Метод сравнения с эталоном антивирус

Обновлено: 06.07.2024

Антивирусные программы развивались параллельно с вредоносными кодами.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном (часто эти алгоритмы называют сигнатурным поиском). Каждому вирусу ставилась в соответствие некоторая сигнатура или маска . С одной стороны, маска должна была быть небольшого размера, чтобы база данных всех таких масок не приняла угрожающих размеров. С другой стороны, чем больше размер сигнатуры, тем ниже вероятность ложного срабатывания (когда достоверно незараженный файл определяется антивирусом как инфицированный). На практике разработчики антивирусных программ использовали маску длиной 10-30 байт . Первые антивирусы знали какое-то количество сигнатур, могли находить и лечить определенное число вирусов. Получив новый вирус , разработчики анализировали его код и составляли уникальную маску. Эта маска добавлялась в базу данных антивирусных сигнатур, а само обновление распространялось на дискете. Если при сканировании подозрительного файла антивирус находил код, соответствующий маске, то исследуемый файл признавался инфицированным. Описанный алгоритм применяется в большинстве антивирусных программ до сих пор.

В середине 90-х годов появились первые полиморфные вирусы. Эти вредители изменяли свое тело по непредсказуемым алгоритмам, что значительно затрудняло анализ кода вируса и составление сигнатуры. Для борьбы с полиморфными вирусами метод сигнатурного поиска был дополнен средствами эмуляции среды выполнения. Другими словами, антивирус не исследовал подозрительный файл статически, а запускал его в специальной искусственно созданной среде. Специалисты по антивирусам называют ее песочницей. Дело в том, что песочница абсолютно безопасна. Вирус в ней не сможет размножиться или нанести вред. Он также не сможет отличить песочницу от настоящей среды. В этом виртуальном пространстве антивирус следил за исследуемым объектом, ждал, пока код вируса будет расшифрован, и запускал метод сигнатурного поиска.

Второй базовый механизм для борьбы с компьютерными паразитами также появился в середине 90-х годов. Это эвристический анализ . Данный метод представляет собой существенно усложненный эмулятор, только в результате анализируется не код подозрительного файла, а его действия. Для того чтобы размножаться, файловый вирус должен копировать свое тело в память , открывать другие исполняемые файлы и записывать туда свое тело, записывать данные в секторы жесткого диска и т.д. Есть характерные действия и у сетевого червя. Это прежде всего доступ к адресной книге и сканирование жесткого диска на предмет обнаружения любых адресов электронной почты. Благодаря этому эвристический анализатор способен обнаружить даже те вредоносные коды, сигнатуры которых еще неизвестны.

Таким образом, сегодня двумя основными способами борьбы с вирусами являются сигнатурный поиск и эвристический анализатор. Все сигнатуры размещены в антивирусной базе - специальном хранилище, в котором антивирус хранит маски вредоносных программ . Эффективность сигнатурного поиска сильно зависит от объема антивирусной базы и от частоты ее пополнения. Именно поэтому сегодня разработчики антивирусных программ выпускают обновления для своих баз как минимум раз в сутки. Чтобы повысить скорость доставки этих обновлений на защищаемые компьютеры, используется Интернет .

Схема обновления антивируса по Интернету


Рис. 12.3. Схема обновления антивируса по Интернету

На практике проблема борьбы с вредоносными программами возникает и у домашних пользователей, и на предприятиях. В каждом случае используется своя версия антивируса: в первом - персональная, во втором - корпоративная. Основное отличие между ними в том, что персональный антивирус защищает только домашний компьютер , а корпоративный - рабочие станции (персональные компьютеры на предприятии) и серверы.

- специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих методов защиты:

- резервное копирование информации, т. е. создание копий файлов и системных областей дисков на дополнительном носителе;

- разграничение доступа, предотвращающее несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов. Эти программы можно разделить на несколько видов.

По версии Е. Касперского различают:

1. Программы-фаги (сканеры). Используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа. Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем сканирования в оперативной памяти и в файлах. Они не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса. Достоинство – универсальность, недостаток – относительно небольшая скорость поиска вирусов и относительно большие размеры антивирусных баз. Быстро устаревают, требуется регулярное обновление версий.

2. Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы сохраняются в БД антивируса. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если информация не совпадает, то CRC-сканеры сигнализируют об изменении или заражении файла вирусом. Достоинство – практически 100% вирусов обнаруживаются почти сразу после их появления на компьютере. Недостаток – не могут определить вирус в новых файлах (электронная почта, при распаковке файла из архива и т.д.).

