Что такое антивирус и как его выбрать

Классификация антивирусов Править

Сканеры (устаревший вариант «полифаги») Определяют наличие вируса по БД, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора (см. Эвристическое сканирование).

Сторожа (мониторы) Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Вакцины Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных () условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим.

  1. Касперский Е. «Компьютерные вирусы в MS-DOS». Москва, «Эдель», 1992
  2. несмотря на название до сей поры автору правки не известны антивирусы, хранящие антивирусную базу во внешней СУБД — используется внутренняя

Вероятностный анализ

Что касается анализа этого типа, то он делится на эвристический, поведенческий и сравнительный анализы контрольных сумм.

Если говорить кратко, то в смысле эвристического анализа антивирус – это средство сравнения структуры файлов на основе уже известных вирусов, а также выявление алгоритмов, которые они используют в своей работе.

Поведенческий анализ подразумевает вероятность выполнения определенных действий. Большей частью это относится к исполняемым макросам, скриптам или апплетам. Иными словами, такая методика способна спрогнозировать, какое действие может быть совершено тем или иным подозрительным файлом или приложением.

Сравнение контрольных сумм – это метод, при котором контрольные суммы файлов записываются в кэш, а затем сравниваются с последующими значениями. Вывод о присутствии угрозы можно сделать на основании того, что производится одновременное или массовое изменение объектов системы.

Как уже понятно, практически во всех методиках присутствует весьма условное определение наличия вируса. Так, например, «Аваст» — антивирус, который может принять за угрозу исполнение какой-нибудь макрос-команды, в то время как на самом деле вирусом или вредоносным кодом она не является. В каждом методе оценки вероятности угрозы есть свои плюсы и минусы. Но вот их сочетание в одном программном продукте дает более ощутимые результаты, позволяя выявлять вирусы, вредоносные коды или шпионские программы на основе совокупного анализа.

Что такое антивирус? Общие понятия

Если говорить о том, что представляет собой антивирусное программное обеспечение, то, грубо говоря, это одно приложение или комплекс программных средств, которые предназначены для защиты системы и информации от вредоносных программ, поиска и выявления вирусов, их удаления или лечения зараженных компонентов системы в виде файлов или установленных приложений.

Что такое антивирус и как его выбрать

Таким образом, можно сказать, что антивирус – это программное обеспечение для комплексной защиты компьютерной системы от внешних угроз, которые могут проникать в нее из сети Интернет, по электронной почте или при использовании съемных носителей.

Методы обнаружения вирусов Править

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:

  • Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
  • Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Метод соответствия определению вирусов в словаре Править

Основная статья: Обнаружение, основанное на сигнатурах

Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:

  1. Удалить инфицированный файл.
  2. Заблокировать доступ к инфицированному файлу.
  3. Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
  4. Попытаться восстановить файл, удалив сам вирус из тела файла.
  5. В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке

Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в словарь вирусов нужно периодически загружать (обычно, через Интернет) обновленные данные. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а они затем добавят информацию о новых вирусах в свой словарь.

Для многих антивирусных программ со словарем характерна проверка файлов в тот момент, когда операционная система создает, открывает, закрывает или посылает их по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. Заметьте, также, что системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жестком диске компьютера.

Метод «Белого списка» Править

Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, это технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

Другие методы обнаружения вирусов Править

Ряд других методов предлагается в исследованиях и используется в антивирусных программах (см. также эвристическое сканирование).

Антивирусные программы

Антивирус — это программа, предназначенная для борьбы с вредоносными программами.

Антивирусы выполняют три основные задачи:1) не допустить заражения компьютера вирусом;
2) обнаружить вирус;
3) удалить вирус без ущерба для остальных данных.

Код большинства вирусов содержит характерные цепочки байтов — сигнатуры. Если в файле обнаруживается сигнатура какого-то вируса, можно предположить, что файл заражён. Сигнатуры известных вирусов хранятся в базе данных антивируса, которую нужно регулярно обновлять через Интернет.

