Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).

Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

Программно-технические методы обнаружения вирусов

Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· сканирование;

· эвристический анализ;

· использование антивирусных мониторов;

· обнаружение изменений;

· использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Конечно, если это возможно.

Сканирование

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает ваш компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы.

Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность - удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у вас есть).

Антивирусные мониторы

Существует еще целый класс антивирусных программ, которые постоянно находятся в памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название антивирусных мониторов или сторожей.

Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты и компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

В комплект одного из наиболее совершенных сканеров Doctor Web , разработанных Игорем Даниловым (http://www.drweb.ru) входит сторож Spider Guard, выполняющий функции антивирусного монитора.

Обнаружение изменений

Когда вирус заражает компьютер, он изменяет содержимое жесткого диска, например, дописывает свой код в файл программы или документа, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. Таких изменений, однако, не делают «бестелесные» вирусы, обитающие не на диске, а в памяти процессов ОС.

Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверяют их (отсюда происходит название программы-ревизоры). Ревизор может найти изменения, сделанные известным или неизвестным вирусом.

В качестве примеров ревизоров диска можно привести программу Advanced Diskinfoscope (ADinf), разработанную в ЗАО «ДиалогНаука» (http://www.dials.ru, http://www.adinf.ru) и ревизор AVP Inspector производства ЗАО «Лаборатория Касперского» (http://www.kaspersky.ru).

Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует собранную ранее информацию о файлах для восстановления их после поражения неизвестными вирусами. Ревизор AVP Inspector также имеет в своем составе лечащий модуль, способный удалять вирусы.

Защита, встроенная в BIOS компьютера

В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение. Однако эта защита не очень надежна. Существуют вирусы (например, Tchechen.1912 и 1914), которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Особенности защиты корпоративной интрасети

Корпоративная интрасеть может насчитывать сотни и тысячи компьютеров, играющих роль рабочих станций и серверов. Эта сеть обычно подключена к Интернету и в ней имеются почтовые серверы, серверы систем автоматизации документооборота, такие как Microsoft Exchange и Lotus Notes, а также нестандартные информационные системы. Для надежной защиты корпоративной интрасети необходимо установить антивирусы на все рабочие станции и серверы. При этом на файл-серверах, серверах электронной почты и серверах систем документооборота следует использовать специальное серверное антивирусное программное обеспечение. Что же касается рабочих станций, их можно защитить обычными антивирусными сканерами и мониторами.

Разработаны специальные антивирусные прокси-серверы и брандмауэры, сканирующие проходящий через них трафик и удаляющие из него вредоносные программные компоненты. Эти антивирусы часто применяются для защиты почтовых серверов и серверов систем документооборота.

Защита файловых серверов

Защита файловых серверов должна осуществляться с использованием антивирусных мониторов, способных автоматически проверять все файлы сервера, к которым идет обращение по сети. Антивирусы, предназначенные для защиты файловых серверов, выпускают все антивирусные компании.

Защита почтовых серверов

Антивирусные мониторы неэффективны для обнаружения вирусов в почтовых сообщениях. Для этого необходимы специальные антивирусы, способные фильтровать трафик SMTP, POP3 и IMAP, исключая попадание зараженных сообщений на рабочие станции пользователей.

Для защиты почтовых серверов можно приобрести антивирусы, специально предназначенные для проверки почтового трафика, или подключить к почтовому серверу обычные антивирусы, допускающие работу в режиме командной строки.

Демон антивируса Doctor Web можно интегрировать со всеми наиболее известными почтовыми серверами и системами, такими как Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail и Zmailer. Аналогичные средства предоставляются и Лабораторией Касперского в составе пакета Kaspersky Corporate Suite.

Почтовый сервер MERAK Mail Server допускает подключение внешних антивирусов различных типов, имеющих интерфейс командной строки. Некоторые почтовые серверы (например, EServ) поставляются со встроенным антивирусом.

Можно также дополнительно проверять трафик POP3 и на рабочих станциях пользователей. Это позволяет сделать, например, антивирусный прокси-сервер SpIDer Mail для протокола POP3, который можно приобрести вместе с антивирусом Doctor Web.

Защита серверов систем документооборота

Серверы систем документооборота, такие как Microsoft Exchange и Lotus Notes, хранят документы в базах данных собственного формата. Поэтому использование обычных файловых сканеров для антивирусной проверки документов не даст никаких результатов.

Существует ряд антивирусных программ, специально предназначенных для антивирусной защиты подобных систем. Это Trend Micro ScanMail для Lotus Notes, McAfee GroupScan и McAfee GroupShield, Norton Antivirus для Lotus Notes, антивирус Касперского Business Optimal для MS Exchange Server и некоторые другие.

Эти программы сканируют почту и файлы вложений, удаляя в реальном времени все вредоносные программы, обнаруживают макрокомандные вирусы и троянские программы в формах и макросах, в файлах сценариев и в объектах OLE. Проверка выполняется в режиме реального времени, а также по требованию

Основные функции наиболее распространенных антивирусов.

3.1
Антивирус Dr. Web.

Dr. Web - старый и заслуженно популярный в России антивирус, уже несколько лет помогающий пользователям в борьбе с вирусами. Новые версии программы (DrWeb32) работают в нескольких операционных системах, защищая пользователей от более чем 17000 вирусов.

Набор функций вполне стандартный для антивируса - сканирование файлов (в том числе сжатых специальными программами и заархивированных), памяти, загрузочных секторов жестких дисков и дискет. Троянские программы, как правило, подлежат не излечению а удалению. К сожалению, почтовые форматы не проверяются, поэтому сразу после получения электронного письма нельзя узнать, нет ли во вложении вируса. Вложение придется сохранить на диск и проверять отдельно. Впрочем, поставляемый с программой резидентный монитор "Spider Guard" позволяет решить эту задачу "на лету".

Dr. Web - одна из первых программ, в которой был реализован эвристический анализ, который позволяет обнаруживать вирусы, не занесенные в антивирусную базу. Анализатор обнаруживает в программе вирусоподобные инструкции и помечает такую программу как подозрительную. Антивирусная база обновляется через Интернет одним нажатием кнопки. Бесплатная версия программы не проводит эвристического анализа и не лечит файлы.

3.2
Антивирус Касперского.

Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.

Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

3.3
Антивирус Antiviral Toolkit Pro.

Antiviral Toolkit Pro - российский продукт, заслуживший популярность за рубежом и в России, благодаря широчайшим возможностям и высокой надежности. Имеются версии программы для большинства популярных операционных систем, антивирусная база насчитывает около 34000 вирусов.

Существует несколько вариантов поставки - AVP Lite, AVP Gold, AVP Platinum. В наиболее полной версии поставляется три продукта - сканер, резидентный монитор и центр управления. Сканер позволяет проверять файлы и память на наличие вирусов и "троянцев". При этом проверяются упакованные программы, архивы, почтовые базы данных (папки Outlook и т.д.) и осуществляется эвристический анализ для поиска новых вирусов, не занесенных в базу данных. Монитор "на лету" проверяет каждый открываемый файл на вирусы и предупреждает о вирусной опасности, одновременно блокируя доступ к зараженному файлу. Центр управления позволяет по расписанию проводить антивирусную проверку и обновлять базы данных через Интернет. В демонстрационной версии отсутствует возможность лечения зараженных объектов, проверка пакованных и архивных файлов, эвристический анализ.
3.4
Norton AntiVirus 2000.

Norton AntiVirus сделана на основе другого популярного продукта - персонального брандмауэра AtGuard (@guard) от WRQ Soft. В результате приложения к нему технологической мощи Symantec, получился интегрированный продукт, обладающий существенно расширенной функциональностью. Ядром системы по-прежнему является брандмауэр. Он весьма эффективно работает без настройки, практически не мешая в повседневном использовании сети, но блокируя попытки перезагрузить или "завесить" компьютер, получить доступ к файлам и принтерам, установить связь с троянскими программами на компьютере.

