Quote (gu2in)
Запитання до знавців вірусів та антивірусних програм:
останнім часом одним з найкращих результатів тестування показав і антивірус розроблений компанією Agnitum Outpost. Вона відома своїм брандмауером, а ось випустила комбіновану програму файрвол+антивірусник (щось схоже на КІS Касперського). Хто-небудь користувався нею, чи чув щось?
Даже тестували не тільки чули оут пост не погана річ захищає ПК чудаво але аж занадто . та так що його не видно в мережі . 20 хвилин все чудово всі ПК на яких стоїть дана прога видно а потім немає доступу до робочої групи . що саме цікаве по айпішніку відкриваєтся любий пк з робочої групи.
Дже при виключеному власному бренмеуері даної програми розшарити сітку неможливо. А найбільша проблема виникає коли ви спробуєте видалити оутпост .. Можете інстальнуть а потім спробувати прибити прогу . Щоб повибивати її повністю в вас займе багатенько часу . Сама по собі прога як на користувача в домашніх умовах може виеористовуватись трояни макроси та іншу заразу знаходить непогано по 10 бальні шкалі можна поставити тверді 6 балів .
Додано (25.01.2009, 10:57)
---------------------------------------------
Дослідники з бристольскої лабораторії компанії Hewlett-Packard (Великобританія) задумалися над майбутнім сучасних антивірусних програм. Дослідження, заявлене компанією як унікальне по даній тематиці, було {опубліковане} у журналі New Scientist.
Приводом для проведення подібної роботи став той факт, що сучасні віруси удосконалюються і поширюються швидше, ніж міри захисту від них, відзначає Метью Вільямсон, співробітник лабораторії НР. У результаті, збиток вірус наносить раніше, ніж з'явиться від нього протиотрута.
Справа в тому, що сучасні антивірусні програми працюють з описами шкідливих програм, що додаються і зберігаються у вірусних базах. Незважаючи на те, що бази іноді оновляються кілька разів у день, багато користувачів просто не встигають скачати собі апдейти (іноді функцію оновлення нерідко відключають через повільний зв'язок). Крім того, процес аналізу вірусу і написання оновлення займає якийсь час, протягом якого комп'ютери клієнтів залишаються фактично беззахисними. Один з останніх прикладів - епідемія хробака Slammer, що заразив на початку січня цього року протягом півгодини близько 78000 комп'ютерів. Сильний удар по багатьом компаніям нанесла і недавня епідемія вірусу Sobig. Вона довелася на період відпусток (відпочивали, зокрема, і системні адміністратори), і в багатьох фірм антивірусні бази так і не обновилися до початку вересня.
Однак, дослідники вважають, що запізнення в розробці засобів боротьби з вірусами - не єдине вразливе місце сучасних антивірусних програм. У якості ще одного недоліку в HP відзначили сам принцип роботи програми - порівняння електронного контента комп'ютера з умістом баз. Відомо, що останні, у міру виникнення нових епідемій, розширюються і стають усе більш громіздкими. У результаті, елементарна перевірка вхідної електронної пошти часто гальмує навіть високопродуктивну систему. При цьому виключити з бази старі описи вірусів не можна через можливість виникнення повторних епідемій.
Як перспективу розвитку антивірусних програм учені припускають, що антивірусні програми еволюціонують убік розробки інструментів прогнозування вірусних атак. Однак конкретні пропозиції носять поки досить розпливчастий характер. Наприклад, Метью Вільямсон припускає, що антивірус може відслідковувати стабільність роботи системи відповідно до встановленого адміністратора правами і правилами. І хоча вже є кілька програм, що працюють по цьому принципу (наприклад, антивірус Viguard), вирішити проблему на рівні рядових користувачів вони поки не можуть.