4. Программы-иммунизаторы – это программы, предотвращающие заражение файлов.Иммунизаторы делятся на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Иммунизатор первого типа записывается в конец файла и при запуске файла каждый раз проверяет его на изменение. Этот тип иммунизаторов практически не используется, т.к. не может обнаружить заражение стелс-вирусом. Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Он модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, вирус при этом воспринимает их зараженными и поэтому не внедряется. Несмотря на отсутствие универсальности, эти иммунизаторы могут вполне надежно защитить компьютер от нового неизвестного вируса до тех пор, пока он не станет определяться антивирусными сканерами.

Качество антивирусной программы можно оценить по нескольким критериям:

- надежность и удобство работы – отсутствие «зависаний» антивируса и др. технических проблем;

- качество обнаружения вирусов всех распространенных типов, возможность лечения зараженных объектов;




- существование версий антивируса под все популярные платформы, существование серверных версий с возможностью администрирования сети;

Распространенные антивирусные программные комплексы:

- антивирус Касперского (AVP) Personal;

- антивирус Symantec Antivirus;

- антивирус AntiVir Personal Edition.

Перечисленные средства могут оказать серьёзную помощь в обнаружении вирусов и восстановлении повреждённых файлов, однако не менее важно и соблюдение сравнительно простых правил антивирусной безопасности.

1. Следует избегать пользоваться нелегальными источниками получения программ. Наименее же опасен законный способ покупки фирменных продуктов.

2. Осторожно следует относиться к программам, полученным из сети Internet, так как нередки случаи заражения вирусами программ, распространяемых по электронным каналам связи.

3. Всякий раз, когда флэш-память побывала в чужом компьютере, необходимо проверить её с помощью одного или двух антивирусных средств.

4. Необходимо прислушиваться к информации о вирусных заболеваниях на компьютерах в своем районе проживания или работы и о наиболее радикальных средствах борьбы с ними.

5. При передаче программ или данных на своей флэш-памяти её следует обязательно защитить от записи.

Антивирусная защита корпоративных сетей

Наиболее часто встречающееся решение при обеспечении антивирусной защиты в корпоративных сетях – применение антивирусного ПО для клиент-серверных решений. В этом случае имеется некий выделенный компьютер, на который устанавливается центральный программный модуль, отвечающий за управление локальными антивирусными программами-агентами, а также за обновление антивирусной базы.

На остальных компьютерах сети разворачиваются антивирусные программы-агенты. Каждый из них непосредственно отвечает за защиту компьютера, на котором находится, а также за сбор данных, мониторинг состояния, отчеты. Все обновления и настройки антивирусные агенты получают с антивирусного сервера – компьютера с центральным модулем (см. рис.).


Подобные решения называют корпоративным антивирусом, или Enterprise системами антивирусной защиты. По такой схеме работает большинство современных систем антивирусной защиты уровня предприятия. К плюсам можно отнести быстроту внедрения данного решения. Достаточно приобрести антивирусное ПО, установить серверную часть и посредством антивирусной консоли управления «разбросать» агентов по объектам мониторинга.

Несмотря на несомненные достоинства, решение имеет ряд врожденных недостатков, а именно:

· В данном случае вирус может быть распознан только после того, как проник в систему. Действительно, большинство антивирусных агентов «ловит» вирус только после начала активности, когда тот начинает предпринимать какие-либо попытки проявить свою сущность. Даже самые продвинутые антивирусные мониторы, как правило, могут засечь вирус, когда он успел куда-то попасть – например, в кэш веб-браузера или в почтовую базу e-mail-клиента.

· Централизация антивирусных продуктов довольно часто приводит к тому, что при сбоях самого антивирусного модуля вся локальная сеть остается без защиты. Оставшиеся без антивирусного обновления компьютеры за время устранения неисправности могут получить заражение несколькими различными вирусами и вирусоподобными программами, последствия действий которых придется устранять долгое время.

· В сети присутствует большое количество объектов, нуждающихся в антивирусном контроле – серверы, рабочие станции, мобильные устройства.

· От технических специалистов требуется постоянно отслеживать появление новых вирусов и проверять их наличие у себя в системе.

Конечно, с появлением антивирусных систем уровня предприятия появилась возможность получать оперативные отчеты. При этом работа рядового системного администратора несколько упростилась. Но необходимость следить за большим количеством объектов, которые могут быть подвержены заражению, осталась.

Имеется два основных направления усиления защиты:

  • увеличение степеней защиты;
  • уменьшение числа объектов, которые могут быть подвержены заражению.

