· Вирусы и черви
Подобные вредоносные программы обладают способностью к несанкционированному пользователем саморазмножению в компьютерах или компьютерных сетях, при этом полученные копии также обладают этой возможностью.
К вирусам и червям не относятся:
троянские программы, распространяющие свои копии по сети и заражающие удалённые машины по команде «хозяина» вредоносной программы (целый ряд представителей Backdoor);
прочие троянские программы, создающие свои многочисленные копии в системе или даже «цепляющиеся» к каким-либо файлам, уже присутствующим в системе. Отличие от вирусов и червей состоит в невозможности дальнейшего самовоспроизведения копий.
Основным признаком, по которому различают типы (поведения) вирусов и червей, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам.
· Троянские программы
Эти вредоносные программы созданы для осуществления несанкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения.
Основным признаком, по которому различают типы троянских программ, являются их несанкционированные пользователем действия — те, которые они производят на заражённом компьютере.
· Вредоносные утилиты
Вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы компьютеру, на котором исполняются.
Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.
Антивирусы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.
Антивирусы-фильтры (сторожа) - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например, о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся еще до запуска антивируса, в начальной стадии загрузки DOS. К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса -Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.
Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов. Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атри-буты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус. Самые изощренные антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной. Таким образом, вирус не может заразить эту программу. Вакцины могут быть пассивные и активные.
Пассивная вакцина представляет собой пакетную программу, которая за один вызов обрабатывает специальным образом файл или все файла на диске либо в каталоге. Обычно при такой обработке проставляется признак, который вирус использует для того, чтобы отличить зараженные программы от незараженных. Например, некоторые вирусы дописывают в конец зараженных файлов определенную строку. Если искусственно дописать в конец всех программ эту строку, то такие программы не будут заражаться вирусом, поскольку он будет считать, что они уже заражены.Обработанная таким образом программа является вакцинированной против данного вируса, при чем операция вакцинации является обратимой: когда опасность заражения будет ликвидирована, строку можно из файла удалить. Другие вирусы проставляют в поле даты заражаемых программ значение секунд, равное 62(MS-DOS допускает запись такого явно нереального значения).
Вакцина может проставить этот признак у всех выполняемых программ, которые тем самым будут защищены от заражения данным типом вируса. В этом случае вакцинирование является необратимым в том смысле, что восстановить первоначальное значение секунд не удастся, хотя они, конечно, могут быть сброшены.
Активные вакцины являются резидентными программами, действие которых основано на имитации присутствия вируса в оперативной памяти. Поэтому они обычно применяются против резидентных вирусов. Если такая вакцина находится в памяти, то, когда при запуске зараженной программы вирус проверяет, находится ли уже в оперативной памяти его копия, вакцина имитирует наличие копии. В этом случае вирус просто передает управление программе - хозяину и его инсталляция не происходит. Простейшие вакцины представляют собой выделенный и слегка модифицированный (лишенный способности к размножению) вирус. Поэтому они могут быть оперативно изготовлены - быстрей, чем доктора. Боле сложные вакцины (поливакцины) имитируют наличие в оперативной памяти нескольких вирусов.
Конечно, приведенный список не исчерпывает всего многообразия антивирусных программ, хотя и охватывает основные их разновидности. Каждая из антивирусных программ подобна узкому специалисту в определенной области, поэтому оптимальной тактикой является комплексное применение нескольких типов антивирусных средств.
Антивирус, выпускаемый словацкой фирмой Eset. Возник в конце 1998 года. Большинство обновлений программных продуктов за последний год было связано с решением проблемы совместимости ПО с Windows Vista. И антивирус ESET NOD32 здесь не исключение - в своей третьей версии он стал полностью совместимым с Vista. В основе программы лежит фирменная технология ThreatSense, обеспечивающая защиту файловой системы в режиме реального времени; проверку файлов, выполняемых при запуске системы; защиту электронной почты и доступа в интернет; а также сканирование дисков, папок и отдельных файлов компьютера по требованию. Кроме того, NOD32 может похвастать полным "джентльменским набором" современного антивируса: продвинутой системой проактивной защиты, базирующейся на алгоритмах эвристического анализа; ручным или автоматическим обновлением вирусных баз; возможностью запаролить и, тем самым, защитить программу от вирусов, нацеленных на разрушение антивирусной защиты; планировщиком задач.
Как и Антивирус Касперского, NOD32 не отличается особой толерантностью и не желает находиться в одной системе вместе с другими подобными программами.
Главное окно антивируса ESET NOD32 вопросов ни у кого не вызовет: интерфейс прост и незамысловат, все на русском языке. Все команды выполнены в виде интуитивно понятных гиперссылок. Интерфейс предусматривает два режима: обычный и расширенный. В обычном режиме отображения малоподготовленный пользователь получает доступ лишь к основным, наиболее простым в использовании функциям администрирования системы защиты. Тогда как в расширенном режиме, который больше подходит для опытных пользователей, становится доступна настройка всех параметров защиты и служебных утилит.
Антивирусная технология Dr.Web разрабатывается с 1992 и принадлежит компании «Доктор Веб».
Dr.Web для Windows обеспечивает защиту компьютера пользователя от всевозможных червей, вирусов (в том числе и полиморфных), троянов, макровирусов, spyware и adware, руткитов, программ-дозвонщиков, а также хакерских утилит и вредоносных скриптов. Проверка файлов в ручном режиме осуществляется с помощью антивирусного сканера Dr.Web Сканер, для проверки файлов "на лету" и предотвращения заражения системы в режиме реального времени служит антивирусный сторож (монитор) SpIDer Guard, а сообщения, поступающие через протоколы POP3, SMTP, IMAP и NNTP, проверяет почтовый монитор SpIDer Mail. Сканер для Windows имеет GUI- и консольную версии, кроме того, в дистрибутив программы входит и отдельная утилита для работы в среде DOS.