В данном сравнительном тестировании мы изучали эффективность антивирусов и программ HIPS по противодействию новейшим образцам вредоносных программ, передаваемых пользователям наиболее распространенным сейчас способом – через зараженные веб-сайты.

Введение

Практически все проводимые другими лабораториями (AV-Test.org, AV-Comparatives.org) тестовые испытания антивирусов на качество защиты подвергались критическим замечаниям профессиональной общественности о некой их синтетичности или отрыву от реальный жизни.

Первая и основная претензия сводилась к тому, что при запуске проверки файловых коллекций тестируются только некоторые составляющие антивирусной защиты, такие как классический сигнатурный детект или эвристика, в то время как возможный вклад сравнительно новых технологий, таких как поведенческий анализ или HIPS, никак не учитывается. Кроме этого, не учитывается работа и других компонент защиты входящих в современные «комбайны» (продукты класса Internet Security) помимо антивируса, например, Firewall/IDS (может обнаружить подозрительный трафик и просигнализировать о заражении), проверка HTTP трафика на лету и т.д.

Вторая веская причина состоит в том, что реальный пользователь не хранит и не запускает старинные вредоносные программы на своем жестком диске. К нему попадают, как правило, новые самплы, от которых его антивирус может и не защитить. Важны также и методы попадания вредоносных программ на компьютер. Заражение может наступить при открытии полученной каким-то образом ссылки (по e-mail, ICQ и т.д.) или просто найденной в поисковике, открытии файла прикрепленного к письму, скаченного из сети файла или переписанного с внешнего носителя.

От метода проникновения может в значительной степени зависеть их эффективность, так как у некоторых антивирусов угроза заражения может быть ликвидирована еще на стадии попытки активации вредоносного скрипта на веб-странице, а у других - только при активации загруженного эксплойтом программы-загрузчика, у третьего еще дальше - при запуске загруженной вредоносной программы.

В нашем сравнительном тестировании мы изучали эффективность антивирусов по противодействию новейшим образцам вредоносных программ, передаваемых пользователям наиболее распространенным сейчас способом - через зараженные веб-сайты. Для этого мы собирали ссылки на зараженные сайты из различных источников (ежедневные подборки ссылок от MessageLabs + помощь нашего комьюнити). Как правило, на такие ссылки каждый из нас натыкается в поисковиках, получает по e-mail, ICQ или другие средства интернет коммуникации, включая социальные сети.

Суть сравнительного тестирования состоит в проверке комплексных возможностей антивирусов в противодействии новейшим угрозам в виде вредоносных программ, распространяемым через зараженные веб-сайты.

Методология сравнительного тестирования

Тест проходил в период с 5 августа по 15 сентября 2008 года. Перед началом теста производилась подготовка среды тестирования. Для этого под управлением VMware Workstation 6.0.3 был создан набор чистых виртуальных машин, на которые была установлена операционная система Microsoft Windows XP Pro SP2 (последние обновления намеренно не ставились). На каждую машину по отдельности была установлена своя программа защиты из числа приведенных ниже.

По возможности мы брали в тест продукты для интегрированной защиты класса Internet Security, но если таковых в линейке вендора не было, то использовали младшие в линейке продукты. В итоге в сравнении участвовали:

1. Avast Antivirus Professional 4.8-1229
2. AVG Internet Security 8.0.156
3. Avira Premium Security Suite 8.1.0.367
4. BitDefender Internet Security 2008 (11.0.17)
5. Dr.Web 4.44
6. Eset Smart Security 3.0.667
7. F-Secure Internet Security 2008 (8.00.103, он же СТРИМ.Антивирус)
8. G DATA Internet Security 2008
9. Kaspersky Internet Security 2009 (8.0.0.454)
10. McAfee Internet Security Suite 8.1
11. Microsoft Windows Live OneCare 2.5
12. Norton Internet Security 2008 (15.5.0.23)
13. Outpost Security Suite 2009 (6.5.2358)
14. Panda Internet Security 2008 (12.01.00)
15. Sophos Anti-Virus 7.3.5
16. Trend Micro Internet Security 2008 (16.10.1182)
17. VBA32 Workstation 3.12.8

Также в сравнении участвовали две специальные программы для проактивной защиты от новейших видов угроз класса HIPS (Hosted Intrusion Prevention System):

1. DefenseWall HIPS 2.45
2. Safe"n"Sec Pro 3.12

К сожалению, в ходе проведения теста и обработке полученных результатов, некоторые вендоры выпустили обновления своих продуктов, что не могло быть отражено в итоговых результатах.

Важно отметить, что все антивирусы тестировались со стандартными настройками по умолчанию и со всеми актуальными обновления, полученными в автоматическом режиме. По своей сути моделировалась ситуация, как если бы простой пользователь с установленной у себя одной из тестируемых программ защиты пользовался Интернет и переходил по интересующим его ссылкам (полученным тем или иным образом, см. выше).

Отбор вредоносных программ

Для теста выбирались ссылки на сайты, зараженные только новейшими образцами вредоносных программ. Что означает «новейшие»? Это означает то, что эти загружаемые по ссылкам образцы вредоносных программ не должны были детектироваться файловыми антивирусами более чем 20% из списка тестируемых продуктов, что проверялось через сервис VirusTotal (всего на этом сервисе подключено 38 различных антивирусных движков). Если отобранные самплы и детектировались кем-то, то вердикты как правило были неточными (подозрение на заражение или упакованный объект).

Количество образов, удовлетворяющих таким требованиям, было немного, что существенно отразилось на размере итоговой выборки и сроках тестирования. Всего более чем за месяц тестирования было отобрано 34 рабочие ссылки на новейшие вредоносные программы.

Оценка результатов

1. Обнаружение эксплойта на открытой веб-странице (вредоносного скрипта) или блокировка открытия страницы анти-фишинговым модулем.
2. Обнаружение программы загрузчика, переданной при помощи эксплойта (специальной программы, которая используется для загрузки на компьютер жертвы других вредоносных программ, например, трояна) веб-антивирусом или файловым антивирусом .
3. Обнаружение загруженной вредоносной программы в процессе ее установки (как правило, при помощи поведенческого анализа).

При любом из приведенных выше вариантов предотвращения заражения антивирусу ставился 1 балл . Различий не делалось, так как с точки зрения пользователя не имеет значения, на каком этапе, и какой именно компонент защиты устранил угрозу заражения. Главное - она ликвидирована. Если заражение не было предотвращено, в том числе и частично, то антивирусу ставилось 0 баллов .

На деле такая система оценки означает следующее. 1 балл ставился, если попытка заражения была обнаружена в явной форме или было обнаружено подозрительное действие, и при этом заражение полностью приостановлено при условии правильного выбора пользователя в диалоговом окне (об обнаружении опасного действия, предотвращении попытки заражения, обнаружении попытки запуска подозрительной программы, обнаружении попытка изменения файлов и т.д.). Во всех остальных случаях ставилось 0 баллов.

Стоит отметить, что в некоторых случаях присутствие вредоносной программы на компьютере обнаруживалось после заражения при помощи файлового монитора или firewall/IDS, но справиться с заражением антивирус не мог. В этом случае антивирусу все равно ставилось 0 баллов, так как он не защитил от заражения.

Программы класса HIPS оценивались по такому же принципу, как и антивирусы. Им ставилось 1 балл во всех случаях, когда было обнаружена вредоносная или подозрительная активность и было предотвращено заражение.

Результаты сравнительного тестирования

Итоговые результаты сравнительного тестирования антивирусных программ и HIPS представлены ниже на рисунке 1 и таблицах 1-2.