Norton AntiVirus - единственный брандмауэр из рассмотренных, который реализует возможности этого метода (которого) защиты на 100%. Осуществляется фильтрация всех видов пакетов, путешествующих по сети, в т.ч. служебных (ICMP), правила для работы брандмауэра могут учитывать, какое именно приложение работает с сетью, что за данные передаются и на какой компьютер, в какое время суток это происходит.

Для сохранения конфиденциальных данных, брандмауэр может блокировать отправку веб-серверам адреса электронной почты, типа браузера, возможна также блокировка cookies. Фильтр конфиденциальной информации предупреждает о попытке переслать в сеть в незашифрованном виде информацию, которую пользователь ввел и пометил, как конфиденциальную.

Активное содержимое веб-страниц (Java-апплеты, сценарии и т.д) также может блокироваться с помощью Norton AntiVirus - фильтр содержимого может вырезать небезопасные элементы из текста веб-страниц до того, как они попадут в браузер.

В качестве дополнительного сервиса, не связанного напрямую с вопросами безопасности, Norton AntiVirus предлагает очень удобный фильтр рекламных баннеров (эти надоедливые картинки попросту вырезаются из страницы, что ускоряет ее загрузку), а также систему родительского контроля. Запретив посещение определенных категорий сайтов и запуск отдельных видов интернет-приложений, можно быть достаточно спокойным по поводу содержимого сети, которое доступно детям.

Помимо возможностей брандмауэра, Norton AntiVirus предлагает пользователю защиту программы Norton Antivirus. Это популярное антивирусное приложение с регулярно обновляемыми антивирусными базами позволяет довольно надежно обнаруживать вирусы на самых ранних этапах их появления. Сканированию на вирусы подвергаются все закачиваемые из сети файлы, файлы, вложенные в электронную почту, активные элементы веб-страниц. Помимо этого, в Norton Antivirus есть антивирусный сканер и монитор, которые обеспечивают общесистемную защиту от вирусов без привязки к наличию доступа в сеть.

Набор антивирусных программ, чья функциональность базируется на одном либо нескольких идентичных антивирусных ядрах, созданных для защиты работы компьютерной системы от внедрения вирусов, носит название антивирусного комплекса.

Антивирусный движок (ядро) является основой высокотехнологичного процесса проведения сигнатурного и эвристического анализа на основе известных характерных признаков внедрения вирусов в защищаемое устройство.

В эффективно работающий антивирусный комплекс могут быть включены поведенческие анализаторы, специальные ревизоры изменений, для работы которых не требуется антивирусное ядро. В качестве вспомогательной служебной программы применяется и планировщик заданий.

• Решаемые задачи
• Используемое оборудование
• Сферы применения

КСАЗ (комплексная система антивирусной защиты), создаваемая для обеспечения безопасности информационных ресурсов - это совокупность управленческих и правовых действий, программно-аппаратных средств, объединяемых в единый комплекс для создания надежной антивирусной защиты информационной базы, находящейся в локальной сети. Комплексная направленность системы заключается в организации контроля любых информпотоков, протекающих в защищаемой локальной сети. Для эффективной работы системы, обеспечения надежной защиты от вредоносного воздействия вирусов всех элементов инфраструктуры, необходим высокий уровень согласованности между применяемыми методами и средствами.

Этапы создания КСАЗ

Для успешного выполнения проекта по созданию эффективно действующей комплексной системы защиты от воздействия вируса, задача первого (начального) этапа работы заключается в разработке основополагающих принципов обеспечения высокого уровня безопасности используемой информационной системы - Концепции и Политики антивирусной безопасности.

Концепцией антивирусной безопасности называется разработанная и утвержденная в компании система взглядов на стоящие цели, существующие задачи, а также принципы работы антивирусной безопасности в корпоративной сети. Концепцией устанавливается перечень объектов защищаемой сети, которым необходимо обеспечить антивирусную безопасность, предполагаемые угрозы, источники их появления, комплекс мероприятий по предотвращению, своевременной нейтрализации угроз. Важное место в Концепции занимает определение основ согласованных действий и осуществляемой политики, проводимой всеми структурами для обеспечения высокого уровня антивирусной безопасности информации Заказчика, находящейся в локальной сети.

Политика антивирусной безопасности состоит из свода правил, определяющих либо ограничивающих сферу деятельности объектов сети, ее участников, ответственность каждого пользователя, порядок функционирования комплексной системы защиты, учитывая реалии времени, основные цели и сферу применения КСАЗ.

Разработка этого высокоуровневого документа, определяющего стратегические цели компании, проводится после досконального обследования корпоративной сети, заключающегося в выявлении и профессиональном анализе информпотоков, протекающих в сети заказчика, категорировании всех узлов корпоративной сети по потенциальной опасности осуществления вирусной угрозы, составления матрицы - категория/возможность реализации вирусной угрозы для данного информационного потока. На основании проведенного обследования должен быть составлен отчет.

Опираясь на Политику антивирусной безопасности компании, составляется, с учетом конкретных условий, Техническое задание на создание КСАЗ, которое и становится основным документом, на основе которого и выполняется весь комплекс работ по обеспечению действенной антивирусной защитой корпоративной базы данных. Основываясь на положениях техзадания, осуществляется непосредственная разработка Технического проекта КСАЗ, а также приемка созданной системы Заказчиком при вводе «антивируса» в эксплуатацию.

Технический проект - специальная документация, где скрупулезно описывается проектируемая КСАЗ, ее состав, назначение спроектированных подсистем, их принципиальная схема взаимодействия, а также предусмотренные способы организации процесса их обновления, схема управления КСАЗ. Обязательно должны присутствовать функционально должностные требования к персоналу, занимающемуся установкой и обслуживанием комплексной антивирусной системы.

По завершению создания технического проекта наступает этап разработки эксплуатационной документации, что требует создания функционально-должностных инструкций администратора, а также рядового пользователя КСАЗ.

Инструкция администратора - утверждаемый приказом по организации документ, регламентирующий обязанности и типовые действия в корпоративной сети ее администратора, обязанного поддерживать постоянную работоспособность КСАЗ.

Инструкция пользователя - утвержденный приказом документ, определяющий алгоритм действий сотрудников компании (пользователей), их ответственность относительно установленной в организации антивирусной защиты.

Следующим этапом создания КСАЗ является ее Внедрение. Процесс очень кропотливый, отличающийся трудоемкостью и требующий, порой, существенных затрат ресурсов, учитывая особенности существующей локальной сети. Впрочем, расходы не выходят за пределы разумного, как и при внедрении любой новой автоматизированной системы. При внедрении КСАЗ часто выявляется необходимость проведения дополнительных работ, поскольку требуется установить дополнительные заплаты безопасности к инсталлированным на устройства операционным системам. При отказе от проведения подобных дополнительных мероприятий - существенно снижается либо полностью утрачивается эффективность антивирусной защиты.

Выбор антивирусных комплексов

В процессе создания схемы КСАЗ, составления проектно-эксплуатационной документации, следует уделить должное внимание выбору производителя и поставщика антивирусных комплексов, предполагаемых для использования.

Наиболее распространенными являются 2 варианта выбора, каждый из которых наделен преимуществами и недостатками:

- одновендорный , когда используются разработки одного производителя для установки на всех уровнях КСАЗ;

- многовендорный , предполагающий использование программно-аппаратных решений от разных поставщиков.

Одновендорные системы

Несомненным достоинством использования в проекте одновендорных систем является единообразие решений, что обуславливает следующие преимущества:

• Совместимость всех антивирусных решений, выпущенных одним производителем, что не создает предпосылок для возникновения конфликтов между ними.
• Общие антивирусные базы, поскольку в разработках одного вендора применяется идентичное антивирусное ядро, что и определяет довольно ограниченный выбор антивирусных баз. Благодаря такой унификации, однако, в одновендорной системе защиты кардинально снижается нагрузка на сеть, поскольку требуется гораздо меньше обновлений.
• Единая система управления, поскольку большая часть высокотехнологичных разработок одного вендора корректируется с помощью разработанной и предоставленной им же системы удаленно-централизованного управления. Подобным способом могут управляться решения для обеспечения безопасности, как используемых серверов, так и рабочих станций Виндовз. Такой подход обеспечивает централизованность управления, более высокую концентрацию информданных, защищенность локальной сети. Благодаря этому имеется возможность проводить полный анализ функциональности системы, что способствует пониманию источника проблем, повышает эффективность управленческих решений.
• Единая точка обслуживания, что при использовании сложной системы защиты устраняет вероятность возникновения необычных проблем, поскольку гарантируется поддержка производителя программно-аппаратных решений. Достаточно сказать, что наличие одной лишь точки входа для подачи обращений, связанных с функциональностью антивирусной одновендорной системы защиты, существенно облегчает работу техперсонала, не вызывает сложных проблем при эксплуатации.
• Обучение специалистов - похожие интерфейсы и основы управления высокотехнологичными продуктами, предоставленные одним вендором, существенно упрощают процесс освоение их персоналом. Разработанные поставщиком специальные многоцелевые методики обучения сокращают затраты времени и средств, требуемых для подготовки специалистов, в чьи функциональные обязанности будет входить обслуживание антивирусного комплекса защиты.

