VBS-скрипт.

Троянские кони - это программы, которые маскируются под какие-либо полезные приложения (например, утилиты или даже антивирусные программы), но при этом наносящие различные разрушительные действия. Трояны не внедряются в другие файлы и не обладают способностью к самодублированию. По сравнению с вирусами <троянские кони> мало распространены, поскольку после запуска они либо уничтожают себя вместе с остальными данными на диске, либо уничтожаются самим пострадавшим пользователем.

RAV Antivirus desktop 8 - один из немногих продуктов, которые содержат версию электронного лекаря для операционной системы DOS, хотя количество компьютеров, на которых в том или ином виде используется эта ОС, уменьшается с каждым днем.

Пакет Panda Antivirus Platinum 7.04.00 построен по принципу "Все необходимое и ничего лишнего". Так, в комплект поставки, кроме качественного антивирусного приложения, входит также межсетевой экран для защиты от атак через ЛВС и Интернет. Программа неплохо детектирует вирусы, причем она не только находит зараженные файлы в архивах, но там же их и исцеляет. Сканер также смог найти инфекцию в трехкратно вложенном архиве.

Для работы сканера в фоновом режиме с минимальным потреблением ресурсов в настройках можно включить функцию "Enable CPU load Control". Правда, в этом режиме скорость сканирования снижается. Если же вышеупомянутая опция отключена, Panda Antivirus Platinum 7.04.00 демонстрирует очень хорошую скорость сканирования, одну из самых высоких в данном тесте.

В целом, этот антивирусный пакет показал очень неплохие результаты, кроме того, надо отметить, что он стремительно развивается.

Многие производители антивирусных пакетов понимают, что обойти конкурентов легче, если интегрировать в продукт различные дополнительные сервисы. По такому пути пошла и китайская компания Trend Micro, интегрировав в свой продукт PC-cillin 2003 персональный брандмауэр, анализатор интернет-трафика Internet Traffic Control, фильтр вредоносных Java- и ActiveX-программ WebTrap и даже утилиту Site Filter, позволяющую ограничить паролем доступ к определенным вэб-сайтам.

В PC-cillin 2003 также имеется брандмауэр "Wi-Fi Protection", полезный для пользователей ноутбуков, подключающихся к беспроводной сети стандарта Wi-Fi. Этот модуль можно активировать для защиты от возможных атак в непроверенных Wi-Fi-сетях.

Что касается самого антивирусного пакета, то при неплохих в целом результатах были обнаружены некоторые недоработки. Например, еще до полного окончания процесса сканирования файлов на жестком диске, сканер выводит на дисплей сообщение о количестве найденных вирусов. Тем не менее, в фоновом режиме проверка винчестера еще некоторое время продолжается, и окончательный результат довольно сильно отличается от заявленного в сообщении.

Несколько огорчил и монитор PC-cillin 2003: во-первых, своей медленной работой, во-вторых, - большим потреблением ресурсов, что делало абсолютно невозможной работу с другими приложениями во время тестирования. Нормальный режим работы возобновился только после завершения работы антивируса. Вот уж, поистине, Восток - дело тонкое.

Известно, что знаменитый создатель популярного некогда файлового менеджера Питер Нортон уже давно не участвует в разработке программного обеспечения. Тем не менее, компания Symantec все еще выпускает продукты под его именем. К ним относится и Norton AntiVirus 2003.

NAV 2003 характеризуется наличием в пакете всех необходимых функций. Например, в его состав входит script-checker, благодаря которому можно сэкономить системные ресурсы. Начинающие пользователи могут прибегнуть к услугам мастера, что значительно облегчает применение продукта. Персональный брандмауэр в состав продукта не входит, для этого необходимо приобрести другой пакет - Norton Internet Security.

Norton AntiVirus, один из немногих среди тестируемых продуктов, уничтожает вирусы в заархивированных файлах, в то время как другие лишь детектируют в них наличие вредоносных программ. Файлы, которые невозможно вылечить, продукт автоматически помещает в карантин.

В процессе тестирования сканер NAV 2003 продемонстрировал достаточно неплохие результаты. Однако общую картину подпортил монитор, который смог обнаружить почти в два раза меньшее количество вирусов, чем сканер. Это и повлияло на конечную оценку данного продукта.