• МК крючок (3385)
• Узоры (1315)
• Цветы (692)
• Разное вместе (141)
• Тунисское (100)
• Условные обозначения (80)
• Вилка (50)
• МК спицы (3357)
• Узоры (1867)
• Разное вместе (384)
• Вкусняшки (3034)
• Выпечка (914)
• Салаты (371)
• Советы (319)
• Закуски (244)
• Овощи (236)
• Рыба (220)
• Мультиварка (142)
• Украшение тортов (99)
• Напитки (99)
• Бутерброды (96)
• Соусы (75)
• Десерты (73)
• Первые блюда (28)
• Хлебопечка (14)
• Вышивка (2908)
• Журналы (300)
• Триптихи (88)
• Монограммы (68)
• Оформление (35)
• Блекворк (30)
• пуловеры (2889)
• Детские (72)
• Стихи (2848)
• Ирландские кружева (2569)
• Мотивы (1072)
• Изделия (680)
• Сетка (154)
• Платья (2186)
• Жакеты (2048)
• Пальто (730)
• Книги (2046)
• Растения (1983)
• Сад (704)
• Огород (610)
• Комнатные цветы (458)
• Защита (150)
• Шарфы (1895)
• Манишки (368)
• Украшения (364)
• Бактусы (123)
• Шапочки (1851)
• Школьное (1830)
• Нач. классы (1132)
• Рамки (85)
• Рус. яз. и лит-ра (55)
• Мифы и Легенды (24)
• Здоровье (1559)
• Салфетки (1425)
• Сервировка (81)
• Бисер (1340)
• Шали (1158)
• Пончо (249)
• Топы (1118)
• Бумаготворчество (1104)
• Квилинг (430)
• Из бумажных палочек (218)
• Трафареты (136)
• Эзотерика (1073)
• Заговоры (521)
• Обереги (228)
• Шепоток (32)
• Пледы (992)
• Коврики (261)
• Сидушки (67)
• Журналы (986)
• Пинетки (983)
• Тапочки, следки (363)
• Носки (150)
• Туники (973)
• Фильмы (925)
• Мультики (81)
• Документальное (76)
• Декор (923)
• Корзинки, коробки (195)
• Свадьба (186)
• Канзаши (171)
• Цветы из ткани (117)
• Полимерная глина (113)
• Одежда (63)
• Венки (31)
• Мешковина (26)
• Изонить (20)
• Свечи (19)
• Мыловарение (5)
• Топиарии (4)
• Флористика (3)
• Чистота и порядок (920)
• Кайма (912)
• Жилеты (908)
• Юбки (871)
• Деньги в дом (773)
• Молимся (771)
• Платья для девочек (678)
• Для мужчин (677)
• Новогоднее (667)
• Для успешной жизни (633)
• шитье (554)
• Крой (75)
• Ткани (16)
• Ланшафтный дизайн (541)
• Мебель (79)
• Филейное вязание (538)
• Сумки (507)
• Подушки (458)
• Стихи (450)
• Линеечки-коментарии (435)
• Пасха (402)
• Ленточное кружево (397)
• Руны (393)
• Притчи (382)
• Мелодии молодости (381)
• Вышиваем рушник (373)
• Английский язык (372)
• Немецкий (125)
• Брюгские кружева (369)
• Комп (361)
• Гороскопы (343)
• Болеро (343)
• Православие (339)
• Психология (325)
• Медитации (43)
• Варежки, перчатки (322)
• Валентинов день (320)
• Художники (316)
• Петриковка (8)
• Фотохудожество (314)
• Костюмы (304)
• Инструментальная музыка (292)
• Скрипка (44)
• Арфа (7)
• Кларнет (5)
• Ангелы (282)
• Консервация (257)
• Румынское кружево (249)
• ЛиРушное (239)
• Дизайн дневника (175)
• Вышивка лентами (235)
• Машинное вязание (222)
• Пальто и кардиганы деткам (217)
• Классическая музыка (193)
• Плетем косы (188)
• Царская семья (187)
• Cимороны (187)
• Фриформ (181)
• Дизайнерское (171)
• Юбки для девочек (167)
• Нумерология (161)
• Купальники (159)
• Ссылки (159)
• День рождения (154)
• Гипсокартон (151)
• Юмор (147)
• ЖЗЛ (142)
• Видео (142)
• Народные премудрости (142)
• Мелодии на саксофоне (135)
• Фен-шуй (135)
• Занавески (131)
• Археология+Древние цивилизации (129)
• Новорожденым (124)
• Соленое тесто (104)
• Женский день (96)
• Мудры (95)
• вязание с бисером (89)
• Хиромантия (87)
• Аромотерапия (86)
• Прихватки (85)
• Плейлисты (68)
• Вышивка объемная (67)
• Пряжа (67)
• Библия (60)
• Мантры (59)
• Заработок в инете (58)
• Игрушки (56)
• Хелоуин (3)
• Мех (55)
• Прихватки и закладки (53)
• Помни имя свое (50)
• Цена изделия (49)
• Таро (49)
• Наталья Правдина (42)
• Шорты, штаны (40)
• Луна (40)
• Крещение (40)
• Игры (39)
• История музыки (24)
• Украшения для девочек (22)
• Голодомор (21)
• Интернет-магазин (20)
• Хардангер (19)
• Ліна Костенко (17)
• Музыка дождя (15)
• Кружева Ойя (13)
• Детские платья (5)