Перечень потенциальных недостатков, проявляющихся в процессе использования разработок одного вендора, состоит из следующих пунктов:

Сужение ассортимента систем, которые разработчик предлагает выбрать как оптимальное антивирусное решение, обеспечивающее безопасность информации в сети. Несомненно, что число предлагаемых одновендорных систем изначально меньше, нежели ассортимент мультивендорных. Таким образом, уровень соответствия пожеланиям заказчика даже лучшего одновендорного решения изначально признается ниже, чем потенциал лучшей мультивендорной системы, предохраняющей от вирусов;

Могут возникнуть определенные сложности при использовании антивирусных баз, что будет сопровождать запоздалым получением обновлений, общих ошибках в базах, замедленной реакцией вендора на распространение новой вирусной угрозы. Все это сказывается на комплексной антивирусной системе защиты данных, подвергая опасности все ее участки.

Мультивендорные системы

При решении применить мультивендорные системы, Заказчик получает КСАЗ, демонстрирующую следующие преимущества:

• Повышенная вероятность обнаружения, обеспечиваемая применением антивирусных продуктов различных вендоров. Прогнозируемая вероятность пропуска ими зараженного файла равна произведению вероятностей пропуска для каждого отдельного вендора. Поскольку чаще всего вероятности пропуска меньше "единицы", то и вероятность «прозевать» вирус мультивендорной системой снижается на порядок либо сразу на несколько порядков.
• Локализация заражения ограничена, ведь антивирусным продуктом определенного разработчика в мультивендорной системе «прикрыта» не вся сеть полностью, а лишь ее определенный сегмент. Таким образом, даже произошедшее вирусное заражение ставит под угрозу ту часть корпоративной сети, которая «слабо прикрыта» антивирусом.
• Оптимальное соответствие требованиям Заказчика, поскольку предполагается независимый выбор средства и способа защиты каждой из разработанных подсистем сети, не ограничиваясь предложениями одного разработчика. Сильные стороны каждого продукта будут максимально использованы при построении мультивендорной КСАЗ.

К недостаткам мультивендорных КСАЗ специалисты относят следующие факторы:

• Сложность в освоении, что обусловлено необходимостью изучить и освоить ряд высокотехнологичных решений, использующих, порой, совершенно различные подходы к конструированию интерфейса, способов управления.
• Независимое управление - административно-техническому персоналу необходимо будет взаимодействовать с несколькими, параллельно действующими системами управления. К сожалению, это влияет на оперативность, а порой, кардинально усложняет обслуживание защиты.
• Использование антивирусных баз от различных разработчиков предполагает необходимость регулярной загрузки, распространение и инсталляцию нескольких пакетов обновлений программ, что приводит к возрастанию нагрузки на сеть.
• Возможные конфликты между продуктами являются естественным результатом применения мультивендорных решений. Бывают ситуации, когда сервер одновременно выполняет несколько задач, входит в состав различных подсистем, для которых используется "антивирус" (подсистема серверов и рабочих станций Microsoft Windows и почтовая система Microsoft Exchange). Для такого случая необходима установка на один сервер нескольких антивирусных решений от разных производителей, повышая вероятность возникновения проблем с совместимостью.
• Сложности в получении поддержки - возникшие в функциональности системы проблемы тяжелее решить, поскольку обслуживающему персоналу необходимо обратиться в несколько служб техподдержки. В случае же конфликта совместимости используемых разных антивирусных программных решений - специалист, обслуживающий мультивендорную систему, попадает в тяжелое положение.

Учитывая выявленные на данный момент преимущества и недостатки одно- и мультивендорных КСАЗ, специалисты рекомендуют использовать для защиты небольших либо несложных по структуре локальных сетей, именно одновендорные системы, поскольку это предоставляет Заказчику оптимальные условия работы.

Для защиты сложной гетерогенной сети требуется учитывать наличие дополнительных факторов, а именно:

Подходящего одновендорного решения, способного защитить, обеспечивая совместимость редких систем, может и не быть;

Мультивендорной системе следует отдать предпочтение, если требуется гарантировать качество защиты, поскольку имеющихся преимуществ значительно больше гипотетических недостатков;

В процессе эволюции инфраструктуры локальной сети, соответствие изначально выбранному принципу одновендорности становится недостатком, поскольку требует замены системы целиком, а не одного продукта, что возможно в мультивендорной системе;

Встречаются разные антивирусные базы, применяемые в разработанных одним вендором решениях;

Возможно использование для решений одного производителя разных систем управления, даже отсутствие единой централизованной системы управления;

Встречаются и трудно разрешимые проблемы совместимости высокотехнологичных решений одного производителя.

Реализованные проекты данным решением

Негосударственное образовательное учреждение

«ЗАПАДНО-УРАЛЬСКИЙ ИНСТИТУТ ЭКОНОМИКИ И ПРАВА»

Юридический факультет

Предмет: Информатика

Тема: Антивирусная защита

Выполнила: студентка

1 курса /6 лет обучения/

Ковалёва Анна Владимировна

Проверила: Татаринова Светлана

Рудольфовна, ст. преподаватель

Введение................................................................................................. 3

Глава 1. Феномен компьютерных вирусов........................................... 4

Классификация компьютерных вирусов.............................................. 9

Типы антивирусов............................................................................... 12

От чего нужно защищать ПК?............................................................ 13

Как бороться с атаками хакеров?....................................................... 15

Насколько хороши бесплатные антивирусные веб-сервисы?........... 15

Почему антивирусное ПО распространяется бесплатно?................. 15

Что делать, если на компьютер попал вирус?.................................... 15

Какой же пакет предпочесть?.............................................................. 16

В тестировании участвовали............................................................... 17

Результаты теста в деталях................................................................. 19

Обобщение результатов тестирования............................................... 21

Глава 2. Основы безопасности при работе в Интернет..................... 22

Вирусы................................................................................................. 22

Заключение.......................................................................................... 29

Библиографический список................................................................. 31

Введение

Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано много видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

В реферате я расскажу о видах вирусов, об их классификации по среде обитания, по способу заражения, по степени воздействия, по особенностям алгоритма. И, конечно же, расскажу об антивирусной защите, о видах антивирусных программ, о достоинствах и недостатках бесплатных антивирусных программ, приведу результаты их тестирования специалистами журнала «ComputerBild». Напишу о защите компьютера при работе в Интернет.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяет избежать распространения вирусной эпидемии на другие компьютеры.

Глава 1. Феномен компьютерных вирусов

ВИРУС - бесплатнораспространяемая программа, которая, впрочем, ничегои неделает. Потомуи бесплатно.

АНТИВИРУС - программа, которая выводит список всех имеющихся файлов в одну строчку - и очень быстро, чтобы вы не успели прочесть.

Из «Словаря программиста»

Романа Воронежского

Вирус - едва ли не главный враг компьютера. Крохотные зловредные программки могут в одночасье испортить плоды вашего многомесячного труда, уничтожить текстовые файлы и электронные таблицы, а то и вообще испортить файловую систему на жестком диске...

Ведут себя компьютерные вирусы точно так же, как вирусы живые: они прячут свой код в теле «здоровой» программы и при каждом ее запуске активируются и начинают бурно «размножаться», бесконтрольно распространяясь по всему компьютеру.

