Как эволюционируют антивирусные программы

Антивирусные программы развивались параллельно с вредоносными кодами.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном (часто эти алгоритмы называют сигнатурным поиском). Каждому вирусу ставилась в соответствие некоторая сигнатура или маска. С одной стороны, маска должна была быть небольшого размера, чтобы база данных всех таких масок не приняла угрожающих размеров. С другой стороны, чем больше размер сигнатуры, тем ниже вероятность ложного срабатывания (когда достоверно незараженный файл определяется антивирусом как инфицированный).

В середине 90-х годов появились первые полиморфные вирусы. Эти вредители изменяли свое тело по непредсказуемым алгоритмам, что значительно затрудняло анализ кода вируса и составление сигнатуры. Для борьбы с полиморфными вирусами метод сигнатурного поиска был дополнен средствами эмуляции среды выполнения. Другими словами, антивирус не исследовал подозрительный файл статически, а запускал его в специальной искусственно созданной среде. В этом виртуальном пространстве антивирус следил за исследуемым объектом, ждал, пока код вируса будет расшифрован, и запускал метод сигнатурного поиска.

Второй базовый механизм для борьбы с компьютерными паразитами также появился в середине 90-х годов. Это эвристический анализ. Данный метод представляет собой существенно усложненный эмулятор, только в результате анализируется не код подозрительного файла, а его действия.

Таким образом, сегодня двумя основными способами борьбы с вирусами являются сигнатурный поиск и эвристический анализатор. Все сигнатуры размещены в антивирусной базе - специальном хранилище, в котором антивирус хранит маски вредоносных программ. Эффективность сигнатурного поиска сильно зависит от объема антивирусной базы и от частоты ее пополнения. Именно поэтому сегодня разработчики антивирусных программ выпускают обновления для своих баз как минимум раз в сутки. Чтобы повысить скорость доставки этих обновлений на защищаемые компьютеры, используется Интернет.

Популярные антивирусные программы

Существует целый ряд программ, которые обеспечивают комплексную антивирусную защиту персонального компьютера: "Антивирус Касперского Personal" (www.kaspersky.ru), Dr. Web для Windows (www.drweb.ru), Norton AntiVirus (www.symantec.com), McAfee VirusScan Professional (www.mcafee.ru), Panda Antivirus Titanium (www.pandasoftware.com) и др.

Наиболее популярными программами у нас в стране являются "Антивирус Касперского Personal", (www.kaspersky.ru) и Dr. Web для Windows (www.drweb.ru).

При нахождении инфицированных файлов программе задается способ удаления вирусов из компьютера (задание режима лечения):

- Лечить – производится удаление вирусных кодов из файлов.

- Удалять – производится удаление файлов с диска.

- Переименовывать – производится переименование инфицированных файлов. При этом первая буква расширений заменяется на букву "V". Файлы с расширениями COM, EXE переименовываются в файлы с расширениями VOM, VXE соответственно.

Поиск в режиме избыточного сканирования. Избыточное сканирование - это механизм полного сканирования содержимого исследуемых файлов вместо стандартной обработки. Этот режим не рекомендуется для частого использования, так как процесс сканирования замедляется в несколько раз и увеличивается вероятность ложных срабатываний при сканировании незараженных файлов.

Статистика позволяет просмотреть отчеты о тестировании каждого из дисков в текущем сеансе работы программы.

Файл отчета позволяет просмотреть файл отчета о тестировании или лечении памяти, загрузочных секторов дисков и файлов, созданный в результате работы программы.

- Проверка упакованных объектов включает режим распаковки упакованных файлов и их тестирование. Для данного пункта меню актуален выбор диска, на котором будут создаваться и проверяться временные распакованные файлы.

- Проверка архивов включает режим тестирования файлов внутри архивных файлов ARJ, PKZIP, RAR, LHA, ZOO, ICE и HA.

Контент секьюрити

Понятие «контент-секьюрити» охватывает вопросы безопасности содержания информации и включает широкий спектр тем - опасность утечки конфиденциального контента (содержания), риск попадания нежелательного контента в корпоративную сеть и т.д.

Одной из проблем контент секьюрити является проблема нежелательных писем или спама. Спам (Junk e-mail или spam) - это те сообщения, которые вы бы не хотели получать, но которые все равно кто-то настойчиво вам присылает. Обычно спамер принимает все меры для того, чтобы избежать ответственности за послание, прибегая к фальсификации адреса отправителя. В последнее время в связи с развитием борьбы со спамом путем фильтрации почты спамеры стали модифицировать свои сообщения так, чтобы обмануть антиспамерские фильтры.

Государство вводит санкции против спамеров, штрафует их. Сервис-провайдеры и ИТ-корпорации обращаются к провайдерам антиспам-решений, которые создают различные системы защиты. Сервис-провайдеры предлагают своим пользователям решения, ограничивающие спам, фильтруют спам-сообщения, блокируют домены спамеров, ведут черные списки и получают деньги за дополнительные услуги.

К техническим средствам борьбы с нежелательной почтой относятся специальные программные фильтры, которые на основании заданной политики (набора правил) способны отсеивать нежелательную корреспонденцию.