avir vs virus (only win32)

К написанию статьи меня побудило наличие у моих друзей такого зоопарка на компах, что ни пером, ни зубилом…

Предисловие.

//если ты не кого не боишься, значит ты самый страшный

Прошу не пинать меня ногами, что поднимаю довольно избитую тему и вопросы – «сравнение антивирусов», «обзор возможностей антивирусов», «зачем бороться с вирусами», «мой любимый антивирус» и проч.

Статья направлена как на продвинутых домохозяек, которые используют Интернет не только для поиска кулинарного рецепта, так и для относительно опытных пользователей.

И последнее – я не ставил своей целью рассказать о каждом вирусе и каждом антивирусе, я не собираюсь бить себя пяткой в грудь говоря, что «такой-то» антивирус лучше всех, а «такой-то» хуже, я просто старался писать просто и понятно, писать простым русским языком, доступным для любого поколения.

Вирусы. «Зачем?», «За что?» и с чем их едят.

//«Когда дискеты были большими, а программы маленькими…», когда мы работали в MS-DOSe, а win3.11 считался происками шайтана =) У людей не было холодильников подключенных к интернету и оперативки на 1 гиг… Типа лирическое отступление

Мдаа… в те недалекие времена было все довольно просто. Вирусов было мыло, антивирусов – аналогично. Берешь дискетку, загружаешься с нее, чистишь свой 500 метровый винт и продолжаешь мучить babetype (клавиатурный тренажер под MS-DOS)

Что такое вирус? Объясняю простым доступным языком – вирус – это программа, написанная человеком. Сегодня вирус может

-похитить конфиденциальную информацию (читать почту, получить банковские данные),

-получить полный доступ к Вашему компьютеру и паролям,

-использовать Вас как промежуточное звено (socks/proxy),

-деструктивные функции (попортить данные на винчестере),

-своровать честно заработанные деньги (например, webmoney, e-gold),

-использовать в ddos атаке,

-замучить рекламой…

Страшно? Это плата за технически прогресс.

C приходом Windows (95 и выше) вирусы под DOS моментально морально устарели. Но эта освободившаяся ниша долго не пустовала, всегда был программист самоучка/студент, который хотел выделиться из толпы, прославиться, пошутить над соседом…

В прошлом веке (как красиво звучит) программисты творили ради славы и из интереса, то новый век диктует рыночные условия (ибо каждый неоплаченный труд является прямой формой эксплуатации). На смену таким динозаврам, как Anti-Lamer, Breath of Death, FuckLamers, GROB, Lamer-Dead, RedZONE и другие, пришли новые, развивающиеся проекты – Pinch 2 PRO, a311, X-Control, X-Rat, KGB.

Все современные вирусы преследуют практическую одинаковую цель, получить информацию/возможность, благодаря которой можно заработать. Слово «заработать» является ключевым. Причем заработать на Вас, а способов это сделать вполне хватает.

Антивирусы.

//Отсутствие жалоб на качество парашютов еще не говорит об их безупречности

Если есть черное, значит, есть белое. Если есть хорошее, значит, есть плохое. Если есть вирусы, значит должно с ними что-то бороться. Вот это «что-то» называется антивирусом, а таких сейчас развелось немало. Самые известные, развивающиеся проекты:

AVP

Dr.Web

Norton AntiVirus

Panda

McAfee

NOD32

Trojan Remover

STOP

AntiVir Personal Edition

VirusBlokAda

InDefense

Tauscan

UNA

Некоторые люди просто скачивают пару антивирусов, устанавливают и думают что если раз в месяц просканировать жесткий диск, то все будет гуд и ничего им не страшно. Спешу огорчить их. Это не так. Реальность показывает обратное. Чтобы ответить на вопрос «Почему?», нужно разобраться со схемой работы антивирусов.

Поиск вирусов по сигнатурам. В этом методе для идентификации вирусов используются конкретные фрагменты их программного кода. Метод поиска по сигнатурам требует, чтобы было наличие вируса (для его изучения) и лишь после этого антивирусная компания может внести корректировку в свои базы. Чем больше в антивирусной базе записей, тем медленнее идет процесс проверки.