Это - одна сторона деятельности вируса. Не самая страшная, кстати. Если бы вирус просто размножался, не мешая работе программ, то с ним, наверное, не стоило бы и связываться. Тем более, что значительное число существующих вирусов принадлежит именно к этой, относительно безвредной категории.

Но, помимо размножения, у вируса есть еще и другое «хобби» - разрушать, пакостить. Степень «пакостности» вируса может быть разная - одни ограничиваются тем, что выводят на экран навязчивую картинку, мешающую вашей работе, другие, особо не раздумывая, полностью уничтожают данные на жестком диске, к счастью, такие «жестокие» вирусы встречаются нечасто.

В любом случае, реальный вред от вирусов сегодня куда больше, чем, скажем, от нашумевшей на весь мир «ошибки 2000 года». Жаль только, что в отличие от этого «мыльного пузыря» вирусы не испытывают желания враз покинуть наш грешный мир с приходом нового тысячелетия. И нет надежды справиться с ними окончательно в какие-то обозримые сроки - ибо таланту авторов антивирусных программ противостоит извращенная фантазия компьютерных графоманов.

Ведь написать вирус - задача не шибко сложная. Студенческих мозгов и умения, во всяком случае, на это хватает. А если еще и студент талантливый попадется - будет созданная им «зараза» гулять по миру в течение долгих лет.

Вообще-то век вируса недолог. Антивирусные программы, в отличие от него, бедолаги, умнеют не по дням, а по часам. И вирус, еще вчеpa казавшийся неуловимым, сегодня моментально удаляется и обезвреживается. Потому и трудно найти сегодня вирусы, чей возраст превышает год-два - остальные уже давно сохранились лишь в коллекциях. Сегодня науке известно около 30 тысяч компьютерных вирусов - маленьких вредоносных программок, следующих в своей жизни только трем заповедям - Плодиться, Прятаться и Портить.

А стоит за все этим... простое человеческое тщеславие, глупость и инстинктивная тяга к разрушению. Мы умиляемся, видя сосредоточенно изничтожающего песчаный замок или старый журнал ребенка, - а позднее такие вот подросшие, но так и не выросшие дети калечат наши компьютеры.

А началась эта история ни много ни мало - тридцать лет назад. Именно тогда, в конце 60-х, когда о «персоналках» можно было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США, обнаружились очень необычные программы. В отличие от программ нормальных, послушно ходивших «по струнке» и выполнявших все распоряжения человека, эти гуляли сами по себе, подобно киплинговской кошке. Занимались в недрах компьютера каким-то понятными только им делами, по ходу дела сильно замедляя работу компьютера. Хорошо хоть, что ничего при этом не портили и не размножались.

Однако продлилось это недолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные к размножению и даже получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом PervadingAnimal, а на компьютерах из славного семейства IBM-360/37Q свил гнездо вирус Christmastree.

К 80-м годам число активных вирусов изменялась уже сотнями. Апоявление и распространение персональных компьютеров породило настоящую эпидемию - счет вирусов пошел на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 году: впервые его использовал в своем докладе на конференции по информационной беопасности сотрудник Лехайского Университете США Ф. Коэн.

Первые «персоналочные» вирусы были существами простыми и неприхотливыми - особо от пользователей не скрывались, «скрашивали» свое разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и каверзными «шутками» («Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!!!). Выявить такие вирусы было нетрудно: они «приклеивались» к исполняемым (*.соm или *.ехе) файлам, изменяя их оригинальные размеры, - чем и пользовались первые антивирусы, успешно выявлявшие нахалов.

Позднее вирусы стали хитрее - они научились маскироваться, запрятывая свой программный код в таких потаенных уголках, до которых, как им казалось, ни один антивирус добраться не мог. Поначалу - действительно, не добирались. Потому и назывались такие вирусы «невидимками » (stealth).

Казалось, фантазия вирусописателей наконец-то истощилась. И когда против stealth-вирусов было наконец-то найден «противоядие», компьютерный народ вздохнул с облегчением. А все еще только начиналось...

А компьютеры тем временем портились, информация терялась...

Понятно, что весьма весомую «лепту» в распространение вирусов внес Internet , дебютировавший в качестве массового средства коммуникации аккурат в начале 90-х. Пожалуй, впервые внимание общественности к проблеме Internet-вирусов было привлечено после появления знаменитого «червя Морриса » - безобидного вируса, в результате неосторожности его создателя отправившегося «ползать» по всей мировой Сети.

В 1995 году, после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windowsзащищена от них на 100 процентов, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же 1995 году было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95.

Ларчик открывался просто: в текстовый редактор MicrosoftWord и в табличный редактор MicrosoftExcel был встроен свой собственный язык программирования - VisualBasicforApplications (VBA), предназначенный для создания специальных дополнений к редакторам - макросов . Эти макросы сохранялись в теле документов MicrosoftOffice и легко могли быть заменены вирусами. После открытия зараженного файла вирус активировался и заражал все документы MicrosoftOffice на вашем диске.

Первоначально макровирусы - а именно так назвали новый класс вирусов, - вели себя довольно пристойно. В крайнем случае - портили текстовые документы, Однако уже в скором времени макровирусы перешли к своим обычным обязанностям - уничтожению информации. К такому повороту дел борцы с вирусами явно не были готовы. И потому буквально через несколько дней после своего появления вирус Concept , поражающий документы Word, распространился по всей планете. Зараженные файлы Word с лакомым содержанием (например, списками паролей к Internet-серверам с коллекциями порнографических картинок) путешествовали от пользователя к пользователю через тот же Internet. Доверчивые пользователи хватали «наживку» не задумываясь - ведь даже самые умные из них с молоком матери впитали тезис: через тексты вирусы не передаются! В итоге за четыре года, прошедших с момента появления первого «макровируса », этот класс вирусов стал самым многочисленным и опасным.

В принципе, предохраниться от макровирусов не так уж сложно. При открытии любого документа, содержащего встроенные макросы, умный Word или Excel обязательно спросит пользователя: а вы уверены, гражданин хороший, что вместо всяческих полезностей вам не подсовывают в документе всяческую бяку? И стоит ли эти макросы загружать? Нажмите кнопку «Нет » - и вирусу будет поставлен надежный заслон.

Просто удивительно, что несмотря на такую простоту защиты, большинство пользователей игнорирует предупреждения программы. И заражаются...

Разумеется, одними макровирусами дело не ограничилось. В 1995-1999 годах на просторах Internet весело резвилась добрая сотня «Windows 98 - совместимых» вирусов. Эти милые зверушки, понятно, резвились не просто так...

Итог. Только за период лета 1998 - лета 1999 года мир пережил несколько поистине разрушительных вирусных атак: в результате деятельности «сладкой троицы» вирусов - Melissa , Win 95. ClH и Chernobyl - из строя были выведены около миллиона компьютеров во всех странах мира. Вирусы портили жесткий диск, уничтожали BIOS материнской платы...

Нет сомнения, что вирусные атаки будут продолжаться и впредь - ведь не перевелись еще на свете глупцы, жаждущие геростратовой славы. И радует лишь то, что теперь этих «самоделкиных» отлавливают не менее тщательно, чем хакеров и прочих «акул» и «пираний» компьютерного мира.

Классификация компьютерных вирусов

Вирусы можно разделить на классы по следующим признакам:

· по среде обитания вируса;

· по способу заражения среды обитания;

· по деструктивным возможностям;

· по особенностям алгоритма вируса.

По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные.

Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные – в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (MasterBootRecord).

Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которую затем перехватывает обращение ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают памяти компьютера и являются активными ограниченное время.

Подеструктивнымвозможностям вирусы можно разделить:

· на безвредные , т.е. никак не влияют на работу компьютера;

· неопасные , влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

· опасные , которые могут привести к серьезным сбоям в работе;

· очень опасные , которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

По особенностям алгоритма можно выделить следующие группы вирусов:

· «компаньон-вирусы» - вирусы, не имеющие файлов;

· «вирусы-черви» - вирусы, которые распространяются в компьютерной сети, и так же как и «компаньон-вирусы», не изменяют файлов и секторов на дисках.

