Page 1

Антивирусное программное обеспечение

Antivirus software Antivirus software are computer programs that attempt to identify, neutralize or eliminate malicious software. The term "antivirus" is used because the earliest examples were designed exclusively to combat computer viruses; however most modern antivirus software is now designed to combat a wide range of threats, including worms, phishing attacks, rootkits, trojan horses and other malware.

Для выполнения этих функций обычно используются два подхода:

Antivirus software typically uses two different approaches to accomplish this:

 проверка (сканирование) файлов для поиска известных вирусов, совпадающих с их определениями в словаре, и  выявление подозрительного поведения какой-либо компьютерной программы, которое может свидетельствовать о заражении.

 examining (scanning) files to look for known viruses matching definitions in a virus dictionary, and

 identifying suspicious behavior from any computer program which might indicate infection.

Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

Антивирусное программное обеспечение (ПО) — это компьютерные программы, которые используются для обнаружения, нейтрализации или удаления вредоносных программ. Использование названия "антивирусное" связано с тем, что первые образцы таких приложений были предназначены исключительно для борьбы с компьютерными вирусами. Однако большинство современных антивирусных программ разработаны так, чтобы иметь возможность противостоять самым разным угрозам, в том числе компьютерным червям, фишингу, руткитам, троянским и другим вредоносным программам.

1


Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

2

Второй подход носит название эвристического анализа. Такой анализ может включать в себя сбор данных, мониторинг портов и другие методы.

The second approach is called heuristic analysis. Such analysis may include data captures, port monitoring and other methods.

В большей части коммерческого антивирусного программного обеспечения используются оба подхода, однако основным является основанный на поиске соответствий в словаре. Хотя некоторые люди считают сетевые межсетевые экраны разновидностью антивирусного ПО, такая классификация неверна.

Most commercial antivirus software uses both of these approaches, with an emphasis on the virus dictionary approach. Although some people consider network firewalls to be a type of antivirus software, this categorization is not correct.

Межсетевой экран, или брандмауэр, — это часть компьютерной системы или сети, предназначенная для блокировки несанкционированного доступа, которая не препятствует осуществлению санкционированных подключений. Он представляет собой устройство или совокупность устройств, в соответствии с конфигурацией которых на основании набора правил и других критериев происходит разрешение, блокировка, шифрование, дешифрование или проксирование всего трафика, входящего и исходящего, передаваемого между разными доменами безопасности.

A firewall is a part of a computer system or network that is designed to block unauthorized access while permitting authorized communications. It is a device or set of devices configured to permit, deny, encrypt, decrypt, or proxy all (in and out) computer traffic between different security domains based upon a set of rules and other criteria.


Firewalls can be implemented in either hardware or software, or a combination of both. Firewalls are frequently used to prevent unauthorized Internet users from accessing private networks connected to the Internet, especially intranets. All messages entering or leaving the intranet pass through the firewall, which examines each message and blocks those that do not meet the specified security criteria.

Существует несколько техник работы брандмауэров:

There are several types of firewall techniques:

1. Пакетный фильтр. При фильтрации пакетов проверяется каждый пакет, проходящий через сеть, и его принятие или отклонение происходит на основе правил, определённых пользователем. Несмотря на сложность конфигурирования, пакетный фильтр довольно эффективен и обычно прозрачен для пользователя. Кроме того, он подходит для защиты от IPспуфинга.

Packet filter: Packet filtering inspects each packet passing through the network and accepts or rejects it based on user-defined rules. Although difficult to configure, it is fairly effective and mostly transparent to its users. In addition, it is susceptible to IP spoofing.

2. Шлюз приложений. Такие типы брандмауэров применяют механизмы обеспечения безопасности к конкретным приложениям, таким как

Application gateway: Applies security mechanisms to specific applications, such as FTP

3

Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

Брандмауэр может быть выполнен как в аппаратном, так и в программном варианте, либо являться их сочетанием. Его часто используют для закрытия доступа неавторизованным пользователям сети Интернет к частным сетям, соединённым с Интернетом, особенно внутрикорпоративным. Все сообщения, попадающие во внутрикорпоративную сеть или покидающие её, проходят через брандмауэр, который проверяет каждое сообщение и блокирует те, что не соответствуют установленным критериям безопасности.


Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

4

серверы FTP и Telnet. Они очень эффективны, однако их использование может снизить производительность системы.

and Telnet servers. This is very effective, but can impose a performance degradation.

