Антивирусы: взгляд изнутри

В наше время, когда бурно развиваются телекоммуникации (в частности Интернет), вирусы появляются как грибы после дождя и очень легко распространяются. Чего только стоят нашумевшие вирусные эпидемии LoveLetter , Klez. Число вирусов на сегодняшний день очень велико. Они могут заразить любой компьютер, уничтожив при этом ценную информацию. Именно поэтому пользователь должен иметь представление о том, как работает антивирусная программа, как она “ищет”, “лечит” зараженные вирусом данные, какие методы антивирусной защиты существуют и насколько они эффективны. На сегодняшний день по алгоритмам работы можно выделить 5 основных групп антивирусных программ. Тернии классификации Антивирусные сканеры Пионеры борьбы с компьютерными вирусами. Появились они практически одновременно с первыми вирусами. В основе работы таких программ стоит простой принцип — поиск в файлах, оперативной памяти, загрузочных секторах знакомых участков вирусного кода (так называемых сигнатур ). Под сигнатурой понимают такую запись о вирусе, которая позволяет однозначно идентифицировать сам вирус, его присутствие в файле, памяти. Чаще всего сигнатурой является именно участок вирусного кода, а иногда и его контрольная сумма (или дайджест). Антивирусный сканер просматривает сначала оперативную память компьютера, ища вирус там. Существуют так называемые stealth-вирусы, которые перехватывают системные функции и в результате могут контролировать поток данных от периферийного устройства к пользователю. А значит, они, перехватив управление, могут заразить любой открываемый файл в системе. Вирус первым узнает об обращении к периферийному устройству. Представьте, что у вас в памяти присутствует stealh-вирус, а вы начали антивирусное сканирование без проверки оперативной памяти. Тогда зараженными могут оказаться все файлы. Именно поэтому сначала нужно провести поиск вирусов в оперативной памяти и при обнаружении stealth-вируса удалить его из памяти и потом искать тело в файле. Хочется вас успокоить: в наши дни stealth-вирусы надежно обнаруживаются в памяти и не представляют серьезной угрозы (если, конечно, регулярно проводить антивирусные проверки). Человеческая мысль не стоит на месте. Вирусы также развиваются. Головной болью разработчиков антивирусного ПО стали “копии” известных вирусов. Дело в том, что существует огромное количество вирусных программ, алгоритм работы которых повторяет алгоритм работы других вредоносных программы. Поскольку код изменился, изменилась и сигнатура. Каждую неделю появляется огромное количество вирусов. И разработчики просто не успевают внести в базу все сигнатуры. К тому же есть еще и малораспространенные вирусы, которые не попадают в базу. Мало того, существуют еще и полиморфные вирусные программы. Такой вирус изменяется от заражения к заражению. Просто, если в теле вирусной программы раскидать случайным образом ничего не делающие команды (для тех, кто знаком с программированием — NOP; MOV AX,AX;), то алгоритм работы не изменится, а вот тело и сигнатура претерпят значительные изменения. Еще одной проблемой для борцов с вирусами стали программы, создаваемые вирус-генераторами (имея под рукой такой генератор, можно создать очередную “пакость” буквально за 5 минут). Во всех вышеперечисленных случаях помогает оригинальный алгоритм обнаружения неизвестных вирусов — эвристический анализатор. С его помощью антивирус способен находить аналоги известных вирусов, сообщая об этом пользователю. Принцип работы эвристического анализатора примерно такой. Любые данные он представляет в виде машинных кодов: в компьютере одна и та же информация может быть представлена в виде данных и в виде программы. Анализатор просматривает код, и если программа выполняет некоторые подозрительные (странные) действия, то ей добавляется условный балл. При превышении какого-то количества баллов эвристик делает вывод, что программа содержит вирус. Конечно, вероятность как ложного срабатывания, так и пропуска велика. Однако если правильно использовать данные эвристика, то можно прийти к правильному выводу. Если антивирус указывает, что заражен единичный файл, то это, скорее всего, имело место ложное срабатывание. Если же такое повторяется не один раз, то можно говорить о вирусном заражении вашей системы с большой долей уверенности. Антивирусные мониторы Антивирусные мониторы по своей сути — это лишь некая разновидность сканеров. Но! Антивирусный монитор постоянно присутствует в оперативной