· «студенческие» - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок.

· «стелс-вирусы» (вирусы-невидимки), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и«подставляют» вместо себя незараженные участки информации.

· «полиморфик-вирусы» - достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода.

· «макровирусы» - вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных.

Путей распространения вируса существует множество. Зловредная программа может «свить гнездо » на дискете , которую передал вам сосед, знакомый или коллега по работе, обосноваться на пиратском компакт-диске или прийти вместе с сообщением электронной почты , содержащим вложенный документ или исполняемую программу.

Полностью «отсечь» вирусы от вашего компьютера вряд ли удастся, разве что вы удалите из системы дисковод, перестанете работать в Интернет и будете пользоваться только легальным программным обеспечением. Но в наших условиях все эти советы - особенно последний - выглядят либо утопией, либо издевательством.

Основными симптомами заражения компьютера вирусом являются:

· Замедление работы программ;

· Увеличение размеров файлов;

· Появление не существовавших ранее «странных» файлов;

· Уменьшение объема доступной оперативной памяти;

· Внезапно возникающие разнообразные видео- и звуковые эффекты.

Остается один способ: снабдить ОС надежными сторожами - антивирусными программами , которые смогут вовремя распознать и обезвредить прокравшегося в логово врага.

Дареному коню в зубы не смотрят. Народная мудрость! Однако при выборе антивирусной программы ею руководствоваться не стоит. Ведь используя ненадежный антивирус, вы поставите под угрозу безопасность вашего ПК! Если черви , «троянцы» или другие вредоносные приложения проберутся на ваш жесткий диск, вы можете лишиться данных, у вас могут быть украдены пароли; вероятны и многие другие неприятности.

Windows, к сожалению, не располагает собственными средствами антивирусной защиты, если не брать в расчет антивирус от McAfee, включенный в пакет MicrosoftPlus 98. Хорошо, что на свете существует множество независимых программ для отлова программной заразы...

Самые известные антивирусы - программа VirusScan от McAfee, комплекс Norton Antivirus от Symantec, программа Dr . Solomon ... плюс еще добрый десяток названий.

NortonAntivirus - программа более «въедливая», из-под ее контроля не уйдет ни один запущенный на компьютере процесс. После установки NortonAntivirus (например, в составе комплекта NortonSystemWorks) о ней можно вообще забыть - NAV сама проконтролирует все, что нужно. Ее «сторожа» защитят ваш почтовый ящик, добросовестно сканируя каждое приходящее письмо, встроят защитный механизм в приложения MicrosoftOffice, не забудут просканировать ваш компьютер после каждой загрузки... Все эти процессы будут протекать для пользователя невидимо, и привлекать ваше внимание программа будет лишь в момент обнаружения нового вируса или при необходимости обновить антивирусные базы через Интернет.

Однако при всех своих достоинствах, NAV - чересчур громоздкая программа для большинства домашних компьютеров, размеры ее установочного комплекта оставляют желать лучшего, да и скорость работы не утешает. Практически все антивирусные программы способны не просто проверять по запросу пользователя диск на наличие вирусов, но и вести незаметную для пользователя проверку всех запускаемых на компьютере файлов. Наконец, большинство антивирусных программ снабжено механизмом автоматического обновления антивирусных баз данных через Интернет.

Типы антивирусов

Для борьбы с компьютерными вирусами разработано несколько видов антивирусных программ: детекторы, фильтры, ревизоры, доктора.

Программы-детекторы обнаруживают конкретные вирусы по сигнатуре и сигнализируют об их присутствии на компьютере.

Программы-ревизоры обнаруживают присутствие вирусов, периодически сравнивая текущее состояние программ, каталогов и системных областей дисков с исходным состоянием.

Программы-фильтры представляют собой небольшие резидентные программы, которые позволяют обнаружить подозрительные действия при работе компьютера, характерные для вирусов.

Программы-доктора обнаруживают и удаляют вирусы из оперативной памяти и лечат зараженные вирусами файлы на дисках.

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов.

От чего нужно защищать ПК?

· Вирусы способны удалять или изменять данные. Если вы попытаетесь открыть зараженный файл, это приведет к активации вируса, который получит возможность распространяться дальше.

· Черви, как правило, попадают на компьютер вместе с сообщениями электронной почты и зачастую приходят не одни, прихватывая с собой других «вредителей», например backdoor -вирусы , и пытаются отключить антивирусные программы. В отличие от вирусов, черви умеют распространяться самостоятельно, например, рассылая себя по всем адресам, которые известны вашей почтовой программе.

· «Троянцы» – это самые настоящие шпионы, которые маскируются под полезный софт или даже прячутся внутри других программ, оставаясь незамеченными, они выведывают ваши пароли и другую конфиденциальную информацию, которая затем через Интернет переправляется злоумышленникам.

3. Существование версий антивируса под все популярные платформы, присутствие не только режима «сканирование по запросу» , но и «сканирование на лету» .

4. Скорость работы и прочие полезные особенности, функции, «припарки» и «вкусности».

Обобщение результатов тестирования

Основная задача, стоявшая перед бесплатными антивирусами, - доказать, что слова «бесплатный» и «бесполезный» - не синонимы. Для сравненеия с тестировании участвовал лидер списка антивирусных программ – KasperskyAnti-VirusPersonal 5.0.

Шпионам несдобровать!

Хорошая новость: все программы, за исключение двух, успешно идентифицироваля 2676 наиболее распространенных в настоящее время вирусов. Только ClamwinAntivirus и MicroworldAntivirusToolkit не показали здесь стопроцентного результата. К тому же обе эти программы, а также BitDefenderFreeEdition не выполняют автоматической проверки файлов «на лету» – сканирование жесткого диска необходимо каждый раз запускать вручную.

С наибольшими трудностями участники теста столкнулись при поиске специализированных вредоносных программ. При ловле руткитов убедительно выглядел только EtrustEZAntivirus, остальные программы значительно уступают ему по этому параметру.

Однако насколько хорошо у EZAntivirus обстоят дела с поиском руткитов. Настолько же плохо он обнаруживает “троянцев” и backdoor-вирусы. Устранением этого недостатка следует заняться и разработчикам программы ClamwinAntivirus. С поиском «троянцев» не все в порядке и у AvastHomeEdition, и у бесплатных версий AVGAnti-Virus и BitDefender.

Результатов, показанных программой KasperskyAnti-VirusPersonal 5.0, ни одному бесплатному антивирусу достичь не удалось.

Итог. Наилучшие результаты среди бесплатных программ для борьбы с вирусами показал победитель теста – AntivirPersonalEdition. Если вы хотите защитить свой компьютер от программ-шпионов и вирусов, поступающих по электронной почте, вам придется приобрести платную версию этой программы.

Глава 2. Основы безопасности при работе в Интернет

До чего же парадоксальна человеческая натура! Ведь каждый божий день мы слышим о все новых и новых кознях хакеров, меланхолично фиксируем появление новых вирусов, сокрушаемся нестабильности и уязвимости существующих информационных систем... И в то же время не делаем ничего, чтобы хоть как-то обезопасить свой собственный компьютер! Более того - даже не знаем, какие именно опасности могут нам встретиться на информационной магистрали.

А их не так уж мало. При всей своей внешней дружелюбности дорога Интернет отнюдь не вымощена желтым кирпичом, на ней и ухабы не редкость, да и замаскированные ямы с кольями на дне попадаются.

Другое дело, что для многих «хищников» наш брат пользователь - слишком мелкая дичь. И потому на ваш компьютер, подключенный к Сети в сеансовом режиме, через слабенький модемный канал, вряд ли станут покушаться серьезные хакеры.

Из тех, которых хлебом не корми, а дай «завалить» серьезный сервер какого-нибудь Пентагона, и содержимое вашего винчестера не улетит за считанные секунды в бездну

Все это - опять-таки, для нас, пользователей - не страшнее бумажного тигра. Однако и настоящих тигров не так уж мало, и встреча с ними вам в большинстве случаев никаких приятных эмоций не доставит.

Так что о защите подумать не помешает.