3. Шлюз сеансового уровня. Он подразумевает включение механизмов обеспечения безопасности при установлении соединения TCP или UDP. Когда соединение установлено, передача пакетов между хостами производится без дальнейших проверок.

Circuit-level gateway: Applies security mechanisms when a TCP or UDP connection is established. Once the connection has been made, packets can flow between the hosts without further checking.

4. Прокси-сервер. Прокси-сервер перехватывает все входящие и исходящие сообщения сети. Он способен эффективно скрывать действительные сетевые адреса.

Proxy server: Intercepts all messages entering and leaving the network. The proxy server effectively hides the true network addresses.

Метод определения по словарю

Dictionary

Когда антивирусная программа, обнаруживающая вирусы по словарю, сканирует файл, она обращается к словарю известных вирусов, определённых её авторами. Если какой-либо участок кода файла соответствует вирусу, описанному в словаре, антивирусное приложение может предпринять одно из следующих действий:

In the virus dictionary approach, when the antivirus software looks at a file, it refers to a dictionary of known viruses that the authors of the antivirus software have identified. If a piece of code in the file matches any virus identified in the dictionary, then the antivirus software can take one of the following actions:


 попытаться вылечить файл, извлекая из него тело вируса,  поместить файл в карантин, так что другие программы не могут получить к нему доступ и содержащийся в нём вирус не имеет возможности распространяться, или

 attempt to repair the file

5

by removing the virus itself from the file,

 quarantine the file (such that the file remains inaccessible to other programs and its virus can no longer spread), or

 delete the infected file.

Для стабильно успешного применения данного метода в среднесрочной и долгосрочной перспективе необходимо периодически загружать, обычно через Интернет, обновлённые записи словаря. Обнаружив в сети новые вирусы, сознательные, технически подкованные пользователи могут отправлять заражённые файлы авторам антивирусных программ, чтобы те включили информацию о только что найденных вирусах в словари.

To achieve consistent success in the medium and long term, the virus dictionary approach requires periodic (generally online) downloads of updated virus dictionary entries. As civically-minded and technically-inclined users identify new viruses "in the wild", they can send their infected files to the authors of antivirus software, who then include information about the new viruses in their dictionaries.

Как правило, антивирусные приложения, работающие на базе словаря, проверяют файлы в тот момент, когда операционная система создаёт, открывает, закрывает или отправляет их по электронной почте. В этом случае известные вирусы могут быть обнаружены сразу после того, как произошло заражение. Следует отметить, что системные администраторы обычно планируют

Dictionary-based antivirus software typically examines files when the computer's operating system creates, opens, closes, or e-mails them. In this way it can detect a known virus immediately upon receipt. Note too that a System Administrator can typically schedule the antivirus

Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

 удалить инфицированный файл.


Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

6

регулярную проверку (сканирование) антивирусом всех файлов, находящихся на жестком диске компьютера.

software to examine (scan) all files on the computer's hard disk on a regular basis.

Несмотря на то, что методика обнаружения по словарю позволяет при соответствующих обстоятельствах эффективно препятствовать проникновению вирусов, их авторы пытаются обойти защиту, создавая "олигоморфные", "полиморфные" и — в последнее время — "метаморфные" вирусы, которые для маскировки своего присутствия шифруют часть своего кода или изменяют его какимлибо другим способом, так чтобы их сигнатуры не соответствовали приведённым в словаре.

Although the dictionary approach can effectively contain virus outbreaks in the right circumstances, virus authors have tried to stay a step ahead of such software by writing "oligomorphic", "polymorphic" and more recently "metamorphic" viruses, which encrypt parts of themselves or otherwise modify themselves as a method of disguise, so as to not match the virus's signature in the dictionary.

Метод "белого списка" является новым в борьбе с любым вредоносным ПО. Вместо того чтобы заниматься поиском лишь известных вредоносных программ, эта техника позволяет предотвратить исполнение любого программного кода, за исключением того, что был заранее определён системным администратором как безопасный. Благодаря методике запрета по умолчанию, можно избежать ограничений, связанных с необходимостью поддерживать базу данных сигнатур вирусов в актуальном состоянии. Кроме того, имеющиеся на компьютере

An emerging technique to deal with malware in general is whitelisting. Rather than looking for only known bad software, this technique prevents execution of all computer code except that which has been previously identified as trustworthy by the system administrator. By following this default deny approach, the limitations inherent in keeping virus signatures up to date are avoided. Additionally, computer applications that are