Рисунок 1: Эффективность различных программ защиты против новейших угроз

Таблица 1: Эффективность антивирусных программ против новейших угроз

Антивирус		% от макс (34)
Kaspersky
Avira
Sophos
BitDefender
F-Secure (СТРИМ.Антивирус)
Dr.Web
G Data
Avast!
Outpost
Trend Micro
Microsoft
Eset
McAfee
Panda
Norton
VBA32

Среди антивирусов лучшими оказались Kaspersky Internet Security, Avira Premium Security Suite и AVG Internet Security, которые смогли предотвратить заражение 70% случаев и выше. Чуть хуже оказались Sophos Anti-Virus, BitDefender Internet Security и F-Secure Internet Security (он же СТРИМ.Антивирус), преодолевшие барьер в 50%.

Высокие показатели защиты Kaspersky Internet Security связаны в первую очередь со встроенным компонентом HIPS , позволяющим оценивать вредоносные рейтинги любых приложений при помощи репутационных механизмов (whitelisting).

Avira Premium Security оказался эффективен в силу высокого уровня обнаружения эксплойтов (см. таблицу 3 в полном отчете о тестировании) и упакованных объектов (имеется в виду детектирование вредоносной по используемому в ней упаковщику). Достаточно эффективны оказались проактивные технологии обнаружения в продуктах AVG Internet Security, Sophos Anti-Virus, BitDefender Internet Security и F-Secure Internet Security (СТРИМ.Антивирус), которые заняли с 3 по 6 место соответственно. В работе F-Secure Internet Security был заметен модуль контроля приложений (технология DeepGuard).

Важно отметить, что при обнаружении вредоносной программы (выводе алертов) многие сравниваемые продукты часто не могли предотвратить заражения.

Таблица 2: Эффективность HIPS против новейших угроз

HIPS	Кол-во предотвращенных заражений	% от макс (34)
DefenseWall HIPS
Safe"n"Sec

Как видно из таблицы 2, из программ класса HIPS очень высокий результат показал DefenseWall HIPS, сумевший детектировать попытки заражения системы почти в 100%. Менее эффективен оказался Safe"n"Sec, но его результат все равно гораздо лучше многих сравниваемых в этой статье антивирусов.

Продукты Safe"n"Sec и DefenceWall HIPS сильно отличаются в подходах взаимодействия с пользователями. Если Safe"n"Sec по принципу работы похож на антивирусные продукты и не требует специального обучения, то в отношении DefenceWall все не так просто. Чтобы научиться эффективно использовать последний нужно, по крайней мере, иметь определенные знания и опыт, а также внимательно ознакомиться с руководство пользователя.

Необходимо отметить, что приведенные выше результаты не являются истиной в последней инстанции, свидетельствующей о супернадежности одних и слабости других продуктов. Тест не претендует на абсолютную объективность - это небольшое исследование, которое должно стать первым шагом на пути сравнительного тестирования комплексных продуктов для антивирусной защиты.

Данную статью стоит рассматривать как пробный шаг в направлении комплексного тестирования реальной эффективности защиты антивирусных программ. В дальнейшем мы планируем совершенствовать методику такого сравнительного тестировая: использовать большую выборку вредоносных программ, фиксировать и проводить точный анализ эффективности различных компонент продуктов и т.д.

Мы живем в эпоху новых открытий и расцвета информационных технологий. Но с развитием технологий повышается риск попадания информации к злоумышленникам, поэтому повысилась потребность в защите данных. Именно поэтому повысился спрос на профессии, связанные с защитой информации и на программное обеспечение, которое несет такую же функцию. Эта статья посвящена именно второму.

Обнаружение вируса и возможность удаления

Предотвращает появление вирусов, троянов и червей, шпионских программ и рекламы, проверяет файлы автоматически и и по требованию пользователя, проверяет почтовые сообщения, проверяет интернет трафик, защищает интернет пейджеры, защищает от вредоносного программного обеспечения проверяет Java — и Visual Basic – скрипты. Постоянно проверяет файлы в автономном режиме, защищает от фишинговых сайтов.

NOD32 защищает от: вирусов, троянов, червей, фишинг — атак. ESET NOD32 базируется на технологии ThreatSense, которая обнаруживает новые опасные елементы в реальном времени, выполняя анализ выполняемых программ на вредоносный код, и предупреждает действия вирусных программ.

Проверка компьютера на вирусы во время демонстрации заставки на экране. Также происходит проверка на момент запуска, еще до загрузки операционной системы. Блокирует вредоносные скрипты. Удаляет шпионское программное обеспечение.

Удаляет распространенные вирусы;
Защищает в реальном времени;

Предотвращает появления на вашем компьютере разного рода червей, руткитов, вирусов, заражающих файлы, программ типа trojan, стелс — вирусов, вирусов, использующих полиморфизм (то есть формирование программного кода вируса во время его же выполнения), макровирусов, вирусов, повреждающих документы, скрипт- вирусов, шпионских программ, похитителей паролей, рекламного программного обеспечения, хакерских утилит, программ — люков, вредоносных скриптов и других вредных объектов, спама.

Обновление антивирусных баз

По графику или вручную обновляет антивирусные базы. Происходит копирование файлов обновлений, дальше антивирус автоматически использует скопированные базы и задействует их при проверке трафика.

Для обновления использует серверы — зеркала, также возможно создать зеркало внутри сети, что существенно разгрузит Интернет канал. Есть возможность обновляться с официальных серверов, но для этой услуги необходимо иметь логин пользователя и пароль, которые можно получить, если активировать свой номер продукта во время регистрации, соответственно, продукт надо приобрести.

Обновляет автоматически как антивирусные базы, так и саму программу. При наличии ключа, автоматически обновляется до последней версии.

Есть возможность как автоматического обновления, так и ручного. Для ручного обновления нужно перейти на вкладку «Обновить» на главном экране антивируса.

Обновления антивируса выпускаются немедленно вместе с выходом новых вирусов, поскольку новые угрозы графику не подлежат.

Простота использования

Антивирус Касперского не является трудным в использовании, но для пользователя неопытного он может показаться несколько сложным в понимании в силу разнообразия настроек.

Антивирус является простым в использовании, у начинающего пользователя не должно возникать проблем в процессе пользования программой.

В настройках программы есть возможность установить пароль на изменения. Поддержка около сорока языков интерфейса. Голосовые сообщения в случае, если программа обнаружила вирус или доступно обновление. В виде приятной мелочи, наличие тем интерфейса, чем не каждый антивирус может похвастаться.

Антивирус является достаточно простым для использования и понимания. Не имеет непонятных настроек и лишних параметров.

Интерфейс достаточно простой и понятный, несмотря на многочисленные настройки и опции программы.

Техническая поддержка

Круглосуточная техническая поддержка для домашних продуктов и техническая поддержка С. — Пт. 10:00 — 18:30 (GMT +3) при условии приобретения лицензионного продукта.

Техническая поддержка является круглосуточной. То есть пользователь может как позвонить, так и написать электронное письмо.

В техническую поддержку можно обратиться на официальном сайте при условии регистрации, или на русскоязычный форум программы.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

Программы-детекторы;

Программы-доктора или фаги;

Программы-ревизоры;

Программы-фильтры;

Программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелсвирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. попытки коррекции файлов с расширениями COM, EXE;

2. изменение атрибутов файла;

4. запись в загрузочные сектора диска;

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.

Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование.

Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.

Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.

Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

AntiViral Toolkit Pro

AVP имеет удобный пользовательский интерфейс, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов.

В ходе работы AVP сканирует следующие области:

Оперативную память.

Файлы, включая архивные и упакованные.

Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).