При этом обычная схема защиты сети от вредоносного ПО при помощи корпоративного антивируса продолжает применяться вместе с новыми решениями.

1. Вводим дополнительную степень защиты

Основной принцип работы данного метода – вводим дополнительную степень защиты. Главный недостаток антивируса, установленного непосредственно на защищаемый объект, – обнаружение вирусной опасности «по факту появления», то есть когда вредоносное ПО тем или иным способом уже попало на охраняемый объект. При наличии соответствующих настроек, если антивирус сможет обнаружить вредоносное ПО, он будет пытаться его обезвредить или заблокировать. Но проблема в том, что большая часть таких вирусов индивидуальна, а посему и неизвестна антивирусным продуктам. Поэтому необходимо решить вопрос о внесении изменений в саму структуру сети, чтобы вредоносное ПО отсекалось до проникновения внутрь локальной сети. То есть ввести защиту периметра сети.

Существует два основных источника заражения: Интернет (включая FTP и электронную почту) и съемные носители. Несмотря на то что в большинстве компаний служба безопасности косо смотрит и на бесконтрольный доступ в Интернет, оградить современного пользователя от доступа к интернет-ресурсам крайне затруднительно, а если речь идет об электронной почте – то и вовсе нереально. Что же касается использования сменных носителей, то здесь ситуация аналогична, как и в случае с доступом в Интернет: существует ряд пользователей, которым необходимо пользоваться съемными носителями по долгу службы (например, отдел рекламы, бухгалтерия при сдаче отчетности в Пенсионный фонд и т.д.). Есть пользователи, жаждущие поработать вне офиса. Как правило, большинство руководителей российских компаний поощряют переработки (особенно если это не оплачивается), поэтому необходимо предусмотреть вариант, когда пользователи уносят файлы домой и работают с ними на домашних компьютерах.

Подобное решение способно фильтровать от 80 до 95% вирусного трафика. Корпоративному антивирусу остается «позаботиться» об оставшихся вирусах, сумевших проникнуть через антивирусный шлюз.

Принцип защиты от проникновения вирусов через съемные носители очень простой. Пользователи вставляют свои флэшки, USB-диски, DVD-диски и т.д. в проверочный компьютер и запускают соответствующий скрипт, который проверяет на вирусы и перемещает содержимое их носителя в каталог на диске, являющийся общим ресурсом Samba-сервера. После чего пользователи могут извлечь носитель и получить доступ к своим файлам по сети.

Для удобства пользователей таких проверочных компьютеров может быть несколько. При этом необходимо отключить USB-порты на рабочих станциях. В противном случае все усилия могут оказаться напрасными.


2. Организация системы резервного копирования

Система резервного копирования (или, как ее еще называют, бэкап-система) является последней надеждой в случае, если вирус сумеет нанести серьезные повреждения – например, уничтожит дисковый раздел или удалит данные. Кроме того, при серьезном заражении иногда имеет смысл не лечить систему, а просто восстановить из резервной копии.

Помимо резервного копирования данных настоятельно рекомендуется делать полный снимок образа серверов и критически важных компьютеров, хотя бы системных разделов. Иногда гораздо быстрее и правильнее откатиться из резервной копии, чем длительное время пытаться вылечить зараженный сервер.

После внедрения грамотно спланированной системы резервного копирования можно быть уверенным в том, что даже в результате серьезных повреждений мы сможем восстановить как данные, так и систему.

Самыми популярными и эффективными антивирусными программами являются программы-фаги (антивирусные сканеры). На втором месте по эффективности и популярности находятся программы-ревизоры (CRC-скаиеры). Обычно оба указанных вида программ объединяют в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Программы-фаги можно разделить на две категории: универсальные и специализированные сканеры. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов. Специализированные сканеры, рассчитанные только на макровирусы, оказываются более удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Программы-фаги делятся также на резидентные мониторы, производящие сканирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запрос)'. Резидентные мониторы обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам программ-фагов всех типов относится их универсальность. К недостаткам программ-фагов следует отнести относительно небольшую скорость поиска вирусов и относительно большие размеры антивирусных баз.

Наиболее известные из программ-фагов: Aidstest, Scan, Norton AntiVirus, Dr. Web. Учитывая, что постоянно появляются новые вирусы, программы-фаги быстро устаревают и требуется регулярное обновление версий.