Но прежде все-таки надо узнать, от чего именно мы будем защищаться. Так что пересчитаем и поименуем имеющуюся полосатую нечисть.

Вот этот враг вполне реален и грозен, и именно вирусные козни становятся причиной доброй половины неприятностей у активных «сетевиков». Даром что способы их распространения и любимые пакости уже давно вызубрены наизусть - благодаря той же прессе. И все-таки то один, то другой пользователь клюет на заброшенную ими удочку, несмотря на нагло торчащий крючок.

Мы помним, что переносчиками вирусов в большинстве случаев являются сообщения электронной почты, содержащие вложенные файлы. Помним и то, что зараза может проникнуть в компьютер либо через программы (то есть исполняемые файлы с расширением *.ехе или *.соm), либо через документы MicrosoftOffice, которые могут содержать вредоносные участки кода. Помним и то, что со стороны картинок или звуковых файлов нам никакая неприятность грозить вроде бы не может. А потому, раскопав нежданно-негаданно в почтовом ящике письмо с прикрепленной к нему, (судя по имени файла и расширению) картинкой, тут же радостно ее запускаем... И обнаруживаем, под личиной картинки скрывался вредоносный вирусный «скрипт». Хорошо еще, если обнаруживаем сразу, а не после того, как вирус успел полностью уничтожить все ваши данные.

Хитрость создателей вируса проста - файл, который показался нам картинкой, имел двойное расширение! Например

AnnaCournikova.jpg.vbs

Вот именно второе расширение и является истинным типом файла, в то время как первое является просто частью его имени. А поскольку расширение vbsWindows хорошо знакомо, она, не долго думая, прячет его от глаз пользователей, оставляя на экране лишь имя.

AnnaCournikova.jpg

По опыту работы с Проводником я помню, что именно так Windows поступает со всеми зарегистрированными типами файлов: разрешение отбрасывает, а о типе файла должен свидетельствовать его значок. На который, увы, мы редко обращаем внимание.

Хороша ловушка?

Кстати, в качестве примера взят совершенно реальный вирус “Анна Курникова”, атаковавший Россию в феврале 2001 года. А за год до этого точно так же “наколол” весь мир уже легендарный вирус IloveYou, замаскированный под простой текстовый файл. Итог – от 30 до 80 (!) процентов пораженных и выведенных из строя ПК.

Впрочем, совершенно необязательно, что вирусы сочтут нужным маскироваться. Иногда exe-файлы «вложены» в письмо совершенно открыто. И, казалось бы, тут уже и дураку понятно, что речь идет о вирусной атаке. Однако и эти программы с охотой запускаются пользователями – одним из них коварные вирусописатели обещают продемонстрировать неизъяснимой красоты картинки, другим сулят программы для «взлома» Интернет, третьим представляются обновлением к популярной программе. Способов запудрить пользователю мозги немало. А ведь бывает и так, что зараженный файл со спокойной совестью посылает вам друг или знакомый... Наконец, вирусы вы можете заполучить вместе с самими программами - особенно в том случае, если вы скачиваете их с неизвестных вам серверов.

Последствия от работы вируса могут быть разными - от полного уничтожения содержимого винчестера до порчи определенных типов файлов. В любом случае, удовольствия от общения с ними вы не получите.

Способ же справиться с этой напастью только один, и он вам прекрасно известен: хорошая антивирусная программа. Со свежими, обновляемыми не реже раза в неделю, антивирусными базами. И даже в этом случае особо подозрительные письма стоит удалять, не пытаясь попробовать на вкус их таинственную «начинку».

«Троянские программы»

Вообще-то эти программы названы «троянцами» лишь по недоразумению - ведь в гомеровской «Одиссее» не они, а их враги данайцы сделали свое черное дело, проникнув в осажденный город в чреве деревянного коня. Но хитрые соплеменники Одиссея выкрутились и на этот раз, возложив сомнительные «лавры» на головы многострадальных обитателей Трои.

Вор-джентльмен типа Арсена Люпена с удовольствием признал бы авторов этих программ своими наследниками. Схожие с вирусами по принципу действия, «троянцы» работают куда более изящно и тонко. Они не станут вести себя подобно слону в посудной лавке, а тихо и незаметно умыкнут ваш логин и пароль для доступа в Интернет, а заодно и к электронной почте. Решайте сами, что страшнее.

Простые «троянцы» распространяются теми же способами, что и их коллеги-вирусы - в виде скрытых вложений в электронные письма. Но это, право, не высший пилотаж для жуликов такого высокого полета! Куда более изящно, подобно эдакому программному Хлестакову, втереться в почтенное общество под чужой личиной. Например, в виде услужливой и необычайно полезной программки, позволяющей ускорить передачу данных по вашему каналу в сотню-другую раз. Или в виде умелого оптимизатора всей системы. Наконец, в виде того же антивируса. Который, кстати, и в этом случае поможет вам обезвредить нахалов - если этот антивирус настоящий и достаточно свежий.

Помните только, что украсть пароль можно не только с вашего компьютера, но и с сервера вашего провайдера - и именно так в большинстве случаев и происходит. Поэтому имеет смысл регулярно (хотя бы раз в месяц) менять пароль, делая бесполезными усилия «троянцев» и их создателей.

Но существуют еше и «троянцы», которые проживают на нашем компьютере вполне легально. Их взяли в союзники производители программного обеспечения, «поселив» их в своих программах категории adware или freeware. Правда, этих «джентльменов удачи» обучили толике хороших манер - теперь они уже не воруют пароли, а работают «подсадными утками», исправно оповещая производителей программ о ваших действиях: куда вы ходите, что ищете, какие сайты предпочитаете. А те в ответ радуют вас хорошей порцией рекламы...

Стоит ли бороться с этими «шпионами»? Пользователи с обостренной совестью считают, что нет у нас на то морального права - за все ведь надо платить. В том числе и за услуги «бесплатных» программ. А потому со вздохом позволяют «троянцам» стучать на себя и добросовестно созерцают всю поступающую рекламу.

Пользователи же с обостренным ин­стинктом самосохранения не столь покладистыи при первыхпризнаках наличия в программе «троянца», пусть даже и «окультуренного», гонят его с компьютера в шею вместе с программой-носителем. Благо альтернативу любой программе сегодня отыскать нетрудно. А в крайнем случае - прибегают к услугам программы Ad-Aware, которая позволяет вычистить из компьютера всю рекламно-шпионскую нечисть, не на­рушая при этом работоспособности программ-носителей. Бывают, конечно, и исключения - так, популярный менеджер докачки Go!Zilla после удаления «троянской» начинки работать отказывается, а вот его коллеги GetRight и FlashGet более покладисты.

Помните только, что Ad-aware умеет бороться только с «легальными» «троянцами» - против обычных вирусов и парольных воров она беззащитна. А значит, запускать эту программу нужно не вместо, а вместе с обычным антивирусом.

«Скрипты-убийцы»

До сих пор мы говорили о программах, которые пакостят изнутри, свивая себе гнездо в уютном и просторном брюхе нашего ПК. Однако при работе в Интернет вам могут встретиться и враги пострашнее, которые будут проламывать оборону компьютера извне.

Нет, речь идет не о хакерах, а пока что только о созданных ими микропрограммах, которые запускаются вместе с открываемыми нами Web-страницами. Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и так далее) не является криминалом - большинство из них вполне мирно трудится, делая страничку более привлекательной для глаза или более удобной. Чат, гостевая книга, система голосования, счетчик - всем этим удобствам наши странички обязаны микропрограммам-«скриптам». Что же касается Java-апплетов, то их присутствие на страничке тоже обосновано - они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором вашей мышки...

Удобство удобствами, но не стоит забывать, все эти апплеты и скрипты - самые настоящие, полноценные программы. Причем многие из них запускаются и работают не где-то там, в «прекрасном далеко», на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вредоносную начинку, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны - от простой кражи пароля до форматирования жесткого диска.