AntiViral Toolkit Pro имеет ряд особенностей, характеризующих его работу:

Детектирование и удаление огромного числа самых разнообразных вирусов, в том числе полиморфных или самошифрующихся вирусов; стелс-вирусов или вирусов-невидимок; макро вирусов, заражающих документы Word и таблицы Excel;

Сканирование внутри упакованных файлов (модуль Unpacking Engine);

Сканирование внутри архивных файлов (модуль Extracting Engine);

Сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках;

Эвристический модуль Code Analyzer, необходимый для детектирования неизвестных вирусов;

Поиск в режиме избыточного сканирования;

Проверка объектов на наличие в них изменений;

- «AVP Monitor» - резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом;

Удобный пользовательский интерфейс;

Создание, сохранение и загрузка большого количества различных настроек;

Механизм проверки целостности антивирусной системы;

Мощная система помощи;

AVP Центр Управления - программа-оболочка, позволяющая организовать эффективную антивирусную защиту на ПК.

Опишем некоторые из них.

AVP Monitor представляет собой резидентную антивирусную программу, которая постоянно находится в оперативной памяти и контролирует операции обращения к файлам и секторам. Прежде чем разрешить доступ к объекту, AVP Monitor проверяет его на наличие вируса. Таким образом, он позволяет обнаружить и удалить вирус до момента реального заражения системы.

Главное окно AVP Monitor содержит 5 вкладок: «Общие», «Объекты», «Действия», «Настройки», «Статистика». Перемещаясь по вкладкам и выбирая нужные опции, Вы можете изменять настройки программы.

Чтобы все произведенные Вами действия по выбору опций вступили в силу, нужно нажать кнопку «Применить» (в этом случае окно AVP Monitor останется открытым) или кнопку «OK» (в этом случае окно свернется в иконку) которые находятся в нижней части окна.

Вкладка «Общие»

В верхней части вкладки «Общие» содержится различная информация о программе (номер версии, дата последнего обновления и количество известных программе вирусов, регистрационная информация, информация о разработчиках). Нажав кнопку «Техническая поддержка», Вы получите информацию о каналах, по которым осуществляется техническая поддержка для легальных пользователей программы.

В нижней части вкладки находится флажок «Включить», с помощью которого можно включать или выключать монитор.

Кнопка «Выгрузить AVP Monitor» позволяет завершить работу программы.

Вкладка «Объекты»

Эта вкладка позволяет выбирать типы файлов, которые будут проверяться.

Вы можете выбрать один из типов файлов:

Программы по формату - проверять на наличие вируса только программы, т.е. объекты, имеющие внутренний формат выполняемых файлов, а также все файлы, имеющие расширения: BAT.COM.EXE.OV*.SYS.BIN.PRG. VxD.DLL.OLE.;

Программы по расширению - проверять все выполняемые файлы, имеющие расширения: *.BAT, *.COM, *.EXE, *.OV*, *.SYS, и т.д.

Все файлы - проверять все файлы, независимо от их внутреннего формата;

По маске - проверять файлы по маскам, задаваемым пользователем. Маски нужно вписывать в поле ввода через запятую. Например: *.EXE, *.COM, *.DOC.

Вкладка «Действия»

Вкладка «Действия» позволяет задавать действия AVP Monitor при обнаружении зараженного объекта. Вы можете выбрать одно из следующих действий:

Запрашивать пользователя о действии - если Вы выберите эту опцию, то при каждой попытке обращения к зараженному объекту будет появляться синий экран, содержащий информацию об этом зараженном объекте, имя вируса и запрос на лечение объекта: «Попытаться удалить вирус?» Нажмите клавишу если Вы хотите вылечить объект, или клавишу в противном случае; при каждой попытке обращения к подозрительному объекту (если включена опция «Предупреждения» во вкладке «Настройки») или объекту, содержащему измененный или поврежденный вирус (если включена опция «Анализатор кода» во вкладке «Настройки») будет появляться синий экран, содержащий информацию об этом объекте, имя вируса (или тип вируса) и запрос: «Запретить доступ к объекту?» Нажмите клавишу если Вы хотите запретить доступ, или клавишу в противном случае;

Лечить зараженные объекты автоматически - лечение зараженных объектов будет производиться автоматически, т.е. без какого-либо запроса;

Удалять зараженные объекты автоматически - все зараженные объекты будут автоматически удаляться при обращении к ним. Если выбрать эту опцию, появится предупреждающее сообщение: «Вы действительно хотите удалить ВСЕ зараженные объекты?» Нажмите кнопку «Да» для подтверждения действия, или кнопку «Нет» для возврата в главное окно AVP Monitor;

Запретить доступ к объекту - доступ к зараженным объектам будет запрещен.

Вкладка «Настройки»

Эта вкладка предоставляет возможность подключения дополнительных механизмов поиска вирусов, а также возможность создания файла отчета. Вы можете поставить следующие флажки:

Предупреждения - включить добавочный механизм проверки. При этом будет выводиться предупреждающее сообщение, если сканируемый файл или сектор содержит измененный или поврежденный вирус, а также, если в памяти компьютера обнаружена подозрительная последовательность машинных инструкций;

Анализатор кода - включить эвристический механизм «Code Analyzer», позволяющий обнаруживать новые, еще не известные программе вирусы;

Файл отчета - создать файл отчета, в который будет заноситься информация об обнаруженных зараженных объектах. В поле ввода рядом с флажком нужно указать имя файла отчета (по умолчанию «Avpm_rep.txt»);

Ограничение размера, Kb: - ограничить размер файла отчета числом Килобайт, указанных в соответствующем поле ввода (по умолчанию - 500 Kb).

Вкладка «Статистика»

В этой вкладке отображается (и динамически обновляется) информация о количестве:

Проверенных объектов;

Инфицированных объектов;

Предупреждений;

Подозрений на вирус;

Вылеченных объектов;

Удаленных объектов;

А также следующая информация:

Последний зараженный объект: - имя последнего зараженного объекта (с указанием пути);

Имя последнего вируса: название последнего найденного вируса.

Последний проверенный объект: - имя последнего проверенного объекта (с указанием пути);

Программа AVP Центр Управления

Возможность получения сводной информации о составе установленных компонент и их версиях облегчает общение пользователя со службой технической поддержки «Лаборатории Касперского» и позволяет своевременно принять решение о необходимости обновления. Использование функции автоматического обновления обеспечивает регулярную загрузку актуальных версий компонент и пополнение базы данных информацией о новых вирусах.

С помощью программы AVP Центр Управления Вы можете планировать запуск антивирусных программ, входящих в состав пакета. Тем самым повышается эффективность работы и, в то же время, сохраняется высокая защищенность системы от вирусов.

Возможность автоматического запуска внешних программ позволяет использовать AVP Центр Управления и в качестве традиционного планировщика задач. При этом в большинстве случаев исчезает необходимость в использовании других средств автоматического запуска, что ведет к экономии ресурсов компьютера. Кроме того, обеспечивается точная взаимная синхронизация задач, связанных с антивирусной защитой системы и прочими задачами, что позволяет избежать конфликтов между ними.

AVP Центр Управления - это программная оболочка, предназначенная для запуска различных задач (приложений). С помощью этой программы Вы можете запускать приложения как вручную, так и автоматически по расписанию. В качестве задач выступают другие модули пакета антивирусных программ: AVP Сканер, AVP Монитор и Обновление AVP.

AVP сканер. Избыточное сканирование

Избыточное сканирование - это механизм полного сканирования содержимого исследуемых файлов вместо стандартной обработки только «точек входа» (т.е. тех мест, где начинается обработка программ системой).

Этот режим рекомендуется использовать, когда вирус не обнаружен, но в работе системы продолжаются «странные» проявления (частые «самостоятельные» перезагрузки, замедление работы некоторых программ и др.). В остальных случаях использование этого режима не рекомендуется, так как процесс сканирования замедляется в несколько раз и увеличивается вероятность ложных срабатываний при сканировании незараженных файлов.

Программа Обновление AVP

Программа Обновление AVP входит в состав пакета антивирусных программ AntiViral Toolkit Pro и предназначена для автоматизированного обновления базы данных, в которой хранится информация о вирусах, а также программных компонент пакета.

Обновление может осуществляться через Internet с использованием постоянного или Dial Up подключения, либо по локальной сети.