Программы-ревизоры (CRC-скаисры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске фай- лов/системных секторов. Затем в базе данных антивируса сохраняются эти CRC- суммы, а также некоторая другая информация: длины файлов, даты их последней модификации и другие параметры. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Как правило, сравнение состояний производят сразу после загрузки операционной системы.

CRC-сканеры, использующие антистелс-алгоритмы, являются довольно мощным средством против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у CRC-сканеров имеется недостаток, заметно снижающий их эффективность. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии или распаковываемых из архива), поскольку в их базах данных отсутствует информация об этих файлах.

К числу CRC-сканеров относится широко распространенная в России программа Adinf (Advanced Diskinfoscope) и ревизор AVP Inspector. Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует собранную ранее информацию о файлах для их восстановления после поражения неизвестными вирусами. В состав ревизора AVP Inspector также входит лечащий модуль, способный удалять вирусы.

Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики - это резидентные программы, перехватывающие ви- русоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков или MBR жесткого диска, попытки программ остаться в памяти резидентно и т.п., то есть вызовы, которые характерны для вирусов в моменты их размножения.

Следует отметить, что созданы антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR жесткого диска.

Программы-иммунизаторы - это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Иммунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение. У таких иммунизаторов имеется один серьезный недостаток: они не могут обнаружить заражение стелс-вирусом. Поэтому этот тип иммунизаторов практически не используется в настоящее время.

Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Этот иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов. Однако подобные иммунизаторы могут в качестве полумеры вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

режде чем приступать непосредственно к обзору антивирусных продуктов, необходимо ввести ряд определений и рассказать о ключевых технологиях, используемых в антивирусных программах.

Основные методы определения вирусов

нтивирусные программы развивались параллельно с эволюцией вирусов. По мере того как появлялись новые технологии создания вирусов, усложнялся и математический аппарат, который использовался в разработке антивирусов.

Первые антивирусные программы, построенные по этому принципу (так называемые сканеры-полифаги), знали некоторое количество вирусов и умели их лечить. Создавались эти программы следующим образом: разработчик, получив код вируса (код вируса поначалу был статичен), составлял по этому коду уникальную маску (последовательность 10-15 байт) и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность байтов, делала заключение о том, что файл инфицирован. Данная последовательность (сигнатура) выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.

Описанные подходы использовались большинством антивирусных программ вплоть до середины 90-х годов, когда появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен так называемым эмулятором процессора, позволяющим находить шифрующиеся и полиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.

Принцип эмуляции процессора демонстрируется на рис. 1. Если обычно условная цепочка состоит из трех основных элементов: ЦПУ®ОС®Программа, то при эмуляции процессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве и реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.

В данном случае принятие решения основывается на статистических подходах. А соответствующая программа называется эвристическим анализатором.

Для того чтобы размножаться, вирус должен совершать какие-либо конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра) содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является данная программа вирусом или нет.

При этом процент пропуска вируса, даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.

Классификация антивирусных программ

лассифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения (рис. 2).

Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты — сканерами.

Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Программы двойного назначения — это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker — ревизор изменений на основе контрольных сумм — может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

Обзор наиболее популярных персональных антивирусов

обзор вошли наиболее популярные антивирусы для персонального использования от пяти известных разработчиков. Следует отметить, что некоторые из рассмотренных ниже компаний предлагают несколько версий персональных программ, различающихся по функциональности и соответственно по цене. В нашем обзоре мы рассмотрели по одному продукту от каждой компании, выбрав наиболее функциональную версию, которая, как правило, носит название Personal Pro. Другие варианты персональных антивирусов можно найти на соответствующих сайтах.

Антивирус Касперского

Personal Pro v. 4.0

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Поведенческий блокиратор модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.

Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

Doctor Web для Windows 95-XP

Цена 50 долл. (лицензия на 1 год).

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Известный антивирус (рис. 4) представляет собой комбинацию антивирусного сканера Doctor Web и резидентного сторожа SpIDer Guard, интегрированного в операционную систему компьютера. Один из самых совершенных в мире эвристических анализаторов Doctor Web в сочетании с ежедневно обновляющимися вирусными базами представляет собой надежную защиту от вирусов, троянских коней, почтовых червей и иных видов вредоносного программного кода.

Программа построена по модульному принципу, то есть разделена на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависимое от среды. Подобная организация позволяет использовать одни и те же файлы вирусной базы Dr.Web для разных платформ, подключать ядро к различным оболочкам и приложениям, реализовывать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.

Программа предлагает наглядные средства выбора объектов тестирования путем просмотра дерева подкаталогов. Обновление антивирусной базы производится автоматически через Интернет.