Современные антивирусы чаще всего включают антивирус — сканер (иногда его называют антивирусом-доктором) и антивирус — монитор.

Для того чтобы антивирус-сканер начал работу, пользователь должен его запустить и указать, какие файлы и папки нужно проверить. Это «защита по требованию». Главный недостаток сканеров состоит в том, что они не могут предотвратить заражение компьютера, потому что начинают работать только при ручном запуске.

Антивирусы-мониторы — это программы постоянной защиты, они находятся в памяти в активном состоянии. Их основная задача — не допустить заражения компьютера. Для этого мониторы:• проверяют все файлы, которые копируются, перемещаются или открываются в различных прикладных программах;
• проверяют используемые «флэшки»;
• перехватывают действия, характерные для вирусов (форматирование диска, замена и изменение системных файлов) и блокируют их;
• проверяют весь поток данных, поступающий из Интернета (сообщения электронной почты, веб-страницы).

Иногда мониторы могут перехватить и неизвестный вирус (которого нет в базе), обнаружив его подозрительные действия.

Главный недостаток антивирусов-мониторов — значительное замедление работы системы, особенно на маломощных компьютерах. Бывает и так, что при запущенном мониторе некоторые программы работают неправильно или вообще не работают. Тем не менее не рекомендуется отключать монитор, особенно если вы работаете в Интернете или переносите файлы с помощью «флэшек».

Кроме борьбы с вредоносными программами антивирусы частично защищают компьютер от:• фишинга — выманивания паролей для доступа на сайты Интернета с помощью специально сделанных веб-страниц, которые внешне выглядят так же, как официальные сайты;
• рекламных баннеров и всплывающих окон на веб-страницах;
• спама — рассылки нежелательных рекламных сообщений по электронной почте.

Большинство антивирусных программ — условно-бесплатные (shareware), пробные версии с ограниченным сроком действия можно свободно загрузить из Интернета. В нашей стране наиболее известны К Антивирус Касперского и Доктор Веб.

На многих сайтах (www.kaspersky.ru, www.freedrweb.com) доступны для скачивания лечащие программы-сканеры, которые бесплатны для использования на домашних компьютерах. В отличие от полных версий в них нет антивируса-монитора и базы вирусов не обновляются.

Существуют антивирусы, бесплатные для использования на домашних компьютерах, например Avast Home, Avira, AVG AVG Free. Антивирус Clam AV — свободное программное обеспечение.

Нужно понимать, что ни один антивирус не гарантирует полную защиту от вредоносных программ. В то же время без антивируса ваш компьютер остаётся совсем незащищённым.

Следующая страница Выводы. Интеллект — карта

Cкачать материалы урока

Классификация антивирусов

Что касается классификации, антивирусы условно можно разделить по предназначению и технологиям проводимого анализа, не говоря уже об операционных системах, в среде которых предполагается их функционирование.

В смысле предназначения, антивирус – это либо одна программа для анализа, выявления или удаления вредоносных кодов и приложений, либо комбинированный программный пакет, способный не только производить вышеуказанные действия, но и обеспечивать комплексную защиту в плане работы во Всемирной паутине, получения и отправки электронной почты, защиты от шпионских модулей, способных красть информацию в фоновом режиме, когда пользователь об этом даже не догадывается, и т.д. (это так называемые версии антивирусов).

Самым простым примером могут служить два программных продукта типа Eset NOD32 и Eset Smart Security.

Что такое антивирус и как его выбрать

Второй пакет имеет больше возможностей и может не только заниматься определением наличия в системе вирусов, удалять их и лечить остальные файлы. Здесь имеется достаточно мощный функционал даже для защиты компьютерной системы и данных при постоянном подключении к сети Интернет, да еще и программа обладает функцией «проактивной» защиты, умеет создавать резервные копии для восстановления, может шифровать данные и многое другое.