В условиях крупной корпоративной локальной сети затраты времени и трафик Internet могут быть существенно сокращены за счет организации централизованного обновления. При этом каждый пользователь избавляется от необходимости самостоятельно загружать файлы обновления через Internet - эта задача возлагается на сетевого администратора, который помещает их в специально отведенный каталог на жестком диске одного из компьютеров локальной сети (например, файлового сервера). В таком случае следует настроить программу Обновление AVP для обновления через локальную сеть.

Для регулярного автоматического обновления удобно организовать запуск программы Обновление AVP по расписанию средствами программы AVP Центр Управления. Для этого необходимо создать и настроить задачу управления автоматическим обновлением.

Краткая характеристика некоторых антивирусов Dr Solomon"s AntiVirus Toolkit

Достоинства: в целом самые лучшие результаты обнаружения и устранения вирусов.

Недостатки: весьма недешево; обновленные версии доступны только на дискетах, распространяемых по подписке.

Звание «Лучший выбор» получил Dr Solomon"s AntiVirus Toolkit, несмотря на высокую цену - 85 долл. Нашелся только один программный продукт - VirusScan фирмы McAfee, который в наших тестах устранил больше «диких» вирусов, чем Dr Solomon"s Toolkit. Благодаря толковому интерфейсу на экран по вашему распоряжению выводится любая нужная вам антивирусная функция, наряду с полной экранной энциклопедией всех известных вирусов и вызываемых ими последствий. Бродячие охотники за вирусами наверняка оценят также входящую в пакет загрузочную дискету Magic Bullet («Волшебная пуля»), которая позволяет быстро найти и уничтожить вирус в любой системе.

Недостатком данного пакета является невозможность сетевой загрузки новых данных о вирусах; число же обновленных версий ограничено четырьмя в год.

Компания сообщила нам о том, что скоро она станет продавать Toolkit только в наборе для пяти пользователей ценою в 349 долл. Однако с середины марта компания вывела на рынок новую, упрощенную версию, которая называется Dr Solomon"s AntiVirus и стоит 50 долл. Насколько можно судить по бета-версии, которую мы видели, этот новый пакет не в состоянии сканировать сетевые дисководы, но он сохраняет все те возможности, благодаря которым Toolkit столь удобен для персонального употребления, включая энциклопедию вирусов и дискету Magic Bullet (переименованную в SOS). Пользоваться интерфейсом стало проще, появилась возможность получения обновленных версий в режиме оперативного доступа, а стоимость ежемесячного обновления - 30 долл. в год. Мы еще не тестировали эту новую версию, но в ней использованы те же программные средства обнаружения вирусов, что и в Toolkit, так что она должна работать столь же хорошо.

В последнее время стремительно растет популярность другой анти-вирусной программы - Doctor Web. Dr. Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый «эвристический анализатор» - алгоритм, позволяющий обнаруживать неизвестные вирусы. «Лечебная паутина», как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Dr. Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.

Программа DoctorWeb предназначена для борьбы с полиморфными вирусами, способна обнаруживать изменения в собственном теле. С помощью мощного аналитического анализатора может распознавать заражение файлов неизвестными вирусами, в том числе в упакованных файлах.

Программой предусматривается возможность проведения эвристического анализа на трех уровнях. При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.

Работа с программой может выполняться в режиме полноэкранного интерфейса с использованием меню и диалоговых окон или в режиме вызова из командной строки. Второй вариант предпочтителен при многократном регулярном использовании программы для контроля дискет. При этом для удобства команду запуска программы DoctorWeb включают в меню пользователя оболочки NortonCommander или в командный файл.

Управление режимами также как и в Aidstest осуществляется с помощью ключей. Пользователь может указать программе, тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указывается с помощью ключа /H). Как и Aidstest Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R), поддерживает работу с программно-аппаратным комплексом Sheriff (ключ /Z).

Но, конечно, главной особенностью «Лечебной паутины» является наличие эвристического анализатора, который подключается ключом /S. Баланса между скоростью и качеством можно добиться, указав ключи, уровень эвристического анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличению качества. К тому же Dr. Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET. Для этого следует указать ключ /U (при этом распаковка файлов будет произведена на текущем устройстве) или /U диск: (где диск: - устройство, на котором будет производиться распаковка), если дискета, с которой запущен Doctor Web защищена от записи. Многие программы упакованы таким способом, хотя пользователь может и не подозревать об этом. Если ключ /U не установлен, то Doctor Web может пропустить вирус, забравшийся в запакованную программу.

Важной функцией является контроль заражения тестируемых файлов резидентным вирусом (ключ /V). При сканировании памяти нет стопроцентной гарантии, что «Лечебная паутина» обнаружит все вирусы, находящиеся там. Так вот, при задании функции /V Dr. Web пытается воспрепятствовать оставшимся резидентным вирусам заразить тестируемые файлы.

Тестирование винчестера Dr. Web-ом занимает на много больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr. Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку «винчестера» на вирусы с заданием максимального уровня эвристического анализа.

Так же как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе. Если по завершении тестирования Dr. Web выдаст сообщения о том, что нашел вирусы, нужно запустить его с опцией /P (если эта опция не была указана) для того, чтобы посмотреть, какой файл заражен. После этого нужно скопировать файл на дискету или на электронный диск и попытаться удалить, указав «Лечебной паутине» ключ /F. При неудачном лечении следует поступить так же, как в аналогичной ситуации, описанной выше для программы Aidstes.

Norton Antivirus

В рамках обзора антивирусных программ. Вот уже добрый десяток лет компания Symantec является признанным лидером практически во всех сегментах рынка программного обеспечения, где представлены её программы. Не стали исключением и антивирусные решения. Так Norton Antivirus по-прежнему остаётся продуктом номер один во всём мире по защите компьютера от вирусных атак, и новая версия программы лишь подтвердила сей факт. На ней мы и остановимся более подробно.

С первым и довольно весомым нововведением новоиспеченный пользователь программы сталкивается уже при установке. Так в Norton Antivirus 2004 включен специальный модуль Pre-Install scanner, позволяющий проверить и при необходимости оздоровить компьютер уже на стадии инсталляции. Таким образом, программа без проблем может быть установлена даже на зараженный компьютер. Второе важное новшество - это обновлённая защита программы от несанкционированного копирования. Отныне работу с Norton Antivirus придётся начинать с активации программы.

С помощью NortonAntiVirus можно: проверить на вирусы отдельные файлы, папки или диски; запланировать автоматический поиск вирусов в заданное время; по плану или в любой нужный момент выполнить обновление файлов описания вирусов с помощью функции LiveUpdate.

Сотрудники фирмы Symantec отслеживают сообщения о появлении новых вирусов. После идентификации нового вирусы информация о нем (сигнатура) заносится в файлы описания вирусов. Поэтому данные файлы рекомендуется обновлять не реже, чем раз в месяц.

Во время проверки дисков и файлов (в ручном или запланированном режиме) NortonAntiVirus ищет вирусы по этим сигнатурам. Если обнаружен файл, зараженный одним из этих вирусов, то NortonAntiVirus может устранить заражение автоматически.

Борьбу с вирусами Norton AntiVirus ведет следующим образом.

Выявляет проникшие в систему известные вирусы и уничтожает их (автозащита).

Преграждает вирусам путь в систему (автозащита и вакцинация).

Следит за подозрительными действиями, которые могут означать присутствие неизвестного вируса (автозащита с технологией вирусного датчика).

Перечисленные автоматические функции включены по умолчанию. В зависимости от степени риска в той среде, где используется компьютер, можно усилить или ослабить меры защиты путем настройки различных параметров Norton AntiVirus.

Кроме автоматического поиска вирусов средствами автозащиты, можно в любой момент начать ручной поиск или назначить его выполнение на определенное время.