Метод выявления подозрительного поведения Основанный на подозрительном поведении программ подход, напротив, не пытается выявить присутствие известных вирусов — вместо этого отслеживаются действия всех программ. Если одна из них попытается, например, записать данные в код исполняемого приложения, антивирусная программа может отметить её странное поведение, оповестить об этом пользователя и запросить его действия.

unwanted by the system administrator are prevented from executing since they are not on the whitelist. Since modern enterprise organizations have large quantities of trusted applications, the limitations of adopting this technique rest with the system administrators' ability to properly inventory and maintain the whitelist of trusted applications. As such, viable implementations of this technique include tools for automating the inventory and whitelist maintenance processes.

Suspicious behavior The suspicious behavior approach, by contrast, doesn't attempt to identify known viruses, but instead monitors the behavior of all programs. If one program tries to write data to an executable program, for example, the antivirus software can flag this suspicious behavior, alert a user, and ask what to do.

7

Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

нежелательные для администратора приложения также невозможно запустить, поскольку они не упомянуты в "белом списке". Так как инфраструктура современных предприятий подразумевает наличие большого количества надёжных приложений, ограничения в применении данной техники заключаются в способности администратора должным образом составить и поддерживать "белый список" безопасных приложений. По этой причине её практическое применение подразумевает использование инструментов для автоматизации процессов составления и поддержания "белых списков".


Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

8

В отличие от метода выявления по словарю, технология определения подозрительного поведения обеспечивает, таким образом, защиту от новейших вирусов, не описанных ни в одном словаре. В то же время, она чревата большим количеством ложных срабатываний, так что пользователь может перестать реагировать на все оповещения. Если он станет нажимать кнопку "Разрешить" каждый раз при виде сигнала опасности, несомненно, антивирус окажется для него бесполезным. Начиная с 1997 года эта проблема становилась всё серьёзнее, поскольку всё больше современных безопасных программ требуют во время работы внесения изменений в код других EXE-файлов, без учёта эффекта ложного срабатывания. Это приводит к тому, что в большей части современных антивирусных приложений эта методика используется всё реже.

Unlike the dictionary approach, the suspicious behavior approach therefore provides protection against brand-new viruses that do not yet exist in any virus dictionaries. However, it can also sound a large number of false positives, and users probably become desensitized to all the warnings. If the user clicks "Accept" on every such warning, then the antivirus software obviously gives no benefit to that user. This problem has worsened since 1997, since many more non-malicious program designs came to modify other .exe files without regard to this false positive issue. Therefore, most modern antivirus software uses this technique less and less.

Другие методики

Other approaches

Некоторые антивирусные программы используют другие виды эвристического анализа. Например, антивирус может попытаться эмулировать начальную часть кода каждого нового исполняемого файла, прежде чем ему будет передан контроль. Если имеется подозрение,

Some antivirus software use other types of heuristic analysis. For example, it could try to emulate the beginning of the code of each new executable that the system invokes before transferring control to that executable. If the program


seems to use self-modifying code or otherwise appears as a virus (if it immediately tries to find other executables, for example), one could assume that a virus has infected the executable. However, this method could result in a lot of false positives.

Ещё один метод обнаружения основан на использовании изолированной программной среды, или "песочницы". Она эмулирует среду операционной системы и запускает в этой имитации исполняемый файл. После того как работа программы завершена, антивирусное приложение анализирует содержимое "песочницы" на предмет каких-либо изменений, которые могут указать на присутствие вируса. Из-за возможного снижения производительности этот метод обнаружения обычно используется при сканированиях по требованию. Он также может оказаться неэффективным, если код вируса основан на недетерминированном алгоритме и во время нескольких запусков производит различные действия — либо не производит вовсе, так что его невозможно выявить за один запуск.

Yet another detection method involves using a sandbox. A sandbox emulates the operating system and runs the executable in this simulation. After the program has terminated, software analyzes the sandbox for any changes which might indicate a virus. Because of performance issues, this type of detection normally only takes place during on-demand scans. Also this method may fail as viruses can be nondeterministic and result in different actions or no actions at all done when run — so it will be impossible to detect it from one run.

9

Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

что в этом приложении используется самомодифицирующийся код, либо оно каким-то образом ведёт себя как вирус (например, незамедлительно пытается обнаружить другие исполняемые файлы), приложение будет отмечено как инфицированное. Использование этого метода, однако, может привести к большому числу ложных срабатываний.


Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

10

Некоторые антивирусные сканеры могут также выдавать пользователю предупреждение, если имеется подозрение, что файл содержит вирус, характерный для файлов этого типа.

Some virus scanners can also warn a user if a file is likely to contain a virus based on the file type.

Спорные вопросы

Issues of concern

 Регулярное появление всё новых вредоносных программ, без сомнения, в финансовом плане выгодно для производителей антивирусного программного обеспечения, однако никаких признаков их тайного сговора с авторами вирусов выявлено не было.

The regular appearance of new malware is certainly in the financial interest of vendors of commercial antivirus software, but there is no evidence of collusion.

 Некоторые антивирусные программы могут значительно снижать производительность системы. Чтобы повысить быстродействие, пользователи порой отключают антивирусную защиту, что увеличивает вероятность заражения. Для обеспечения максимальной защиты антивирус должен быть включён постоянно — для этого часто приходится жертвовать быстродействием (см. также «Раздувание программного обеспечения»).

Some antivirus software can considerably reduce performance. Users may disable the antivirus protection to overcome the performance loss, thus increasing the risk of infection. For maximum protection, the antivirus software needs to be enabled all the time — often at the cost of slower performance (see also software bloat).

 Важно отметить, что не следует устанавливать одновременно несколько резидентных антивирусных

It is important to note that one should not have more than one memory-resident


antivirus software solution installed on a single computer at any given time. Otherwise, the computer may be crippled and further damaged.

 Иногда необходимо временно отключать антивирусную защиту во время установки основных обновлений системы, таких как Windows Service Pack, или обновления драйверов графических карт. Работающая программа-антивирус может частично или полностью воспрепятствовать установке основного обновления.

It is sometimes necessary to temporarily disable virus protection when installing major updates such as Windows Service Packs or updating graphics card drivers. Active antivirus protection may partially or completely prevent the installation of a major update.

 Во время приобретения антивирусного программного обеспечения следует учесть, что лицензионное соглашение может содержать условие, согласно которому подписка на приложение возобновляется автоматически и средства с кредитной карты покупателя взимаются при этом без его явного согласия. Для предотвращения повторного снятия средств компания McAfee, например, требует, чтобы пользователь аннулировал подписку по меньшей мере за 60 дней до момента истечения срока текущей подписки. Пакет Norton Antivirus также по умолчанию автоматически возобновляет

When purchasing antivirus software, the agreement may include a clause that the subscription will be automatically renewed, and the purchaser's credit card automatically billed, at the renewal time without explicit approval. For example, McAfee requires one to unsubscribe at least 60 days before the expiration of the present subscription. Norton Antivirus also renews subscriptions automatically by default.

11

Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

средств на один компьютер. Это может привести к нарушению функционирования системы и дальнейшему её повреждению.


Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

12

подписку.  Некоторые "антивирусы" являются на самом деле шпионскими программами, маскирующимися под антивирусное программное обеспечение. Чтобы убедиться в том, что скачиваемое антивирусное приложение в действительности является таковым, лучше всего проверить его дважды.

Some antivirus programs are actually spyware masquerading as antivirus software. It is best to double-check that the antivirus software which is being downloaded is actually a real antivirus program.

 Некоторые коммерческие антивирусные программные продукты содержат рекламное ПО.

Some commercial antivirus software programs contain adware.

 Большинство широко распространённых антивирусных программ, как правило, не способны выявить недавно созданные вирусы.

Most widely-accepted antivirus programs often do not detect newly-created viruses.

 Иногда производителей антивирусного ПО обвиняют в том, что они нагнетают страх, преувеличивая опасность, которую представляют собой вирусы для их клиентов.

Anti-virus manuafacturers have been criticised for fear mongering by exaggerating the risk that virus pose to consumers.

Мобильные устройства

Mobile devices

Из сферы настольных компьютеров и ноутбуков вирусы перебрались на мобильные устройства. Производители антивирусного ПО уже начинают предлагать решения для мобильных телефонов. Работа антивирусной программы на таких устройствах связана со следующими

Viruses from the desktop and laptop world have migrated to mobile devices. Antivirus vendors are beginning to offer solutions for mobile handsets. These devices present significant challenges for antivirus


сложностями:  ограничения, налагаемые архитектурой процессора,  ограничения, налагаемые объёмом памяти, и

13

 processor constraints,  memory constraints, and  definitions and new signature updates to these mobile handsets.