Додано (25.01.2009, 11:30)
---------------------------------------------
За порівняно недовгу історію існування комп'ютерних вірусів антивірусна індустрія розробила цілий ряд досить ефективних заходів боротьби з "комп'ютерною заразою". З часом деякі з них застарівали і поступово виводилися антивірусними компаніями з арсеналу, що діяв, на зміну яким приходили нові, сучасніші і ефективніші технології. Подібна зміна поколінь вельми характерна для антивірусних програм, що визначається постійним протистоянням вірус-антивірус. Остання обставина породжує безперервну гонку озброєнь: поява нового вірусу, що використовує раніше невідомий пролом в системі захисту операційної системи або додатку, негайно спричиняє за собою адекватні дії по нейтралізації загрози з боку антивірусних програм. Наприклад, така доля спіткала іммунізаторов, що були такими популярними на зорі ери персональних комп'ютерів: вони просто перестали задовольняти вимогам, що пред'являються антивірусним програмам. У свою чергу, антивірусні компанії також не можна звинуватити в пасивності позиції, коли мова заходить про безпеку їх замовників. Практично в кожній з них або є спеціальні підрозділи високопрофесійних антивірусних експертів, які займаються вивченням можливих шляхів розвитку вірусів, або ці компанії регулярно проводять наради, мозкові штурми, переслідуючі ті ж цілі. Наочним прикладом може бути розробка механізмів захисту від невідомих вірусів: технологія евристичного аналізу, надмірне сканування і поведінкові блокування.
Сьогодні виділяються 5 основних типів антивірусних програм: сканери, монітори, ревізори змін, іммунізатори і поведінкові блокування. Деякі з них практично вийшли з вживання у зв'язку з низькою ефективністю, інші ще не використовуються достатньо широко.
Сканери
Антивірусні сканери – піонери антивірусного руху, що вперше з'явилися на світло практично одночасно з самими комп'ютерними вірусами. Принцип їх роботи полягає в пошуку у файлах, пам'яті, і завантажувальних секторах вірусних масок, тобто унікального програмного коду вірусу. Вірусні маски (описи) відомих вірусів містяться в антивірусній базі даних і якщо сканер зустрічає програмний код, співпадаючий з одним з цих описів, то він видає повідомлення про виявлення відповідного вірусу.
Тут виникає перша проблема, тому що щонайменші модифікації вірусу можуть зробити його невидимим для сканера: програмний код повністю не співпадатиме з описом в базі даних. Наприклад, існує багато варіантів вірусу "Чорнобиль", і майже для кожного з них антивірусним кампаніям доводилося випускати окреме оновлення антивірусної бази даних. Іншим аспектом даної проблеми є т.з. поліморфні віруси, тобто віруси, що не мають постійного програмного коду: заражаючи черговий файл, вони за допомогою шифрування самостійно змінюють свій вигляд, при цьому зберігаючи свою функціональність.
Прихильність сканерів до антивірусних баз означає другу проблему: час між появою вірусу і виходом відповідного оновлення користувач залишався практично незахищеним від атак нових вірусів. На щастя, зараз швидкість доставки протиотрути зведена до мінімуму, в деяких випадках обчислюючись хвилинами. Але і віруси не стоять на місці: за допомогою електронної пошти вони можуть розповсюдитися по всьому світу за лічені секунди! Таким чином, навіть сучасну швидкість розробки і доставки захисту від нових вірусів не можна вважати достатньою. Саме тому ще в початку 90-х, експерти придумали і упровадили в сканери оригінальний спосіб виявлення невідомих вірусів – евристичний аналізатор, тобто аналіз послідовності команд в об'єкті, що перевіряється, акумуляція статистики і ухвалення рішення про можливість присутності в нім невідомого комп'ютерного вірусу. Проте, даний метод характеризується наявністю помилкових спрацьовувань, недостатньо високим рівнем надійності і відсутністьм гарантії ефективного видалення виявлених вірусів. Для боротьби ж з поліморфними вірусами були винайдені інші прийоми: алгоритмічні мови, що описують всі можливі варіанти коду і системи автоматичного дешифрування коду (емулятори).
Нарешті, третя проблема: антивірусний сканер перевіряє файли, тільки коли користувач “попросить” його це зробити, тобто запустить програму. Це вимагає постійної уваги і концентрації. Дуже часто користувачі забувають перевірити сумнівний файл, завантажений, наприклад, з Інтернет і, в результаті, власноручно заражають свій комп'ютер. Таким чином, сканер здатний визначити факт зараження постфактум, тобто вже після того, як в системі з'явиться вірус.