NortonAntiVirus выдает сигналы тревоги при обнаружении:

Известного или неизвестного вируса;

Вирусоподобного действия (из числа тех, которые обычно совершаются вирусами при распространении или порче файлов);

Изменения вакцинации (когда файл либо не вакцинирован, либо подвергся изменению с момента последней вакцинации).

NortonAntiVirus может исправить большинство зараженных файлов. Однако если исправить файл не удается, его необходимо удалить с диска и затем заменить незараженной копией. Следует хранить оригинальные диски программ в безопасном месте и создавать резервные копии ценных файлов.

При проверке программных файлов NortonAntiVirus просматривает также документы и шаблоны MicrosoftWord и Excel. Хотя эти файлы не являются программными, в них могут легко проникать так называемые макровирусы.

Уничтожение вирусов.

Существует два способа уничтожения вирусов.

Исправление зараженного файла, загрузочной записи или главной загрузочной записи.

Удаление зараженного файла с диска и последующая замена его незараженной копией.

Рисунок 2.1 - Окно NortonAntiVirus

Ну, в остальном, по большому счёту, новая версия антивируса ничем не отличается от своего предшественника. Налицо всё тот же набор стандартных функций:

Автоматическое удаление вирусов, «червей» и различного рода «троянских» программ;

Проверка и обезоруживание входящей и исходящей электронной почты;

Выявление и блокировка вирусов в файлах, вложенных в сообщения службы передачи мгновенных сообщений;

Автоматическая загрузка обновлений системы антивирусной безопасности для защиты от новых угроз; технология Worm Blocking, позволяющая обнаруживать заражение «червями» (такими, как Nimda) в исходящих почтовых сообщениях;

Технологии Script Blocking и Worm Blocking, позволяющие выявить новые угрозы еще до того, как для них будут созданы описания вирусов;

Предусмотрены пошаговые инструкции для установки программы, в том числе, и на зараженные вирусами системы.

Не претерпел изменений и интерфейс программы, который по прежнему остаётся чрезвычайно удобным и, несмотря на свою англоязычность (русской версии я к моменту написания этой статьи, к сожалению, не нашёл), интуитивно понятным даже пользователю новичку.

Поставляется Norton Antivirus 2004 в двух различных вариантах. Для домашних пользователей предусмотрена стандартная версия, которая предлагается разработчиками на сайте по цене $49. Для среднего и малого бизнеса предназначается Norton Antivirus 2004 Professional, который имеет несколько дополнительных возможностей, в частности, поставляется с двумя лицензиями. Стоимость этой версии составляет $69. В заключение хотелось бы отметить, что компания Symantec в очередной раз подтвердила своё лидерство на рынке антивирусных программ, а Norton Antivirus по-прежнему остаётся самым популярным продуктом в этой сфере. Поэтому его смело можно рекомендовать абсолютно всем, для кого имеет значение защита и безопасность собственного компьютера.

Сравнительный анализ компьютерных вирусов

Постановка задачи практического исследования

Целью данной практической части дипломной работы является подбор наиболее часто используемых антивирусных программ. Для этого проанализирую следующие программы: Norton Antivirus, AVP, Doctor WEB.

Для этого я провел исследование, основанное на опросе учащихся и преподавателей нашего училища. Пользователям был задан такой вопрос: «Какой программой из перечисленных они пользуются чаще всего?»

Для этого я провел опрос учащихся и преподавателей нашего училища, которым был задан следующие вопросы:

1) «Какая программа наиболее эффективная?»

Результаты исследования будет представлены в виде графиков и диаграмм, отражающих процентное соотношение, полученных данных.

Для демонстрации своей работы мною будет разработана презентация, которая будет содержать основные положения моей работы и результаты исследования.

Анализ результатов практического исследования

Выше мною были обозначены этапы моего практического исследования, результаты которого можно представить следующим образом.

На вопрос: «Какой программой из перечисленных они пользуются чаще всего» были получены такие результаты

1) среди преподавателей

Таблица 2.1. - Процент использования программ преподавателей

Рисунок 2.2 - Процент использования программ преподавателей

2) среди учащихся

Таблица 2.2 Процент использования программ учащимися

Рисунок 2.3 - Процент использования программ учащимися

Введение

1. Компьютерные вирусы

1.1 Что такое компьютерный вирус?

1.2 Признаки появления вирусов

1.3 Классификация вирусов

1.4 Основные меры по защите от вирусов

2. Антивирусные средства

2.1 Способы противодействия компьютерным вирусам

2.1.1 Антивирусные программы

2.1.1.1 Требования к антивирусным программам

2.1.1.2 Характеристика антивирусных программ

2.1.1.3 Методики антивирусных программ

2.1.1.4 Краткий обзор антивирусных программ

2.1.2 Восстановление пораженных объектов

2.1.3 Антивирусная профилактика

2.1.4 Сравнительный анализ антивирусных средств

Заключение

Литература

В данной курсовой работе рассмотрена проблема борьбы с компьютерными вирусами, которой занимаются антивирусные программы. Среди набора программ, используемого большинством пользователей персональных компьютеров каждый день, антивирусные программы традиционно занимают особое место. Эти "лекарства" компьютерного мира для программ и данных в реальном мире можно сравнить, пожалуй, либо с аспирином, либо с контрацептиком. Причем всё "в одном флаконе". В реальной жизни - невозможная смесь. Но современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

Целью курсовой работы явился сравнительный анализ современных антивирусных средств. Проблема разработки сравнительного анализа современных антивирусных средств является очень актуальной. Это связано с тем, что в настоящее время появилось очень большое количество новых вирусов, с которыми могут бороться не все антивирусные программы. Причем среди антивирусных программ есть и такие, которые не обнаруживают даже простейшие вирусы.

Требования к антивирусным программам достаточно противоречивы. С одной стороны, пользователи хотят иметь надежную, мощную антивирусную защиту. С другой стороны, они хотят, чтобы эта защита не требовала от пользователя много времени и сил. И это вполне естественные требования.

При этом нельзя ни на мгновение отставать от общего развития компьютерного мира. Каждый год приносит новые технологии, в том числе, и в мире компьютерных вирусов. Все эти "новинки" заставляют постоянно совершенствовать антивирусные программы. В известной степени борьба с компьютерными вирусами очень похожа на извечную борьбу брони и снаряда. И в ближайшем будущем эта борьба вряд ли прекратится. Но ничего страшного в этом нет. Пользователю важно лишь не забывать об угрозе компьютерных вирусов, и принимать для защиты от них меры, не требующие в принципе больших усилий или специальных знаний. Достаточно проводить регулярное резервное копирование важных данных и пользоваться современными антивирусными программами.

Сравнительный анализ, поможет нам понять, какие из антивирусных программ лучше использовать, чтобы уберечь свой компьютер от вирусов.

Данная курсовая работа состоит из двух глав, включающих в себя каждый несколько параграфов и подпунктов.

В первой главе приведена теоретическая часть по тому, что представляет собой компьютерный вирус, представлена классификация всевозможных вирусов, а также признаки появления вирусов и меры, применяемые для защиты от них.

Во второй главе рассказывается о способах противодействия компьютерным вирусам, а также приводиться сравнительная характеристика современных антивирусных программ.

В заключении подводятся итоги по результатам проведенного исследования и делаются выводы по поводу полученных результатов.

С проблемой компьютерных вирусов и их возможностей связано, наверное, наибольшее число легенд и преувеличений. Многие люди, а иногда и целые организации панически бояться заражения своих машин. На самом деле все не так страшно. Чтобы не заразить свои компьютеры, достаточно соблюдать лишь небольшое число элементарных правил, но соблюдать их неукоснительно.