Сторож SpIDer осуществляет анализ всех опасных действий работающих программ и блокирует вирусную активность практически всех известных и еще неизвестных вирусов. Благодаря технологии SpIDer-Netting программа сводит к нулю процент ложных срабатываний и пресекает все виды вирусной активности. Данная технология позволяет не допустить заражения компьютера вирусом, даже если этот вирус не сможет быть определен сканером Doctor Web с включенным эвристическим анализатором. В отличие от ряда других существующих резидентных сторожей, реагирующих на каждое проявление вирусоподобной активности и тем самым быстро утомляющих пользователя своей назойливой подозрительностью, SpIDer проводит эвристический анализ по совокупности вирусоподобных действий, что позволяет избежать большинства случаев ложных реакций на вирус.

Norton AntiVirus 2003 Professional Edition

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Эксклюзивная эвристическая модель блокировки червей (Heuristics-based Worm Blocking technology) дает программе возможность детектировать почтовых червей, не допуская их попадания в рассылку. В дополнение к функциям автоматического удаления вирусов Norton AntiVirus 2003 позволяет также удалять троянских коней и червей в фоновом режиме, не прерывая работы.

Единственным недостатком данного продукта является его достаточно высокая цена.

McAfee VirusScan Professional 6.0

Программа работает под управлением Microsoft Windows 95/98/Mе/NT4/2000/XP.

McAfee VirusScan Professional 6.0 (рис. 6) обеспечивает обнаружение и удаление около 60 тыс. вирусов, троянских программ, червей, вредоносных Java-аплетов и ActiveX.

  • постоянная проверка всех точек входа, включая сетевые диски, CD-ROM, электронную почту и загружаемые из Интернета файлы;
  • ядро обнаружения подозрительной активности сигнализирует о необычных действиях, предотвращая разрушительные последствия и обеспечивая бесперебойную работу ПК;
  • автоматическое обновление антивирусных баз через Интернет;
  • сканирование при синхронизации с карманными компьютерами (PDA);
  • модуль для Palm OS для обеспечения полной защиты карманного компьютера;
  • Shredder — безопасное удаление конфиденциальной информации с дисков ПК;
  • QuickClean Lite — удаление ненужных файлов и программ с диска, очистка реестра Windows;
  • гибкие возможности настройки расписания сканирования;
  • передача подозрительных файлов в AVERT для получения оперативной помощи при обнаружении неизвестных вирусов;
  • возможность помещения зараженных файлов в карантин для обеспечения их полной изоляции;
  • бесплатная техническая поддержка по электронной почте или в режиме реального времени (Chat);
  • новый, значительно усовершенствованный и легко настраиваемый интерфейс делает защиту компьютера более простой и очевидной.

Panda Antivirus Titanium

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Panda Antivirus Titanium (рис. 7) надежно защищает от вирусов, троянских коней, червей, вредоносных ActiveX- и Java-аплетов, а также имеет эвристическую технологию, способную защитить от неизвестных вирусов, которые могут появиться в будущем.

Программа имеет автоматизированную систему обновлений и специальную технологию для защиты от вирусов, проникающих на ваш компьютер посредством электронной почты.

Panda Antivirus Titanium производит обновления в фоновом режиме без запроса к пользователю. Каждый раз, когда вы подключаетесь к Интернету, программа автоматически производит обновление антивирусных баз данных.

Программа дает возможность избежать неприятных сюрпризов при работе с почтой или при скачивании Интернет-файлов. Технология Panda Antivirus Titanium позволяет обнаружить и удалить вирус в почтовом послании до того, как вы его откроете, так что вирус не сможет проникнуть на ваш компьютер. Panda Antivirus Titanium работает с большинством наиболее распространенных почтовых клиентов, доступных сегодня на рынке: Microsoft Outlook, Outlook Express, Eudora, Pegasus, MSN Mail, Netscape Mail.

Многие современные вирусы не только инфицируют файлы, но и изменяют параметры операционной системы. Panda Antivirus Titanium обладает собственной технологией SmartClean technology, позволяющей исправлять даже серьезные повреждения, нанесенные вирусом, в сложных случаях.

Наличие клиентов из 40 стран позволяет оперативно обновлять антивирусные базы на основе вирусов, появляющихся в разных концах света.

Мы рассказали о наиболее популярных решениях, однако число антивирусных программ этим не ограничивается, в таблице перечислены антивирусные программы, которые, наряду с рассмотренными, входят в десятку наиболее популярных в мире антивирусных программ.

Читайте также: