Klassifizierung von Antivirus-Software mit Beispielen. Klassifikation, Merkmale, Beispiele. Softwareprodukte, die auf Bitdefender-Technologien basieren

Grundlegende Methoden zum Erkennen von Viren

Antivirenprogramme haben sich parallel zur Entwicklung von Viren entwickelt. Als neue Technologien zum Erstellen von Viren auftauchten, wurde der mathematische Apparat, der bei der Entwicklung von Antivirenprogrammen verwendet wurde, immer komplizierter.

Die ersten Antiviren-Algorithmen wurden auf der Grundlage des Vergleichs mit dem Standard erstellt. Wir sprechen von Programmen, in denen der Virus vom klassischen Kernel durch eine Maske bestimmt wird. Die Bedeutung des Algorithmus besteht darin, statistische Methoden zu verwenden. Die Maske sollte einerseits klein sein, damit die Dateigröße akzeptabel ist, und andererseits groß genug, um Fehlalarme zu vermeiden (wenn „Freund“ als „fremd“ wahrgenommen wird und umgekehrt).

Die ersten auf diesem Prinzip aufgebauten Antivirenprogramme (die sogenannten Polyphagen-Scanner) kannten eine bestimmte Anzahl von Viren und konnten diese behandeln. Diese Programme wurden wie folgt erstellt: Der Entwickler hat nach Erhalt des Virencodes (der Virencode war zunächst statisch) eine eindeutige Maske aus diesem Code (eine Folge von 10-15 Bytes) kompiliert und in die Datenbank des Antivirenprogramms eingegeben -Virenprogramm. Das Antivirenprogramm scannte die Dateien und schlussfolgerte, wenn es diese Bytefolge fand, dass die Datei infiziert war. Diese Sequenz (Signatur) wurde so gewählt, dass sie eindeutig ist und nicht in einem regulären Datensatz vorkommt.

Die beschriebenen Ansätze wurden von den meisten Antivirenprogrammen bis Mitte der 90er Jahre verwendet, als die ersten polymorphen Viren auftauchten, die ihren Körper nach im Voraus nicht vorhersehbaren Algorithmen veränderten. Damals wurde das Signaturverfahren durch den sogenannten Prozessor-Emulator ergänzt, der es ermöglichte, verschlüsselte und polymorphe Viren zu finden, die nicht explizit über eine dauerhafte Signatur verfügten.

Das Prinzip der Prozessoremulation ist in Abb. ein . Wenn normalerweise eine Bedingungskette aus drei Hauptelementen besteht: CPU®OS®Programm, dann wird bei der Emulation eines Prozessors ein Emulator zu einer solchen Kette hinzugefügt. Der Emulator reproduziert sozusagen die Arbeit des Programms in einem virtuellen Raum und rekonstruiert seinen ursprünglichen Inhalt. Der Emulator ist jederzeit in der Lage, die Ausführung des Programms zu unterbrechen, steuert seine Aktionen, ohne etwas verderben zu lassen, und ruft die Antiviren-Scan-Engine auf.

Der zweite Mechanismus, der Mitte der 1990er Jahre auftauchte und von allen Antivirenprogrammen verwendet wird, ist die heuristische Analyse. Tatsache ist, dass das Prozessoremulationsgerät, mit dem Sie eine Zusammenfassung der vom analysierten Programm ausgeführten Aktionen erhalten können, nicht immer die Suche nach diesen Aktionen ermöglicht, sondern Ihnen erlaubt, einige Analysen durchzuführen und eine Hypothese wie z „Virus oder kein Virus?“.

In diesem Fall basiert die Entscheidungsfindung auf statistischen Ansätzen. Und das entsprechende Programm heißt heuristischer Analysator.

Um sich zu reproduzieren, muss ein Virus bestimmte Aktionen ausführen: in den Speicher kopieren, in Sektoren schreiben usw. Der heuristische Analysator (er ist Teil der Antiviren-Engine) enthält eine Liste solcher Aktionen, durchsucht den ausgeführten Programmcode, bestimmt, was er tut, und entscheidet auf dieser Grundlage, ob dieses Programm Viren oder nicht.

Gleichzeitig ist der Prozentsatz des Viren-Skippings, selbst dem Antivirenprogramm unbekannt, sehr gering. Diese Technologie ist mittlerweile in allen Antivirenprogrammen weit verbreitet.

Klassifizierung von Antivirenprogrammen

Antivirenprogramme werden in reine Antivirenprogramme und Antivirenprogramme mit doppeltem Verwendungszweck eingeteilt (Abb. 2).

Reine Antivirenprogramme zeichnen sich durch das Vorhandensein einer Antiviren-Engine aus, die die Funktion des Scannens nach Mustern ausführt. Grundsätzlich gilt in diesem Fall, dass eine Behandlung möglich ist, wenn das Virus bekannt ist. Reine Antivirenprogramme wiederum werden je nach Art des Zugriffs auf Dateien in zwei Kategorien eingeteilt: solche, die den Zugriff kontrollieren (on access) oder on demand (on demand). In der Regel werden On-Access-Produkte als Monitore und On-Demand-Produkte als Scanner bezeichnet.

On-Demand-Produkt funktioniert nach folgendem Schema: Der Benutzer möchte etwas überprüfen und stellt eine Anfrage (Demand), woraufhin die Überprüfung durchgeführt wird. Ein On-Access-Produkt ist ein residentes Programm, das den Zugriff überwacht und zum Zeitpunkt des Zugriffs eine Prüfung durchführt.

Darüber hinaus können Antivirenprogramme, wie Viren, je nach Plattform innerhalb dessen unterteilt werden dieses Antivirenprogramm Arbeiten. In diesem Sinne können Plattformen neben Windows oder Linux Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Dual-Purpose-Programme sind Programme, die sowohl in Antivirus- als auch in Nicht-Antivirus-Software verwendet werden. Beispielsweise kann der CRC-Checker – ein auf Prüfsummen basierender Änderungsprüfer – nicht nur zum Abfangen von Viren verwendet werden. Eine Vielzahl von Dual-Purpose-Programmen sind Verhaltensblocker, die das Verhalten anderer Programme analysieren und diese blockieren, wenn verdächtige Aktionen erkannt werden. Verhaltensblocker unterscheiden sich von einem klassischen Antivirus durch einen Antivirenkern, der im Labor analysierte Viren erkennt und heilt, für die ein Behandlungsalgorithmus vorgeschrieben wurde, Verhaltensblocker wissen nicht, wie man Viren behandelt, weil sie nichts über sie wissen. Diese Eigenschaft von Blockern ermöglicht es ihnen, mit allen Viren zu arbeiten, einschließlich unbekannter. Dies ist heute von besonderer Relevanz, da die Vertreiber von Viren und Antivirenprogrammen dieselben Datenübertragungswege, nämlich das Internet, nutzen. Gleichzeitig braucht das Antivirenunternehmen immer Zeit, um den Virus selbst zu bekommen, ihn zu analysieren und die entsprechenden Behandlungsmodule zu schreiben. Programme aus der Gruppe mit doppeltem Verwendungszweck ermöglichen es Ihnen lediglich, die Ausbreitung des Virus zu blockieren, bis das Unternehmen ein Behandlungsmodul schreibt.

Überblick über die beliebtesten persönlichen Antivirenprogramme

Die Überprüfung umfasst die beliebtesten Antivirenprogramme für den persönlichen Gebrauch von fünf bekannten Entwicklern. Es sollte beachtet werden, dass einige der unten besprochenen Unternehmen mehrere Versionen von persönlichen Programmen anbieten, die sich in der Funktionalität und dementsprechend im Preis unterscheiden. In unserem Test haben wir uns ein Produkt von jedem Unternehmen angesehen und die funktionalste Version ausgewählt, die in der Regel Personal Pro heißt. Weitere persönliche Antivirus-Optionen finden Sie auf den jeweiligen Websites.

Kaspersky Antivirus

Persönliche Prov. 4.0

Entwickler: Kaspersky Lab. Website: http://www.kaspersky.ru/ . Preis 69 $ (Lizenz für 1 Jahr).

Kaspersky Anti-Virus Personal Pro (Abb. 3) ist eine der beliebtesten Lösungen auf dem russischen Markt und enthält eine Reihe einzigartiger Technologien.

Verhaltensblocker Das Office Guard-Modul kontrolliert die Ausführung von Makros und stoppt alle verdächtigen Aktionen. Das Vorhandensein des Office Guard-Moduls bietet 100% Schutz vor Makroviren.

Der Inspector überwacht alle Änderungen an Ihrem Computer und, falls unbefugte Änderungen an Dateien oder in Systemregistrierung ermöglicht es Ihnen, den Inhalt der Festplatte wiederherzustellen und bösartige Codes zu entfernen. Inspector benötigt keine Updates der Antiviren-Datenbank: Die Integritätskontrolle erfolgt auf der Grundlage der Erfassung von Originaldatei-Fingerprints (CRC-Summen) und deren anschließendem Vergleich mit modifizierten Dateien. Im Gegensatz zu anderen Prüfern unterstützt Inspector alle gängigen ausführbaren Dateiformate.

Der heuristische Analysator ermöglicht es, Ihren Computer sogar vor unbekannten Viren zu schützen.

Der ständig im Computerspeicher vorhandene Monitor-Hintergrundvirus-Abfangjäger führt eine Virenprüfung aller Dateien direkt in dem Moment durch, in dem sie gestartet, erstellt oder kopiert werden, wodurch Sie alle Dateioperationen kontrollieren und eine Infektion selbst durch die technologisch fortschrittlichsten verhindern können Viren.

