Смекни!
smekni.com

Компьютерная безопастность (стр. 4 из 7)

3. Если скачиваете незнакомые файлы, то рекомендую качать их в карантинную зону вашего антивируса и после проверки выпускать на волю.

Интерфейс Антивируса Касперского v.6.0.2.614 тоже очень приятен. Вообще интерфейс – залог успеха программы, ведь никто не хочет сидеть в командной строке с толстенной книжкой команд и тщательно их выписывать – кому угодно осточертеет. Люди тогда поищут программу с интерфейсом покрасивее пусть у нее даже будет поменьше функций!

Самые главные изменения со времен v.5.3 это конечно интерфейс. Очень сильно поменялась механика чисел (появились такие функции как мини фаервол, и поменялся каталог баз данных по вирусам, а также методики их поиска).

В боковом меню находятся 3 основных категории.

1) Защита.

а) Файловый антивирус. (Соответственно проверяет файлы на наличие вирусов.)

б) Почтовый антивирус. (Проверяет на вирусы все входящие и исходящие сообщения электронной почты.)

в) Веб – антивирус. (Препятствует проникновению вирусов на компьютер через протокол HTTP.)

г) Проактивная защита. (Позволяет противостоять неизвестным вирусам, а также контролировать запуск выбранных программ и допуск к системному реестру.)

2) Поиск вирусов.

а) Критические области. (Проверяет оперативную память, загрузочные сектора на наличие вирусных или троянских модулей.)

б) Мой компьютер. (Жесткие диски + оперативную память + загрузочные сектора.)

в) Объекты автозапуска. (оперативную память + загрузочные сектора + объекты автозагрузки)

3) Сервис.

а) Обновление.

б) Файлы данных. (Здесь хранятся отчеты о работе приложений, файлы на карантине а также копии зараженных файлов)

в) Аварийный диск. (Создание Аварийного диска позволяющего восстановить систему после вирусной атаки когда невозможно провести начальную загрузку.!! Для этого требуется программа PEBuilderv.3.1.3 или выше а также установочный диск вашей операционной системы и конечно пишущий привод.)

г) Поддержка. (Поддержка по техническим вопросам или прочим вопросам с консультантами тех поддержки Касперского.)

Итак, начнем наше исследование с описания возможностей антивирусных программ.

При поражении объектов вирус, использующий шифрование, преобразует свой код в шифрованную последовательность данных

S = F (T), где

T – базовый код вируса;

S – зашифрованные коды вируса;

F – функция шифрования вируса, произвольно выбирающаяся из некоторого множества преобразований {F}.

Для детектирования и лечения полиморфных вирусов используется способ редуцированной маски. Его суть: выбирается преобразование R зашифрованных кодов вируса S, такое, что результат преобразования (то есть некоторая последовательность данных S') не будет зависеть от ключей преобразования F. То есть вот так:

S = F (T)

S' = R (S) = R ( F (T) ) = R' (T).

При применении преобразования R к всевозможным вариантам шифрованного кода S результат S' будет постоянным при постоянном T. В итоге получаем, что идентификация пораженных объектов проходит так: в качестве редуцированной маски выбирают S' и к пораженным объектам преобразования применяют R.

Первое, что бросается в глаза (и что известно далеко не всем), – огромное количество операционных систем, поддерживаемых большинством антивирусов, а также интеграция осей с различными приложениями. Обидно только, что компания Symantec совсем не уделяет внимания *nix-системам.

Самым быстрым в плане сканирования файлов оказался Dr.Web, за ним - Symantec Antivirus. Неплохие результаты показали Антивирус Касперского и Nod32 Antivirus. Зато у Dr.Web и Symantec отсутствует детектирование SpyWare, шпионского программного обеспечения, которое собирает информацию о компьютере и пользователе.

По частоте обновлений лидером является Антивирус Касперского. Ежечасно! Это вполне объяснимо: "Лаборатория Касперского" позиционирует себя как разработчика с самым высоким рейтингом детектирования вредоносных программ и мгновенной реакцией на возникновение вирусных эпидемий. А вот компании Symantec и McAfee, видимо, не считают нужным торопиться при вспышке новых вирусов. Позор, господа, стыдитесь!

Поскольку представленные антивирусы являются корпоративными, все они имеют средства удаленного администрирования и управления. Одна из новомодных функций - возможность обнаружения вирусов в архивах. Такая способность имеется у всех представленных антивирусов, но удалять и лечить зараженные объекты способны далеко не все. С этой задачей справляются только Антивирус Касперского и McAfee Antivirus. Последний, правда, способен чистить исключительно архивы типа zip с одноуровневой глубиной вложения.

Описав возможности антивирусов, окинем взором их недостатки!

Dr.Web

- Иногда Dr.Web ничего не находит на зараженном компьютере .

- Частая блокировка ключей (конечно, это не касается лицензионных пользователей, а пиратам так и надо).

- При обновлении часто возникает сообщение "Ошибка получения файла версий", которая уже никого не удивляет.

- При использовании Apache некоторые скрипты перестают корректно выполнять свою работу. Такое бывает при использовании Spider Guard от Dr.Web.