До інших недоліків сканерів слідують віднести їх великий розмір, що визначається необхідністю "тягати" з собою антивірусну базу даних, вимогливість до системних ресурсів і невелика швидкість пошуку вірусів. Не дивлячись на це, не варто забувати важливу перевагу сканерів: вони здатні блокувати розповсюдження Internet-черв'яків, ефективно видаляти віруси із заражених файлів і завантажувальних секторів диска і відновлювати їх працездатність. Безумовно, останнє можливо, тільки якщо вірус не знищив оригінальний вміст зараженого об'єкту.
Монітори
Розвиток апаратних можливостей комп'ютерів і поява більш довершених операційних систем зробив можливою розробку другого виду антивірусних програм - антивірусних моніторів. На даний момент розрізняються три основні типи: файлові монітори, монітори для поштових програм і монітори для спеціальних додатків.
За своєю суттю всі вони є різновидом сканерів, які постійно знаходяться в пам'яті комп'ютера і здійснюють автоматичну перевірку всіх використовуваних файлів в масштабі реального часу. Сучасні монітори здійснюють перевірку у момент відкриття і закриття програми. Таким чином, виключається можливість запуску раніше інфікованих файлів і зараження файлу резидентним вірусом.
Для включення антивірусного захисту, користувачеві досить завантажити монітор при запуску операційної системи або додатку. Як правило, це робить сам антивірусний пакет в процесі його установки наступними способами:
- додає інструкцію запуску монітора в каталог автоматично виконуваних програм або у відповідне поле системного реєстру
- реєструє монітор як системний сервіс, який запускається незалежно від імені користувача
- інтегрує монітор в поштову програму або інший додаток.
Завдяки фоновому режиму роботи антивірусні монітори дозволяють користувачеві не обтяжувати себе турботою про ручне сканування кожного нового файлу: антивірусна перевірка буде здійснена автоматично. У разі виявлення шкідливої програми, монітор, залежно від настройок, вилікує файл, заблокує його виконання або ізолюватиме, перемістивши в спеціальну карантинну директорію для подальшого дослідження.
Файлові монітори є найбільш поширеним різновидом цього типу антивірусних програм. Вони працюють як частина операційної системи, в масштабі реального часу перевіряючи всі використовувані об'єкти, незалежно від їх походження і приналежності якому-небудь додатку. Процедура роботи файлових моніторів заснована на перехопленні і антивірусній фільтрації потоку даних в т.з. точці входу операційної системи. Якщо в об'єкті, що поступив на точку входу, не виявлено шкідливих програм, то він передається на виконання. У зворотному випадку, об'єкт, за описаним вище сценарієм, лікується, блокується або ізолюється. Файлові монітори широко використовуються як на робочих станціях, так і на файлових серверах і серверах додатків. У разі їх застосування на сервері необхідно переконатися, що монітор підтримує багатопоточність обробки файлів, тобто здатний перевіряти одночасно багато файлів. Інакше це може негативно позначитися на швидкодії як сервера так і мережі в цілому.
Монітори для поштових програм є антивірусними модулями, що інтегруються в програми обробки електронної пошти, – як серверні, так і клієнтські. По суті справи, вони стають невід'ємною частиною програми і під час вступу нового листа автоматично перевіряють його. На відміну від файлових моніторів вони вимагають менше системних ресурсів і набагато стійкіші, оскільки можливість системного конфлікту на рівні додатку істотно менша, ніж на рівні операційної системи. На додаток до цього "поштові" монітори перевіряють всі вхідні і витікаючі повідомлення відразу ж після їх отримання або відправлення. Файлові монітори здатні розпізнати шкідливий код тільки коли користувач спробує його запустити. Крім того, антивірусний модуль здатний не тільки виявляти, але і успішно лікувати всі ділянки заражених повідомлень: прикріплені файли, інші повідомлення будь-якого рівня вкладеність, упроваджені OLE об'єкти і саме тіло листа. Такий комплексний підхід не дає вірусам шансів «сховатися» ні в одній з ділянок листа. Монітори для спеціальних додатків також забезпечують фонову перевірку об'єктів, але тільки в рамках додатку, для якого вони призначені. Наочним прикладом можуть бути антивірусні монітори для MS Office 2000. Подібно до своїх "поштових" "колег" вони інтегруються в програму і знаходяться в пам'яті комп'ютера під час її роботи. Ці монітори також в масштабі реального часу контролюють всі використовувані файли і повідомляють про виявлені віруси. В порівнянні з антивірусними сканерами монітори надають користувачам більше зручностей в роботі з комп'ютерами, повністю автоматизуючи процес перевірки системних ресурсів. До інших їх достоїнствам варто віднести здатність виявити, локалізувати і блокувати вірус на найранішій стадії його розмноження, що, до речі, буває дуже корисно у випадках, коли давно відомий вірус постійно "виповзає невідомо звідки". Проте, монітори також вимагають наявність громіздких антивірусних баз даних. Крім цього, вони відрізняються нижчим ступенем стійкості роботи, що визначає перевагу багатьма системними адміністраторами регулярним перевіркам серверних ресурсів сканерами, ніж постійне використання моніторів.
