Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
Классификация
В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, сетевые черви), по поражаемым операционным системам и платформам (DOS, Windows, Unix, Linux, Java и другие), по технологиям используемым вирусом (полиморфные вирусы, стелс-вирусы), по языку на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).
По способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные файлы, программы, драйверы, исходный код программ и др.) разделяют на перезаписывающие, паразитические, вирусы-звенья, вирусы-черви, компаньон-вирусы, а так же вирусы, поражающие исходные тексты программ и компоненты программного обеспечения (VCL, LIB и др.).
Перезаписывающие вирусы – вирусы данного типа записывают свое тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестает запускаться. При запуске программы выполняется код вируса, а не сама программа.
Вирусы-компаньоны – как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передается оригинальной программе.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Файловые черви – создают собственные копии с привлекательными для пользователя названиями (например Game. exe, install. exe и др.) в надежде на то, что пользователь их запустит.
Вирусы-звенья – как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске зараженной программы, на собственный адрес. После выполнения кода вируса управление обычно передается вызываемой пользователем программе.
Паразитические вирусы – это файловые вирусы изменяющие содержимое файла добавляя в него свой код. При этом зараженная программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу.
Вирусы, поражающие исходный код программ. Вирусы данного типа поражают или исходный код программы, либо её компоненты (OBJ-, LIB-, DCU - файлы) а так же VCL и ActiveX компоненты. После компиляции программы оказываются в неё встроенными. В настоящее время широкого распространения не получили.
Канал распространения
Сейчас основной канал распространения вирусов – электронная почта. Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и другим IM, и по электронной почте. Возможно так же заражение через странички интернет. В этом случае используются уязвимости ПО установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (это опаснее всего, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей). Хакеры и спамеры используют зараженные компьютеры пользователей для рассылки спама. На проблему противостояния вирусам были вынуждены обратить внимание крупные компании – выходит Symantec Norton Antivirus.
Сетевые и файловые черви
Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL. EXE или WINSTART. BAT. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусам относятся «ArjVirus» и «Winstart». Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы (см. например, «Worm. Info»). Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.
Cетевой червь – разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов червь является самостоятельной программой.
Черви могут использовать различные механизмы («векторы») распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы.
Черви могут состоять из различных частей.
Часто выделяют так называемые ОЗУ– резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл–кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.
Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого–либо вреда (например, DoS–атаки).
Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь – жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком.
Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, «deface»), заранее запрограммированной DoS-атаке с компьютеров жертв на отдельный веб-сервер, или бэкдор для удалённого контроля над компьютером-жертвой. Часто встречаются случаи, когда новый вирус эксплуатирует бэкдоры, оставленные старым.
Троянские программы
Троянская программа (также – Троян, троянец, троянский конь) – разновидность вредоносных программ, подбрасываемая для выполнения на компьютере-жертве, она не имеет средств для самораспространения.
Троян – это не одно и то же, что вирус. В отличие от вирусов, которые в основном портят операционную систему, форматируют диски и способны саморазмножаться, трояны по своей сути существа мирные. Сидят себе тихонько и делают свое черное дело. Область их компетенции – воровство конфиденциальной информации, паролей с последующей передачей всего этого добра хозяину. В классическом варианте троян состоит из клиента и сервера. Серверная часть обычно на компьютере у жертвы, клиентская – у хозяина, т. е. у того, кто создал троян или просто модифицировал его, заставив работать на себя. Связь клиента и сервера осуществляется через какой-либо открытый порт. Протокол передачи данных – обычно TCP/IP, но известны трояны, которые используют и другие протоколы связи – в частности, ICMP и даже UDP. Тот, кто создает трояны, умело маскирует их. Один из вариантов – замаскировать троянского коня под какую-либо полезную программу. При ее запуске вначале происходит выполнение кода трояна, который затем передает управление основной программе. Троян также может быть просто, но эффективно замаскирован под файл с любым дружественным расширением – например, GIF.
