Большинство основных производителей либо уже выпустили эвристические продукты, либо объявили об их разработке. Например, корпорация Symantec предложила Norton Antivirus 4.0, включающий в себя технологию поиска вирусов Bloodhound собственного производства. До сих пор Bloodhound использовалась только в собственной программе-"пауке" Web компании Symantec, которая просматривала сеть Internet в поисках новых вирусов.
Официальные представители компании Symantec сообщили, что при использовании технологии Bloodhound можно обнаружить более 90% макровирусов и 80% вирусов других типов. Для большей эффективности она объединена с обычной процедурой проверки "отпечатков" вирусов. Проверка "отпечатков" известных вирусов дает более точные результаты: число выявленных вирусов составляет 99%, а то и больше, однако она бесполезна при поиске новых вирусов, если только они не являются модификациями уже известных.
Задача эвристического продукта не всегда сводится к необходимости обнаружить новые макровирусы. Иногда бывает нужно предотвратить ложные сигналы тревоги. С этой проблемой уже сталкиваются при работе с некоторыми обычными антивирусными программами.
Преимущество эвристических продуктов в том, что они облегчают решение пресловутой проблемы, стоящей перед антивирусной защитой: соответствовать уровню, обозначенному современными макровирусами. Если антивирусная фирма использует технологию проверки "отпечатков", то она сначала должна найти вирус, а затем - некий код "отпечатка", чтобы идентифицировать его и разработать способ очистки от вируса. Ожидается, что компания McAfee Associates выпустит эвристический продукт в третьем квартале.
Первые эвристические продукты были направлены против старых вирусов, поражавших загрузочный сектор и заражавших машины, загружавшиеся с гибких дисков; эти вирусы были способны на все - от вывода сообщения до полного стирания содержания жесткого диска. Однако борьба с ними никогда не сулила особых побед. Новые версии антивирусных продуктов более эффективны. В любом случае их действия определенно пойдут лишь на пользу.
Угрожают мутанты
Чем объясняется внезапная мутация вируса? Некоторые эксперты признают существование этого явления. Исследователи же все еще пытаются выяснить его точные причины. Многие члены антивирусного сообщества подозревают, что виноват сам текстовый процессор Microsoft Word. По мнению Джимми Куо, директора по антивирусным исследованиям компании McAfee Associates, автосохранение документа при определенных обстоятельствах может повредить часть макрокода. Другие специалисты, в том числе и Кэри Нахенберг, главный архитектор исследовательского центра Symantec AntiVirus Research Center, считают, что проблема кроется либо в Word, либо в совместно используемой библиотеке Windows типа OLE, либо в комплексном воздействии этих двух факторов. Не исключена и еще одна причина - это возможное взаимодействие с третьей программой.
В отдельных случаях мутация может происходить в результате встречи двух вирусов в одном и том же документе, утверждают исследователи. При этом один из вирусов может частично переписать другой, создавая новый вирус, обладающий некоторыми характеристиками каждого из родителей.
Чтобы бороться с ростом числа новых вирусов, все больше производителей антивирусных продуктов рекламируют технологию "эвристической" проверки поведения макровирусов с целью определения их потенциальной опасности; при этом могут быть автоматически выявлены особенности новых вирусов.
2.4 Стелс-вирусы
Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе. Известны стелс-вирусы всех типов, за исключением Windows-вирусов - загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов, заражающих файлы Windows, является скорее всего делом времени.
Загрузочные вирусы
Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.
Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание работы программ, то он должен перехватывать также DOS-прерывание INT 21h.
С некоторыми оговорками стелс-вирусами можно назвать вирусы, которые вносят минимальные изменения в заражаемый сектор (например, при заражении MBR правят только активный адрес загрузочного сектора - изменению подлежат только 3 байта), либо маскируются под код стандартного загрузчика.
Файловые вирусы
Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают при закрытии. Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелс-функций перехват прерываний более низкого уровня - вызовы драйверов DOS, INT 25h и даже INT 13h.