памяти компьютера и в фоновом режиме проверяет все открываемые и загружаемые файлы. Почти каждый современный антивирус имеет в своем составе такой монитор. Ревизоры изменений Ревизоры — это антивирусные программы, которые следят за изменениями файлов. Ревизоры сохраняют в своих базах данных контрольные суммы файлов. И потом просто сравнивают сохраненные значения с текущими (ведь вирусы изменяют файлы). Результаты работы сообщаются пользователю, поскольку пользователь также может изменять файлы. У ревизоров есть свои недостатки. Во-первых, крайне важно, чтобы ревизор первые несколько раз запускался на “чистой” машине. Во-вторых, ревизоры не способны поймать вирус в момент его появления в системе, а находят его уже после распространения. В-третьих, они не могут найти вирус в новых файлах (полученных по e-mail, скачанных с BBS, Internet и прочее), поскольку в базах данных информация по таким файлам отсутствует. Именно этим недостатком пользуются некоторые вирусы, заражая только новые файлы. Иммунизаторы Обычно иммунизаторы записываются в файл (совсем как вирус) и при запуске файла проверяют его на изменения. Современные вредоносные программы научились прятаться от такого типа иммунизаторов. Второй тип иммунизаторов защищает систему от поражения каким-то определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Конечно, нельзя иммунизировать файлы от всех известных вирусов. Из-за этого недостатка данный тип антивирусов не получил широкого распространения и практически не используется. Поведенческие блокираторы Такой антивирус постоянно находится в оперативной памяти и перехватывает все происходящие в системе события. В случае обнаружения “подозрительных” действий в системе (то есть тех, которые может производить вирусная программа), блокирует их или спрашивает у пользователя разрешение на их выполнение. Блокиратор не ищет вирус, а просто предотвращает его действия. В принципе, блокиратор может остановить распространение любого вируса. Но вирусоподобные действия могут производить операционная система и различные программы. Поведенческий блокиратор не в состоянии самостоятельно определить, кто именно выполняет подозрительные действия — вирус, ОС, программа — и вынужден спрашивать у пользователя подтверждение. Именно в этом главный недостаток поведенческого блокиратора — чрезмерная навязчивость. Сила совмещения Мы с вами рассмотрели все типы антивирусов, существующих на сегодняшний день. У каждого типа есть свои достоинства и недостатки. В современных антивирусных пакетах сочетаются практически все пять вышеперечисленных типов, так как только их совместное использование позволяет выйти из войны с вирусами победителем.

ОБЗОР НАИБОЛЕЕ ПОПУЛЯРНЫХ АНТИВИРУСОВ Вирусы уже давно объявили войну человечеству, а в ХХ веке даже вышли за биологические границы и вторглись в область компьютерных технологий. Но люди не заставили себя ждать: современный рынок антивирусов просто ломится от избытка предложений, разобраться в которых поможет данный обзор. Антивирус Касперского Разработчик: “Лаборатория Касперского”

Веб-сайт: www.kaspersky.ru Лицензия: Shareware Язык: Любой Платформа: Любая **__**Программа является мамонтом антивирусного рынка, те же размеры и та же мощь. В комплект данного антивируса входят сканер, монитор, ревизор дисков ( AVP Inspector ) и интегрированный модуль защиты от макровирусов. Антивирус Касперского обладает хорошим эвристическим анализатором. А среди вирусописателей уже в пословицу вошло выражение: “Мой вирус не обнаруживается даже Касперским!” Действительно, этот антивирус является одним из самых лучших в мире. Возможность интеграции данного продукта с персональными брандмауэрами и бдительность в борьбе с вирусами делает его хорошим решением проблем с безопасностью для любого персонального компьютера. Но есть ряд препятствий для использования антивируса на домашнем компьютере: большая требовательность к ресурсам и высокая цена (100-800$ в зависимости от вида дистрибутива). Рейтинг “Мании”: 5/5 DrWeb Разработчик: “Лаборатория Данилова” и “ДиалогНаука”