Таким образом, троянская программа предназначена для нанесения вреда пользователю или делающая возможным несанкционированное использование компьютера другим лицом (то есть превращающая компьютер в «зомби») для выполнения всевозможных задач, включая нанесение вреда третьим лицам.
Троянская программа запускается пользователем вручную, или автоматически – программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.
Название «троянская программа» происходит от названия «троянский конь» – деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, в последствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.
Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы, открытые для записи накопители самого компьютера), носители информации или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном «целевом» компьютере. Иногда, использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).
Современная классификация троянов выглядит следующим образом:
1. Программы-шпионы Spyware (англ. Spy – шпион и англ. Software – программное обеспечение) типа Mail sender или типа Adware.
2. Утилиты удаленного администрирования – BackDoor.
3. Программы-дозвонщики – Dialer.
4. Кейлоггеры – KeyLogger.
5. Эмуляторы DDos-атак.
6. Загрузчики – Downloader.
7. Дропперы – Dropper.
8. Прокси-серверы.
9. Деструктивные троянские программы (есть и такие — например, FlashKiller).
Spyware типа Mail Sender – наиболее распространена, т. к. подавляющее большинство троянов, если не все, отсылают хозяину пароли от Интернета, вашей электронной почты, ICQ, чатов, ну, и т. д. в зависимости от изобретательности троянмейкера. Примеры: Trojan-PSW. Win32.QQPass. du (китайский троян, ворующий Windows-пароли), Bandra. BOK (скачивается на компьютер жертвы при посещении определенного сайта и пытается украсть пароли от определенных банковских сайтов), Bancos. LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Banker. XP (собирает конфиденциальные данные, пароли, счета и т. д., отправляя их на определенный адрес).
Adware – (англ. Ad, Advertisement –реклама и Software – программное обеспечение) – программное обеспечение, содержащее рекламу. Это трояны, при использовании котороых пользователю принудительно показывается реклама.
Утилиты удаленного администрирования – backdoor (дословно “потайная дверь”) – обычно обладают возможностями Mail Sender’а плюс функциями удаленного управления компьютером. Такой троян ждет соединения со стороны клиента (соединение осуществляется через какой-либо порт), с помощью которого посылаются команды на сервер. Примеры: Backdoor. Win32.Whisper. a – троянская программа со встроенной функцией удаленного управления компьютером, знаменитый Back Orifice, позволяющий постороннему контролировать ваш ПК, как свой. Созданный группой хакеров Cult of Dead Cow, он, несмотря на аскетичный интерфейс, позволяет постороннему по локальной сети или Internet получить возможность полного контроля над вашим компьютером, полного доступа к вашим дискам, наблюдения за содержимым экрана в реальном времени, записи с подключенного к системе микрофона или видеокамеры и т. п.
Программы-дозвонщики отличаются тем, что могут нанести жертве значительный финансовый урон, устанавливая соединение с зарубежным интернет-провайдером. Таким образом, с телефонного номера абонента происходит установление «незаказанного» международного соединения, например, с островами Кука, Сьерра-Леоне, Диего-Гарсиа или другим диковинным регионом в зависимости от чувства юмора создавшего программу. Примеры: Trojan - PSW. Win32.DUT или trojan. dialuppasswordmailer. a.
Трояны-кейлоггеры удачно сочетают в себе функции кейлоггера и обычного Send-Mailer’а. Они способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию злонамеренному пользователю. Это может осуществляться по почте или отправкой прямо на сервер, расположенный где-либо в глобальной сети. Примеры: Backdoor. Win32.Assasin.20.; Backdoor. Win32.Assasin.20.n; Backdoor. Win32.BadBoy; Backdoor. Win32.Bancodor. d (keylogger. trojan).
Эмуляторы DDos (Distributed Denial of Service) – довольно интересная группа троянов. Серверная часть слушает определенный порт и, как только получает команды извне, начинает функционировать как нюкер (Nuker — приложение, отсылающее на заданный IP шквал некорректно сформированных пакетов, что приводит к эффекту, известному как отказ в обслуживании.