В общем случае компьютерный вирус – это небольшая программа, которая приписывает себя в конец исполняемых файлов, «драйверов», или «поселяется» в загрузочном секторе диска. При запуске зараженных программ и драйверов вначале происходит выполнение вируса, а уже потом управление передается самой программе. Если же вирус «поселился» в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т.д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передается зараженной программе, которая обычно работает «как ни в чем не бывало», маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

В последнее время появились так называемые макровирусы . Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word ), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы. и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word 6.0/7.0 для Windows и табличного редактора Excel 5.0/7.0 для Windows .

Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со "странностями". К признакам появления вируса можно отнести:

Замедление работы компьютера;

Невозможность загрузки операционной системы;

Частые «зависания» и сбои в работе компьютера;

Прекращение работы или неправильная работа ранее успешно функционировавших программ;

Увеличение количества файлов на диске;

Изменение размеров файлов;

Периодическое появление на экране монитора неуместных системных сообщений;

Уменьшение объема свободной оперативной памяти;

Заметное возрастание времени доступа к жесткому диску;

Изменение даты и времени создания файлов;

Разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);

Загорание сигнальной лампочки дисковода, когда к нему

нет обращения.

Надо заметить, что названные симптомы необязательно вызываются компьютерными вирусами, они могут быть следствием других причин, поэтому компьютер следует периодически диагностировать.

Известные программные вирусы можно классифицировать по следующим признакам:

¨ среде обитания

¨ способу заражения среды обитания

¨ воздействию

¨ особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на:

¨ сетевые

¨ файловые

¨ загрузочные

¨ файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на:

¨ резидентные

¨ нерезидентные.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

¨ неопасные , не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

¨ опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

¨ очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

¨ оснастить компьютер современными антивирусными программами, например NOD32 , Doctor Web, и постоянно обновлять их версии

¨ перед считыванием с дискет информации, записанной на других компьютерах, всегда проверять эти дискеты на наличие вирусов, запуская антивирусные программы

¨ при переносе на компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами

¨ периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты

¨ всегда защищать дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации

¨ обязательно делать архивные копии на дискетах ценной информации

¨ не оставлять в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

¨ использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей.

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус).

Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ:

· «Ложное срабатывание» (False positive) - детектирование вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин - «False negative», т.е. недетектирование вируса в зараженном объекте.

· «Сканирование по запросу» («on-demand») - поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler).

· «Сканирование на-лету» («real-time», «on-the-fly») - постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя.

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.

Стабильность и надежность работы . Этот параметр, без сомнения, является определяющим - даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться - что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

Антивирусные программы делятся на:

· программы-детекторы

· программы-доктора

· программы-ревизоры

· программы-фильтры

· программы-вакцины.

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором .

Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги , т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

· попытки коррекции файлов с расширениями СОМ и ЕХЕ;

· изменение атрибутов файлов;

· прямая запись на диск по абсолютному адресу;

· запись в загрузочные сектора диска.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами:

· Сканирование

· Эвристический анализ

· Обнаружение изменений

· Резидентные мониторы

Антивирусные программы могут реализовывать все перечисленные выше методики, либо только некоторые из них.

Сканирование

Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.

Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.

Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

Эвристический анализ

Эвристический анализ зачастую используется совместно со сканированием для поиска шифрующихся и полиморфных вирусов. В большинстве случаев эвристический анализ позволяет также обнаруживать и ранее неизвестные вирусы. В этом случае, скорее всего их лечение будет невозможно.

Обнаружение изменений

Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т. д. На обнаружении таких изменений основываются работа антивирусных программ-ревизоров.

Антивирусные программы-ревизоры запоминают характеристики всех областей диска, которые могут подвергнутся нападению вируса, а затем периодически проверяют их. В случае обнаружения изменений, выдается сообщение о том, что возможно на компьютер напал вирус.

Следует учитывать, что не все изменения вызваны вторжением вирусов. Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные.

Резидентные мониторы

Антивирусные программы, постоянно находящиеся в оперативной памяти компьютера и отслеживающие все подозрительные действия, выполняемые другими программами, носят название резидентных мониторов или сторожей. К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования. Они раздражают пользователей большим количеством сообщений, по большей части не имеющим отношения к вирусному заражению, в результате чего их отключают.

При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. Это не значит, что все они находятся "на воле". На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.

Существует множество антивирусных программ. Рассмотрим наиболее известные из них.

AVSP

(Anti-Virus Software Protection)

Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки).

При запуске AVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок , которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"(OS/2) является поддержка мыши. Существенный недостаток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.

В состав пакета AVSP входит также резидентный драйвер AVSP.SYS , который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы.

Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов , правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. При первом запуске AVSP следует протестировать систему на наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно указать, что именно проверять (Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён несколькими вирусами (при этом "старые" вирусы как бы оттесняются в середину "молодым") то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в AVSP качественное тестирование занимает не намного больше времени, чем скоростное.

При автоматическом определении новых вирусов AVSP может допустить множество ошибок. Так что при автоматическом определении шаблона следует не полениться проверить, действительно ли это вирус и не будет ли этот шаблон встречаться в здоровых программах.

Если в процессе AVSP обнаружит известный вирус, то следует предпринять те же действия, как и при работе с Dr.Web: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной программе лечить Stealth-вирусы.

Ещё одной полезной функцией является встроенный дизассемблер . С его помощью можно разобраться, есть ли в файле вирус или при проверке диска произошло ложное срабатывание AVSP. Кроме того, можно попытаться выяснить способ заражения, принцип действия вируса, а также место, куда он "спрятал" замещённые байты файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить испорченные файлы. Ещё одна полезная функция - выдача наглядной карты изменений . Карта изменений позволяет оценить, соответствуют ли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании.

В программе AVSP есть два алгоритма нейтрализации стелс-вирусов ("невидимок") и оба они работают только при наличии активного вируса в памяти. Вот, что происходит при реализации этих алгоритмов: все файлы копируются в файлы данных, а потом стираются. Спасаются только файлы с атрибутом SYSTEM. В Adinf процесс удаления Stealth-ов реализован гораздо проще.

Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некотором файле, а затем попытается удалить вирус.

(AntiViral Toolkit Pro)

Данная программа была создана ЗАО «Лаборатория Касперского». AVP обладает одним из самых совершенных механизмов обнаружения вирусов. Сегодня AVP практически ни в чем не уступает западным аналогам.

AVP предоставляет пользователям максимум сервиса – возможность обновления антивирусных баз через Интернет, возможность задания параметров автоматического сканирования и лечения зараженных файлов. Обновления на сайте AVP появляются практически еженедельно, а база данных включает описания уже почти 40 тысяч вирусов.

AVP состоит из нескольких важных модулей:

1)AVP сканер проверяет жесткие диски на предмет заражения вирусами. Можно задать полный поиск, при котором программа будет проверять все файлы подряд, а также задать режим проверки архивированных файлов. Одно из главных преимуществ AVP – борьба с макровирусами . Пользователь может выбрать специальный режим, при котором будут проверяться документы, созданные в формате Microsoft Office. После обнаружения вирусов или зараженных файлов, AVP предлагает на выбор несколько вариантов: удалить вирусы из файлов, удалить сами зараженные файлы или переместить их в специальную папку.

2)AVP Monitor . Эта программа автоматически загружается при запуске Windows. AVP Monitor автоматически проверяет все запускаемые на компьютере файлы и открываемые документы и в случае вирусной атаки сигнализирует об этом пользователю. Более того, в большинстве случаев AVP Monitor просто не дает зараженному файлу запуститься, блокируя процесс его выполнения. Эта функция программы очень полезна для тех, кто постоянно имеет дело со множеством новых файлов, например, для активных пользователей Интернет (т.к. каждые пять минут запускать AVP для проверки скачанных файлов невозможно, то здесь на помощь приходит AVP Monitor).

3)AVP Inspector – последний и очень важный модуль комплекта AVP, позволяющий отлавливать даже неизвестные вирусы. «Инспектор» использует метод контроля изменения размера файлов. Внедряясь в файл, вирус неизбежно увеличивает его объем, и «инспектор» легко его обнаруживает.