McAfee

- При установке McAfee Office наблюдается нестабильная работа, видимо, из-за множественности одновременно запускаемых программ (по умолчанию пять). Сократив их количество, можно добиться более-менее стабильной работы.

- Сбои при запуске модуля отчетов Discover Pro.

- Компонент McAfee VirusScan's WebScanX подключается в explorer.exe. Когда Explorer используется для просмотра каталогов и основной каталог пользователя расположен на сетевом ресурсе, WebScanX вызывает несколько .dll-файлов в основном каталоге пользователя. Нападающий может внедрить произвольный код в эти dll, который будет выполнен на системе пользователя с системными привилегиями.

- При сканировании сформированных особым образом архивов в формате LHA в движке антивируса возникает ошибка переполнения буфера, после чего нападающий получает возможность выполнить на машине вредоносный код.

Eset

- Eset NOD32 не всегда может определить точное название вируса, номер его версии и т.д.

- В антивирусе Eset's NOD32 для UNIX-систем существует ошибка, приводящая к переполнению буфера. Локальный пользователь может получить root-привилегии.

- Существуют редкие ложные срабатывания. Но и одного такого случая достаточно, если в результате вместо вируса удален нужный файл.

Symantec

- Редкие обновления большого размера (обычно не менее 4 Мб).

- При попытке просканировать на наличие вирусов с локальной машины антивирус выдает ошибку 0х2. Однако при сканировании этого же компьютера через Symantec System Center Console все идет нормально.

- Существует уязвимость в обработке UPX сжатых файлов. Уязвимость вызвана ошибкой в модуле антивируса DEC2EXE.

- Symantec обнаруживает многие вирусы, но нормально убить их, не то что лечить, ему вряд ли удастся.

- Медленнее всех выполняет полное сканирование жесткого диска.

Антивирус Касперского

- Не самый быстрый антивирус, но, видимо, за качество приходится платить.

- Существовала бага с обработкой zip-архивов. Суть в том, что для каждого находящегося в архиве объекта zip хранит две копии заголовка (local/central directory), содержащего, среди прочего, реальный размер распакованного файла. Если злоумышленник в обоих заголовках укажет значение размера равным нулю, то антивирусный сканер ошибочно посчитает объект слишком маленьким для проверки и пропустит его (пофиксено после огласки, следует добавить ради справедливости).

- Неудачная четвертая версия, ее продукты отличаются непродуманным и совершенно недружелюбным для пользователя интерфейсом.

- Антивирус Касперского все-таки удаляет многие вирусы, даже не пытаясь лечить их.

Trend Micro

- По умолчанию к папке установки Trend Micro Office Scan и соответствующему разделу реестра дается полный доступ группе Everyone.

- Выпуск "сырых" (непроверенных) обновлений, приводящих к нарушению работы системы, проблемам доступа к сетевым ресурсам и др.

- Некорректная обработка сформированных особым образом архивов в формате ARJ. Для реализации нападения злоумышленнику необходимо вставить в локальный заголовок архива чрезмерно длинное имя файла. Если атака пройдет успешно, будет выполнен произвольный вредоносный код на удаленном компьютере.

- Когда Trend Micro PC-cillin Internet Security выдает предупреждения пользователю, она создает HMTL-файл в каталоге временных файлов на целевой системе и затем загружает файл через Microsoft Internet Explorer. Удаленный пользователь может создать специально сформированный zip-архив и HTML, который заставит браузер целевого пользователя загрузить zip-файл. Затем, когда программное обеспечение Trend Micro сгенерирует предупреждение для zip-файла (что он содержит некоторый злонамеренный код), будет выполнен произвольный код сценария, содержащийся в zip-файле.

- Слабая техническая поддержка, российская версия портала Trend Micro на английском языке.

Высокие технологии

На какие только ухищрения не идут злоумышленники при написании своих детищ, но антивирусные разработчики тоже не сидят на месте и используют различные методы детектирования. Вот основные:

1. Использование сигнатур и контрольных сумм. Это самый распространенный метод, основанный на сравнении имеющихся сигнатур с сигнатурами сканируемых файлов.

2. Эвристический анализатор. Эвристика (греч. heurisko - отыскиваю, открываю) – это наука, изучающая продуктивное творческое мышление и использующая специальные методы с целью открытия нового. С помощью эвристики можно распознать вирусную программу по типу выполняемых действий. Иногда эвристический анализатор позволяет детектировать целое семейство одного вируса по заданному алгоритму.

Современные эвристические анализаторы позволяют обнаруживать вредоносные коды в исполняемых файлах, секторах и памяти, а также новые скрипт-вирусы и вредоносные программы для Microsoft Office (и других программ, использующих VBA) и, наконец, вредоносный код, написанный на языках высокого уровня, таких как Microsoft Visual Basic. Гибкая архитектура и комбинация различных методов позволяет добиться достаточно высокого уровня детектирования новых вредоносных программ. Высокая эффективность эвристического анализатора наблюдается при детектировании эксплойтов.