Загрузчики – Downloader. Это троянские программы, загружающие из Интернета файлы без ведома пользователя. Загружаемое может быть как интернет-страницами нецензурного содержания, так и просто вредоносным ПО. Примеры: Trojan-Downloader. Win32.Agent. fk (представляет собой Windows PE EXE файл. Размер зараженных файлов существенно варьируется. После запуска троянец создает папку под названием %Program Files%\Archive, после чего копирует себя в нее и т. д. Троянская программа Trojan-Downloader. Win32.Small. bxp первоначально была разослана при помощи спам-рассылки. Представляет собой Windows PE EXE файл, имеет размер около 5 Кб. Упакована FSG. Размер распакованного файла — около 33 Кб.
Дропперы (Dropper) – троянские программы, созданные для скрытной установки в систему других троянских программ. Пример: Trojan-Dropper. Win32.Agent. vw. Proxy-серверы – троян устанавливает в вашу систему один из нескольких proxy-серверов (socks, HTTP и т. п.), а затем кто угодно, заплатив хозяину трояна, либо сам троянмейкер совершает интернет-серфинг через этот proxy, не боясь, что его IP вычислят, т. к. это уже не его IP, а ваш.
Деструктивные троянские программы, помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски, “сносить” операционную систему и т. д.
Антивирусные средства
Антивирусная программа (антивирус) – изначально программа для обнаружения и лечения программ, заражённых компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации).
Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив – программы, создававшиеся как файрволы (межсетевой экран или сетевой экран (англ. Firewall) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа.), также обретают функции, роднящие их с антивирусами (например Outpost Firewall), что со временем может привести к ещё более очевидному распространению смысла термина на средства защиты вообще.
Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы – но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.
К сожалению, конкуренция между антивирусными компаниями привела к тому, что развитие идёт в сторону увеличения количества обнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения их детектирования (идеал – 100%-е детектирование) и алгоритмов лечения заражённых файлов.
Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.
Методы обнаружения вирусов
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
· Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
· Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре
Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:
· Удалить инфицированный файл.
· Заблокировать доступ к инфицированному файлу.
· Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
· Попытаться восстановить файл, удалив сам вирус из тела файла.
· В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: Проактивная защита, Поведенческий блокиратор, Host Intrusion Prevention System (HIPS). В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe'n'Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
Метод обнаружения при помощи эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.
Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например, не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.
Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.
Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам незаражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.
Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы необнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.
Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.
Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.
Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.
Классификация антивирусов
Касперский, Евгений Валентинович использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность):
· Сканеры (устаревший вариант "полифаги"). Определяют наличие вируса по БД, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора.
· Ревизоры. Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений.
· Сторожа (мониторы). Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.
· Вакцины. Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим.
Антивирусные компании и программы
1. AOL® Virus Protection в составе AOL Safety and Security Center
2. ActiveVirusShield от AOL (на базе KAV 6,бесплатная)
3. AhnLab
4. Aladdin Knowledge Systems
5. Alwil
6. AVG (Чехия, бесплатная и платная версии)
7. AVZ из России (бесплатная)
8. Avira Из Германии
9. BitDefender из Румынии
10. BullGuard из Дании
11. Computer Associates США
12. Comodo Group США
13. ClamAV – Лицензия GPL –бесплатный с открытым исходными кодами программы
14. ClamWin – ClamAV для ОС Windows
15. Dr. Web из России
16. Eset NOD32 из Словакии
17. Frisk Software из Исландии
18. F-Secure из Финляндии
19. GeCAD из Румынии (Microsoft купил компанию в 2003)
20. GFI Software
21. Hauri
22. H+BEDV из Германии
23. Kaspersky из России
24. McAfee США
25. MicroWorld Technologies из Индии
26. MKS из Польши
27. Norman из Норвегии
28. Panda Software из Испании
29. Sophos из Великобритании
30. Stiller Research
31. ROSE SWE
32. Sybari Software (Microsoft купил компанию в начале 2005)
33. Symantec США или Великобритания
34. Trojan Hunter
35. Trend Micro из Японии (номинально Тайвань-США)
36. Украинский Национальный Антивирус c Украины
37. ВирусБлокАда (VBA32)