Веб-сайт: www.drweb.ru Лицензия: Shareware Язык: Любой Платформа: Любая **__**DrWeb является давним конкурентом Антивируса Касперского. В состав утилиты входят сканер и монитор. Возможность добавить ревизор дисков ( Adinf ) есть только у зарегистрированных пользователей. Скачать ревизор можно с сайта разработчиков, которые предоставляют очень интересную услугу: возможность проверки файлов с вашего HDD в режиме on-line. При этом указанный вами файл копируется на сервер и проверяется сканером — результаты выдаются сразу же. А вот лечить файлы нельзя. Тест осуществляется очень качественно: последняя версия Интернет-червя Klez была тут же идентифицирована. DrWeb является лучшим выбором для российского пользователя. Этому способствует русскоязычный интерфейс, поддержка любых платформ и очень маленькая цена данного продукта (120 рублей). Мощный эвристический анализатор поможет нейтрализовать даже самые новые вирусы. Рейтинг “Мании”: 5/5 McAfee VirusScan Разработчик: McAfee Associates

Веб-сайт: www.mcafee.ru Лицензия: Shareware Язык: Английский/русский Платформа : Unix, Windows (любой) **__**Неплохой антивирус, быстро набирающий популярность. Содержит монитор и сканер. Существует плагин к MS Outlook , позволяющий сканировать прикрепленные файлы. Хотя этот продукт и является самостоятельным, он также входит в состав целого защитного комплекса от McAfee Associates наряду с брандмауэром и еще несколькими программами. С точки зрения разработчика, это должно повысить общую степень защищенности. Однако практика показывает, что лучше использовать продукцию разных производителей (например, Антивирус Касперского+Check Point Firewall для локальных сетей и DrWeb+Outpost Firewall для домашних ПК). Дело в том, что, найдя ошибку хотя бы в одной составляющей McAfee-комплекса, злоумышленнику почти наверняка удастся обойти весь защитный механизм. McAffe имеет одну из самых больших баз в мире (более 60000), но, к сожалению, не содержит эвристического анализатора, что существенно снижает общее представление о нем. В связи с этим мы не рекомендуем McAfee VirusScan ни для домашнего пользования, ни для защиты сетей. Программа сильно уступает Антивирусу Касперского и DrWeb. Рейтинг “Мании”: 3/5 Panda Antivirus Titanium

Разработчик: Panda Software Веб-сайт: www.pandasoftware.com Лицензия: Shareware Язык: Английский Платформа : Unix, Windows (любой) **__**Как и McAffe, данная программа

является частью защитного комплекса. Но сам антивирус — самостоятельный продукт. Panda малоизвестна среди российских пользователей, хотя в последнее время все чаще и чаще можно услышать хорошие отзывы о ней. Что может предложить эта темная лошадка? Помимо приятного интерфейса (им могут похвастаться любые раскрученные продукты), “Панда” обладает очень быстрым сканером, требует мало системных ресурсов и, по словам разработчиков, “способна устранять повреждения, нанесенные вирусом”. На деле это значит, что в тех случаях, когда другие антивирусы предлагают удалить неизлечимый файл, наш австралийский мишка их излечивает. Проверить данный факт достаточно сложно хотя бы потому, что Антивирус Касперского или DrWeb предлагают удалить инфицированные файлы только в крайних случаях. Panda позволяет бороться со всеми известными типами вирусов, включая ActiveX и Java-апплеты. Также антивирус содержит эвристический анализатор, позволяющий находить новые вирусы. Пожалуй, единственным слабым местом данного продукта является его англоязычный интерфейс — российскому пользователю не очень удобно разбираться в “иностранных опциях”, а получать техническую поддержку тем более. Рейтинг “Мании”: 4/5

AVP vs DrWeb Что не говори, а без драки не обошлось. Антивирус Касперского и DrWeb — лютые конкуренты. Борьба началась еще в те времена, когда MS-DOS под стол пешком ходила. Сегодня оба антивируса известны по всей Сети своими эвристическими анализаторами, качеством работы сканеров и мониторов. При этом оба достаточно раскручены, пользуются успехом как у нас, так и за рубежом (каждый поддерживает огромное число языков). Оба антивирусных пакета разработаны нашими соотечественниками. В отличие от брандмауэров (firewalls), производство антивирусов в нашей стране поставлено на широкую ногу. Не потому ли, что и вирусы мы пишем лучше других? Любому пользователю рано или поздно приходится выбирать между двумя этими антивирусами. Что предпочесть и как сравнивать? На ринге “Касперский” более популярен, чем конкурент. Его даже можно назвать любимчиком корпоративных клиентов. Отчасти это достигается за счет авторитета самого Евгения Касперского. Но все равно непонятно, почему многие обходят DrWeb стороной. Объяснение видится одно: пользователи не осведомлены обо всех его плюсах (под плюсами мы будем понимать черты, отличающие данный антивирус от конкурентов). Так что рассмотрение мы начнем именно с них. DrWeb обладает следующими качествами: компактностью, ненавязчивостью