В настоящее время мобильные телефоны предоставляют широкий спектр интерфейсов и способов передачи данных. Потребителю следует тщательно оценивать средства безопасности, прежде чем применять их на устройствах столь малого форм-фактора.

Mobile handsets are now offered with a variety of interfaces and data connection capabilities. Consumers should carefully evaluate security products before deploying them on devices with a small form factor.

Аппаратные решения, такие как антивирусы на USB-устройствах и SIM-картах, возможно, лучше соответствуют потребностям пользователя мобильного телефона. Поскольку процесс сканирования может затронуть другие приложения, имеющиеся на портативном устройстве, использование антивирусных решений на мобильных телефонах требует проведения технической оценки и анализа.

Solutions that are hardwarebased, perhaps USB devices or SIM-based antivirus solutions, might work better in meeting the needs of mobile handset consumers. Technical evaluation and review on how deploying an antivirus solution on cellular mobile handsets should be considered as scanning process might impact other legitimate applications on the handheld.

Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

 необходимость определения и обновления сигнатур вирусов специально для мобильных устройств.

software, such as:


Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

14

Решения на SIM-картах со встроенным антивирусом, занимающим малый объём памяти, могут представлять собой базовый вариант как для борьбы с вредоносным ПО и вирусами, так и для защиты PIMданных и пользовательской информации. Решения, основанные на USB-устройствах и флэш-картах, позволяют пользователю переносить эти программы для использования на разных аппаратных платформах.

SIM-based solutions with antivirus integrated on the small memory footprint might provide a basic solution to combat malware/viruses in protecting PIM and mobile user data. Solutions based on USB and Flash memory allow the user to swap and use these products with a range of hardware devices.

Эффективность применения

Effectiveness

Проведённые в декабре 2007 года исследования показали, что эффективность применения антивирусного программного обеспечения значительно снизилась в сравнении с показателями нескольких лет давности, в частности, в борьбе против неизвестных угроз или атак "нулевого дня". Немецкий журнал «c't», посвящённый компьютерной технике, обнаружил, что частота обнаружений угроз таких типов за один только год снизилась с 40-50% до 20-30%. Лишь одно из описанных приложений сумело достигнуть уровня обнаружения атак выше 50%.

Studies in December 2007 have shown that the effectiveness of Antivirus software is much reduced from what it was a few years ago, particularly against unknown or zero day threats. The German computer magazine c't found that detection rates for these threats had dropped to a frightening 20% to 30%, as compared to 40% to 50% only one year earlier. Only one product managed a detection rate above 50%.


The problem is magnified by the changing intent of virus authors. Some years ago it was obvious when a virus infection was present. The viruses of the day, written by amateurs, exhibited destructive behavior or popped-up screen messages. Modern viruses are often written by professionals, financed by criminal organizations. It is not in their interests to make their viruses evident, because their purpose is to create botnets or steal information for as long as possible without the user realizing this; consequently, they are often well-hidden. If an infected user has a lessthan-effective antivirus product that says the computer is clean, then the virus may go undetected. As a result of this, even major antivirus products have failed to detect programs containing malicious behaviour.

15

Перевод: Екатерина Никонова ( ekaterina.v.nikonova@live.ru )

Эта проблема становится всё более серьёзной по мере того, как меняются цели авторов вирусов. Несколько лет назад инфицирование системы было для пользователя очевидным. Вирусы того времени, создаваемые любителями, явным образом демонстрировали своё разрушительное поведение или обнаруживали себя с помощью всплывающих окон с сообщениями. Современные вирусы часто создаются профессионалами при финансовой поддержке криминальных организаций. Обнаруживать присутствие вирусов в этом случае невыгодно, поскольку целью авторов является создание ботнетов или похищение информации в течение как можно более долгого времени так, чтобы пользователь не знал об этом. По этой причине вирусы часто тщательно замаскированы. Если владелец инфицированной системы пользуется не слишком эффективным антивирусным продуктом, который сообщает о том, что вирусов не обнаружено, они могут продолжать работу незамеченными. В результате даже разработки крупных производителей бывают неспособны выявить программы, чьё функционирование наносит вред системе.

Antivirus Software (ENG-RUS)  

Антивирусное ПО: механизмы работы антивирусных программ и методики выявления вирусов. Перевод статьи из "Википедии".

Read more
Read more
Similar to
Popular now
Just for you