VirusDetector – бесплатный сервис проверки компьютера

Что представляет собой сервис VirusDetector и для чего он мне нужен?

Воспользовавшись данным сервисом, вы можете получить исчерпывающую информацию о состоянии системы, выявить присутствие активных вредоносных программ, в том числе, ещё неизвестных по базе сигнатур.

Какие версии операционной системы Windows поддерживает VirusDetector?

VirusDetector работает на операционных системах семейства Windows, версий - XP, Vista, 7, 8, Windows Server 2003, 2008, как 32-х, так и 64-битных системах с правами Администратора.

Как я могу воспользоваться сервисом VirusDetector?

Необходимо скачать утилиту AVZ – утилита распространяется в виде zip-архива, поэтому скачанный архив необходимо распаковать в произвольный каталог на жёстком диске. Например, можно предварительно создать каталог D:\VirusDetector и распаковать архив с AVZ в этот каталог.

Приостановите работу антивирусной программы и сетевого экрана (если они у Вас есть); запустите браузер и другие сетевые программы, которыми пользуетесь обычно.Также мы рекомендуем запустить другие программы, работа которых вызывает подозрения.

Запустить утилиту AVZ двойным кликом мыши по файлу avz.exe и обновите базы ("Файл" => "Обновление баз").

Нажмите на картинку, чтобы увеличить ее:

Выполнить следующую последовательность действий:

Нажмите на картинку, чтобы увеличить ее:

В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_имя_вашего_ПК.zip (например,virusinfo_auto_Sergey_SonyVaio.zip)

Полученный архив карантина содержит только подозрительные или неизвестные с точки зрения AVZ файлы.

1. При помощи утилиты AVZ в карантин для дополнительного исследования отбираются только те системные файлы, которые не являются гарантировано легитимными, и которые могут быть помещены в карантин. Сбору карантина может помешать антивирус, руткит или какая-либо другая вредоносная активность. При изменении оценки любого из входящих в отчет файлов, отчет обновляется.
2. Особенность работы сервиса состоит в том, что сразу после первого анализа карантина по файлам выносятся первичные вердикты, которые позже могут уточнятся , поэтому оценки опасности файлов могут меняться и пересматриваться многократно.

Загрузить полученный архив virusinfo_auto_имя_вашего_ПК.zip на наш сервер через специальную форму , указав при этом свой действующий e-mail.

Важно! Указать действующий e-mail необходимо, т.к. на этот адрес вам будет выслан номер заявки и, впоследствии, будет выслано уведомление о результатах анализа архива. Ни для каких других целей ваш email использоваться не будет.

Перепишите информацию о загруженном архиве (состоит из трёх строчек: имя файла, размер и MD5).

Если на указанный в форме отправки e-mail не поступил номер заявки и\или результаты анализа архива, следует обратиться к специальной форме поиска, где нужно ввести полученный ранее MD5.

Внимание! По окончании всех действий обязательно возобновите работу антивирусной программы и сетевого экрана.

Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, но и удалить их из компьютера.

Итак, что же такое антивирус? Почему-то многие считают, что антивирус может обнаружить любой вирус, то есть, запустив антивирусную программу, можно быть абсолютно уверенным в их надежности. Такая точка зрения не совсем верна. Дело в том, что антивирус - это тоже программа, написанная профессионалом. Но эти программы способны распознавать и уничтожать только известные вирусы. То есть антивирус против конкретного вируса может быть написан только в том случае, когда у программиста есть в наличии хотя бы один экземпляр этого вируса. Но существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов.