Полноценные файловые стелс-вирусы, использующие первый способ скрытия своего кода, в большинстве своем достаточно громоздки, поскольку им приходиться перехватывать большое количество DOS-функций работы с файлами: открытие/закрытие, чтение/запись, поиск, запуск, переименование и т.д., причем необходимо поддерживать оба варианта некоторых вызовов (FCB/ASCII), а после появления Windows95/NT им стало необходимо также обрабатывать третий вариант - функции работы с длинными именами файлов.
Некоторые вирусы используют часть функций полноценного стелс-вируса. Чаще всего они перехватывают функции DOS FindFirst и FindNext (INT 21h, AH=11h, 12h, 4Eh, 4Fh) и "уменьшают" размер зараженных файлов. Такой вирус невозможно определить по изменению размеров файлов, если, конечно, он резидентно находится в памяти. Программы, которые не используют указанные функции DOS (например, "Нортоновские утилиты"), а напрямую используют содержимое секторов, хранящих каталог, показывают правильную длину зараженных файлов.
Макро-вирусы
Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением этих пунктов меню из списка, либо их подменой на макросы FileTemplates и ToolsMacro.
Частично стелс-вирусами можно назвать небольшую группу макро-вирусов, которые хранят свой основной код не в самом макросе, а в других областях документа - в его переменных или в Auto-text.
3. Средства антивирусной защиты
3.1 NOD 32
NOD32 -- антивирусный пакет, выпускаемый словацкой фирмой Eset. Возник в конце 1998 года. Название изначально расшифровывалось как Nemocnica na Okraji Disku («Больница на краю диска», перефразированное название популярного тогда в Чехословакии телесериала «Больница на окраине города»).
NOD32 -- это комплексное антивирусное решение для защиты в реальном времени от широкого круга угроз. Eset NOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, phishing-атаки. В решении Eset NOD32 используется патентованная технология ThreatSense®, предназначенная для выявления новых возникающих угроз в реальном времени путем анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.
При обновлении баз используется ряд серверов-зеркал, при этом также возможно создание внутрисетевого зеркала обновлений, что приводит к снижению нагрузки на интернет-канал. Для получения обновлений с официальных серверов необходимы имя пользователя и пароль, которые можно получить активировав свой номер продукта на странице регистрации регионального сайта.
Наравне с базами вирусов NOD32 использует эвристические методы, что может приводить к лучшему обнаружению неизвестных вирусов, которые обладают схожим с детектированым действием.Большая часть кода антивируса написана на языке ассемблера, поэтому для него характерно малое использование системных ресурсов и высокая скорость проверки с настройками по умолчанию.
Модули и компоненты
Antivirus MONitor (AMON)
On-access (резидентный) сканер, который автоматически проверяет файлы перед осуществлением доступа к ним.
NOD32
«On-demand» сканер, который можно запустить вручную для проверки отдельных файлов или сегментов диска. Этот модуль можно также запрограммировать на запуск в часы с наименьшей загрузкой.
Internet MONitor (IMON)
Резидентный сканер, работающий на уровне Winsock и препятствующий попаданию зараженных файлов на диски компьютера. Данный модуль проверяет Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3.
E-mail MONitor (EMON)
Дополнительный модуль для проверки входящих/исходящих сообщений через интерфейс MAPI, например, в Microsoft Outlook и Microsoft Exchange.
Document MONitor (DMON)
Использует запатентованный интерфейс Microsoft API для проверки документов Microsoft Office (включая Internet Explorer).
Версии NOD32
NOD32 для Workstations Vista
NOD32 для Windows
NOD32 для Windows95/98/ME
NOD32 для MSDOS
NOD32 для File Servers
NOD32 LAN Update ServerNOD32 для Linux
NOD32 для Novell
NOD32 для Email Servers
NOD32 для Windows Mobile
NOD32 для PalmOS
NOD32 для Symbian
Факты
Из участников тестирования Virus Bulletin 100 %, Eset NOD32 обладает наибольшим среди тестируемых (48 по состоянию на 4 февраля 2008) количеством наград данной лаборатории.
Страницы: 1, 2, 3, 4, 5