и многоплатформенностью. Этот антивирус имеет очень маленькие размеры — его дистрибутив для Windows весит 3,22 Мб. При столь маленьких габаритах он является полнофункциональным продуктом, ничуть не уступающим по своим “боевым” качествам Антивируса Касперского. Компактность выражается и в требованиях к системным ресурсам: компьютер теряет лишь малую часть своей производительности при работающем DrWeb-мониторе, в то время как пользователи Windows 2000 часто жалуются на тормоза в системе при активном AVP-мониторе. Ненавязчивость — критерий субъективный, но в полной мере выдержанный DrWeb’ом. Если DrWeb-монитор находит вирус, то выдает сообщение об этом. При этом у пользователя появляется несколько вариантов дальнейших действий: игнорировать, лечить, блокировать, пропустить. То есть вы можете сразу принять необходимое решение (в таких случаях монитор Антивирус Касперского предлагал запустить сканер, вылечиться и только потом появлялась возможность закрыть окно с сообщением о вирусе). В DrWeb достаточно просто нажать кнопку “Блокировать” и работать дальше. В аргументах, что в действиях AVP нет ничего плохого, что они заставят отреагировать на появление вируса даже неопытного пользователя, есть доля истины. Но беда Антивируса Касперского в том, что открытое окно AVP-монитора, сообщающее об ошибке, лежит поверх всех остальных, мешает работать и при этом ест память. И все было бы не так плохо, если бы не сбои в работе AVP-сканера: при обнаружении инфицированных активных web-компонентов и Java-апплетов и их удалении с помощью сканера (такие объекты не поддаются лечению), монитор по-прежнему указывает на их существование (хотя они уже стерты). В таком случае дальнейшая работа становится просто невозможной. Ведь окно монитора невозможно закрыть, если зараза не излечена — а именно так Антивирус Касперского и думает. Многоплатформенность “Многоплатформенность” — параметр вполне определенный. Кавычки же появились оттого, что у рассматриваемых антивирусов этот параметр разного качества. DrWeb поддерживает все платформы, так же как и Антивирус Касперского, но при этом его дистрибутивы под различные ОС стоят одинаково, а цены комплектов “Касперского” различаются в 5-6 раз! AVP для Windows XP стоит 100$, а для FreeBSD — 600$. Причина в том, что дистрибутив “Касперского” для FreeBSD считается уже не Home Antivirus (каковым является Антивирус Касперского для Windows XP), а Server Antivirus. FreeBSD считается одной из самых лучших высокоскоростных серверных ОС в мире, среди ее пользователей такие серверы-гиганты, как Yahoo , Hotmail и Microsoft. Естественно, что корпоративный клиент должен платить больше тех, кто ходит по земле. Но ведь ничто не мешает вам использовать FreeBSD как обычную домашнюю ОС. В этой ситуации AVP вам будет просто не по карману. В таком случае DrWeb окажется самым выгодным решением. Да что вы говорите?! Теперь рассмотрим несколько заблуждений, возникающих у пользователей ввиду их недостаточной информированности. Наиболее часто можно услышать: “Антивирус Касперского лучше потому, что в его состав входят не только сканер и монитор, но еще и защита от макровирусов в документах MS Office и ревизор диска — AVP Inspector!” Однако DrWeb тоже не лишен сих чудес света: у него существует собственный ревизор диска — Adinf. Ревизор можно скачать с сайта производителя (как и сам антивирус). Просто Adinf не входит в состав основного комплекта DrWeb и доступен только зарегистрированным пользователям. Хотя вы и потеряете пять минут времени, зато сэкономите на общей стоимости дистрибутива несколько сотен долларов (подробнее о ценах читайте далее). Что касается борьбы с макровирусами, то по сути это дублирование функций AVP-монитора. Adinf отслеживает все вирусы (в том числе и макро) на стадии загрузки/открытия файла. Так зачем нужен дополнительный модуль, если результат тот же? И не забывайте, даже если у вас стоит Intel Pentium 4, 3.2 ГГц, 1024 MB RAM, то и в этом случае трата системных ресурсов будет заметна. Второй распространенный довод в пользу AVP звучит так: “AVP лучше за счет высокой степени интеграции”. Ну что ж, в этом есть доля правды: существует версия AVP для интеграции с высококлассными корпоративными брандмауэрами (например, Check Point Firewall ). Но что с этого простым пользователям, которым не нужно контролировать локальные многосегментные сети? Ничего! А DrWeb предоставляет вполне реальную услугу: возможность интеграции с почтовым клиентом The