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем, на процессорах различных типов.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

3.2. Виды антивирусных программ

Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программамиДля обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов антивирусных программ:

2. программы-доктора или фаги

3. программы-ревизоры (инспектора)

4. программы-фильтры (мониторы)

5. программы-вакцины или иммунизаторы

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

2.2.3 Программы-ревизоры (инспектора)

Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов. Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).

2.2.4 Программы - фильтры (мониторы)

1. попытки коррекции файлов с расширениями COM, EXE

2. изменение атрибутов файла

3. прямая запись на диск по абсолютному адресу

4. запись в загрузочные сектора диска

5. загрузка резидентной программы.

2.2.5 Вакцины или иммунизаторы

В настоящий момент существует множество антивирусных программ, однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

1. Не работать под привилегированными учётными записями без крайней необходимости.

2. Не запускать незнакомые программы из сомнительных источников.

3. Стараться блокировать возможность несанкционированного изменения системных файлов.

4. Отключать потенциально опасный функционал системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).

5. Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.

6. Пользоваться только доверенными дистрибутивами.

7. Постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания.

8. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

3.3. Лицензионные антивирусные программы

Выбор антивируса для домашнего пользования - актуальный вопрос, особенно для начинающих пользователей. Рано или поздно у любого возникает необходимость установки антивируса. Интересный факт, но многие пользователи вообще не устанавливают программ для защиты своего компьютера. Не устанавливают, пока не возникают различные сбои в работе системы. И действительно, при заражении компьютера вирусами замедляется работа системы, компьютер "тормозит" или "подвисает". В худшем же случае троянские программы могут похитить пароли и личную информацию. Как выбрать домашний антивирус, чтобы обезопасить себя от неприятностей попробуем разобраться.

Различные фирмы-производители программных продуктов, целенаправленно занимающиеся компьютерной и информационной безопасностью предлагают сегодня большой выбор антивирусных программ.

Приобретение лицензионной антивирусной программы обеспечит относительно надежную защиту данных от несанкционированного доступа и использования компьютера во вредоносных целях.

Ниже представлены наиболее популярные лицензионные антивирусные программы, которые можно приобрести, в т.ч и через Интернет.

Антивирус Касперского - обеспечивает защиту в реальном времени от вирусов, червей, троянских коней, руткитов, adware, шпионских программ в том числе и неизвестных угроз используя проактивную защиту, которая включает HIPS-компоненты, в том числе, имеются версии для мобильных устройств (18 версий).

Eset NOD32 - представляет полную защиту компьютера. Комплексная защита компьютера функционирует в реальном времени и обеспечивает надежную защиту от вирусов и вредоносных программ, а так же других угроз, таких как фишинг-атаки, черви, spyware, adware и другие.Отличительной особенностью является экономичное использование ресурсов и высокая скорость исполнения (31 версия)

Norton (Symantec) - базовая антивирусная защита, блокирующая вирусы и программы-шпионы и позволяющая безопасно работать в Интернете и обмениваться информацией (10 версий).

Доктор Веб - базовая антивирусная защита, блокирующая вирусы и программы-шпионы и позволяющая безопасно работать в Интернете и обмениваться информацией (45 различных версий).

Avira - AAviraAntivirusPremium - защита от вирусов для персональных компьютеров, работающих под управлением ОС Windows (18 версий)

avast! - это более эффективная защита во время просмотра страниц Интернета, полнофункциональная антивирусная программа (23 версии).

TrendMicro — обновления в режиме реального времени, защита от новейших веб-угроз сейчас и в будущем(11 версий).

McAfee - эффективная защита от вирусов, шпионских и вредоносных программ. Защитное ПО постоянно сканирует и блокирует опасные электронные сообщения, содержимое опасных веб-страниц (3 версии).

Лекция 13. Вирусы и антивирусные программы

13.1. Что такое компьютерный вирус

Компьютерный вирус это программа, способная создавать свои копии, внедрять их в различные объекты или ресурсы компьютерных систем, сетей и производить определенные действия без ведома пользователя.