Кроме всего перечисленного существует так называемый Центр Управления AVP – «пульт управления» всеми программами комплекса AVP. Самая важная функция этой программы – встроенный Планировщик Задач, позволяющий осуществлять оперативную проверку (а если понадобится – и лечение системы) в автоматическом режиме, без участия пользователя, но в заданное им время.

В большинстве случаев заражения вирусом процедура восстановления зараженных файлов и дисков сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточно отослать зараженный файл фирмам-производителям антивирусов и через некоторое время (обычно - несколько дней или недель) получить лекарство-«апдейт» против вируса. Если же время не ждет, то обезвреживание вируса придется произвести самостоятельно.

Для обезвреживания Word и Excel достаточно сохранить всю необходимую информацию в формате не документов и не таблиц - наиболее подходящим является текстовый RTF-формат, содержащий практически всю информацию из первоначальных документов и не содержащий макросов. Затем следует выйти из Word/Excel, уничтожить все зараженные Word-документы, Excel-таблицы, NORMAL.DOT у Word и все документы/таблицы в StartUp-каталогах Word/Excel. После этого следует запустить Word/Excel и восстановить документы/таблицы из RTF-файлов.

В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений. Однако этот метод имеет ряд недостатков. Основной из них - трудоемкость конвертирования документов и таблиц в RTF-формат, если их число велико. К тому же в случае Excel необходимо отдельно конвертировать все Листы (Sheets) в каждом Excel-файле. Второй недостаток - потеря невирусных макросов, используемых при работе. Поэтому перед запуском описанной процедуры следует сохранить их исходный текст, а после обезвреживания вируса - восстановить необходимые макросы в первоначальном виде.

В подавляющем большинстве случаев восстановление зараженных файлов является достаточно сложной процедурой, которую невозможно произвести «руками» без необходимых знаний - форматов выполняемых файлов, языка ассемблера и т.д. К тому же обычно зараженными на диске оказываются сразу несколько десятков или сотен файлов и для их обезвреживания необходимо разработать собственную программу-антивирус (можно также воспользоваться возможностями редактора антивирусных баз из комплекта AVP).

При лечении файлов следует учитывать следующие правила:

· необходимо протестировать и вылечить все выполняемые файлы (COM, EXE, SYS, OVL) во всех каталогах всех дисков вне зависимости от атрибутов файлов (т.е. файлы read-only, системные и скрытые);

· необходимо учесть возможность многократного поражения файла вирусом («бутерброд» из вирусов).

Само лечение файла производится в большинстве случаев одним из нескольких стандартных способов, зависящих от алгоритма размножения вируса. В большинстве случаев это сводится к восстановлению заголовка файла и уменьшению его длины.

Необходимо всегда иметь диск, записанный на не зараженном компьютере. На этот диск надо записать последние версии антивирусных программ-полифагов, таких как Doctor Web или Antiviral Toolkit Pro. Кроме антивирусных программ, на диск полезно записать драйверы внешних устройств компьютера, например драйвер устройства чтения компакт-дисков, программы для форматирования дисков - format и переноса операционной системы - sys, программу для ремонта файловой системы Norton Disk Doctor или ScanDisk.

Диск будет полезен не только в случае нападения вирусов. Им можно воспользоваться для загрузки компьютера в случае повреждения файлов операционной системы.

Необходимо периодически проверять компьютер на заражение вирусами. Выполнять проверку не только выполнимых файлов, имеющих расширение COM, EXE, но также пакетных файлов BAT и системных областей дисков.

Если в компьютере записано много файлов, их проверка антивирусами-полифагами, скорее всего, будет отнимать достаточно много времени. Поэтому во многих случаях предпочтительней для повседневной проверки использовать программы-ревизоры, а новые и изменившиеся файлы подвергать проверке полифагами.

Практически все ревизоры в случае изменения системных областей диска (главной загрузочной записи и загрузочной записи) позволяют восстановить их, даже в том случае если неизвестно, какой именно вирус их заразил. Лечащий модуль ADinf Cure Module даже позволяет удалять неизвестные файловые вирусы.

Практически все современные антивирусы могут правильно работать даже на зараженном компьютере, когда в его оперативной памяти находится активный вирус. Однако перед удалением вируса все же рекомендуется предварительно загрузить компьютер с диска, чтобы вирус не смог препятствовать лечению.

Во-первых, для перезагрузки компьютера надо использовать кнопку Reset, расположенную на корпусе системного блока, или даже временно выключить его питание. Не использовать для перезагрузки комбинацию из трех известных клавиш. Некоторые вирусы могут остаться в памяти даже после этой процедуры.

Во-вторых, перед перезагрузкой компьютера с диска проверить конфигурацию дисковой подсистемы компьютера и особенно параметры дисководов и порядок загрузки операционной системы (должна быть установлена приоритетная загрузка с диска), записанную в энергонезависимой памяти. Существуют вирусы, ловко меняющие параметры, записанные в энергонезависимой памяти компьютера, в результате чего компьютер загружается с зараженного вирусом жесткого диска, в то время как оператор думает, что загрузка происходит с чистого диска.

Обязательно проверять с помощью антивирусных программ все диски и все программы, поступающие на ПК через любые носители или через модем. Если компьютер подключен к локальной сети, необходимо проверять файлы, полученные через сеть от других пользователей.

С появлением вирусов, распространяющихся через макрокоманды текстового процессора Microsoft Word и электронной таблицы Microsoft Excel, необходимо особенно внимательно проверять не только выполнимые файлы программ и системные области дисков, но также и файлы документов.

Крайне важно постоянно следить за выходом новых версий применяемых антивирусных средств и своевременно выполнять их обновления на диске и компьютере; использовать для восстановления зараженных файлов и системных областей диска только самые последние версии антивирусов.

Существует много различных антивирусных программ как отечественного, так и неотечественного происхождения. И для того, чтобы понять какая из антивирусных программ лучше, проведем их сравнительный анализ. Для этого возьмем современные антивирусные программы, а также такие, которые наиболее часто используются пользователями ПК.

Panda Antivirus 2008 3.01.00

Совместимые системы : Windows 2000/XP/Vista

Установка

Сложно представить себе более простую и быструю установку, чем предлагает Panda 2008. Нам лишь сообщают, от каких угроз защитит данное приложение и без всякого выбора типа установки или источника обновлений менее чем через минуту предлагают защиту от вирусов, червей, троянов, spyware и фишинга, предварительно произведя сканирование памяти компьютера на предмет наличия вирусов. При этом некоторые другие расширенные функции современных антивирусов, такие, как блокировка подозрительных веб-страниц или защита личных данных, он не поддерживает.

Интерфейс и работа

Интерфейс программы очень яркий. Присутствующие настройки обеспечивают минимальный уровень изменений, в наличии только самое необходимое. Вообще, самостоятельная настройка в данном случае не является обязательной: параметры по умолчанию соответствуют большинству пользователей, обеспечивая защиту от фишинговых атак, spyware, вирусов, хакерских приложений и других угроз.

Обновляться Panda может только через интернет. Причем обновление настоятельно рекомендуется установить сразу же после установки антивируса, в противном случае, Panda небольшим, но достаточно заметным окошком внизу экрана будет регулярно требовать доступ к "родительскому" серверу, указывая на низкий уровень текущей защиты.

Все угрозы Panda 2008 разделяет на известные и неизвестные. В первом случае мы можем отключить проверку тех или иных видов угроз, во втором случае определяем, подвергать ли файлы, IM-сообщения и электронные письма глубокому сканированию для поиска неизвестных вредоносных объектов. Если Panda обнаруживает подозрительное поведение какого-либо приложения, то немедленно сообщит вам, обеспечивая таким образом защиту от угроз, не включенных в базу данных антивируса.