Сигнатура вируса – характерный фрагмент двоичного кода, позволяющий опознать большинство вирусов (исключением являются полиморфные – сигнатуры таких вирусов меняются). Сигнатура – это «отпечаток» вируса

Второй метод – эвристический анализ. Эвристика – широко используемая антивирусная технология, заключающаяся в поиске признаков деятельности вирусов, таких как подозрительный код. Эвристические технологии могут выявлять новые вирусы, никогда ранее не встречавшиеся, и, таким образом, способны предотвращать распространение опасного программного кода. Недостатком является частое ложное срабатывание антивируса

Антивирусы, какие же они разные, но очень похожи

//Мало знать себе цену – надо еще пользоваться спросом

Так как большинство крупный антивирусных компаний предлагают свои продукты, обеспечивающие высокий уровень обнаружения и борьбы с вирусами, может сложиться впечатление, что все антивирусные программы одинаковы. Нужно знать, что все антивирусы различаются друг от друга, начиная с момента их создания. Эти различия проявляются в производительности, в скорости обнаружения угрозы, в простоте управляемости, в цене.

Производительность. Одним из наиболее важных показателей антивирусной защиты является производительность. Производительность антивирусной программы, как на домашнем компьютере, так и на сервере, оказывает непосредственное влияние на работу пользователей. Чем быстрее антивирус выполняет сканирование и чем эффективнее обновляет вирусные базы, тем меньше его влияние на производительность системы. Пользователи компьютеров предпочтут ту антивирусную программу, которая не будет перегружать систему чрезмерным потреблением ресурсов и будет эффективно работать на заднем плане.

Скорость обнаружения угрозы. Чем быстрее производитель обнаружит новые вирусы, тем быстрее он занесет их в свои базы, и пользователь получит качественную защиту. Для этого создаются компьютеры-приманки, идет сбор информации в режиме реального времени. Трудно переоценить оперативность реагирования на появление новых вирусов. Без актуальных обновлений пользователи рискуют быть атакованными новыми вирусами. Для различный антивирусных компаний время реакции различно и составляет от 5 часов до полутора суток.

Простота в управлении. Пользователи предпочитает иметь дело с программными продуктами, по возможности соответствующими схеме "установил и забыл". Так как антивирус является критически важной составляющей, то он должен обладать интуитивно понятным интерфейсом для простоты его настройки. Так же важно, чтобы управление и своевременного обновления вирусных баз были элементарными.

Цена. Тут все просто – цена должна оправдывать качество и эффективность выбранного продукта.

Тесты, возможности, обзоры

//Приятно, когда все заметили, что ты сказал что-то умное, но, когда никто не заметил, что ты сказал глупость – приятно вдвойне.

Начнем с отечественных.

AVP. Один из старых проектов, первые версии помнят MS-DOS, Начиная с пятой версии, изменен движок, что увеличило скорость проверки. Постоянные обновления баз, 4-5 раз за сутки. Достаточно оперативно работает антивирусный отдел. Интерфейс прост до безумия, боюсь такими темпами программисты Лаборатории Касперского создадут интерфейс AVP 7 с одной кнопкой «Сканировать все жесткие диски». С технической точки зрения обмануть AVP достаточно просто, но благодаря постоянным обновлениям можно на него положиться.

Dr.Web. Так же отечественный продукт, тоже с бородатой историей развития. Имеет неплохой эмулятор – dr.Web лезет в стартовую точку пытается найти там совпадения с своей базой вирусов если таких нет тогда начинает эмулировать команды для того чтобы узнать не попытка ли это спрятать вирус от антивируса. Когда доходит до команд перехода поступает аналогично AVP, но более продвинуто. Содержит меньше записей в базе и реже выходят обновления этим немного проигрывает AVP. Так же неудобно постоянно качать новые версии программы, а не только обновления.

Norton AntiVirus. Не имеет эмулятора, работает только по сигнатурам.

Panda. Panda не относится к тем программам, наличие которых в системе можно не замечать месяцами. Эта программа постоянно будет что-то делать сама и требовать активных действий. Красивый интерфейс, зато полное отсутствие эмулятора, ищет по сигнатурам.

McAfee. Компания McAfee – разработчик одного из старейших и популярнейших антивирусов, ее продукты считаются эффективными. В своей работе в большинстве случаев этот антивирус использует те же приемы что и AVP и dr.Web. McАfee VirusScan поддерживает функцию сканирования эвристическим алгоритмом, но в основном ищет по секции ресурсов. К недостаткам можно отнести медленное сканирование.

NOD32. Антивирусную базу не успевают обновлять как хотелось бы. Имеет довольно сносный эвристический анализ. Сразу отыскивает все модификации нового пинча и прочив вирусов, которые имеют зашифрованные ресурсы. Высокая скорость проверки. Наличие модульной системы, интуитивно понятный интерфейс. При глубокой эвристике имеет привычку ошибаться, например так «C:\Program Files\Outpost Firewall\opst_ui.dll - вероятно неизвестный CRYPT.WIN32 вирус [7]»

Trojan Remover. Программа с простеньким интерфейсом. Обновление базы сделано не самым лучшим образом, который только можно встретить. База вирусов маленькая. Никаких эмуляторов кода нету. Ищет только по сегментам.