Программа, внутри которой находится вирус, называется зараженной (инфицированной) . Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные деструктивные действия. Для маскировки вирус активизируется не всегда, а лишь при выполнении определенных условий (время, действие). После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится.

Подобно настоящим вирусам, компьютерные вирусы прячутся, размножаются и ищут возможность перейти на другие ЭВМ.

13.2. Какой вред наносят вирусы

Различные вирусы выполняют различные деструктивные действия :

• выводят на экран мешающие текстовые сообщения;
• создают звуковые эффекты;
• создают видео эффекты;
• замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;
• увеличивают износ оборудования;
• вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
• имитируют повторяющиеся ошибки работы операционной системы;
• уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
• осуществляют научный, технический, промышленный и финансовый шпионаж;
• выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
• делают незаконные отчисления с каждой финансовой операции и т.д.;

Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный процесс трудно остановить.

13.3.Что показывает на вирусное заражение

Основные симптомы вирусного заражения ЭВМ следующие:

• замедление работы некоторых программ;
• увеличение размеров файлов;
• появление не существовавших ранее файлов;
• уменьшение объема доступной оперативной памяти;
• появление сбоев в работе операционной системы;
• запись информации на диски в моменты, когда этого не должно происходить.

13.4.Какие бывают вирусы

Рассмотрим основные виды вирусов . Существует большое число различных классификаций вирусов:

• по среде обитания:
  • сетевые вирусы, распространяемые различными компьютерными сетями;
  • файловые - инфицируют исполняемые файлы, имеющие расширение exe и com. К этому же классу относятся и макровирусы , написанные с помощью макрокоманд. Они заражают неисполняемые файлы (в Word, Excel);
  • загрузочные - внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска. Некоторые вирусы записываются в свободные секторы диска, помечая их в FAT-таблице как плохие;
  • загрузочно-файловые - интегрируют черты последних двух групп;
• по способу заражения (активизации):
  • резидентный вирус логически можно разделить на две части - инсталятор и резидентный модуль . При запуске инфицированной программы управление получает инсталятор, который выпоняет следующие действия:
    1. размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того, чтобы последний хранился в ней постоянно;
    2. подменяет некоторые обработчики прерываний, чтобы резидентный модуль мог получать управление при возникновении определенных событий.
  • нерезидентный вирусы не заражают оперативную память и проявляют свою активность лишь однократно при запуске инфицированной программы;
• по степени опасности:
  • не опасные - звуковые и видеоэффекты;
  • опасные - уничтожают часть файлов на диске;
  • очень опасные - самостоятельно форматируют жесткий диск;
• по особенностям алгоритма:
  • компаньон-вирусы не изменяют файлы. Алгоритм их работы состоит в том, что они создают для exe-файлов новые файлы-спутники (дубликаты), имеющие то же имя, но с расширением com. (com-файл обнаруживается первым, а затем вирус запускает exe-файл);
  • паразитические - при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов (все вирусы кроме компаньонов и червей);
  • черви (репликаторы) - аналогично компаньонам не изменяют файлы и секторы диска. Они проникают в компьютер по сети, вычисляют сетевые адреса других компьютеров и рассылают по этих адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов;
  • невидимки (стелс) - используют набор средств для маскировки своего присутствия в ЭВМ. Их трудно обнаружить, т.к. они перехватывают обращения ОС к пораженным файлам или секторам и подставляют незараженные участки файлов;
  • полиморфики (призраки, мутанты) - шифруют собственное тело различными способами. Их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода;
  • троянская программа - маскируется под полезную или интересную программу, выполняя во время своего функционирования еще и разрушительную работу или собирает на компьютере информацию, не подлежащую разглашению. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.
• по целостности:
  • монолитные - программа представляет единый блок;
  • распределенные - программа разделена на части. Эти части содержат инструкции, которые указывают как собрать их воедино, чтобы воссоздать вирус.

13.5. Что такое антивирусная программа

Для борьбы с вирусами разрабатываются антивирусные программы .

Антивирусное средство это программный продукт или устройство, выполняющее одну, либо несколько из следующих функций: 1) защиту данных от разрушения; 2) обнаружение вирусов; 3) нейтрализацию вирусов.