Panda позволяет производить сканирование всего жесткого диска или отдельных его участков. При этом следует помнить, что по умолчанию проверка архивов отключена. В меню настроек представлены расширения файлов, подвергающихся сканированию, в случае надобности можно добавить собственные расширения. Отдельного упоминания заслуживает статистика обнаруженных угроз, которая представлена в виде круговой диаграммы, наглядно демонстрирующей долю каждого вида угрозы в общем количестве вредоносных объектов. Отчет обнаруженных объектов можно формировать по выбранному промежутку времени.

Dr.Web 4.44

· минимальные системные требования: наличие Windows 98/NT/Me/2000/XP.

Аппаратные требования соответствуют заявленным для указанных ОС.

Основные функциональные особенности:

· защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;

· обновление антивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;

· эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений вирусных баз.

Установка

Вначале Dr.Web честно предупреждает, что не собирается уживаться с другими антивирусными приложениями и просит убедиться в отсутствии таковых на компьютере. В противном случае совместная работа может привести к "непредсказуемым последствиям". Далее выбираем "Выборочную" или "Обычную" (рекомендуемую) установку и приступаем к изучению представленных основных компонентов:

· сканер для Windows. Проверка файлов в ручном режиме;

· консольный сканер для Windows. Предназначен для запуска из командных файлов;

· SpiDer Guard. Проверка файлов "на лету", предотвращение заражений в режиме реального времени;

· SpiDer Mail. Проверка сообщений, поступающих через протоколы POP3, SMTP, IMAP и NNTP.

Интерфейс и работа

В глаза бросается отсутствие согласованности в вопросе интерфейса между модулями антивируса, что создает дополнительный визуальный дискомфорт при и так не слишком дружелюбном доступе к компонентам Dr.Web. Большое количество всевозможных настроек явно не рассчитано на начинающего пользователя, однако довольно подробная справка в доступной форме объяснит назначение тех или иных интересующих вас параметров. Доступ к центральному модулю Dr.Web – сканер для Windows – осуществляется не через трей, как у всех рассмотренных в обзоре антивирусов, а только через "Пуск" – далеко не лучшее решение, которое в свое время было исправлено в Антивирусе Касперского.

Обновление доступно как через Интернет, так и с помощью прокси-серверов, что при небольших размерах сигнатур представляет Dr.Web весьма привлекательным вариантом для средних и крупных компьютерных сетей.

Задать параметры проверки системы, порядок обновления и настройку условий работы каждого модуля Dr.Web можно с помощью удобного инструмента "Планировщик", который позволяет создать слаженную систему защиты из "конструктора" компонентов Dr.Web.

В итоге мы получаем нетребовательную к ресурсам компьютера, достаточно несложную (при ближайшем рассмотрении) целостную защиту компьютера от всевозможных угроз, чьи возможности по противодействию вредоносным приложениям однозначно перевешивают единственный недостаток, выраженный "разношерстным" интерфейсом модулей Dr.Web.

Рассмотрим процесс непосредственного сканирования выбранной директории. В качестве "подопытного" использовалась папка, заполненная текстовыми документами, архивами, музыкой, видео и прочими файлами, присущими винчестеру среднестатистического пользователя. Общий объем информации составил 20 GB. Первоначально предполагалось сканирование раздела винчестера, на котором была установлена система, но Dr.Web вознамерился растянуть проверку на два-три часа, досконально изучая системные файлы, в итоге под "полигон" была отведена отдельная папка. В каждом антивирусе были использованы все предоставленные возможности по настройке максимального числа проверяемых файлов.

Первое место по отношению к затраченному времени досталось Panda 2008. Невероятно, но факт: сканирование заняло всего пять (!) минут. Dr.Web отказался рационально использовать время пользователя и более полутора часов изучал содержимое папок. Время, показанное Panda 2008, вызвало некоторые сомнения, требовавшие дополнительной диагностики, казалось бы, незначительного параметра – количества проверенных файлов. Сомнения появились не зря, и нашли практическое основание при повторных испытаниях. Следует отдать должное Dr.Web – антивирус не напрасно потратил столько времени, продемонстрировав лучший результат: чуть больше 130 тысяч файлов. Оговоримся, что, к сожалению, определить точное количество файлов в тестовой папке не представлялось возможным. Поэтому показатель Dr.Web был принят как отражающий реальное положение в данном вопросе.

К процессу "крупномасштабного" сканирования пользователи относятся по-разному: одни предпочитают оставлять компьютер и не мешать проверке, другие не желают идти на компромисс с антивирусом и продолжают работать или играть. Последний вариант, как оказалось, без проблем позволяет осуществить Panda Antivirus. Да, эта программа, в которой оказалось невозможным выделить ключевые особенности, при любой конфигурации причинит единственное беспокойство зеленой табличкой, возвещающей об успешном завершении сканирования. Звание наиболее стабильного потребителя оперативной памяти получил Dr.Web, в режиме полной загрузки его функционирование потребовало всего на несколько мегабайт больше, чем при обычной работе.

Теперь рассмотрим более подробно такие антивирусы как:

1. Антивирус Касперского 2009;

3. Panda Antivirus 2008;

по следующим критериям:

· Оценка удобства пользовательского интерфейса;

· Оценка удобства в работе;

· Анализ набора технических возможностей;

· Оценка стоимости.

Из всех рассмотренных антивирусов наиболее дешевым является Panda Antivirus 2008, а самым дорогим NOD 32. Но это не значит, что Panda Antivirus 2008 хуже и об этом говорят остальные критерии. Три программы из четырех рассмотренных (Антивирус Касперского, Panda Antivirus, NOD 32) имеют более простой, функциональный и удобный интерфейс, чем Dr. Web, который имеет множество настроек, непонятных начинающему пользователю. В программе можно воспользоваться подробной справкой, которая объяснит назначение тех, или иных необходимых вам параметров.

Все программы предлагают надежную защиту от червей, традиционных вирусов, почтовых вирусов, шпионских программ, троянских программ и т.д. Проверка файлов в таких программах как Dr. Web, NOD 32, осуществляется при запуске системы, а вот Антивирус Касперского проверяет файлы в момент обращения к ним. Антивирус Касперского, NOD 32 в отличие от всех остальных обладают продвинутой системой проактивной защиты, базирующейся на алгоритмах эвристического анализа; возможностью поставить пороль и, тем самым, защитить программу от вирусов, нацеленных на разрушение антивирусной защиты. Помимо этого Антивирус Касперского 2009 обладает поведенческим блокиратором. Panda Antivirus в отличие от всех остальных не поддерживает блокировку подозрительных веб-страниц или защиту личных данных. Все эти антивирусы имеют автоматическое обновление баз и планировщик задач. Также эти антивирусные программы полностью совместимы с Vista. Но все они кроме Panda Antivirus требуют, чтобы помимо них в системе не было других подобных программ. На основе этих данных составим таблицу.

Таблица.1 Характеристика антивирусных программ

критерии	Антивирус Касперского 2009
Оценка стоимости
Оценка удобства пользовательского интерфейса
Оценка удобства в работе
Анализ набора технических возможностей
Общее впечатление о программе

Каждый из рассмотренных антивирусов по тем или иным показателям заслужил свою популярность, но абсолютно идеального решения для всех категорий пользователей не существует.

По моему мнению, наиболее полезными являются Антивирус Касперского 2009 и NOD 32. Так как они обладают почти всеми требованиями, которыми должна обладать антивирусная программа. Это и интерфейс и набор технических возможностей. В общем, в них есть то, что необходимо для того, чтобы обезопасить свой компьютер от вирусов.

Заключение

В заключение данной курсовой работы хотелось бы сказать о том, что поставленная мною цель - проведение сравнительного анализа современных антивирусных средств - была достигнута. В связи с этим были решены следующие задачи:

1. Подобрана литература по данной теме.

2. Изучены различные антивирусные программы.