Еще одна разновидность вредоносных скриптов - многочисленные рекламные окна, которые заполоняют экран вашего монитора после открытия одной-единственной странички. Таким образом создатель сайта зарабатывает себе на хлеб с толстым слоем икорочки - за счет вашего времени и нервов. Справиться с ливнем окон сложно - на месте одного закрытого тут же выскакивают два новых - и пользователю приходится попотеть, чтобы остановить наконец это рекламное безобразие. Относительно безобидно, но до ужаса неприятно...

Разумеется, со «скриптами-убийцами» вам придется сталкиваться во стократ реже, чем с обычными вирусами. Кстати, на обычные антивирусы в этом случае надежды мало, однако открытая вместе со страничкой зловредная программа должна будет преодолеть защиту самого браузера, создатели которого прекрасно осведомлены о подобных штучках.

Вернемся на минутку к настройкам InternetExplorer - а именно в меню «Сервис/Свойства обозревателя/Безопасность». В свое время мы лишь вскользь упомянули о его наличии, почему бы теперь не возобновить знакомство?

Как видим, InternetExplorer предлагает нам несколько уровней безопасности. Помимо стандартного уровня защиты (зона Интернет) мы можем усилить (зона Ограничить) или ослабить свою бдительность (зона Надежные узлы). Нажав же кнопку «Другой» мы можем вручную отрегулировать защиту браузера, разрешив или запретив работу различных «активных элементов» страничек.

Хотя в системе безопасности того же InternetExplorer полно «дырок», которыми и могут воспользоваться злоумышленники, при грамотном использовании вы застрахуете себя от большинства неприятных неожиданностей. Скажем, входя на сомнительный «хакерский» сайт, защиту можно и усилить...

Заключение

Не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо как непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса. Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства – Фред Коэн.

Так что для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

· Оснастите свой компьютер современными антивирусными программами;

· Перед считыванием с дискет/CD/flash информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера.

· При переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами.

· Периодически проверяйте на наличие вирусов жесткий диск компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив ОС также с защищенной от записи системной дискеты.

· Всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации.

· Обязательно делайте резервные копии (backup-копии) на внешнем носителе ценной для вас информации.

· Не оставляйте в кармане дисковода А: дискеты при включении или перезагрузке ОС, чтобы исключить заражение компьютера загрузочными вирусами.

· Используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей.

· Покупайте дистрибутивные копии ПО у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников или покупать пиратские копии.

· Пользуйтесь утилитами проверки целостности информации.

Библиографический список

1. Информатика: Учебник – 3-е перераб. изд./Под ред. Проф. Н.В. Макаровой. – М.: Финансы и статистика, 2000. – 768 с.

2. Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться – М.: СК Пресс, 1998. –288 с.

3. Крупнейший европейский журнал о компьютерах “ComputerBild” русское издание №8/2006. С.36-41.

4. Леонтьев В.П. Новейшая энциклопедия персонального компьютера 2003. – М.: ОЛМА-ПРЕСС, 2003. – 920 с.: ил. (С.381-388, С.801-806)

Червь – самовоспроизводящаяся программа, которая распространяется в основном по Сети. Одни черви попадают на ПК при открытии инфицированного e-mail-сообщения, другие могут выбирать и атаковать компьютеры в автоматическом режиме.

«Троянец» – вирус, который попадает на ПК, маскируясь под полезную программу. Выполняет несанкционированные действия: удаление и модификацию данных, сбор и пересылку информации, передачууправления компьютером удаленному пользователю.

Backdoor-вирус. Выполняет несанкционированное управление компьютером. Обычно состоит из двух частей: небольшой программы, тайно устанавливаемой на пораженный компьютер, и программы управления, которая находится на ПК злоумышленника.

Руткит – программа, которая позволяет скрытно взять под контроль взломанную систему. Руткит обычноустанавливается хакером на взломанном ПК после получения первоначального доступа и очень качественно маскирует своеприсутствие в системе. Руткит включает в себя разнообразные утилиты для получения прав суперпользователя, для «заметания» следоввторжения в систему,хакерский инструментарий и «троянцев».

Бот – вредоносная программа, которая, проникнув на ПК, тайно контролирует доступ в Интернет и позволяет злоумышленникам использовать компьютер-жертву для выполнения, например, несанкционированной почтовой рассылки спама.

«Ложное срабатывание» (false positive) – детектирование вируса в незараженном объекте.

«Сканирование по запросу» (on-demand) – поиск вирусов по запросу пользователя.

«Сканирование на лету» (real-time, on-the-fly) – постоянная проверка на вирусы объектов, к которым происходит обращение.

В современных условиях защита информации от компьютерных вирусов с помощью средств антивирусной защиты является одним из наиболее важных направлений в компьютерной индустрии. Ежегодно экономические потери от компьютерных вирусов и кибер атак составляют компаниям до $1 трлн долларов в год (так ущерб от вируса i-love-you за девять дней составил несколько миллиардов долларов). Данные потери классифицируются по потерям интеллектуальной собственности, киберпреступности, утрата бизнес-данных, нарушение работы сервисов и потеря репутации от взлома.

Средства антивирусной защиты

При выборе антивирусных программ для эффективной защиты следует обратить внимание на область их применения:

• для домашнего использования
• для малого и среднего бизнеса
• для крупного бизнеса

Некоторые производители предлагают пробные версии антивирусных программ для дома. В этом случае можно получить антивирусную защиту бесплатно. Для бизнеса средства антивирусной защиты как правило все платные. Использовать для бизнеса домашние версии антивирусов (платные или бесплатные) является не только мало эффективным, трудоемким, но и порой небезопасным. Объясним почему: в корпоративных версиях защита с помощью антивирусных программ использует самые эффективные методы антивирусной защиты, помимо этого используется централизованное управление с целью максимального обеспечения антивирусной защиты компьютера (централизованные настройки, своевременные обновления на всех компьютерах сети, своевременное обнаружение вирусов).

Наиболее известные антивирусные программы : Kaspersky, Dr.Web, Symantec, Eset NOD32, McAfee, Comodo, Agnitum, AVG, Avast.

Риски при отсутствии эффективной антивирусной защиты?

Последствия отсутствия антивирусной защиты на компьютерах или мобильных устройствах, могут носить крайне негативные последствия. Обеспечение антивирусной защиты позволяет устранить в будущем такие инциденты, как:

• потеря важной информации

в интернете часто встречаются шифраторы, которые при попадании на компьютер, находят все различные документы и шифруют их, оставляя контакты для связи с целью получения выкупа.

• утечка конфиденциальных данных

шпионские программы и кейлогеры попадая на компьютер запоминают вводимые вами логины и пароли от почтовых ящиков, от программ клиент-банков, данных пластиковых карт и пересылают эти данные злоумышленнику.

• неправильное функционирование компьютеров и мобильных устройств

все различные вредоносные программы блокируют загрузку операционной системы, перенаправляют на сайты-двойники, повреждают системные файлы и как следствие компьютер перестает загружаться или работает некорректно, увеличивает загрузку операционной памяти, «засоряет» свободное место на жестком диске, появление негативных видео- аудио- эффектов, вызывают невозможность входа в систему и работы в ней.

• взлом компьютерных сетей и серверов организации

сетевые черви, используя уязвимости в программном коде приложений и сетевого оборудования, проникают в компьютерные сети организации. Посредством этого, злоумышленник, как правило разработчик такого сетевого червя может управлять серверами без ведома администратора, образуя так называемые ботнеты. Злоумышленник, проникнув в систему, не оборудованной антивирусной защитой локальной сети без труда сможет вызвать не только вышеуказанные инциденты, а также атаку на сервисы компании изнутри, что гораздо опаснее.

• потеря прибыли организаций и репутации

вирусы и трояны ведут к простою функционирования отдельных сотрудников и сервисов предприятий, что оказывает негативный эффект на деятельность и репутацию компании. Если подсчитать в среднем, сколько времени тратиться на полное восстановление бизнес-процессов в компании, то сразу становиться понятно, что антивирусная защита себя окупает с лихвой. Кроме того, бывают сетевые черви, атакующие сервисы телефонии изнутри, что приводит к огромным финансовым потерям со стороны организации. Так например было похищено 32 миллиона рублей с телефонного счета образовательного центра «Лидер».

