Антивирусная программа

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Антиви́русная програ́мма (антиви́рус) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Целевые платформы антивирусного ПО[править | править вики-текст]

На данный момент антивирусное программное обеспечение разрабатывается, в основном, для ОС семейства Windows от компании Microsoft. Это вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, равно как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и для других операционных систем, таких, к примеру, как Linux и Mac OS X. Это вызвано началом распространения компьютерных вирусов и под эти платформы, хотя UNIX-подобные системы традиционно пользуются репутацией более устойчивых к воздействию вредоносных программ[источник не указан 1400 дней].

Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие, как Windows Mobile, Symbian, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств.

Классификация антивирусных продуктов[править | править вики-текст]

По используемым технологиям антивирусной защиты:

По функционалу продуктов:

  • Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
  • Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)

По целевым платформам:

  • Антивирусные продукты для ОС семейства Windows
  • Антивирусные продукты для ОС семейства *NIX (к данному семейству относятся ОС BSD, Linux и др.)
  • Антивирусные продукты для ОС семейства MacOS
  • Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.)

Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты:

  • Антивирусные продукты для защиты рабочих станций
  • Антивирусные продукты для защиты файловых и терминальных серверов
  • Антивирусные продукты для защиты почтовых и Интернет-шлюзов
  • Антивирусные продукты для защиты серверов виртуализации
  • и т.д.

Антивирусы для сайтов[править | править вики-текст]

Их можно поделить условно на несколько типов:

  • Серверный — устанавливается на веб-сервер. Поиск вирусов, в этом случае, происходит в файлах всего сервера.
  • Скрипт или компонент CMS — выполняющие поиск вредоносного кода, непосредственно в файлах сайта.
  • SaaS сервис — система централизованного управления, позволяющая управлять файлами, базами данных, настройками и компонентами веб-ресурсов на VDS и DS удаленно.

Специальные антивирусы[править | править вики-текст]

В ноябре 2014 года международная правозащитная организация Amnesty International выпустила антивирусную программу Detect, предназначенную для выявления вредоносного ПО, распространяемого государственными учреждениями для слежки за гражданскими активистами и политическими оппонентами. Антивирус, по заявлению создателей, выполняет более глубокое сканирование жёсткого диска, нежели обычные антивирусы[1][2].

Лжеантивирусы[править | править вики-текст]

В 2009 началось активное распространение лжеантивирусов — программного обеспечения, не являющегося антивирусным (то есть не имеющего реальной функциональности для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением.

Работа антивируса[править | править вики-текст]

Говоря о системах Microsoft, следует знать, что обычно антивирус действует по схеме:

  • поиск в базе данных антивирусного ПО сигнатур вирусов.
  • если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс «карантина», и процесс блокируется.
  • зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации и оставляет систему уязвимой.

Базы антивирусов[править | править вики-текст]

Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вредоносных программах — как их найти и обезвредить. Поскольку вредоносные программы пишут часто, то необходим постоянный мониторинг активности вредоносных программ в сети. Для этого существуют специальные сети (облако антивируса), которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности программ, анализируется их код, поведение, и после этого устанавливаются способы борьбы с ним. Вредоносные программы также часто могут запускаться вместе с операционной системой. В таком случае можно просто удалить строки запуска вредоносных программах из реестра, и на этом в простом случае процесс может закончиться. Более сложные вредоносные программы используют возможность заражения файлов. Современные антивирусы имеют возможность защиты своих файлов от изменения и проверяют их на целостность по специальному алгоритму. Таким образом, вредоносные программы усложнились, как и усложнились способы борьбы с ними. Сейчас можно увидеть вредоносные программы, которые занимают уже не десятки килобайт, а сотни, а порой могут быть и размером в пару мегабайт. Обычно такие вредоносные программы пишут в языках программирования более высокого уровня.

Эффективность антивирусов[3][править | править вики-текст]

Аналитическая компания Imperva в рамках проекта Hacker Intelligence Initiative опубликовала интересное исследование[4] , которое показывает малую эффективность большинства антивирусов в реальных условиях.

По итогам различных синтетических тестов антивирусы показывают среднюю эффективность в районе 97%, но эти тесты проводятся на базах из сотен тысяч образцов, абсолютное большинство которых (может быть, около 97%) уже не используются для проведения атак.

Вопрос в том, насколько эффективными являются антивирусы против самых актуальных угроз. Чтобы ответить на этот вопрос, компания Imperva и студенты Тель-Авивского университета раздобыли на российских подпольных форумах 82 образца самого свежего вредоносного ПО — и проверили его по базе VirusTotal, то есть против 42 антивирусных движков. Результат оказался плачевным.

  1. Эффективность антивирусов против только что скомпилированных зловредов оказалась менее 5%. Это вполне логичный результат, поскольку создатели вирусов обязательно тестируют их по базе VirusTotal.
  2. От появления вируса до начала его распознавания антивирусами проходит до четырёх недель — это у «элитных» антивирусов, а у остальных срок может доходить до 9-12 месяцев. Например, в начале исследования 9 февраля 2012 года был проверен свежей образец фальшивого инсталлятора Google Chrome. После окончания исследования 17 ноября 2012 года его определяли только 23 из 42 антивирусов.
  3. У антивирусов с самым высоким процентом определения зловредов присутствует также высокий процент ложных срабатываний.
  4. Хотя исследование сложно назвать объективным, ибо выборка зловредов была слишком маленькой, но можно предположить, что антивирусы совершенно непригодны против свежих киберугроз.

Примечания[править | править вики-текст]