Ревізори змін
Третій різновид антивірусів – ревізори змін (integrity checkers). Ця технологія захисту заснована на тому факті, що віруси є звичайними комп'ютерними програмами, що мають здатність таємно створювати нові або упроваджуватися у вже існуючі об'єкти (файли, завантажувальні сектори). Іншими словами, вони залишають сліди у файловій системі, які потім можна відстежити і виявити факт присутності шкідливої програми.
Принцип роботи ревізорів змін заснований на знятті оригінальних “відбитків” (CRC-сум) з файлів, системних секторів і системного реєстру. Ці “відбитки” зберігаються в базі даних. При наступному запуску ревізор звіряє “відбитки” з їх оригіналами і повідомляє користувача про зміни, що відбулися, окремо виділяючи вірусоподібні та інші, не підозрілі, зміни.
У 1990 році перші віруси-невидимки (stealth) Frodo і Whale трохи не поставили під сумнів ефективність цього типу антивірусів. Технологія роботи вірусів-невидимок грунтується на захованні своєї присутності в системі за допомогою підстановки у разі спроби перевірки заражених файлів і завантажувальних секторів антивірусними програмами їх "чистих" варіантів. Такі віруси перехоплюють переривання звернення до диска і, при виявленні спроби запустити або прочитати заражений об'єкт, підставляють його незаражену копію. Не дивлячись на це, ревізори "навчилися" звертатися до дисків безпосередньо через драйвер дискової підсистеми IOS (супервізор введення-виведення), минувши системні переривання, що дозволило їм успішно виявляти навіть віруси-невидимки.
Додано (25.01.2009, 11:31)
---------------------------------------------
До достоїнств найбільш просунутих ревізорів змін варто віднести виключно високу швидкість роботи, низькі вимоги до апаратної частини комп'ютера, високий відсоток відновлення файлів і завантажувальних секторів, пошкоджених вірусами, зокрема невідомими. Їх підхід до лікування заражених об'єктів грунтується не на знанні як виглядає вірус, а на знанні як виглядає "чистий" файл або сектор: все, що "псує чистоту" розглядається як зміна, гідна уваги ревізора, який здатний повернути об'єкт до початкового стану. Саме тому ревізори не вимагають громіздкої антивірусної бази даних, задовольняючись лише описами способів впровадження вірусів, які займають, залежно від продукту, всього від 300 до 500 кілобайт. Знаючи ці способи, програма може швидко і ефективно видалити вірус незалежно від того, де знаходиться його код: початку, середині, кінці або ж взагалі розкиданий у вигляді невеликих шматків по всьому зараженому об'єкту. У ревізорів змін теж є свої недоліки. По-перше, вони не здатні зловити вірус у момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся по комп'ютеру. По-друге, вони не можуть визначити вірус в нових файлах (у електронній пошті, на дискетах, у файлах, відновлюваних з резервної копії або при розпаковуванні файлів з архіву), оскільки в їх базах даних відсутня інформація про ці файли. Цим користуються деякі віруси, які використовують цю “слабкість” ревізорів і заражають тільки новостворювані файли, залишаючись, таким чином, невидимими для цих антивірусних програм. По-третє, ревізори вимагають регулярного запуску – чим частіше це відбуватиметься, тим надійніше буде контроль над вірусною активністю.