38. VirusBuster из Венгрии
39. ZoneAlarm AntiVirus (из Zone Labs)
40. Quick Heal AntiVirus из Индии
41. Spybot-Search&Destroy компании Safer Networking Limited.
Сканер ESET NOD32 – защита от всех известных вирусов, червей, шпионов и Троянов
История антивируса NOD32 насчитывает уже 17 лет. На российском рынке программа представлена почти три года. За это время антивирус сумел сыскать большую любовь и благодарность пользователей. По отзывам наших клиентов главными его достоинствами являются: простота и удобство эксплуатации, незаметность работы и отсутствие так раздражающей перегруженности системы при сохранении надежности защиты. Приятный интерфейс программы и локализация на русском языке.
Примерно 88% угроз обнаруживается проактивно при помощи эвристического анализа на базе технологии ThreatSense. Например, все варианты вирусов MyDoom, Netsky, Bagle и Mytob были обнаружены при помощи эвристического анализа, еще до того, как у других производителей появились сигнатуры. Сравните NOD32 с продуктами Symantec, McAfee, Trend и "Лаборатории Касперского".
В 2005 г. сайт AV-Comparatives.org в двух отдельных тестах подтвердил, что NOD32 обеспечивает лучшую, всеобъемлющую, проактивную защиту от угроз zero-day. При помощи NOD32 в мае было обнаружено 90% "диких вирусов", а на сравнительных тестах проактивной защиты в ноябре при помощи NOD32 было обнаружено 62% новых образцов вредоносных программ, что позволило NOD32 опередить ведущих производителей в среднем на 95%.
За последние 7 лет компания ESET стала обладателем 35 наград VB100% за эффективность обнаружения "диких вирусов", что является отраслевым рекордом. Приведенные тесты подтверждают способности продукта по обнаружению известных вредоносных программ.
Скорость сканирования исполняемых файлов в Windows 2003 Server составила 19 Мбайт/сек. Ближайший конкурент был почти в два раза медленнее.
Во время тестов в RedHat Linux NOD32 осуществлял сканирование на скоростиКбайт/сек – почти в два раза быстрее ближайшего соперника. В режиме сканирования "on-access" влияние на производительность системы составило 6%.
NOD32 является самой компактной антивирусной программой. Установщик NOD32 версии 2.5 занимает всего 8,6 Мбайт.
Программа использует примерно 15-22 Мбайт ОЗУ. Все эти факторы, а также интеллектуальное кэширование, снижают дисковую активность и листание страниц памяти, увеличивая тем самым производительность.
Spybot-Search&Destroy 1.4 – служба «внутренней контрразведки»
К сожалению, одними лишь вирусами не исчерпывается список неприятностей, угрожающих современному компьютеру и его пользователю. Не меньшее распространение получили и вредоносные шпионские программы (spyware). Их "деятельность" незаметна, но ее результат может оказаться гораздо более болезненным, чем последствия заражения самым изощренным вирусом. И если вирусы зачастую громогласны, то шпионские программы ведут себя тихо и незаметно, всячески скрывая свое присутствие на компьютере.
Самая незамысловатая и безвредная операция, осуществляемая spyware – сбор информации о пользователе и его предпочтениях во время путешествий по Всемирной Паутине, составление некоего профиля и отправка его через Интернет создателям программы-шпиона. Полученный таким образом профиль используется в рекламных кампаниях и других маркетинговых акциях.
Гораздо хуже, когда программы класса spyware вносят изменения в работу компьютера, например, устанавливают дополнительные панели инструментов (Tool Bar) в браузер или самостоятельно изменяют его стартовую страницу. К шпионским программам относятся и так называемые keylogger – клавиатурные шпионы, отслеживающие нажатие пользователем клавиш и отправляющие составленный таким образом журнал работы пользователя злоумышленникам.