Таким образом антивирусные системы решают задачи :

• Сохранности данных
• Защита информации от утечки
• Обеспечения стабильности информационных систем и рабочих мест пользователей
• Защиты компьютерных сетей и серверов
• Устранение риска потери прибыли и репутации

Организация антивирусной защиты

Компания Network Solutions является экспертом и официальным поставщиком антивирусных средств защиты. Организацию эффективных антивирусных систем защиты компания разделяет на следующие этапы:

• анализ объектов антивирусной защиты
• установка антивирусного программного обеспечения
• проведение профилактических работ в системе антивирусной защиты
• создание резервных копий информации
• обучение пользователей

Как видно из этапов проекта антивирусной защиты просто установить антивирусную программу на компьютер не достаточно - необходима плановая проверка работы антивирусных систем защиты в рамках профилактических работ. В качестве профилактики необходимо производить периодическое полное сканирование компьютеров на наличие вирусов, просматривать логи обнаружения вирусов и проверять их удаление из системы, а также просматривать успешные обновления баз сигнатур.

Одним из условий безопасной работы в информационной системе является соблюдение пользователем ряда правил, которые проверены на практике и показали свою высокую эффективность. Их несколько:

1. Использование программных продуктов, полученных законным официальным путем. Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
2. Дублирование информации. Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Копируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.
3. Регулярное обновление системного ПО. Операционную систему необходимо регулярно обновлять и устанавливать все исправления безопасности от Microsoft и других производителей, чтобы устранить существующие уязвимости программного обеспечения.
4. Ограничение доступа пользователей к настройкам операционной системы и системным данным. Для обеспечения стабильной работы системы довольно часто требуется ограничивать возможности пользователей, что можно сделать либо с помощью встроенных средств Windows, либо с помощью специализированных программ, предназначенных для управления доступом к компьютеру.

   В корпоративных сетях возможно применение групповых политик в сети домена Windows.

5. Для максимально эффективного использования сетевых ресурсов необходимо вводить ограничения доступа авторизованных пользователей к внутренним и внешним сетевым ресурсам и блокировать доступ неавторизованных пользователей.
6. Регулярное использование антивирусных средств. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры. Антивирусные базы должны регулярно обновляться. Кроме того, необходимо проводить антивирусный контроль сетевого трафика.
7. Защита от сетевых вторжений обеспечивается применением программно-аппаратных средств, в том числе: использованием межсетевых экранов, систем обнаружения/предотвращения вторжений IDS/IPS (Intrusion Detection/Prevention System), реализацией технологий VPN (Virtual Private Network).
8. Применение средств аутентификации и криптографии – использование паролей (простых/сложных/неповторяющихся) и методов шифрования. Не рекомендуется использовать один и тот же пароль на разных ресурсах и разглашать сведения о паролях. При написании пароля на сайтах следует быть особенно внимательным, чтобы не допустить ввода своего пароля на мошенническом сайте-двойнике.
9. Особую осторожность следует проявлять при использовании новых (не известных) съемных носителей информации и новых файлов. Новые съёмные носители обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы – на наличие файловых вирусов. При работе в распределенных системах или в системах коллективного пользования новые сменные носители информации и вводимые в систему файлы целесообразно проверять на специально выделенных для этой цели компьютерах, не подключенных к локальной сети. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
10. При работе с полученными (например, посредством электронной почты) документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.
11. Если не предполагается осуществлять запись информации на внешние носители, то необходимо заблокировать выполнение этой операции, например, программно отключив USB-порты.
12. При работе с общими ресурсами в открытых сетях (например, Интернет) использовать только проверенные сетевые ресурсы, не имеющие вредоносного контента. Не следует доверять всей поступающей на компьютер информации – электронным письмам, ссылкам на Web-сайты, сообщениям на Интернет-пейджеры. Категорически не рекомендуется открывать файлы и ссылки, приходящие из неизвестного источника.

Постоянное следование приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации. Однако даже при скрупулезном выполнении всех правил профилактики возможность заражения ПК компьютерными вирусами полностью исключить нельзя, поэтому методы и средства противодействия вредоносному ПО необходимо постоянно совершенствовать и поддерживать в работоспособном состоянии.

Антивирусные средства защиты информации

Массовое распространение вредоносного программного обеспечения, серьезность последствий его воздействия на информационные системы и сети вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения.

Нужно отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных программ-вирусов.

Антивирусные средства применяются для решения следующих задач:

• обнаружение вредоносного ПО в информационных системах;
• блокирование работы вредоносного ПО;
• устранение последствий воздействия вредоносного ПО.

Обнаружение вредоносного ПО желательно осуществлять на стадии его внедрения в систему или, по крайней мере, до начала осуществления им деструктивных действий. При обнаружении такого программного обеспечения или его деятельности необходимо сразу же прекратить работу программы-вируса в целях минимизации ущерба от ее воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

• удаление вирусов;
• восстановление (при необходимости) файлов, областей памяти.

Процедуру удаления обнаруженного вредоносного кода из зараженной системы необходимо выполнять крайне аккуратно. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его уничтожения становится достаточно нетривиальной.

Восстановление системы зависит от типа вируса, а также от времени его обнаружения по отношению к началу деструктивных действий. В том случае, когда программа-вирус уже запущена в системе и ее деятельность предусматривает изменение или удаление данных, восстановление информации (особенно, если она не продублирована) может быть невыполнимо.Для борьбы с вирусами используются программные и программно-аппаратные средства, которые применяются в определенной последовательности и комбинации, образуя методы защиты от вредоносного ПО.

Известны следующие методы обнаружения вирусов, активно применяемые современными антивирусными средствами:

• сканирование;
• обнаружение изменений;
• эвристический анализ;
• использование резидентных сторожей;
• использование программно-аппаратной защиты от вирусов.

Сканирование – один из самых простых методов обнаружения вирусов, осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры . Под сигнатурой понимается уникальная последовательность байтов, принадлежащая конкретному вирусу и не встречающаяся в других программах.

Программа фиксирует наличие уже известных вирусов, для которых сигнатура определена. Для эффективного применения антивирусных программ, использующих метод сканирования, необходимо регулярное обновление сведений о новых вирусах.

Метод обнаружения изменений базируется на использовании программ-ревизоров, которые следят за изменениями файлов и дисковых секторов на компьютере. Любой вирус каким-либо образом изменяет систему данных на диске. Например, может измениться загрузочный сектор, появиться новый исполняемый файл или измениться уже существующий, и т.п.

Как правило, антивирусные программы-ревизоры определяют и запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров диска. Периодически ревизор проверяет текущее состояние областей дисков и файловой системы, сравнивает с предыдущим состоянием и немедленно выдает сообщения обо всех подозрительных изменениях.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов.

Имеются у этого метода и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Эвристический анализ , как и метод обнаружения изменений, позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Эвристический анализ в антивирусных программах основан на сигнатурах и эвристическом алгоритме, призван улучшить способность программ-сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда код неизвестной программы совпадает с сигнатурой не полностью, но в подозрительной программе явно выражены более общие признаки вируса либо его поведенческая модель. При обнаружении подобных кодов, выдается сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Недостатком данного метода является большое количество ложных срабатываний антивирусных средств в тех случаях, когда в легальной программе присутствуют фрагменты кода, выполняющего действия и/или последовательности, свойственные некоторым вирусам.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в оперативной памяти устройства (компьютера) и отслеживают все действия, выполняемые остальными программами. В случае выполнения какой-либо программой подозрительных действий, свойственных вирусам (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытки перехвата прерываний и т.п.), резидентный сторож выдает сообщение пользователю.

Применение антивирусных программ с резидентным сторожем снижает вероятность запуска вирусов на компьютере, но следует учитывать, что постоянное использование ресурсов оперативной памяти под резидентные программы уменьшает объем памяти, доступной для других программ.

На сегодняшний день одним из самых надежных механизмов защиты информационных систем и сетей являются программно-аппаратные средства , как правило, включающие в себя не только антивирусные системы, но и обеспечивающие дополнительный сервис. Эта тема подробно рассмотрена в разделе "Программно-аппаратные средства обеспечения безопасности информационных сетей".