Пошук вірусів, що виконують підозрілі дії

Інший метод, заснований на евристиці, виходить з припущення, що шкідливі програми так чи інакше прагнуть завдати шкоди комп'ютеру. Метод заснований на виділенні основних шкідливих дій, таких як, наприклад:

· Видалення файлу

· Запис у файл

· Запис в певні області системного реєстру

· Відкриття порту на прослуховування

· Перехоплення даних що вводяться з клавіатури

· Розсилка листів та ін.

Зрозуміло, що виконання кожної такої дії окремо не є приводом рахувати програму шкідливою. Але якщо програма послідовно виконує декілька таких дій, наприклад, записує запуск себе ж в ключ автозапуску системного реєстру, перехоплює дані, що вводяться з клавіатури і з певною частотою пересилає ці дані на якусь адресу в Інтернет, означає, що ця програма щонайменше підозріла. Заснований на цьому принципі евристичний аналізатор повинен постійно стежити за діями, які виконують програми.

Перевагою описаного методу є можливість виявляти невідомі раніше шкідливі програми, навіть якщо вони не дуже схожі на вже відомі. Наприклад, нова шкідлива програма може використовувати для проникнення на комп'ютер нову вразливість, але після цього починає виконувати вже звичні шкідливі дії. Таку програму може пропустити евристичний аналізатор першого типу, але цілком може виявити аналізатор другого типу.

Негативні риси ті ж, що і раніше:

· Помилкові спрацьовування.

· Неможливість лікування.

· Невисока ефективність.

Модуль оновлення

В першу чергу, кожен антивірус повинен містити модуль оновлення. Це пов'язано з тим, що основним методом виявлення вірусів сьогодні є сигнатурний аналіз, який покладається на використання антивірусної бази. Для того, щоб сигнатурний аналіз ефективно справлявся з найостаннішими вірусами, антивірусні експерти постійно аналізують зразки нових вірусів і випускають для них сигнатури. Після цього головною проблемою стає доставка сигнатур на комп'ютери всіх користувачів, що використовують відповідну антивірусну програму.

Саме це завдання і вирішує модуль оновлення. Після того, як експерти створюють нові сигнатури, файли з сигнатурами розміщуються на серверах компанії - виробника антивіруса і стають доступними для завантаження. Модуль оновлення звертається до цих серверів, визначає наявність нових файлів, завантажує їх на комп'ютер користувача і дає команду антивірусним модулям використовувати нові файли сигнатур.

Модулі оновлення різних антивірусів вельми схожі один на одного і відрізняються типами серверів, з яких вони можуть завантажувати файли оновлень, а точніше, типами протоколів, які вони можуть використовувати при завантаженні, - HTTP, FTP, протоколи локальних Windows-мереж. Деякі антивірусні компанії створюють спеціальні протоколи для завантаження своїх оновлень антивірусної бази. У такому разі модуль оновлення може використовувати і цей спеціальний протокол.

Друге, в чому можуть відрізнятися модулі оновлення - це настройка дій, на випадок, якщо джерело оновлень недоступне. Наприклад, в деяких модулях оновлення можна вказати не одну адресу сервера з оновленнями, а адреси декількох серверів, і модуль оновлення звертатиметься до них по черзі, поки не виявить працюючий сервер. Або ж в модулі оновлення може бути настройка - повторювати спроби оновлення із заданим інтервалом певну кількість разів або ж до тих пір, поки сервер не стане доступним. Ці дві настройки можуть бути присутніми і одночасно.

Модуль планування

Другий важливий допоміжний модуль - це модуль планування. Існує ряд дій, які антивірус повинен виконувати регулярно,зокрема: перевіряти ваш комп'ютер на наявність вірусів і оновлювати антивірусну базу. Модуль оновлення якраз і дозволяє набудувати періодичність виконання цих дій.

Для оновлення антивірусної бази рекомендується використовувати невеликий інтервал - одну годину або три години, залежно від можливостей каналу доступу в Інтернет. В даний час нові модифікації шкідливих програм виявляються постійно, що вимушує антивірусні компанії випускати нові файли сигнатур буквально кожну годину. Якщо користувач комп'ютера багато часу проводить в Інтернеті, він піддає свій комп'ютер великому ризику і тому повинен оновлювати антивірусну базу якомога частіше.

Повну перевірку комп'ютера потрібно проводити хоч би тому, що спочатку з'являються нові шкідливі програми, а тільки потім сигнатури до них, а значить завжди є можливість завантажити на комп'ютер шкідливу програму раніше, ніж оновлення антивірусних баз. Щоб виявити ці шкідливі програми, комп'ютер потрібно періодично перепровіряти. Розумним розкладом для перевірки комп'ютера можна вважати перевірку раз в тиждень.

Виходячи з сказаного, основне завдання модуля планування - давати можливість вибрати для кожної дії розклад, який більше всього підходить саме для цього типу дії. Отже модуль оновлення повинен підтримувати багато різних варіантів розкладу з яких можна було б вибирати.

Модуль управління

У міру збільшення кількості модулів в антивірусі виникає необхідність в додатковому модулі для управління і настройки. У простому випадку - це загальний інтерфейсний модуль, за допомогою якого можна в зручній формі дістати доступ до найбільш важливих функцій:

· Настройки параметрів антивірусних модулів.

· Настройки оновлень.

· Настройки періодичного запуску оновлення і перевірки.

· Запуску модулів вручну, на вимогу користувача.

· Звітам про перевірку.