Важное место в классификации такого ПО занимают и методы анализа. Они делятся на сигнатурный и вероятностный

Наиболее известные антивирусы

Что касается антивирусного программного обеспечения, сейчас в мире компьютерных технологий имеется достаточно много простых приложений и целых многофункциональных комплексов. Пожалуй, самым известным программным пакетом можно назвать «Антивирус Касперского», обладающий на сегодняшний день наибольшими возможностями по сравнению со всеми остальными продуктами.

Что такое антивирус и как его выбрать

Правда, этот пакет рассчитан на достаточно мощные в плане производительности системы, поскольку дает такую нагрузку в активном режиме, что маломощные компьютеры и ноутбуки просто «захлебнутся» в процессе функционирования. Впрочем, у «Антивируса Касперского» имеются свои минимальные и рекомендуемые системные требования к компьютерному «железу». Так что его еще не на каждый компьютер установишь.

Не меньшей популярностью пользуются и продукты корпорации Eset. Здесь наиболее востребованными являются системы Eset NOD32 и Eset Smart Security, о которых упоминалось выше. Стоит заметить, что продукты «Лаборатории Касперского» и компании Eset являются платными или условно-бесплатными, так что круглую сумму за них выложить придется (конечно, при условии использования лицензионного ПО). Само собой разумеется, что в Интернете можно найти и «крэкнутые» версии. Вот только гарантии полной функциональности не могут дать даже сами взломщики.

Среди бесплатных программ многие пользователи предпочитают тот же Avast, антивирус Panda, AVG, McAffee, Norton Antivirus и т.д. В принципе, антивирусного ПО сейчас достаточно много, так что каждый пользователь сам выбирает, с чем работать и как защитить систему.

Классификации антивирусных программ

Антивирусные программы подразделяются по исполнению (средствам блокирования) на:

  • программные;
  • программно-аппаратные.

По признаку размещения в оперативной памяти выделяют:

  • резидентные (начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов);
  • нерезидентные (запускаются по требованию пользователя или в соответствии с заданным для них расписанием).

По виду (способу) защиты от вирусов различают:

  • Программы-детекторы, или сканеры, находят вирусы в оперативной памяти, на внутренних и(или) внешних носителях, выводя сообщение при обнаружении вируса.
  • Программы-доктора, (фаги, полифаги) находят зараженные файлы и «лечат» их. Среди этого вида программ существуют полифаги, которые способны удалять разнообразные виды вирусов, самые известные из антивирусов-полифагов Norton AntiVirus, Doctor Web, Kaspersky Antivirus.
  • Программы-вакцины (иммунизаторы) выполняют иммунизацию системы (файлов, каталогов) блокируя действие вирусов.
  • Программы-ревизоры являются наиболее надежными в плане защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов, системных областей диска до момента инфицирования компьютера (как правило, на основе подсчета контрольных сумм), затем сравнивают текущее состояние с первоначальным, выводя найденные изменения на дисплей.
  • Программы-мониторы начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов по принципу «здесь и сейчас».
  • Программы-фильтры (сторожа) обнаруживают вирус на ранней стадии, пока он не начал размножаться. Программы-сторожа — небольшие резидентные программы, целью которых является обнаружение действий, характерных для вирусов.

В соответствии с нормативным правовым актом ФСТЭК России «Требования в области технического регулирования к продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (требования к средствам антивирусной защиты)» (утв. приказом ФСТЭК России от 20 марта 2012 г. № 28) выделяют следующие типы средств антивирусной защиты:

  • тип «А» — средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);
  • тип «Б» — средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем;
  • тип «В» — средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;
  • тип «Г» — средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных автоматизированных рабочих местах.

Средства антивирусной защиты типа «А» не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В».

Важные замечания Править

  • Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.
  • Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.
  • Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.
  • Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.
  • Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.
  • Некоторые антивирусные программы на самом деле являются шпионским ПО, которое под них маскируется. Лучше несколько раз проверить, что антивирусная программа, которую вы загружаете, действительно является таковой. Ещё лучше использовать ПО известных производителей и загружать дистрибутивы только с сайта разработчика.
  • Некоторые из продуктов, используют несколько ядер для поиска и удаления вирусов и спайваре. Например в разработке NuWave Software, используется 4 ядра (два для поисков вирусов и два для поиска спайваре)

Преимущества платного антивирусного ПО

С таким количеством доступных бесплатных антивирусных программ зачем платить за антивирусное ПО? Несмотря на расходы, платное антивирусное ПО имеет ряд существенных преимуществ.

Бесплатные антивирусы обеспечивают только базовую защиту от распространенных вирусов, тогда как платное антивирусное ПО предлагает более совершенную защиту. Например, в Kaspersky Internet Security используется поведенческий анализатор, который осуществляет мониторинг системы и позволяет эффективнее обнаруживать неизвестные вредоносные программы и другие угрозы.

Платный антивирус, как правило, позволяет защитить все ваши устройства (ПК, Mac и мобильный телефон), тогда как в бесплатных версиях функции зависят от конкретного устройства.

Что такое антивирус и как его выбрать

Функционал платного антивирусного ПО дает вам возможность большего контроля над своими личными данными и повышает надежность защиты таких конфиденциальных действий в Интернете как банковские операции. Кроме того, платные антивирусы, как правило, предоставляют расширенные функции, например, защита от спама, персональный сетевой экран и родительский контроль для обеспечения безопасности ваших детей в Интернете. Платные версии также «умеют» хранить пароли и защищать ценные файлы, такие как фотографии и музыка.

Конечно, те или иные преимущества и особенности платных антивирусных решений зависят от их производителей. Описанными выше преимуществами можно воспользоваться, установив Kaspersky Internet Security.

Эффективность антивирусов

Аналитическая компания Imperva в рамках проекта Hacker Intelligence Initiative опубликовала интересное исследование, которое показывает малую эффективность большинства антивирусов в реальных условиях.

По итогам различных синтетических тестов антивирусы показывают среднюю эффективность в районе 97 %, но эти тесты проводятся на базах из сотен тысяч образцов, абсолютное большинство которых (может быть, около 97 %) уже не используются для проведения атак.

Вопрос в том, насколько эффективными являются антивирусы против самых актуальных угроз. Чтобы ответить на этот вопрос, компания Imperva и студенты Тель-Авивского университета раздобыли на российских подпольных форумах 82 образца самого свежего вредоносного ПО — и проверили его по базе VirusTotal, то есть против 42 антивирусных движков. Результат оказался плачевным.

  1. Эффективность антивирусов против только что скомпилированных зловредов оказалась менее 5 %. Это вполне логичный результат, поскольку создатели вирусов обязательно тестируют их по базе VirusTotal.
  2. От появления вируса до начала его распознавания антивирусами проходит до четырёх недель. Такой показатель достигается «элитными» антивирусами, а у остальных антивирусов срок может доходить до 9-12 месяцев. Например, в начале исследования 9 февраля 2012 года был проверен свежей образец фальшивого инсталлятора Google Chrome. После окончания исследования 17 ноября 2012 года его определяли только 23 из 42 антивирусов.
  3. У антивирусов с самым высоким процентом определения зловредов присутствует также высокий процент ложных срабатываний.
  4. Хотя исследование сложно назвать объективным, ибо выборка зловредов была слишком маленькой, но можно предположить, что антивирусы совершенно непригодны против свежих киберугроз.

Бесплатный сыр только в мышеловке. Что-то тут не так!

Мы, конечно, сами любим повторять эту поговорку, но из любого правила бывают исключения. Kaspersky Free – действительно полностью бесплатное защитное решение, которое при этом не показывает вам стороннюю рекламу (довольно ненавязчивые предложения апгрейднуться до платной версии не в счет). Также Kaspersky Free не собирает ваши персональные данные. Мы ценим приватность и конфиденциальность, о чем не устаем периодически повторять.

Зачем нам тогда нужно выпускать бесплатный антивирус? Очень просто. Чем больше людей использует наши защитные решения, тем они надежнее: больше компьютеров отправят подозрительные файлы в наш облачный сервис, Kaspersky Security Network, так что мы сможем обнаружить больше ранее неизвестных угроз и быстрее реагировать на их появление. Как с сервисами, которые показывают пробки на дорогах, – чем больше людей пользуются приложением, тем точнее информация.

Это с коммерческой точки зрения. А так у нас есть еще и миссия, в которую мы свято верим: мы спасем мир. И сейчас звезды на небе и на рынке сошлись так, что мы можем себе позволить выпустить бесплатный антивирус, чтобы спасать мир еще эффективнее.

2. Нет смысла ставить Free. Самые важные функции оттуда вырезали.

Конечно, набор функций в Kaspersky Free не такой же, как в нашем флагмане, Kaspersky Internet Security, иначе не было бы никакого смысла держать и платную, и бесплатную версии. Однако как раз-таки самое основное, базовая защита – файловый антивирус, почтовый антивирус и веб-антивирус – в Kaspersky Free есть. Как есть и много других полезных функций, обеспечивающих защиту от всякой кибергадости.

3. Недавно купил Kaspersky Internet Security, а тут бесплатная версия подоспела. Обидно.

Купили Kaspersky Internet Security? Поздравляем, вы приобрели первоклассное защитное решение. Антивирусный движок в нем тот же самый, что в Kaspersky Free, но также в нем есть много дополнительных функций вроде защиты онлайн-платежей (Safe Money) и техподдержки, а также больше слоев защиты от вредоносных программ.

Kaspersky Free обеспечивает базовую защиту, а Kaspersky Internet Security дает, так сказать, право на ошибку, к тому же Kaspersky Internet Security лучше борется с шифровальщиками и доселе неизвестными угрозами при помощи компонента «Мониторинг Активности» (System Watcher). В общем, Free – это как бронежилет надеть, а Internet Security – это спрятаться за каменной стеной, за которой еще и мягкие диванчики есть.

4. Ну и зачем мне это? Давно пользуюсь другим бесплатным антивирусом и никаких проблем

Не все антивирусы одинаково полезны. В Kaspersky Free, как мы уже говорили, используется тот же антивирусный движок, что и в Kaspersky Internet Security. По количеству заработанных наград от независимых тестовых лабораторий с нашими решениями не поспорит ни один другой антивирусный продукт.

Так что в лице Kaspersky Free вы получаете не просто бесплатный антивирус, а гарантированно качественный бесплатный антивирус. Который к тому же не показывает вам стороннюю рекламу и не собирает о вас всякие приватные данные.

5. Всемирный запуск, говорите. А почему не в России для начала?

Собственно говоря, первым делом Kaspersky Free был запущен именно в России – пилотный запуск состоялся почти полтора года назад. Затем бесплатный антивирус был запущен в Китае, потом – в северных странах Европы. Ну а теперь вот запускается по всему миру.

Именно российский пример и показал, что бесплатный антивирус нужен и важен, и что мы можем запускать его глобально без ущерба собственному бизнесу. Если вы по каким-то причинам не успели приобщиться к прекрасному, то качать тут.

6. Kaspersky Free есть только для Windows! А как же Android и Mac?

Kaspersky Free действительно выпущен только для Windows. Однако у нас уже давно есть Kaspersky Internet Security для Android, причем базовая версия бесплатна – бери и качай.

Ну а для пользователей Mac мы пока что предлагаем платную Kaspersky Internet Security for Mac.

Мы надеемся, что мы ответили хотя бы на большую часть вопросов и опровергли самые популярные мифы. Пользуйтесь на здоровье!