Различают следующие виды:

• программы-детекторы рассчитаны на обнаружение конкретных, заранее известных программе вирусов и основаны на сравнении характерной последовательности байтов (сигнатур), содержащихся в теле вируса, с байтами проверяемых программ. Программы-детекторы снабжаются блоками эвристического анализа. В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям.
• программы-дезинфекторы (фаги) не только находят зараженные файлы, но и лечат их, удаляя из файла тело программы-вируса. В России получили широкое распространение детекторы, одновременно выполняющие функции дезинфекторов: AVP, Aidstest, DoctorWeb.
• программы-ревизоры анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние загрузочного сектора, FAT-таблицы, а также длина файлов, их время создания, атрибуты, контрольные суммы. (ADinf)
• программы-фильтры (мониторы) оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют обновление программных файлов и системной области диска, форматирование диска, резидентное размещение программ в ОЗУ.

13.6. Как защитить компьютер от вирусов

Рассмотрим основные меры по защите ЭВМ от заражения вирусами:

• Необходимо оснастить ЭВМ современными антивирусными программами и постоянно обновлять их версии.
• При работе в сети обязательно должна быть установлена программа-фильтр.
• Перед считыванием с дискет информации, записанной на других ЭВМ, следует всегда проверять эти дискеты на наличие вирусов.
• При переносе файлов в архивированном виде необходимо их проверять сразу же после разархивации.
• При работе на других компьютерах необходимо защищать свои дискеты от записи.
• Делать архивные копии ценной информации на других носителях.
• Не оставлять дискету в дисководе при включении или перезагрузке ЭВМ, это может привести к заражению загрузочными вирусами.
• Получив электронное письмо, к которому приложен исполняемый файл, не следует запускать этот файл без предварительной проверки.
• Необходимо иметь аварийную загрузочную дискету, с которой можно будет загрузиться, если система откажется сделать это обычным образом

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов.

Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).

Ревизоры (инспектора) запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры (инспектора) имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров (инспекторов) относится широко распространенная в России программа Adinf.

Запускать ревизора (инспектора) надо тогда, когда компьютер еще не заражен, чтобы он мог создать в корневой директории каждого диска по таблице - файлу kavitab(бyквa_диска).dat (например, kavitabc.dat), со всей необходимой информацией о файлах, которые имеются на этом диске, а также о его загрузочной области. На создание каждой таблицы у нас будет запрошено разрешение.

При следующих запусках ревизор (инспектор) будет просматривать диски, сравнивая данные о каждом файле со своими записями. Скажем, размер файла изменился, а дата и время остались прежними. Странно? Странно! У нескольких файлов изменилась длина, причем на одинаковую величину, как будто в каждый из файлов было добавлено нечто постороннее. Странно? Еще бы! Или в реестре Windows произошли изменения, хотя вы ничего нового в систему не добавляли. Подозрительно? В высшей степени подозрительно! Ну, а когда инспектор сообщает о странных изменениях в загрузочном секторе, то это просто караул! (Если, конечно, вы не установили со времени предыдущей проверки новую операционную систему.)

В такой ситуации ревизор (инспектор) сможет использовать свой собственный лечащий модуль, который восстановит испорченный вирусом файл в 95 случаях из 100 (по крайней мере, так обещают авторы). Для восстановления файлов инспектору даже не нужно ничего знать о конкретном типе вируса, достаточно воспользоваться данными о файлах, сохраненными в таблицах.

Кроме того, в случае необходимости может быть вызван антивирусный сканер.

1. попытки коррекции файлов с расширениями COM, EXE;

2. изменение атрибутов файла;

3. прямая запись на диск по абсолютному адресу;

4. запись в загрузочные сектора диска;

5. загрузка резидентной программы.

Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.

Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

Как работают современные антивирусные программы и какие методы используют злоумышленники для борьбы с ними? Об этом — сегодняшняя статья.

Как антивирусные компании пополняют базы?

Как образцы вредоносов попадают в вирусные лаборатории? Каналов поступления новых семплов у антивирусных компаний традиционно несколько. Прежде всего, это онлайн-сервисы вроде VirusTotal, то есть серверы, на которых любой анонимный пользователь может проверить детектирование произвольного файла сразу десятком самых популярных антивирусных движков. Каждый загруженный образец вне зависимости от результатов проверки автоматически отправляется вендорам для более детального исследования.