STOP. Небольшая база вирусов, эвристика отсутствует, смотрит только на точку входа и ищет по базе совпадения.

-AntiVir Personal Edition

-VirusBlokAda

-InDefense

-Tauscan

-UNA

К сожалению, эти антивирусы мне под руку не попали, но по отзывам они не представляют реального интереса.

Выводы. Как защититься

//Бороться с пьянством, ограничивая доступ к водке - это то же самое, что бороться с поносом, ограничивая доступ к сортиру. (Стас Янковский)

Подводя итог всему выше написанному и зная расстановку вещей можно твердо сказать, что даже самый хороший, оцененный в пять коров антивирус может обнаружить 80-90% (это на вскидку) вирусов. Любой антивирус можно обмануть. Разница лишь в количестве прилагаемых усилий. Например html сплоит скрыть от AVP не представляет особого труда, зато с dr.Web изрядно придется попотеть, а NOD32 вообще этот код не распознает. Зато различные модификации пинча ни dr.Web, ни AVP обнаружить не могут, а у NOD32 и McAfee файл вызывает подозрение. Антивирусы можно обмануть изменив точку входа, использовав новый упаковщик, или, в конце концов, изменить исходники самого вируса.

По моему мнению на сегодня не существует системы по 100% определению вирусного кода, а сегодняшние методы достаточно просты и примитивны.

Как не заразиться?

//Есть две бесконечности - Вселенная и глупость. Впрочем, я не уверен насчет Вселенной. (Альберт Эйнштейн)

Делаем раз. Ставим Windows XP sp2, ибо она содержит меньше (?) ошибок в своем коде

Делаем два. Ставим антивирус, хоть и спорят до хрипоты и потери пульса, что лучше, я советую AVP. Хотя бы, потому что этот продукт «местный», т.е. быстрее среагирует лаборатория на появления вируса в России, чем в Норвегии или Канаде. Незабываем постоянно обновлять антивирусные базы.

Три. Устанавливаем брандмауэр, например ZoneAlarm или Outpost. Запрещаем IE выходить в сеть.

Четыре. Используем альтернативный браузер, типа Opera, Mozilla, но ни в коем случае не надстройки над IE

И последнее. Хоть иногда смотрите какие программы у Вас грузятся вместе с системой, не запускайте подозрительные файлы

Послесловие.

Получилось немного пессимистично, но, к сожалению, такова реальность.

Все запатентованные торговые марки принадлежат их фирмам-владельцам.

"Лаборатория Касперского" - международная компания-разработчик программного обеспечения для защиты от вирусов, хакеров и спама. Продукты компании предназначены для широкого круга клиентов - от домашних пользователей до крупных корпораций. В активе "Лаборатории Касперского" 16-летний опыт непрерывного противостояния вирусным угрозам, позволивший компании накопить уникальные знания и навыки и стать признанным экспертом в области создания систем антивирусной зашиты.

Компания SoftKey – это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат–партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе, различные скидки от

Академия Информационных Систем (АИС) создана в 1996 году и за время работы обучила свыше 7000 специалистов различного профиля. АИС предлагает своим партнерам десятки образовательных программ, курсов, тренингов и выездных семинаров. Сегодня АИС представлена направлениями: «Информационные технологии», «Дистанционное обучение в области ИТ», «Информационная безопасность, «Управление проектами», «Бизнес-образование», «Семинары и тренинги», «Экологические промышленные системы», «Конференции», «Консалтинг» и «Конкурентная разведка на основе Интернет». АИС является организатором конференций по информационной безопасности, которые стали общепризнанными научно-практическими мероприятиями федерального значения. Ближайшая из них - четвёртая всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты» - пройдет в Сочи с 13 по 17 сентября текущего года. http://www.infosystem.ru/longconf.php?fid=1119938331389056

Интернет-магазин www.watches.ru входит в состав крупной специализированной сети часовых салонов МОСКОВСКОЕ ВРЕМЯ, которая насчитывает более 40 торговых точек по Москве и регионам России. В нашем магазине представлены более 3000 моделей часов производства Швейцарии, Германии, Франции и Кореи. Доставка по Москве - бесплатно. Для постоянных клиентов существует гибкая система скидок и выдается накопительная дисконтная карта «Московское время».