Іммунізатори
Необхідно також згадати такий різновид антивірусних програм, як іммунізатори. Вони діляться на два види: іммунізатори, що повідомляють про зараження, і іммунізатори, блокуючі зараження яким-небудь типом вірусу. Перші зазвичай записуються в кінець файлів (за принципом файлового вірусу) і при запуску файлу кожного разу перевіряють його на зміну. Недолік у таких іммунізаторов всього один, але він принциповий: абсолютна нездатність виявити зараження вірусами-невидимками, принцип маскування яких описаний вище. Другий тип іммунізаторов захищає систему від поразки яким-небудь певним вірусом. Файли модифікуються таким чином, що вірус приймає їх за вже заражені. Наприклад, щоб запобігти зараженню COM-файлу вірусом Jerusalem досить дописати в його кінець рядок MSDos. Для захисту від резидентного вірусу в пам'ять комп'ютера заноситься програма, що імітує копію вірусу. При запуску вірус натикається на неї і вважає, що система вже заражена. Другий тип імунізації не может бути визнаний універсальним, оскільки не можна імунізувати файли від всіх відомих вірусів: у кожного з них свої прийоми визначення зараженості файлів. Крім того, багато вірусів не перевіряють файли на предмет присутності в них своєї копії. Не дивлячись на це, подібні іммунізатори як напівзахід можуть цілком надійно захистити комп'ютер від нового невідомого вірусу аж до того моменту, коли він визначатиметься антивірусними сканерами. Із-за описаних вище недоліків іммунізатори не набули великого поширення і в даний час практично не використовуються.
Поведінкові блокування
Всі перераховані вище типи антивірусів не вирішують головної проблеми – захисту від невідомих вірусів. Таким чином, комп'ютерні системи виявляються беззахисні перед ними до тих пір, поки антивірусні компанії не розроблять протиотрути. Іноді на це потрібний до декількох тижнів. Весь цей час компанії по всьому світу мають реальну “можливість” втратити найважливіші дані, від яких залежить майбутнє їх бізнесу або результати багаторічних праць. Однозначно відповісти на питання “що ж робити з невідомими вірусами?” нас чекає лише в новому тисячолітті. Проте вже зараз можна зробити прогноз відносно найбільш перспективних шляхів розвитку антивірусного програмного забезпечення. На наш погляд, таким напрямом стануть т.з. поведінкові блокування. Саме вони мають реальну можливість з 100% гарантією протистояти атакам нових вірусів. Що таке поведінкове блоквання? Це резидентна програма, яка перехоплює різні події і у разі "підозрілих" дій (дій, які може проводити вірус або інша шкідлива програма), забороняє цю дію або запрошує дозвіл у користувача. Іншими словами, той, що блокує здійснює не пошук унікального програмного коду вірусу (як це роблять сканери і монітори), не порівнює файли з їх оригіналами (на зразок ревізорів змін), а відстежує і нейтралізує шкідливі програми по їх характерних діях. Ідея тих, що блокують не нова. Вони з'явилися достатньо давно, проте ці антивірусні програми не набули широкого поширення із-за складності настройки, що вимагає від користувачів глибоких знань в області комп'ютерів. Не дивлячись на це, технологія непогано прижилася на інших напрямах інформаційного захисту. Наприклад, добре відомий стандарт Java, розроблений компанією Sun, забезпечував кожній виконуваній Java-програмі строго обмежений віртуальний простір (набір дозволених дій), який запобігав всім спробам програм виконати заборонені інструкції (напрімер, видалення файлів), які, на думку користувача дуже підозрілі і представляють загрозу безпеці його даних.
Давайте розглянемо докладніше за гідність і недоліки тих, що поведінкових блокувань. Теоретично, той, що блокує може запобігти розповсюдженню будь-якого як відомого, так і невідомого вірусу, попереджаючи користувача до того, як вірус заразить інші файли або завдасть якої-небудь шкоди комп'ютеру. Але вірусоподібні дії може проводити і сама операційна система або корисні утиліти. Тут варто провести межу між двома типами тих, що блокують: файловими блокувальниками і блокувальниками додатків.
Той, що файловий поведінковий блокувальник не може самостійно визначити - хто ж виконує підозрілу дію - вірус, операційна система або яка-небудь утиліта і вимушений питати підтвердження у користувача. Тобто кінець кінцем рішення часто приймає користувач, який повинен володіти достатніми знаннями і досвідом, щоб дати правильну відповідь. Інакше операційна система або утиліта не зможе провести необхідну дію, або вірус проникне в систему. Саме з цієї причини блокувальники і не стали популярними: їх достоїнства часто ставали їх недоліками, вони здавалися дуже нав'язливими своїми запитами і користувачі просто видаляли ці програми. На жаль, ситуацію зможе виправити лише винахід штучного інтелекту, який зможе самостійно розібратися в причинах тієї або іншої підозрілої дії.
Ті, що блокують для спеціалізованих додатків мають значно більше шансів набути широкого поширення, оскільки круг їх компетенції чітко обмежений структурою конкретного додатку. Це означає, що під гострозоре око того, що блокує потрапляє строго обмежена кількість дій, які можуть здійснювати програми, створені для даного додатку.
Найбільш показовий приклад – Microsoft Office і проблема захисту від макро-вірусів. Якщо розглядати програми, написані на найбільш поширеній макромові VBA (Visual Basic for Application), то тут можна з дуже великою часткою ймовірності відрізнити шкідливі дії від корисних.
Завдяки проведеному аналізу макро-вірусів в процесі моделювання їх поведінки, можна визначити найбільш послідовності їх дій, що часто зустрічаються. Це дозволяє упровадити в програму нову, високоінтелектуальну систему фільтрації дій макросів і з високою часткою достовірності безпомилково виявляти і запобігати тим з них, які є потенційною небезпекою. Саме завдяки цьому той, що поведінковий блокувальник для MS Office не такий "нав'язливий" як його файлові "колеги". Але, ставлячи менше питань користувачеві, програма не стала менш надійною. Використовуючи його, користувач практично на 100% захищений від макро вірусів, як відомих, таки і ще не написаних.
Той, що блокує перехоплення і блокує виконання навіть багатоплатформених макро-вірусів, тобто здатних працювати відразу в декількох додатках. Він однаково надійно запобігає дії вірусів в таких додатках як Word, Excel, Access, PowerPoint, Project і навіть додатках, що використовують мову VBA, але що не входять до складу пакету Microsoft Office – Visio, AUTOCAD і ін. Програма контролює роботу макросів із зовнішніми додатками, в т.ч. з поштовими програмами. Тим самим повністю виключається можливість розповсюдження макро-вірусів через електронну пошту. Використання того, що поведінкового блокування для MS Office позбавляє користувача від вічного головного болю з приводу завантаження і підключення нових оновлень антивірусної бази для захисту від нових макро-вірусів, тому що будь-який новий макро-вірус вже за визначенням перехоплюватиметься програмою. Це означає, що ліквідовується найбільш небезпечний відрізок часу між появою вірусу і антивіруса. Одного разу встановлений, він надійно захистить комп'ютер від макро-вірусів аж до виходу нової версії мови програмування VBA з реалізацією нових функцій, які можуть використовуватися для написання вірусів.
Головною метою тих, що поведінкових блокувань є вирішення проблеми виявлення і запобігання розповсюдженню макро-вірусів. Проте, за визначенням, він не призначений для їх видалення. Саме тому його необхідно використовувати спільно з антивірусним сканером, який буде здатний успішно знищити вірус. Той, що блокує дозволить безпечно перечекати період між виявленням нового вірусу і випуском оновлення антивірусної бази для сканера, не вдаючись до зупинки роботи комп'ютерних систем із-за боязні назавжди втратити цінні дані або серйозно пошкодити апаратну частину комп'ютера.
Ми прогнозуємо, що з розвитком комп'ютерних технологій, особливо в області розробки елементів штучного інтелекту, значення, ефективність і простота використання тих, що блокують (в т.ч. файлових) стрімко зростатимуть. Саме цей тип антивірусних програм найближчим часом стане основним засобом антивірусного захисту, забезпечуючи її найбільш відповідальний передній край – блокування проникнення і розповсюдження нових, раніше невідомих вірусів.
Огляд типів антивірусних програм був би не зовсім повним, якби ми не згадали про кращий спосіб їх використання. Наші рекомендації гранично прості: кращим варіантом може бути продумана комбінація всіх описаних вище способів. Слідуючи добре відомій приказці, що радить не класти всі яйця в одну корзину, ми рекомендуємо не вважатися цілком і повністю на сканери або монітори. У кожного виду антивірусних програм є свої достоїнства і недоліки. У сукупності вони вдало компенсують один одного підвищуючи ступінь захисту як домашнього комп'ютера, так і гетерогенної мережі світового масштабу.