Очевидно, что с подобных ресурсов в вирусные лаборатории прилетает огромный поток мусора, включая совершенно безобидные текстовые файлы и картинки, поэтому на входе он фильтруется специально обученными роботами и только после этого передается по конвейеру дальше. Этими же сервисами успешно пользуются небольшие компании, желающие сэкономить на содержании собственных вирусных лабораторий. Они тупо копируют в свои базы чужие детекты, из-за чего регулярно испытывают эпические фейлы, когда какой-нибудь вендор в шутку или по недоразумению поставит вердикт infected на тот или иной компонент такого антивируса, после чего тот радостно переносит в карантин собственную библиотеку и с грохотом валится, вызывая баттхерт у пользователей и истерический хохот у конкурентов.

После того как семпл попадает в вирусную лабораторию, он сортируется по типу файла и исследуется автоматическими средствами аналитики, которые могут установить вердикт по формальным или техническим признакам — например, по упаковщику. И только если роботам раскусить вредоноса не удалось, он передается вирусным аналитикам для проведения инструментального или ручного анализа.

Анатомия антивируса

Антивирусные программы различных производителей включают в себя разное число компонентов, и даже более того, одна и та же компания может выпускать несколько версий антивируса, включающих определенный набор модулей и ориентированных на различные сегменты рынка. Например, некоторые антивирусы располагают компонентом родительского контроля, позволяющего ограничивать доступ несовершеннолетних пользователей компьютера к сайтам определенных категорий или регулировать время их работы в системе, а некоторые — нет. Так или иначе, обычно современные антивирусные приложения обладают следующим набором функциональных модулей:

• антивирусный сканер — утилита, выполняющая поиск вредоносных программ на дисках и в памяти устройства по запросу пользователя или по расписанию;
• резидентный монитор — компонент, выполняющий отслеживание состояния системы в режиме реального времени и блокирующий попытки загрузки или запуска вредоносных программ на защищаемом компьютере;
• брандмауэр (файрвол) — компонент, выполняющий мониторинг текущего соединения, включая анализ входящего и исходящего трафика, а также проверяющий исходный адрес и адрес назначения в каждом передаваемом с компьютера и поступающем на компьютер пакете информации — данные, поступающие из внешней среды на защищенный брандмауэром компьютер без предварительного запроса, отслеживаются и фильтруются. С функциональной точки зрения брандмауэр выступает в роли своеобразного фильтра, контролирующего поток передаваемой между локальным компьютером и интернетом информации, защитного барьера между компьютером и всем остальным информационным пространством;
• веб-антивирус — компонент, предотвращающий доступ пользователя к опасным ресурсам, распространяющим вредоносное ПО, фишинговым и мошенническим сайтам с использованием специальной базы данных адресов или системы рейтингов;
• почтовый антивирус — приложение, выполняющее проверку на безопасность вложений в сообщения электронной почты и (или) пересылаемых по электронной почте ссылок;
• модуль антируткит — модуль, предназначенный для борьбы с руткитами (вредоносными программами, обладающими способностью скрывать свое присутствие в инфицированной системе);
• модуль превентивной защиты — компонент, обеспечивающий целостность жизненно важных для работоспособности системы данных и предотвращающий опасные действия программ;
• модуль обновления — компонент, обеспечивающий своевременное обновление других модулей антивируса и вирусных баз;
• карантин — централизованное защищенное хранилище, в которое помещаются подозрительные (в некоторых случаях — определенно инфицированные) файлы и приложения до того, как по ним будет вынесен окончательный вердикт.

В зависимости от версии и назначения антивирусной программы, она может включать в себя и другие функциональные модули, например компоненты для централизованного администрирования, удаленного управления.

Современные антивирусные программы используют несколько методик обнаружения вредоносных программ в различных их сочетаниях. Основная из них — это сигнатурное детектирование угроз.

Сигнатуры собираются в блок данных, называемый вирусными базами. Вирусные базы антивирусных программ периодически обновляются, чтобы добавить в них сигнатуры новых угроз, исследованных за истекшее с момента последнего обновления время.

Антивирусная программа исследует хранящиеся на дисках (или загружаемые из интернета) файлы и сравнивает результаты исследования с сигнатурами, записанными в антивирусной базе. В случае совпадения такой файл считается вредоносным. Данная методика сама по себе имеет значительный изъян: злоумышленнику достаточно изменить структуру файла на несколько байтов, и его сигнатура изменится. До тех пор пока новый образец вредоноса не попадет в вирусную лабораторию и его сигнатура не будет добавлена в базы, антивирус не сможет распознать и ликвидировать данную угрозу.