· Іншим функціям, залежно від конкретного антивіруса.

Основні вимоги до такого модуля - зручний доступ до настройок, інтуїтивна зрозумілість, докладна довідкова система, що описує кожне налаштування, можливість захистити налаштування від змін, якщо за комп'ютером працює декілька чоловік. Подібним модулем управління володіють всі антивіруси для домашнього використання. Антивіруси для захисту комп'ютерів в крупних мережах повинні володіти декількома іншими властивостями.

Тому, щоб спростити роботу адміністраторів антивірусної безпеки, антивіруси, які використовуються для захисту великих мереж, обладнані спеціальним модулем управління. Основні властивості цього модуля управління:

· Підтримка видаленого управління і настройки - адміністратор безпеки може запускати і зупиняти антивірусні модулі, а також міняти їх настройки по мережі, не встаючи зі свого місця.

· Захист настройок від змін - модуль управління не дозволяє локальному користувачеві змінювати настройки або зупиняти антивірус, щоб користувач не міг послабити антивірусний захист організації.

Це далеко не всі вимоги до управління антивірусним захистом в великій організації, а тільки основні принципи. Докладніше про особливості антивірусного захисту мереж і вимоги до модулів управління буде розказано пізніше у відповідному розділі.

Карантин

Серед інших допоміжних засобів в багатьох антивірусах є спеціальні технології, які захищають від можливої втрати даних в результаті дій антивіруса.

Наприклад, легко представити ситуацію, при якій файл детектується як можливо заражений евристичним аналізатором і віддаляється згідно налаштувань антивіруса. Проте евристичний аналізатор ніколи не дає стовідсоткової гарантії того, що файл дійсно заражений, а значить з певною вірогідністю антивірус міг видалити незаражений файл.

Або ж антивірус виявляє важливий документ заражений вірусом і намагається згідно настройкам виконати лікування, але з якихось причин відбувається збій і разом з вилікуваним вірусом втрачається важлива інформація.

Зрозуміло, від таких випадків бажано застрахуватися. Найпростіше це зробити, якщо перед лікуванням або видаленням файлів зберегти їх резервні копії, тоді якщо опиниться, що файл був видалений помилково або була втрачена важлива інформація, завжди можна буде виконати відновлення з резервної копії.

 

3.Деякі сучасні антивірусні програми:

Avast! 4.8.1227 Professional Edition RUS

Розмір Файлу: 25.83 MB

Avast! Professional Edition увібрав в себе всі високопродуктивні технології для забезпечення однієї мети: надати вам найвищий рівень захисту від комп'ютерних вірусів. Даний продукт є ідеальне рішення для робочих станцій на базі Windows. Нова версія ядра антивіруса avast! забезпечує високий рівень виявлення укупі з високою ефективністю, що гарантує 100%-е виявлення вірусів "In-the-Wild" і високий рівень виявлення троянів з мінімальним числом помилкових спрацьовувань. Механізм антивірусного ядра сертифікований ICSA, постійно бере участь в тестах VirusBulletin і отримує нагороди VB100%. Зовнішній вигляд призначеного для користувача інтерфейсу відображається за допомогою так званих скінів, тому у вас є можливість набудувати зовнішній вигляд панелі продуктів avast! по-своєму бажанню.

Вдосконалений призначений для користувача інтерфейс (тільки у версії Professional).

На додаток до простого, призначеного для користувача інтерфейсу Professional Edition представляє вдосконалений, призначений для користувача інтерфейс, забезпечуючи вас можливістю розширеного сканування.

На відміну від простого інтерфейсу, сканування проводиться за допомогою так званих "завдань". Спочатку ви визначаєте завдання, включаючи різні параметри - області сканування, що сканувати, як сканувати і т.д. Визначивши завдання, ви можете його запустити на виконання. Кожне завдання генерує список результатів, з яким ви можете працювати пізніше.

Інша важлива особливість, тісно пов'язана із завданнями, - сканування за розкладом. Воно дає вам можливість задавати час для запуску завдання на виконання, одноразово або періодично.

Резидентний захист

Резидентний захист (захист в режимі реального часу) є однією з найважливіших складових програми. Avast! пропонує до використання могутній резидентний модуль, який здатний виявити вірус перш, ніж він заразить ваш комп'ютер.

avast! Professional Edition містить резидентний захист файлової системи і резидентний модуль для електронної пошти.

Резидентний захист файлової системи забезпечує гарантію того, що жоден вірус не буде запущений. Пропонується широкий діапазон параметрів налаштування. Наприклад, можна визначити, що файли перевірятимуться протягом копіювання, або, що перевірятися будуть файли тільки із заданим списком розширень.

Резидентний захист пошти складається з двох незалежних модулів: перший, стандартний сканер, перевіряє SMTP/POP3/IMAP4 на рівні протоколів, що забезпечує захист будь-якого з існуючих поштових клієнтів. Другий - це спеціальний плагін для MS Outlook, що працює в прозорому режимі і не вимагає ніяких спеціальних налаштувань.

Нова особливість версії 4 - евристичний аналіз поштових повідомлень. Це дуже корисно для захисту від нових, невідомих вірусів і черв'яків, яких не можна виявити звичайними засобами. Евристичний модуль ретельно вивчає кожне поштове повідомлення і спостерігає за підозрілими ознаками, які могли б виявити присутність вірусу. Коли число цих ознак перевищує визначуваний користувачем поріг, повідомлення вважають небезпечним, і користувач отримує попередження.