BAT!. Соответствующий дистрибутив можно скачать с сайта разработчиков. Правда, совсем недавно и у AVP появилась возможность совмещенной работы с “Мышкой”, так что данный плюс DrWeb’а теперь смело можно рассматривать и как плюс антивируса от Касперского. Но настроить программу для работы с почтовым клиентом проще все же у DrWeb. Из всего вышесказанного можно сделать один очень важный вывод. AVP специализируется на защите крупных корпоративных сетей, и тут ему нет равных, а DrWeb направлен на “простых смертных”. Это вовсе не означает, что использовать AVP на домашнем компьютере не рационально, а всего лишь подчеркивает рыночную тенденцию, сказывающуюся еще и на ценах. Цена годовой регистрации для домашнего использования DrWeb — 200 рублей, а AVP — 100$. Чувствуете разницу? Ни сучка, ни задоринки Перейдем к самой пикантной теме: качеству работы сканеров и мониторов. Тестирование проводилось не специально, а в реально возникших жизненных обстоятельствах. Имелся компьютер с установленным на нем “Касперским” (монитор+сканер+ревизор диска+защита от макровирусов). Антивирусная база была двухнедельной давности. И выпало все это на пору эпидемии вируса Worm.Klez. Этот Интернет-червь пользуется дырой в Outlook и проникает на компьютер. Так и случилось. Вначале были повреждены все модули AVP. С этого момента невозможно было запустить ни сканер, ни монитор, ни ревизор. Это, между прочим, обратная сторона популярности “Касперского” — вирус заранее был готов ко встрече с конкретным антивирусом. В результате компьютер полностью инфицировался и стал беззащитным (из-за деятельности вируса он постоянно тормозил и обращался к HDD). С сайта Антивируса Касперского был переписан небольшой сканер, отлавливающий только Worm.Klez. Казалось, спасение близко. Но сканер от Евгения Касперского обнаружил инфицированные файлы, некоторые вылечил, а при попытке удалить неизлечимые файлы просто вылетел с ошибкой! Оказалось, эти файлы были под защитой Windows 98, которая и прикрыла “агрессивную” программу-сканер. То же повторилось и в Safe Mode. Излечивающий пакет для моей ОС (а он был универсален — для любой версии Windows) был недоработан, так как излечить компьютер не смог. Попытка установить “Касперского” заново ничего не дала — вирус бдительно следил за всеми появляющимися программами. Новый антивирус погиб так же быстро, как и его собрат. Ситуацию спас DrWeb. Быстренько выкачав его из Сети (благо размер позволяет) и зарегистрировавшись, получили вполне работоспособные сканер и монитор. Тут тоже не обошлось без неожиданностей: при сканировании памяти вирус не был найден (это-то еще не страшно), не идентифицировал его сканер и при проверке процессов! А ведь несколько процессов было явно паразитическими (это легко увидеть: достаточно закрыть некоторые из них через Ctrl+Alt+Del, как компьютер будет меньше тормозить и реже обращаться к HDD). Однако сканирование винчестера дало результаты: вирус был обнаружен и уничтожен. Как видите, оба антивируса не могут похвастаться непогрешимостью в ловле новых вирусов. В заключение хотелось бы сделать несколько обобщающих выводов. Антивирус Касперского идеально подходит для корпоративного использования, а вот для домашних компьютеров, по моему личному мнению, лучше подойдет DrWeb. Все-таки “Касперский” слишком громоздкий для домашних ПК (это выражается в требованиях к системным ресурсам). Не последним аргументом является и цена дистрибутивов DrWeb. Скачав и зарегистрировав свежую версию, вы сможете быстро подавить “вирусное восстание” на своем компьютере. Не следует также забывать о пользователях альтернативных ОС — тут DrWeb поможет сэкономить несколько сотен долларов. Что касается “боевых” качеств, то они примерно равны — оба антивируса не идеальны, но могут обеспечить вполне надежную защиту “на каждый день”. Невысокая популярность DrWeb тоже имеет свои плюсы: вы с меньшей вероятностью получите вирус, специально подготовленный для уничтожения вашего антивируса. А пользователи “Касперского” вынуждены общаться с такими сюрпризами постоянно — не скачал свежее обновление, получи новейший вирус-охотник за Антивирусом Касперского… А в целом — оба антивируса замечательно справляются с возложенными на них задачами и способны обеспечить должный уровень безопасности в подавляющем большинстве жизненных ситуаций. “Обзор наиболее популярных антивирусов”, “AVP vs DrWeb” — TanaT (TanaT@yes.ru) “Антивирусы: Взгляд изнутри” — Михайлов Константин aka mr. Kirov (mrkirov@mail.ru)