Spybot – одна из программ, призванная обнаруживать и удалять spyware с компьютера, этакая служба внутренней контрразведки. Принцип ее использования аналогичен работе антивирусных программ. В настройках указывается, какие типы шпионских программ необходимо найти и обезвредить. Spybot способен обнаружить клавиатурных шпионов, программы, подменяющие стартовую страницу в браузере, некоторых троянских коней и даже некоторые системные уязвимости, позволяющие шпионам осуществлять свою деятельность. База данных Spybot постоянно пополняется, ее можно обновлять, используя соответствующую вкладку в окне программы.
Проверка компьютера на наличие spyware напоминает обычное сканирование антивирусом. Результатом проверки становится вывод списка элементов, которые, по мнению Spybot, выполняют роль шпионов. При этом различные элементы списка окрашиваются в разные цвета, в зависимости от степени ущерба, который они могут принести. Так, шпионы, просто отслеживающие перемещения пользователя по Сети, окрашиваются в зеленый цвет, поскольку не представляют непосредственной угрозы. Клавиатурные шпионы, троянские кони и другие серьезные уязвимости будут помечены красным цветом. Каждый элемент из списка содержит описание действий, которые он выполняет. Конечным результатом работы Spybot становится удаление вредоносных элементов или помещение их в карантин.
Используя Spybot и любые подобные программы, стоит помнить о том, что шпионские модули могут попадать на компьютер совершенно легально. При установке программного обеспечения пользователи, как правило, не читают пространных лицензионных соглашений, а в них иногда совершенно открыто указано, что инсталляция данной программы сопровождается установкой модуля, выполняющего некие шпионские функции. Spybot, скорее всего, обнаружит и удалит такой модуль, но в результате основная программа может перестать работать. Пользователю приходится самому выбирать, что важнее – работоспособность программы или отсутствие вшитого в нее шпионского модуля. Если пользователь выяснит, что вред от данного конкретного модуля минимален, он сможет восстановить его из карантина, тем самым, восстановив работоспособность основной программы.
Современное состояние дел по созданию вредоносных программ
Количество вредоносных программ, созданных в 2006 году, на% превысило показагода, сообщают эксперты антивирусной лаборатории PandaLabs. Большую часть нового кода составляют трояны, а доля вирусов значительно уменьшилась.
При этом наибольшее количество вредоносных программ «заточено» под операционную систему Windows. Так, по сообщению компании Symantec (выпускающей известный продукт Norton Antivirus), количество вирусов под OC Windows выросло на 400% с января по июнь по сравнению с тем же периодом прошлого года. Компанией было зарегистрировано около 5 тыс. новых вирусов и червей за первое полугодие этого года, а в прошлом году эта цифра составляла тысячу штук за первые 6 месяцев. Также компания признала, что авторы вирусов и спамеры объединяют усилия, чтобы использовать дыры в популярных приложениях Microsoft для получения информации и доходов.
С этими утверждениями специалисты PandaLabs соглашаются буквально. В 2000 году вирусы составляли 81% от всего вредоносного кода, а в 2006-м – лишь 1%. Трояны, наоборот, достигли 53% против 14%. «Изменение отражает новые цели написания вредоносного кода. Вирусы, предназначенные для создания эпидемий, были в основном связаны с желанием авторов прославиться, а трояны стали избирательным оружием для тех, кто ищет прибыли от незаметного заражения компьютеров», – объясняет технический директор PandaLabs Луис Корронс.
Аналогичную тенденцию фиксирует и «Лаборатория Касперского». По прогнозам российских экспертов, в 2007 году особую активность проявят компьютерные вирусы, ориентированные на кражу учетных данных любителей онлайн-игр. Количество таких программ увеличилось за прошедший год на 125%. «Интернет до краев заполнен инструкциями по написанию всевозможных червей – саморазмножающихся компьютерных программ, цель которых – поразить как можно больше чужих компьютеров и вывести из строя исходные документы, программы и саму технику.
Если раньше вирусы создавали простые компьютерные хулиганы, то сейчас это часть серьезного бизнеса, предлагающего эффективное орудие для недобросовестной конкурентной борьбы.
Во втором квартале 2006 года PandaLabs зафиксировала 30%-ный рост количества вредоносных кодов, разработанных для шантажа пользователей. Этот метод, известный как ransomware, использует вредоносные программы для того, чтобы помешать пользователям открывать их собственные документы. Когда они пытаются открыть определенные файлы, появляется сообщение, что их информация была «похищена» и нужен «выкуп» за ее «освобождение». Одним из примеров таких программ является Ransom. A, впервые обнаруженный 28 апреля 2006 г.
После заражения компьютера Ransom. A угрожает каждые 30 минут удалять произвольно выбранный файл, пока жертва не заплатит 10,99 доллара. В данном случае «выкуп» небольшой (в некоторых случаях у пользователей требуют до 300 долларов), но скорость, с которой наносится ущерб, нацелена на то, чтобы заставить пользователей заплатить как можно скорее. Чтобы избежать отслеживания, шантажист требует заплатить деньги через систему переводов Western Union.
После получения платежа пользователям высылается код, с помощью которого они могут отключить троян и восстановить файлы. Arhiveus. A, впервые появившийся в мае, также принадлежит к этой категории угроз. Его методы типичны для подобного вредоносного ПО: он шифрует содержимое папки «Мои документы», после чего удаляет оригинальные файлы. Однако удивительно то, что Arhiveus. A требует для того, чтобы «освободить» похищенные файлы: после ряда стандартных сообщений следующее вызывает некоторое удивление: «Нам не нужны ваши деньги! Мы лишь хотим видеть вас нашим клиентом».
Ежегодно в мире ущерб от несанкционированного вмешательства в работу сетей, краж и утечек информации удваивается. В 2004 году он составил 10,2 млрд долларов, в 2005-м – около 20 млрд (данные совместного исследования ФБР и Института компьютерной безопасности). И это притом что многие компании отказываются разглашать убытки, связанные с потерей или утечкой информации, опасаясь испортить имидж.
При этом на фоне общего роста количества вирусов 2006 год прошел без единой глобальной эпидемии, сравнимой по уровню хотя бы с некоторыми эпидемиями 2005 года (Mytob). В 2006 году было зафиксировано 7 крупных вирусных эпидемий – вдвое меньше показателя прошлого года (14). Эпидемии 2006-го в «Лаборатории Касперского» разделяют на четыре группы. Это червь Nyxem. e, черви семейств Bagle и Warezov, а также несколько вариантов троянца-шифровальщика Gpсode.
Очевидно, что в текущем году наибольшее количество вредоносного кода будет написано под новую ОС Vista. Рост вредоносных программ эксперты прогнозируют и для других операционных систем – в первую очередь для Mac OS, а затем для *nix-подобных ОС. Не останутся без внимания и игровые приставки, такие как PlayStation и Nintendo, а также мобильные устройства, особенно под управлением Simbian OS.
Помимо вирусов, неприятности доставят и прогрессирующие спам-рассылки. Напомним, что в сентябре 2006 года компания PandaLabs обнаружила новый вид спама, имеющий целью воздействовать на подсознание пользователя. Этот спам выглядит обычной рекламой, предлагающей приобрести определенные товары в Интернете.
Однако, по данным PandaLabs, человек видит не только статическое изображение, но также и ряд очень быстро меняющихся картинок – показываются четыре изображения, три из которых содержат слово buy (покупай). В случае с этим электронным сообщением слово buy остается на экране в течение не более 40 миллисекунд, а иногда – всего 10 миллисекунд.
Что делать в такой ситуации рядовому пользователю? Специалисты дают такой совет: использовать связку программного обеспечения файрволл – антивирус – антитроян. Такая связка при должной настройке блокирует более 85–90% сетевых опасностей. Регулярно обновлять свою операционную систему. Не пользоваться без крайней необходимости почтовыми клиентами: существует масса сервисов с функциональными возможностями, не уступающими почтовым программам, например G-mail. И помнить главное: самый мощный антивирус содержится в двух файлах – golova. exe и .
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 |