Antivirus-E-Mail-Filter verhindern, dass Viren auf Ihren Computer gelangen. Das Plug-in Mail Checker entfernt nicht nur Viren aus dem Textkörper einer E-Mail, sondern stellt auch den ursprünglichen Inhalt von E-Mails vollständig wieder her. Ein umfassender Scan der E-Mail-Korrespondenz verhindert, dass sich ein Virus in einem der Elemente einer E-Mail versteckt, indem alle Abschnitte eingehender und ausgehender Nachrichten gescannt werden, einschließlich angehängter Dateien (einschließlich archivierter und verpackter) und anderer Nachrichten aller Verschachtelungsebenen.

Virenschutz Scanner ermöglicht bei Bedarf einen vollständigen Scan des gesamten Inhalts von lokalen und Netzlaufwerken.

Der Interceptor Script Checker bietet eine Virenprüfung aller laufenden Skripts, bevor sie ausgeführt werden.

Die Unterstützung für archivierte und komprimierte Dateien bietet die Möglichkeit, schädlichen Code aus einer infizierten komprimierten Datei zu entfernen.

Die Isolierung infizierter Objekte ermöglicht die Isolierung infizierter und verdächtiger Objekte mit anschließender Übertragung in ein speziell organisiertes Verzeichnis zur weiteren Analyse und Wiederherstellung.

Die Automatisierung des Virenschutzes ermöglicht es Ihnen, einen Zeitplan und eine Reihenfolge der Programmkomponenten zu erstellen; automatisches Herunterladen und Verbinden neuer Antiviren-Datenbank-Updates über das Internet; Benachrichtigungen über erkannte Virenangriffe senden an Email usw.

Norton AntiVirus 2003 Professional Edition

Entwickler: Symantec. Website: http://www.symantec.ru/ .

Der Preis beträgt 89,95 Euro.

Das Programm läuft unter Windows-Steuerung 95/98/Me/NT4.0/2000 Pro/XP.

Preis 39,95 $

Das Programm läuft unter Windows 95/98/Me/NT4.0/2000 Pro/XP.

Antivirenprogramm (Antivirus) - ein Programm zum Erkennen und Entfernen von Computerviren und anderen Schadprogrammen, zum Verhindern ihrer Verbreitung sowie zum Wiederherstellen von mit ihnen infizierten Programmen.

Die Hauptaufgaben moderner Antivirenprogramme:

• -- Dateien und Programme in Echtzeit scannen.
• -- Auf Anfrage Computer-Scan.
• -- Scannen des Internetverkehrs.
• -- E-Mail-Scannen.
• -- Schutz vor Angriffen von gefährlichen Websites.
• - Wiederherstellung beschädigter Dateien (Behandlung).

Klassifizierung von Antivirenprogrammen:

• · Detektorprogramme bieten Suche und Erkennung von Viren in Arbeitsspeicher und auf externen Medien, und geben bei Erkennung eine entsprechende Meldung aus. Es gibt Detektoren:
  • 1. universell - Verwendung in ihrer Arbeit, um die Invarianz von Dateien durch Zählen und Vergleichen mit einem Prüfsummenstandard zu überprüfen
  • 2. spezialisiert- Suche nach bekannten Viren anhand ihrer Signatur (sich wiederholender Codeabschnitt). Der Nachteil solcher Detektoren ist, dass sie nicht alle bekannten Viren erkennen können.

Ein Detektor, der mehrere Viren erkennen kann, wird als Polydetektor bezeichnet. Der Nachteil solcher Antivirenprogramme ist, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

• · Arztprogramme (Phagen) virenverseuchte Dateien nicht nur finden, sondern auch „behandeln“, d.h. den Hauptteil des Virusprogramms aus der Datei entfernen und die Dateien in ihren ursprünglichen Zustand zurückversetzen. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören sie und fahren erst dann mit der „Behandlung“ von Dateien fort. Unter Phagen werden Polyphagen unterschieden, d.h. Doctor-Programme, die entwickelt wurden, um eine große Anzahl von Viren zu finden und zu zerstören. Da ständig neue Viren auftauchen, veralten Erkennungs- und Doktorprogramme schnell und es sind regelmäßige Updates ihrer Versionen erforderlich.
• · Wirtschaftsprüfer-Programme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Prüfer merken sich den Anfangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Wunsch des Benutzers den aktuellen Zustand mit dem ursprünglichen. Die erkannten Änderungen werden auf dem Monitorbildschirm angezeigt. In der Regel wird der Zustandsvergleich unmittelbar nach dem Laden durchgeführt Betriebssystem. Beim Vergleich werden die Dateilänge, der zyklische Kontrollcode (Dateiprüfsumme), Datum und Uhrzeit der Änderung und andere Parameter überprüft.
• · Programme filtern (Watchdog) sind kleine residente Programme, die darauf ausgelegt sind, verdächtige Computeraktivitäten zu erkennen, die für Viren charakteristisch sind. Solche Aktionen können sein:
  • 1. versucht, Dateien mit COM- und EXE-Erweiterungen zu korrigieren;
  • 2. Ändern von Dateiattributen;
  • 3. direktes Schreiben auf Platte an einer absoluten Adresse;
  • 4. Schreiben in die Bootsektoren der Platte;

Impfprogramme (Immunizer) sind residente Programme, die eine Dateiinfektion verhindern. Impfstoffe werden verwendet, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff modifiziert das Programm oder die Diskette so, dass es ihre Arbeit nicht beeinträchtigt, und der Virus sie als infiziert wahrnimmt und sich daher nicht festsetzt. Ein wesentlicher Nachteil solcher Programme ist ihre begrenzte Fähigkeit, eine Infektion durch eine große Anzahl verschiedener Viren zu verhindern.

Funktionen von Antivirenprogrammen

Virenschutz in Echtzeit

Die meisten Antivirenprogramme bieten Echtzeitschutz. Das bedeutet, dass das Antivirenprogramm Ihren Computer jede Sekunde vor allen eingehenden Bedrohungen schützt. Auch wenn kein Virus Ihren Computer infiziert hat, sollten Sie daher die Installation eines Antivirenprogramms mit Echtzeitschutz in Betracht ziehen, um eine weitere Ausbreitung der Infektion zu verhindern.

Bedrohungserkennung

Antivirenprogramme können Ihren gesamten Computer auf Viren scannen. Zunächst werden die anfälligsten Bereiche, Systemordner und RAM gescannt. Sie können die Scan-Sektoren auch selbst auswählen oder beispielsweise einen bestimmten auswählen Festplatte. Allerdings sind nicht alle Antivirenprogramme in ihren Algorithmen gleich, und einige Antivirenprogramme haben höhere Erkennungsraten als andere.

Automatische Updates

Jeden Tag werden neue Viren erstellt und erscheinen. Daher ist es für Antivirenprogramme äußerst wichtig, Antivirendatenbanken (eine Liste aller bekannten Viren, alte und neue) aktualisieren zu können. Automatisches Update ist notwendig, da ein veralteter Antivirus keine neuen Viren und Bedrohungen erkennen kann. Auch wenn das Antivirenprogramm nur manuelle Updates anbietet, vergessen Sie möglicherweise, die Antivirendefinitionen zu aktualisieren, und Ihr Computer kann mit einem neuen Virus infiziert werden. Versuchen Sie, ein Antivirenprogramm mit automatischen Updates auszuwählen.

Warnungen

Das Antivirenprogramm warnt Sie, wenn ein Programm versucht, auf Ihren Computer zuzugreifen. Ein Beispiel sind Internetanwendungen. Viele Programme, die versuchen, auf Ihren PC zuzugreifen, sind harmlos oder Sie haben sie freiwillig heruntergeladen, und daher geben Ihnen Antivirenprogramme die Möglichkeit, selbst zu entscheiden, ob Sie deren Installation oder Betrieb zulassen oder blockieren.

Virenschutz ist die häufigste Maßnahme zur Gewährleistung der Informationssicherheit der IT-Infrastruktur im Unternehmensbereich. Allerdings verwenden nur 74 % der russischen Unternehmen Antiviren-Lösungen zum Schutz, zeigte eine Studie, die Kaspersky Lab zusammen mit dem Analyseunternehmen B2B International (Herbst 2013) durchgeführt hat.

Der Bericht sagt auch, dass angesichts der Explosion von Cyber-Bedrohungen, gegen die Unternehmen durch einfache Antivirenprogramme geschützt sind, russische Unternehmen zunehmend komplexe Schutztools verwenden. Vor allem aus diesem Grund stieg die Nutzung von Datenverschlüsselungstools auf Wechselmedien um 7 % (24 %). Darüber hinaus sind Unternehmen bereiter geworden, Sicherheitsrichtlinien für Wechseldatenträger festzulegen. Auch die Differenzierung der Zugriffsebenen auf verschiedene Teile der IT-Infrastruktur hat zugenommen (49 %). Gleichzeitig schenken kleine und mittelständische Unternehmen der Kontrolle von Wechseldatenträgern (35 %) und der Anwendungskontrolle (31 %) mehr Aufmerksamkeit.

Die Forscher fanden auch heraus, dass trotz der ständigen Entdeckung neuer Schwachstellen in Software, Russische Unternehmen immer noch zu wenig auf regelmäßige Updates geachtet Software. Darüber hinaus ist die Zahl der Patching-Organisationen im Vergleich zum Vorjahr auf nur noch 59 % zurückgegangen.

Moderne Antivirenprogramme sind in der Lage, bösartige Objekte in Programmdateien und Dokumenten effektiv zu erkennen. In einigen Fällen kann das Antivirenprogramm den Körper eines schädlichen Objekts aus einer infizierten Datei entfernen und die Datei selbst wiederherstellen. In den meisten Fällen ist ein Antivirus in der Lage, ein schädliches Programmobjekt nicht nur aus einer Programmdatei, sondern auch aus einer Datei zu entfernen. Bürodokument ohne seine Integrität zu verletzen. Die Nutzung von Antivirenprogrammen erfordert keine hohen Qualifikationen und steht nahezu jedem Computerbenutzer offen.

Die meisten Antivirenprogramme kombinieren Echtzeitschutz (Antivirus-Monitor) und On-Demand-Schutz (Antivirus-Scanner).

Antivirus-Bewertung

2019: Zwei Drittel der Antivirenprogramme für Android waren nutzlos

Im März 2019 veröffentlichte AV-Comparatives, ein österreichisches Labor, das sich auf das Testen von Antivirensoftware spezialisiert hat, die Ergebnisse einer Studie, die die Nutzlosigkeit der meisten dieser Programme für Android zeigte.

Nur 23 Antivirenprogramme im offiziellen Katalog des Google Play Store erkennen Malware in 100 % der Fälle genau. Der Rest der Software reagiert entweder nicht auf mobile Bedrohungen oder nimmt absolut sichere Anwendungen für sie.

Experten haben 250 Antivirenprogramme untersucht und berichtet, dass nur 80 % von ihnen mehr als 30 % der Malware erkennen können. Damit fielen 170 Bewerbungen durch den Test. Bei den Produkten, die die Tests bestanden haben, handelt es sich hauptsächlich um Lösungen großer Hersteller, darunter Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro und Trustwave.

Als Teil des Experiments installierten die Forscher jede Antivirenanwendung auf einem separaten Gerät (ohne Emulator) und automatisierten die Geräte, um einen Browser zu starten, Malware herunterzuladen und dann zu installieren. Jedes Gerät wurde 2018 gegen 2.000 der am weitesten verbreiteten Android-Viren getestet.

Nach Berechnungen von AV-Comparatives handelt es sich bei den meisten Android-Antivirus-Lösungen um Fälschungen. Dutzende von Anwendungen haben eine fast identische Oberfläche, und ihre Ersteller sind eindeutig mehr daran interessiert, Werbung anzuzeigen, als einen funktionierenden Virenscanner zu schreiben.

Einige Antivirenprogramme „sehen“ eine Bedrohung in jeder Anwendung, die nicht in ihrer „Whitelist“ enthalten ist. Aus diesem Grund haben sie in einigen sehr anekdotischen Fällen wegen ihrer eigenen Dateien Alarm geschlagen, da die Entwickler vergessen hatten, sie in der "weißen Liste" zu erwähnen.

2017: Microsoft Security Essentials wird als eines der schlechtesten Antivirenprogramme anerkannt

Im Oktober 2017 veröffentlichte das deutsche Antiviren-Labor AV-Test die Ergebnisse umfassender Antiviren-Tests. Laut der Studie ist die proprietäre Software von Microsoft, die zum Schutz vor böswilligen Aktivitäten entwickelt wurde, fast am schlechtesten, wenn es darum geht, ihre Aufgabe zu erfüllen.

Nach den Ergebnissen von Tests, die im Juli-August 2017 durchgeführt wurden, nannten die Experten von AV-Test Kaspersky Internet Security als das beste Antivirenprogramm für Windows 7, das bei der Bewertung des Schutzniveaus, der Leistung und der Benutzerfreundlichkeit 18 Punkte erhielt.

Zu den Top 3 gehörten Trend Micro Internet Security und Bitdefender Internet Security mit jeweils 17,5 Punkten. Die Position von Produkten anderer Antivirus-Unternehmen, die in die Studie einbezogen wurden, können Sie den folgenden Abbildungen entnehmen:

Viele Scanner verwenden auch heuristische Scan-Algorithmen, d. Analyse der Befehlsfolge im geprüften Objekt, Sammlung einiger Statistiken und Entscheidungsfindung für jedes geprüfte Objekt.

Scanner können auch in zwei Kategorien unterteilt werden - universell und spezialisiert. Universelle Scanner sind darauf ausgelegt, alle Arten von Viren zu suchen und zu neutralisieren, unabhängig vom Betriebssystem, in dem der Scanner arbeiten soll. Spezialisierte Scanner sind darauf ausgelegt, eine begrenzte Anzahl von Viren oder nur eine Klasse davon zu neutralisieren, wie z. B. Makroviren.

Scanner werden ebenfalls unterteilt in Resident (Monitore), die on-the-fly scannen, und Non-Resident, die das System nur auf Anfrage prüfen. Residente Scanner bieten in der Regel einen zuverlässigeren Systemschutz, da sie sofort auf das Auftreten eines Virus reagieren, während ein nicht-residenter Scanner einen Virus erst beim nächsten Start erkennen kann.

CRC-Scanner

Das Funktionsprinzip von CRC-Scannern basiert auf der Berechnung von CRC-Summen (Prüfsummen) für Dateien / Systemsektoren, die auf der Festplatte vorhanden sind. Diese CRC-Summen werden dann in der Antivirus-Datenbank gespeichert, zusammen mit einigen anderen Informationen: Dateilängen, Datum ihrer letzten Änderung usw. Beim nächsten Einsatz von CRC-Scannern prüfen diese die in der Datenbank enthaltenen Daten mit den tatsächlich berechneten Werten. Stimmen die in der Datenbank erfassten Dateiinformationen nicht mit den realen Werten überein, signalisieren CRC-Scanner, dass die Datei verändert oder mit einem Virus infiziert wurde.

CRC-Scanner sind nicht in der Lage, einen Virus im Moment seines Erscheinens im System zu erkennen, sondern tun dies erst nach einiger Zeit, nachdem sich der Virus auf dem Computer verbreitet hat. CRC-Scanner können Viren in neuen Dateien (in E-Mails, auf Disketten, in Dateien, die aus einem Backup wiederhergestellt wurden oder beim Entpacken von Dateien aus einem Archiv) nicht erkennen, da ihre Datenbanken keine Informationen über diese Dateien haben. Außerdem tauchen regelmäßig Viren auf, die diese Schwäche von CRC-Scannern ausnutzen, nur neu erstellte Dateien infizieren und somit für sie unsichtbar bleiben.

Blocker

Antivirenblocker sind residente Programme, die virengefährliche Situationen abfangen und den Benutzer darüber informieren. Zu den virengefährlichen Aufrufen gehören Aufrufe zum Öffnen zum Schreiben auf ausführbare Dateien, Schreiben in die Bootsektoren von Disketten oder in den MBR einer Festplatte, Versuche von Programmen, resident zu bleiben, etc., also Aufrufe, die typisch für Viren sind Zeit der Reproduktion.

Zu den Vorteilen von Blockern gehört ihre Fähigkeit, das Virus im frühesten Stadium seiner Vermehrung zu erkennen und zu stoppen. Zu den Nachteilen gehören die Existenz von Möglichkeiten, den Schutz von Blockern zu umgehen, und eine große Anzahl von Fehlalarmen.

Immunisierer

Immunisierer werden in zwei Typen unterteilt: infektionsmeldende Immunisierer und infektionsblockierende Immunisierer. Die ersten werden normalerweise an das Ende von Dateien geschrieben (nach dem Prinzip eines Dateivirus) und bei jedem Start der Datei auf Änderungen überprüft. Der Nachteil solcher Immunisierer ist nur einer, aber er ist tödlich: die absolute Unfähigkeit, eine Infektion mit einem Stealth-Virus zu melden. Daher werden solche Immunisierer sowie Blocker derzeit praktisch nicht verwendet.

Die zweite Art der Immunisierung schützt das System vor Angriffen durch einen bestimmten Virustyp. Dateien auf Datenträgern werden so verändert, dass der Virus sie für bereits infizierte hält. Zum Schutz vor einem residenten Virus wird ein Programm, das eine Kopie des Virus imitiert, in den Speicher des Computers eingegeben. Beim Start stolpert der Virus darüber und glaubt, dass das System bereits infiziert ist.

Diese Art der Immunisierung kann nicht universell sein, da es unmöglich ist, Dateien gegen alle bekannten Viren zu immunisieren.

Klassifizierung von Antivirenprogrammen auf der Grundlage der Zeitvariabilität

Laut Valery Konyavsky können Antiviren-Tools in zwei große Gruppen unterteilt werden – die Analyse von Daten und die Analyse von Prozessen.

Datenanalyse

Die Datenanalyse umfasst Auditoren und Polyphagen. Prüfer analysieren die Folgen der Aktivitäten von Computerviren und anderen Schadprogrammen. Folgen werden in der Änderung der Daten angezeigt, die sich nicht ändern sollten. Die Tatsache der Datenänderung ist aus Sicht des Prüfers ein Zeichen für die Aktivität von Schadprogrammen. Mit anderen Worten, die Prüfer kontrollieren die Integrität der Daten und treffen bei Verletzung der Integrität eine Entscheidung über das Vorhandensein von Malware in der Computerumgebung.

Polyphagen verhalten sich anders. Anhand von Datenanalysen identifizieren sie Fragmente von Schadcode (z. B. anhand ihrer Signatur) und treffen auf dieser Grundlage einen Rückschluss auf das Vorhandensein von Schadprogrammen. Das Löschen oder Desinfizieren von vireninfizierten Daten trägt dazu bei, die negativen Folgen der Ausführung von Malware zu verhindern. Somit werden auf der Grundlage der Analyse in der Statik die Konsequenzen, die sich in der Dynamik ergeben, verhindert.

Das Arbeitsschema sowohl von Prüfern als auch von Polyphagen ist fast dasselbe - um die Daten (oder ihre Prüfsumme) mit einer oder mehreren Referenzproben zu vergleichen. Daten werden mit Daten verglichen. Um also einen Virus auf Ihrem Computer zu finden, muss dieser bereits funktioniert haben, damit die Folgen seiner Aktivität sichtbar werden. Diese Methode kann nur bekannte Viren finden, für die zuvor Codefragmente oder Signaturen beschrieben wurden. Es ist unwahrscheinlich, dass ein solcher Schutz als zuverlässig bezeichnet werden kann.

Prozessanalyse

Antiviren-Tools, die auf Prozessanalysen basieren, funktionieren etwas anders. Heuristische Analysatoren, wie die oben beschriebenen, analysieren Daten (auf der Platte, in einem Kanal, im Speicher usw.). Der grundlegende Unterschied besteht darin, dass die Analyse unter der Annahme durchgeführt wird, dass es sich bei dem analysierten Code nicht um Daten handelt, sondern um Befehle (bei Computern mit einer von Neumann-Architektur sind Daten und Befehle nicht zu unterscheiden, und daher muss die eine oder andere Annahme aufgestellt werden während der Analyse.)

Der heuristische Analysator wählt eine Operationsfolge aus, ordnet jeder eine bestimmte Gefahrenstufe zu und entscheidet anhand der Gesamtheit der Gefahren, ob diese Operationsfolge Teil eines bösartigen Codes ist. Der Code selbst wird nicht ausgeführt.

Eine andere Art von Antiviren-Tools, die auf Prozessanalysen basieren, sind Verhaltensblocker. In diesem Fall wird der verdächtige Code Schritt für Schritt ausgeführt, bis die Menge der durch den Code initiierten Aktionen als gefährliches (oder sicheres) Verhalten bewertet wird. In diesem Fall wird der Code teilweise ausgeführt, da die Fertigstellung des Schadcodes durch einfachere Methoden der Datenanalyse erkannt werden kann.

Virenerkennungstechnologien

Die in Antivirenprogrammen verwendeten Technologien können in zwei Gruppen eingeteilt werden:

• Technologien zur Signaturanalyse
• Probabilistische Analysetechnologien

Technologien zur Signaturanalyse

Die Signaturanalyse ist eine Virenerkennungsmethode, die das Vorhandensein von Virensignaturen in Dateien prüft. Die Signaturanalyse ist die bekannteste Methode zur Erkennung von Viren und wird in fast allen modernen Antivirenprogrammen verwendet. Um einen Scan durchzuführen, benötigt das Antivirenprogramm eine Reihe von Virensignaturen, die in der Antivirendatenbank gespeichert sind.

Da bei der Signaturanalyse Dateien auf Virensignaturen überprüft werden, muss die Antiviren-Datenbank regelmäßig aktualisiert werden, um das Antivirenprogramm auf dem neuesten Stand zu halten. Das Prinzip der Signaturanalyse definiert auch die Grenzen seiner Funktionalität - die Fähigkeit, nur bekannte Viren zu erkennen - ein Signaturscanner ist gegen neue Viren machtlos.

Andererseits impliziert das Vorhandensein von Virensignaturen die Möglichkeit, infizierte Dateien zu behandeln, die durch Signaturanalyse entdeckt wurden. Allerdings können nicht alle Viren geheilt werden – Trojaner und die meisten Würmer können aufgrund ihrer Konstruktionsmerkmale nicht geheilt werden, da sie integrale Module sind, die geschaffen wurden, um Schaden anzurichten.

Durch die kompetente Implementierung einer Virensignatur können bekannte Viren mit 100-prozentiger Sicherheit erkannt werden.

Probabilistische Analysetechnologien

Probabilistische Analysetechnologien werden wiederum in drei Kategorien unterteilt:

• Heuristische Analyse
• Verhaltensanalyse
• Prüfsummenanalyse

Heuristische Analyse

Die heuristische Analyse ist eine Technologie, die auf probabilistischen Algorithmen basiert, deren Ergebnis die Identifizierung verdächtiger Objekte ist. Die heuristische Analyse überprüft die Dateistruktur und deren Übereinstimmung mit Virenvorlagen. Die beliebteste heuristische Technik besteht darin, den Inhalt einer Datei auf Änderungen bereits bekannter Virensignaturen und deren Kombinationen zu überprüfen. Dies hilft, Hybride und neue Versionen von bereits bekannten Viren ohne zusätzliche Aktualisierung der Antiviren-Datenbank zu erkennen.

Die heuristische Analyse wird verwendet, um unbekannte Viren zu erkennen und erfordert daher keine Behandlung. Diese Technologie ist nicht in der Lage, das Virus davor zu 100 % zu bestimmen, und wie jeder probabilistische Algorithmus sündigt sie mit falsch positiven Ergebnissen.

Verhaltensanalyse

Die Verhaltensanalyse ist eine Technologie, bei der eine Entscheidung über die Art des zu prüfenden Objekts auf der Grundlage einer Analyse der von ihm durchgeführten Operationen getroffen wird. Die Verhaltensanalyse hat eine sehr enge praktische Anwendung, da die meisten der für Viren typischen Aktionen von gewöhnlichen Anwendungen ausgeführt werden können. Verhaltensanalysatoren von Skripten und Makros sind die bekanntesten, da die entsprechenden Viren fast immer eine Reihe ähnlicher Aktionen ausführen.

Die im BIOS eingebetteten Sicherheitsfunktionen können auch als Verhaltensanalysatoren klassifiziert werden. Wenn versucht wird, Änderungen am MBR des Computers vorzunehmen, blockiert der Analysator die Aktion und zeigt dem Benutzer eine entsprechende Benachrichtigung an.

Darüber hinaus können Verhaltensanalysatoren Versuche nachverfolgen, direkt auf Dateien zuzugreifen, Änderungen am Boot-Record von Disketten und Formatierungen Festplatte usw.

Verhaltensanalysatoren verwenden für ihre Arbeit keine zusätzlichen Objekte wie Virendatenbanken und können daher nicht zwischen bekannten und unbekannten Viren unterscheiden – alle verdächtigen Programme gelten a priori als unbekannte Viren. Ebenso implizieren die Merkmale des Betriebs von Tools, die Verhaltensanalysetechnologien implementieren, keine Behandlung.

Prüfsummenanalyse

Die Prüfsummenanalyse ist eine Möglichkeit, Änderungen in den Objekten eines Computersystems zu verfolgen. Aufgrund der Analyse der Art der Änderungen – Gleichzeitigkeit, Massencharakter, identische Dateilängenänderungen – kann auf eine Infektion des Systems geschlossen werden. Prüfsummenanalysatoren (auch Änderungsprüfer genannt) verwenden wie Verhaltensanalysatoren keine zusätzlichen Objekte bei ihrer Arbeit und fällen ein Urteil über das Vorhandensein eines Virus im System ausschließlich durch die Methode der Expertenbewertung. Ähnliche Technologien werden bei Zugriffsscannern verwendet - bei der ersten Prüfung wird eine Prüfsumme aus der Datei gezogen und in den Cache gestellt, vor der nächsten Prüfung derselben Datei wird die Prüfsumme erneut genommen, verglichen und wenn keine Änderungen vorhanden sind, die Datei gilt als nicht infiziert.

Antivirus-Komplexe

Antivirus-Komplex – eine Reihe von Antivirenprogrammen, die dieselbe(n) Antiviren-Engine(s) verwenden, um praktische Probleme bei der Gewährleistung der Antivirensicherheit von Computersystemen zu lösen. Der Antiviren-Komplex umfasst auch Tools zum Aktualisieren von Antiviren-Datenbanken.

Außerdem kann der Antivirus-Komplex zusätzlich Verhaltensanalysatoren und Änderungsprüfer umfassen, die die Antivirus-Engine nicht verwenden.

Es gibt folgende Arten von Antivirenkomplexen:

• Antivirus-Komplex zum Schutz von Workstations
• Antivirus-Komplex zum Schutz von Dateiservern
• Antivirenkomplex zum Schutz von Mailsystemen
• Antivirus-Komplex zum Schutz von Gateways.

Cloud vs. traditioneller Desktop-Antivirus: Welchen sollten Sie wählen?

(Laut der Ressource Webroot.com)

Der moderne Markt der Antiviren-Tools sind vor allem traditionelle Lösungen für Desktop-Systeme, deren Schutzmechanismen auf Basis signaturbasierter Verfahren aufgebaut sind. Eine alternative Methode zum Virenschutz ist die heuristische Analyse.

Probleme mit herkömmlicher Antivirensoftware

In den letzten Jahren sind traditionelle Antiviren-Technologien aufgrund einer Reihe von Faktoren immer weniger effektiv geworden und schnell veraltet. Die Zahl der durch Signaturen identifizierten Virenbedrohungen ist bereits so hoch, dass es oft eine unrealistische Aufgabe ist, eine zeitnahe 100%ige Aktualisierung der Signaturdatenbanken auf den Benutzercomputern sicherzustellen. Hacker und Cyberkriminelle nutzen zunehmend Botnets und andere Technologien, um die Verbreitung von Zero-Day-Viren zu beschleunigen. Zudem werden bei gezielten Angriffen keine Signaturen der entsprechenden Viren erstellt. Schließlich werden neue Antiviren-Erkennungstechnologien angewendet: Malware-Verschlüsselung, Erstellung polymorpher Viren auf der Serverseite, Vorabprüfung der Qualität eines Virenangriffs.

Herkömmlicher Virenschutz ist meistens in der „Thick Client“-Architektur aufgebaut. Das bedeutet, dass viel Programmcode auf dem Computer des Kunden installiert wird. Es überprüft eingehende Daten und erkennt das Vorhandensein von Virenbedrohungen.

Dieser Ansatz hat eine Reihe von Nachteilen. Erstens erfordert das Scannen nach Malware und übereinstimmenden Signaturen eine erhebliche Rechenlast, die dem Benutzer „weggenommen“ wird. Infolgedessen nimmt die Produktivität des Computers ab und der Betrieb des Antivirenprogramms stört manchmal die parallele Ausführung von angewendeten Aufgaben. Manchmal ist die Belastung des Systems des Benutzers so spürbar, dass Benutzer Antivirenprogramme deaktivieren und damit die Barriere für einen potenziellen Virenangriff entfernen.

Zweitens erfordert jede Aktualisierung auf dem Computer des Benutzers die Übertragung von Tausenden neuer Signaturen. Die übertragene Datenmenge liegt typischerweise in der Größenordnung von 5 MB pro Tag und Maschine. Die Datenübertragung verlangsamt das Netzwerk, lenkt zusätzliche Systemressourcen um und erfordert die Einbeziehung von Systemadministratoren, um den Datenverkehr zu steuern.

Drittens sind Benutzer, die sich im Roaming oder außerhalb ihres festen Arbeitsplatzes befinden, anfällig für Zero-Day-Angriffe. Um einen aktualisierten Teil der Signaturen zu erhalten, müssen sie sich mit einem VPN-Netzwerk verbinden, auf das sie aus der Ferne nicht zugreifen können.

Virenschutz aus der Cloud

Beim Umstieg auf Virenschutz aus der Cloud ändert sich die Architektur der Lösung deutlich. Auf dem Computer des Benutzers wird ein „leichter“ Client installiert, dessen Hauptfunktion darin besteht, nach neuen Dateien zu suchen, Hash-Werte zu berechnen und Daten an den Cloud-Server zu senden. In der Cloud wird ein umfassender Vergleich mit einer großen Datenbank gesammelter Unterschriften durchgeführt. Diese Datenbank wird ständig und zeitnah mit Daten aktualisiert, die von Antivirenunternehmen übermittelt werden. Der Auftraggeber erhält einen Bericht mit den Ergebnissen des Audits.

Somit hat die Cloud-Architektur des Virenschutzes eine Reihe von Vorteilen:

• das Berechnungsvolumen auf dem Computer des Benutzers ist im Vergleich zu einem dicken Client vernachlässigbar, daher sinkt die Produktivität des Benutzers nicht;
• es gibt keine katastrophalen Auswirkungen des Antivirenverkehrs auf die Netzwerkbandbreite: Es soll eine kompakte Datenmenge gesendet werden, die nur einige Dutzend Hash-Werte enthält, der durchschnittliche tägliche Datenverkehr überschreitet 120 KB nicht;
• Cloud-Speicher enthält riesige Arrays von Signaturen, die viel größer sind als die auf Benutzercomputern gespeicherten;
• Signaturvergleichsalgorithmen, die in der Cloud verwendet werden, sind wesentlich intelligenter als vereinfachte Modelle, die auf lokaler Stationsebene verwendet werden, und aufgrund der höheren Leistung dauert der Datenvergleich weniger Zeit;
• Cloud-basierte Antivirus-Dienste arbeiten mit echten Daten, die von Antivirus-Labors, Sicherheitsentwicklern, Firmen- und Privatanwendern stammen; Zero-Day-Bedrohungen werden gleichzeitig mit ihrer Erkennung blockiert, ohne Verzögerung, die durch die Notwendigkeit verursacht wird, Zugriff auf Benutzercomputer zu erhalten;
• Benutzer, die unterwegs sind oder keinen Zugang zu ihrem Hauptarbeitsplatz haben, werden gleichzeitig mit dem Zugriff auf das Internet vor Zero-Day-Angriffen geschützt;
• Die Systemadministratoren werden entlastet: Sie müssen keine Zeit mit der Installation von Antivirensoftware auf den Computern der Benutzer und der Aktualisierung von Signaturdatenbanken verbringen.

Warum herkömmliche Antivirenprogramme versagen

Moderner Schadcode kann:

• Umgehen Sie Antivirus-Fallen, indem Sie einen speziellen Zielvirus für das Unternehmen erstellen
• Bevor das Antivirenprogramm eine Signatur erstellt, umgeht es Polymorphismus, Transcodierung mit dynamischem DNS und URL

• Zielerstellung für das Unternehmen
• Polymorphismus
• Code unbekannt - keine Signatur

Schwer zu verteidigen

Hochgeschwindigkeits-Virenschutz von 2011

Das russische unabhängige Informations- und Analysezentrum Anti-Malware.ru veröffentlichte im Mai 2011 die Ergebnisse eines weiteren Vergleichstests der 20 beliebtesten Antivirenprogramme auf Leistung und Systemressourcenverbrauch.

Der Zweck dieses Tests besteht darin, zu zeigen, welche persönlichen Antivirenprogramme die typischen Operationen des Benutzers auf dem Computer am wenigsten beeinträchtigen, seine Arbeit weniger "verlangsamen" und die minimale Menge an Systemressourcen verbrauchen.

Unter den Antiviren-Monitoren (Echtzeitscannern) zeigten eine ganze Reihe von Produkten eine sehr hohe Leistung, darunter: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro und Dr.Web. Mit diesen an Bord befindlichen Antivirenprogrammen betrug die Verlangsamung beim Kopieren der Testsammlung weniger als 20 % im Vergleich zum Benchmark. Die Antiviren-Monitore BitDefender, PC Tools, Outpost, F-Secure, Norton und Emsisoft zeigten ebenfalls hohe Ergebnisse in Bezug auf die Leistung und bewegten sich im Bereich von 30-50 %. Die Antiviren-Monitore BitDefender, PC Tools, Outpost, F-Secure, Norton und Emsisoft zeigten ebenfalls hohe Ergebnisse in Bezug auf die Leistung und bewegten sich im Bereich von 30-50 %.

Gleichzeitig können Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost und PC Tools aufgrund ihrer Post-Check-Optimierung unter realen Bedingungen deutlich schneller sein.

Avira Antivirus zeigte die beste Geschwindigkeit beim On-Demand-Scannen. Etwas dahinter lagen Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus und Outpost. In Bezug auf die Geschwindigkeit des ersten Scans sind diese Antivirenprogramme dem Marktführer nur geringfügig unterlegen, gleichzeitig haben sie alle leistungsstarke Technologien zur Optimierung wiederholter Scans in ihrem Arsenal.

Ein weiteres wichtiges Merkmal der Geschwindigkeit des Antivirenprogramms ist seine Auswirkung auf die Arbeit von Anwendungen, mit denen der Benutzer häufig arbeitet. Fünf von ihnen wurden für den Test ausgewählt: Internet Explorer, Microsoft Office-Wort, Microsoft Outlook, Adobe Acrobat Reader und Adobe Photoshop. Die kleinste Verlangsamung beim Start dieser Office-Programme zeigte die Antivirenprogramme Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost und G Data.

EINLEITUNG

Wir leben an der Wende von zwei Jahrtausenden, als die Menschheit in die Ära einer neuen wissenschaftlichen und technologischen Revolution eingetreten ist.

Ende des 20. Jahrhunderts hatten die Menschen viele der Geheimnisse der Umwandlung von Materie und Energie gemeistert und konnten dieses Wissen nutzen, um ihr Leben zu verbessern. Doch neben Materie und Energie spielt eine weitere Komponente im menschlichen Leben eine große Rolle – die Information. Dies ist eine Vielzahl von Informationen, Nachrichten, Nachrichten, Wissen, Fähigkeiten.

In der Mitte unseres Jahrhunderts tauchten spezielle Geräte auf - Computer, die sich auf das Speichern und Konvertieren von Informationen konzentrierten, und es fand eine Computerrevolution statt.

Heute weit verbreitete Verwendung persönliche Computer Leider stellte sich heraus, dass sie mit dem Aufkommen von selbstreproduzierenden Virenprogrammen in Verbindung gebracht wurden, die den normalen Betrieb des Computers verhindern, die Dateistruktur von Festplatten zerstören und die im Computer gespeicherten Informationen beschädigen.

Trotz der in vielen Ländern verabschiedeten Gesetze zur Bekämpfung von Computerkriminalität und der Entwicklung spezieller Software-Tools Schutz vor Viren, die Zahl neuer Softwareviren wächst ständig. Dies erfordert, dass der Benutzer eines Personalcomputers sich der Natur von Viren bewusst ist, wie man Viren infiziert und wie man sich davor schützt. Dies war der Anstoß für die Wahl des Themas meiner Arbeit.

Davon rede ich in meinem Aufsatz. Ich zeige die Haupttypen von Viren, betrachte die Schemata ihrer Funktionsweise, die Gründe für ihr Auftreten und die Möglichkeiten, in den Computer einzudringen, und schlage auch Maßnahmen zum Schutz und zur Vorbeugung vor.

Ziel der Arbeit ist es, den Benutzer mit den Grundlagen der Computervirologie vertraut zu machen, Viren zu erkennen und zu bekämpfen. Die Arbeitsmethode ist die Analyse gedruckter Publikationen zu diesem Thema. Ich stand vor einer schwierigen Aufgabe – darüber zu sprechen, was sehr wenig untersucht wurde und wie es passiert ist – Sie sind der Richter.

1. COMPUTERVIREN UND IHRE EIGENSCHAFTEN UND KLASSIFIZIERUNG

1.1. Eigenschaften von Computerviren

Jetzt werden Personal Computer verwendet, bei denen der Benutzer freien Zugriff auf alle Ressourcen der Maschine hat. Dies eröffnete die Möglichkeit für die Gefahr, die als Computervirus bekannt geworden ist.

Was ist ein Computervirus? Eine formale Definition dieses Begriffs wurde noch nicht erfunden, und es bestehen ernsthafte Zweifel, ob sie überhaupt gegeben werden kann. Zahlreiche Versuche, eine „moderne“ Definition des Virus zu geben, waren nicht erfolgreich. Um die Komplexität des Problems zu spüren, versuchen Sie beispielsweise, den Begriff „Editor“ zu definieren. Entweder fällt Ihnen etwas ganz Allgemeines ein, oder Sie fangen an, alles aufzuzählen. bekannte Typen Redakteure. Beides kann kaum als akzeptabel angesehen werden. Daher beschränken wir uns darauf, einige der Eigenschaften von Computerviren zu betrachten, die es uns ermöglichen, von ihnen als einer bestimmten Klasse von Programmen zu sprechen.

Zunächst einmal ist ein Virus ein Programm. Allein eine solch einfache Aussage kann viele Legenden über die außergewöhnlichen Fähigkeiten von Computerviren zerstreuen. Der Virus kann das Bild auf Ihrem Monitor umdrehen, aber nicht den Monitor selbst. Auch die Legenden über Killerviren, die „Operatoren zerstören, indem sie ein tödliches Farbschema auf dem 25. Frame anzeigen“, sollten nicht ernst genommen werden. Leider veröffentlichen einige maßgebliche Veröffentlichungen von Zeit zu Zeit "die neuesten Nachrichten von der Computerfront", die sich bei näherer Betrachtung als Ergebnis eines nicht ganz klaren Verständnisses des Themas herausstellen.

Ein Virus ist ein Programm, das sich selbst reproduzieren kann. Diese Fähigkeit ist das einzige Mittel, das allen Arten von Viren innewohnt. Aber nicht nur Viren sind zur Selbstreplikation fähig. Jedes Betriebssystem und viele andere Programme sind in der Lage, ihre eigenen Kopien zu erstellen. Kopien desselben Virus müssen nicht nur nicht vollständig mit dem Original übereinstimmen, sondern dürfen überhaupt nicht übereinstimmen!

Ein Virus kann nicht in "vollständiger Isolation" existieren: Ein Virus, der nicht den Code anderer Programme, Dateistrukturinformationen oder auch nur die Namen anderer Programme verwendet, ist heute nicht vorstellbar. Der Grund ist klar: Das Virus muss irgendwie dafür sorgen, dass die Kontrolle auf sich selbst übertragen wird.

1.2. Virusklassifizierung

Derzeit sind mehr als 5.000 Softwareviren bekannt, die nach folgenden Kriterien eingeteilt werden können:

¨ Lebensraum

¨ Weg der Umweltverschmutzung

Einschlag

¨ Merkmale des Algorithmus

Je nach Lebensraum können Viren in Netzwerk-, Datei-, Boot- und Datei-Boot-Viren unterteilt werden. Netzwerkviren verteilt über verschiedene Computernetzwerke. Dateiviren werden hauptsächlich in ausführbare Module eingeführt, dh in Dateien mit den Erweiterungen COM und EXE. Dateiviren können in andere Arten von Dateien eingebettet werden, aber in der Regel in solche Dateien geschrieben werden, erhalten sie niemals die Kontrolle und verlieren daher die Fähigkeit zur Reproduktion. Boot-Viren sind in den Bootsektor der Festplatte (Boot-Sektor) oder in den Sektor eingebettet, der das Bootprogramm der Systemfestplatte enthält (Master Boot Re-

Kabel). Dateiboot Viren infizieren sowohl Dateien als auch Festplatten-Bootsektoren.

Je nach Infektionsmethode werden Viren in residente und nicht residente Viren unterteilt. Residenter Virus Beim Infizieren (Infizieren) eines Computers belässt er seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf infizierte Objekte (Dateien, Festplatten-Bootsektoren usw.) abfängt und in sie eindringt. Residente Viren befinden sich im Arbeitsspeicher und bleiben aktiv, bis der Computer ausgeschaltet oder neu gestartet wird. Nicht residente Viren infizieren den Computerspeicher nicht und sind für eine begrenzte Zeit aktiv.

Je nach Grad der Auswirkung können Viren in folgende Typen eingeteilt werden:

¨ ungefährlich, die den Betrieb des Computers nicht beeinträchtigen, aber die Menge an freiem RAM und Festplattenspeicher reduzieren, manifestieren sich die Aktionen solcher Viren in Grafik- oder Soundeffekten

¨ gefährlich Viren, die verschiedene Probleme mit Ihrem Computer verursachen können

¨ sehr gefährlich, deren Auswirkungen zum Verlust von Programmen, zur Zerstörung von Daten und zum Löschen von Informationen in den Systembereichen der Festplatte führen können.

2. HAUPTTYPEN VON VIREN UND SCHEMA IHRER FUNKTION

Unter der Vielzahl von Viren können folgende Hauptgruppen unterschieden werden:

Stiefel

Datei

¨ Dateiboot

Nun detaillierter zu jeder dieser Gruppen.

2.1. Boot-Viren

Betrachten Sie die Funktionsweise eines sehr einfachen Boot-Virus, der Disketten infiziert. Wir umgehen bewusst alle zahlreichen Feinheiten, die bei einer rigorosen Analyse des Algorithmus auf seine Funktionsweise zwangsläufig auftreten würden.

Was passiert, wenn Sie Ihren Computer einschalten? Zunächst wird die Kontrolle übertragen Bootstrap-Programm, die im Nur-Lese-Speicher (ROM) gespeichert ist, d.h. PNZ-ROM.

Dieses Programm testet die Hardware und versucht, wenn die Tests bestanden werden, die Diskette in Laufwerk A zu finden:

Jede Diskette ist auf der sog. Sektoren und Spuren. Sektoren werden zu Clustern zusammengefasst, was für uns aber nicht zwingend ist.

Unter den Sektoren gibt es mehrere Dienstsektoren, die vom Betriebssystem für seine eigenen Bedürfnisse verwendet werden (Ihre Daten können nicht in diesen Sektoren abgelegt werden). Unter den Dienstleistungsbereichen interessiert uns noch einer - der sogenannte. Bootstrap-Sektor(Bootsektor).

Der Bootstrap-Sektor speichert Disketteninformationen- die Anzahl der Flächen, die Anzahl der Gleise, die Anzahl der Sektoren usw. Aber jetzt interessieren uns diese Informationen nicht, sondern nur eine kleine Bootstrap-Programm(PNZ), der das Betriebssystem selbst laden und ihm die Steuerung übergeben soll.

Das normale Bootstrap-Muster sieht also wie folgt aus:

Denken Sie jetzt an das Virus. Bei Boot-Viren werden zwei Teile unterschieden - die sogenannten. Kopf usw. Schwanz. Der Schwanz kann im Allgemeinen leer sein.

Angenommen, Sie haben eine leere Diskette und einen infizierten Computer, womit wir einen Computer mit einem aktiven residenten Virus meinen. Sobald dieser Virus erkennt, dass ein geeignetes Opfer im Laufwerk aufgetaucht ist – in unserem Fall eine nicht schreibgeschützte und noch nicht infizierte Diskette – beginnt er mit der Infektion. Beim Infizieren einer Diskette führt der Virus die folgenden Aktionen aus:

Weist einen bestimmten Bereich der Festplatte zu und markiert ihn als unzugänglich für das Betriebssystem, dies kann auf verschiedene Arten erfolgen, im einfachsten und traditionellen Fall werden die vom Virus belegten Sektoren als schlecht (bad) markiert

Kopiert seinen Schwanz und den ursprünglichen (fehlerfreien) Bootsektor in den ausgewählten Bereich der Festplatte

Ersetzt das Bootstrap-Programm im (echten) Bootsektor durch seinen Kopf

Organisiert die Steuerübertragungskette nach dem Schema.

Damit übernimmt nun der Kopf des Virus als erster die Kontrolle, der Virus wird im Arbeitsspeicher installiert und übergibt die Kontrolle an den ursprünglichen Bootsektor. An einer Kette

PNZ (ROM) - PNZ (Festplatte) - SYSTEM

ein neuer Link erscheint:

PNZ (ROM) - VIRUS - PNZ (Festplatte) - SYSTEM

Die Moral ist klar: Lassen Sie niemals (versehentlich) Disketten in Laufwerk A.

Wir haben die Funktionsweise eines einfachen Butovy-Virus untersucht, der in den Bootsektoren von Disketten lebt. Viren können in der Regel nicht nur die Bootsektoren von Disketten, sondern auch die Bootsektoren von Festplatten infizieren. In diesem Fall hat eine Festplatte im Gegensatz zu Disketten zwei Arten von Bootsektoren, die Bootprogramme enthalten, die die Steuerung erhalten. Beim Booten eines Computers von einer Festplatte übernimmt zunächst das Bootprogramm im MBR (Master Boot Record – Master Boot Record). Wenn dein Festplatte in mehrere Abschnitte unterteilt ist, dann ist nur einer davon als bootfähig markiert (boot). Das Bootstrap-Programm im MBR findet die Boot-Partition der Festplatte und übergibt die Kontrolle an den Bootloader dieser Partition. Der Code des letzteren ist derselbe wie der Code des Bootprogramms, das auf gewöhnlichen Disketten enthalten ist, und die entsprechenden Bootsektoren unterscheiden sich nur in den Parametertabellen. Somit gibt es zwei Angriffsziele von Bootviren auf der Festplatte - Bootstrap-Programm ein MBR Und elementar Downloads im Bootsektor Boot-Diskette.

2.2. Dateiviren

Betrachten wir nun, wie ein einfacher Dateivirus funktioniert. Im Gegensatz zu Bootviren, die fast immer resident sind, sind Dateiviren nicht unbedingt resident. Betrachten wir das Funktionsschema eines nicht residenten Dateivirus. Angenommen, wir haben eine infizierte ausführbare Datei. Wenn eine solche Datei gestartet wird, übernimmt der Virus die Kontrolle, führt einige Aktionen aus und übergibt die Kontrolle an den "Master" (obwohl noch unbekannt ist, wer in einer solchen Situation der Master ist).

Welche Aktionen führt der Virus aus? Es sucht nach einem neuen zu infizierenden Objekt - einer Datei eines geeigneten Typs, die noch nicht infiziert wurde (falls der Virus „anständig“ ist, ansonsten gibt es solche, die sofort infizieren, ohne etwas zu überprüfen). Durch das Infizieren einer Datei injiziert sich der Virus in seinen Code, um die Kontrolle zu erlangen, wenn die Datei ausgeführt wird. Neben seiner Hauptfunktion - der Reproduktion - kann der Virus durchaus etwas Kompliziertes tun (sagen, fragen, spielen) - dies hängt bereits von der Vorstellungskraft des Virusautors ab. Wenn ein Dateivirus resident ist, installiert er sich selbst im Speicher und erhält die Fähigkeit, Dateien zu infizieren und andere Fähigkeiten zu zeigen, nicht nur während die infizierte Datei ausgeführt wird. Durch die Infektion einer ausführbaren Datei verändert ein Virus immer seinen Code – daher kann eine Infektion einer ausführbaren Datei immer erkannt werden. Aber durch die Änderung des Dateicodes nimmt der Virus nicht unbedingt andere Änderungen vor:

à Es ist nicht verpflichtet, die Länge der Datei zu ändern

à unbenutzte Codeabschnitte

à ist nicht erforderlich, um den Anfang der Datei zu ändern

Schließlich enthalten Dateiviren oft Viren, die „etwas mit Dateien zu tun haben“, aber nicht in ihren Code eindringen müssen. Betrachten wir als Beispiel das Funktionsschema der Viren der bekannten Dir-II-Familie. Es muss zugegeben werden, dass diese Viren, nachdem sie 1991 aufgetaucht waren, in Russland eine echte Pestepidemie verursachten. Betrachten Sie ein Modell, das die Grundidee eines Virus deutlich zeigt. Informationen zu Dateien werden in Verzeichnissen gespeichert. Jeder Verzeichniseintrag enthält den Dateinamen, Erstellungsdatum und -zeit, einige zusätzliche Informationen, Nummer des ersten Clusters Datei usw. Ersatzbytes. Letztere bleiben "in Reserve" und MS-DOS selbst wird nicht verwendet.

Beim Ausführen ausführbarer Dateien liest das System den ersten Cluster der Datei aus dem Verzeichniseintrag und dann alle anderen Cluster. Viren der Dir-II-Familie produzieren die folgende "Reorganisation" Dateisystem: Der Virus selbst schreibt sich in einige freie Sektoren der Festplatte, die er als schlecht markiert. Außerdem speichert es Informationen über die ersten Cluster ausführbarer Dateien in Ersatzbits und schreibt anstelle dieser Informationen Verweise auf sich selbst.

Wenn also eine Datei gestartet wird, erhält der Virus die Kontrolle (das Betriebssystem startet ihn selbst), bleibt im Speicher und überträgt die Kontrolle an die aufgerufene Datei.

2.3. Boot-Datei-Viren

Wir werden das Virusmodell der Bootdatei nicht betrachten, da Sie in diesem Fall keine neuen Informationen erfahren. Aber hier ist eine Gelegenheit, kurz auf den kürzlich äußerst "populären" OneHalf-Bootdateivirus einzugehen, der den Master-Bootsektor (MBR) und ausführbare Dateien infiziert. Die wichtigste destruktive Aktion ist die Verschlüsselung von Festplattensektoren. Bei jedem Start verschlüsselt der Virus einen weiteren Teil der Sektoren, und nachdem er die Hälfte der Festplatte verschlüsselt hat, gibt er dies fröhlich bekannt. Das Hauptproblem bei der Behandlung dieses Virus besteht darin, dass es nicht ausreicht, den Virus nur aus dem MBR und den Dateien zu entfernen, es ist notwendig, die von ihm verschlüsselten Informationen zu entschlüsseln. Die "tödlichste" Aktion besteht darin, einfach einen neuen gesunden MBR neu zu schreiben. Die Hauptsache - keine Panik. Alles in Ruhe abwägen, Experten konsultieren.

2.4. Polymorphe Viren

Die meisten Fragen beziehen sich auf den Begriff "polymorphes Virus". Diese Art von Computerviren ist bei weitem die gefährlichste. Lassen Sie uns erklären, was es ist.

Polymorphe Viren sind Viren, die ihren Code in infizierten Programmen so verändern, dass zwei Instanzen desselben Virus möglicherweise nicht in einem Bit übereinstimmen.

Solche Viren verschlüsseln nicht nur ihren Code mit unterschiedlichen Verschlüsselungswegen, sondern enthalten auch den Generierungscode des Ver- und Entschlüsselers, was sie von gewöhnlichen Verschlüsselungsviren unterscheidet, die auch Teile ihres Codes verschlüsseln können, aber gleichzeitig einen konstanten Code haben des Ver- und Entschlüsselers.

Polymorphe Viren sind Viren mit selbstmodifizierenden Decodern. Der Zweck einer solchen Verschlüsselung besteht darin, dass Sie, wenn Sie eine infizierte Originaldatei haben, ihren Code immer noch nicht mit herkömmlicher Disassemblierung analysieren können. Dieser Code ist verschlüsselt und ist ein bedeutungsloser Satz von Befehlen. Die Entschlüsselung wird zur Laufzeit vom Virus selbst durchgeführt. Dabei sind Optionen möglich: er kann sich auf einmal entschlüsseln, oder er kann eine solche Entschlüsselung „unterwegs“ durchführen, er kann bereits ausgearbeitete Abschnitte nochmals verschlüsseln. All dies geschieht, um die Analyse des Virencodes zu erschweren.

3. GESCHICHTE DER COMPUTERVIROLOGIE UND URSACHEN VON VIREN

Die Geschichte der Computervirologie scheint heute ein ständiger „Wettlauf um die Führung“ zu sein, und trotz der vollen Leistungsfähigkeit moderner Antivirenprogramme sind es die Viren, die die Führung übernehmen. Unter den Tausenden von Viren sind nur wenige Dutzend Originalentwicklungen, die wirklich grundlegend neue Ideen verwenden. Alle anderen sind "Variationen über ein Thema". Aber jede originelle Entwicklung zwingt die Entwickler von Antivirenprogrammen, sich an neue Bedingungen anzupassen und mit der Virentechnologie Schritt zu halten. Letzteres kann bestritten werden. Beispielsweise gelang es einem amerikanischen Studenten 1989, einen Virus zu erstellen, der etwa 6.000 Computer des US-Verteidigungsministeriums deaktivierte. Oder die Epidemie des berühmten Dir-II-Virus, die 1991 ausbrach. Der Virus verwendete eine wirklich originelle, grundlegend neue Technologie und konnte sich zunächst aufgrund der Unzulänglichkeiten herkömmlicher Antiviren-Tools weit verbreiten.

Oder der Ausbruch von Computerviren in Großbritannien: Christopher Pine gelang es, die Viren Pathogen und Queeq sowie den Smeg-Virus zu erschaffen. Letzteres war am gefährlichsten, es konnte auf die ersten beiden Viren angewendet werden, und aus diesem Grund änderten sie nach jedem Programmlauf die Konfiguration. Daher konnten sie nicht zerstört werden. Um Viren zu verbreiten, kopierte Pine Computerspiele und -programme, infizierte sie und schickte sie dann zurück ins Netzwerk. Benutzer luden infizierte Programme auf ihre Computer und infizierten Festplatten herunter. Die Situation wurde durch die Tatsache verschlimmert, dass es Pine gelang, Viren in das Programm zu bringen, das sie bekämpft. Durch die Ausführung erhielten Benutzer, anstatt Viren zu zerstören, einen anderen. In der Folge wurden die Akten vieler Firmen vernichtet, die Verluste beliefen sich auf Millionen von Pfund.

Der amerikanische Programmierer Morris ist weithin bekannt. Er ist als Schöpfer des Virus bekannt, der im November 1988 etwa 7.000 mit dem Internet verbundene PCs infizierte.

Die Gründe für das Auftreten und die Verbreitung von Computerviren liegen einerseits in der Psychologie der menschlichen Persönlichkeit und ihren Schattenseiten (Neid, Rache, Eitelkeit unerkannter Schöpfer, Unfähigkeit, ihre Fähigkeiten konstruktiv einzusetzen), andererseits andererseits aufgrund des Fehlens von Hardwareschutz und Gegenmaßnahmen aus dem Operationssaal Personalcomputersysteme.

4. WEGE DES EINDRINGENS VON VIREN IN EINEN COMPUTER UND MECHANISMUS DER VERTEILUNG VON VIRUSPROGRAMMEN

Die Hauptwege für Viren, um in einen Computer einzudringen, sind Wechseldatenträger (Disketten und Laser) sowie Computernetzwerke. Eine Vireninfektion der Festplatte kann auftreten, wenn ein Programm von einer Diskette geladen wird, die einen Virus enthält. Eine solche Infektion kann auch zufällig sein, wenn beispielsweise die Diskette nicht aus Laufwerk A entfernt und der Computer neu gestartet wurde, obwohl es sich bei der Diskette möglicherweise nicht um eine Systemdiskette handelt. Es ist viel einfacher, eine Diskette zu infizieren. Ein Virus kann darauf gelangen, selbst wenn die Diskette einfach in das Laufwerk eines infizierten Computers eingelegt und beispielsweise dessen Inhaltsverzeichnis ausgelesen wird.

Der Virus wird in der Regel so in das Arbeitsprogramm eingebracht, dass ihm beim Start zunächst die Kontrolle übertragen wird und er erst nach Ausführung aller seiner Befehle wieder in das Arbeitsprogramm zurückkehrt. Nachdem der Virus Zugriff auf die Kontrolle erlangt hat, schreibt er sich zunächst in ein anderes Arbeitsprogramm um und infiziert es. Nach dem Ausführen eines Programms, das einen Virus enthält, können andere Dateien infiziert werden. Am häufigsten sind der Bootsektor der Festplatte und ausführbare Dateien mit den Erweiterungen EXE, COM, SYS, BAT mit dem Virus infiziert. Textdateien werden äußerst selten infiziert.

Nach der Infektion des Programms kann der Virus eine Art Sabotage ausführen, die nicht zu schwerwiegend ist, um keine Aufmerksamkeit zu erregen. Und schließlich vergessen Sie nicht, die Kontrolle an das Programm zurückzugeben, von dem aus es gestartet wurde. Jede Ausführung eines infizierten Programms überträgt den Virus auf das nächste. Somit wird die gesamte Software infiziert.

Zur Veranschaulichung des Infektionsprozesses Computer Programm Als Virus ist es sinnvoll, Plattenspeicher mit einem altmodischen Archiv mit Ordnern auf Band zu vergleichen. Die Ordner enthalten Programme, und die Reihenfolge der Vorgänge zum Einschleusen eines Virus sieht in diesem Fall wie folgt aus (siehe Anhang 1).

5. ANZEIGEN VON VIREN

Wenn ein Computer mit einem Virus infiziert ist, ist es wichtig, ihn zu erkennen. Dazu sollten Sie die wichtigsten Anzeichen für die Manifestation von Viren kennen. Dazu gehören die folgenden:

¨ Beendigung der Arbeit oder Fehlbedienung von zuvor erfolgreich funktionierenden Programmen

¨ langsame Computerleistung

¨ Unfähigkeit, das Betriebssystem zu booten

¨ Verschwinden von Dateien und Verzeichnissen oder Verzerrung ihres Inhalts

¨ Datum und Uhrzeit der Änderung von Dateien ändern

¨ Dateigrößenänderung

¨ unerwarteter starker Anstieg der Anzahl der Dateien auf der Festplatte

¨ eine deutliche Verringerung der Größe des freien RAM

¨ Anzeigen unerwarteter Nachrichten oder Bilder auf dem Bildschirm

¨ unvorhergesehene Tonsignale geben

¨ häufiges Einfrieren und Computerabstürze

Es sollte beachtet werden, dass die oben genannten Phänomene nicht unbedingt durch das Vorhandensein des Virus verursacht werden, sondern auf andere Ursachen zurückzuführen sein können. Daher ist es immer schwierig, den Zustand des Computers richtig zu diagnostizieren.

6. VIRUS-ERKENNUNG UND -SCHUTZ UND PRÄVENTIONSMASSNAHMEN

6.1. So erkennen Sie einen Virus ? Traditioneller Ansatz

Ein bestimmter Virenschreiber erstellt also einen Virus und erweckt ihn zum „Leben“. Eine Zeit lang mag er frei gehen, aber früher oder später wird das „lafa“ enden. Jemand wird vermuten, dass etwas nicht stimmt. In der Regel werden Viren von normalen Benutzern erkannt, die bestimmte Anomalien im Verhalten des Computers bemerken. Sie sind in den meisten Fällen nicht in der Lage, die Infektion alleine zu bewältigen, dies wird jedoch nicht von ihnen verlangt.

Es ist nur notwendig, dass das Virus so schnell wie möglich in die Hände von Spezialisten gelangt. Fachleute werden es studieren, herausfinden, „was es tut“, „wie es tut“, „wann es tut“ usw. Bei solchen Arbeiten werden alle notwendigen Informationen über diesen Virus gesammelt, insbesondere die Virensignatur ist hervorgehoben - eine Folge von Bytes, die es ganz klar definiert. Um eine Signatur aufzubauen, werden in der Regel die wichtigsten und charakteristischsten Teile des Virencodes genommen. Gleichzeitig werden die Wirkungsmechanismen des Virus deutlich, beispielsweise ist es bei einem Bootvirus wichtig zu wissen, wo er seinen Schwanz versteckt, wo sich der ursprüngliche Bootsektor befindet, und bei eine Datei, wie die Datei infiziert ist. Die erhaltenen Informationen ermöglichen es uns, Folgendes herauszufinden:

So erkennen Sie einen Virus, dazu werden Methoden zur Suche nach Signaturen in potentiellen Objekten eines Virenbefalls - Dateien und / oder Bootsektoren angegeben

wie man den Virus neutralisiert, wenn möglich, werden Algorithmen zum Entfernen von Virencode von betroffenen Objekten entwickelt

6.2. Virenerkennungs- und Schutzprogramme

Zum Erkennen, Entfernen und Schützen vor Computerviren wurden verschiedene Arten von Spezialprogrammen entwickelt, mit denen Sie Viren erkennen und zerstören können. Solche Programme werden aufgerufen Virostatikum . Es gibt die folgenden Arten von Antivirenprogrammen:

Programme-Detektoren

Programme-Ärzte oder Phagen

Programmprüfer

Programme filtern

Impfprogramme oder Immunisierer

Programme-Detektoren Durchführen einer Suche nach einer für einen bestimmten Virus charakteristischen Signatur im RAM und in Dateien und Ausgeben einer entsprechenden Meldung, wenn sie erkannt wird. Der Nachteil solcher Antivirenprogramme ist, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

Doktorprogramme oder Phagen, und auch Impfprogramme virenverseuchte Dateien nicht nur finden, sondern auch „behandeln“, d.h. Der Hauptteil des Virusprogramms wird aus der Datei entfernt, wodurch die Dateien in ihren ursprünglichen Zustand zurückversetzt werden. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören sie und fahren erst dann mit der „Behandlung“ von Dateien fort. Unter Phagen werden Polyphagen unterschieden, d.h. Doctor-Programme, die entwickelt wurden, um eine große Anzahl von Viren zu finden und zu zerstören. Die bekanntesten von ihnen sind: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Da ständig neue Viren auftauchen, veralten Erkennungs- und Doktorprogramme schnell und es sind regelmäßige Updates erforderlich.

Wirtschaftsprüfer-Programme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Prüfer merken sich den Anfangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Wunsch des Benutzers den aktuellen Zustand mit dem ursprünglichen. Die erkannten Änderungen werden auf dem Monitorbildschirm angezeigt. Der Zustandsvergleich erfolgt in der Regel unmittelbar nach dem Laden des Betriebssystems. Beim Vergleich werden die Dateilänge, der zyklische Kontrollcode (Dateiprüfsumme), Datum und Uhrzeit der Änderung und andere Parameter überprüft. Auditor-Programme verfügen über ziemlich fortschrittliche Algorithmen, erkennen Stealth-Viren und können sogar Änderungen an der Version des zu prüfenden Programms von Änderungen bereinigen, die durch den Virus vorgenommen wurden. Unter den Programmprüfern ist das in Russland weit verbreitete Adinf-Programm.

Programme filtern oder "Wächter" sind kleine residente Programme, die darauf ausgelegt sind, verdächtige Computeraktivitäten zu erkennen, die für Viren charakteristisch sind. Solche Aktionen können sein:

Versucht, Dateien mit den Erweiterungen COM, EXE zu korrigieren

Dateiattribute ändern

Direktes Schreiben auf Platte an absoluter Adresse

Schreiben Sie in Boot-Sektoren der Festplatte

Wenn ein Programm versucht, die angegebenen Aktionen auszuführen, sendet der "Wächter" eine Nachricht an den Benutzer und bietet an, die entsprechende Aktion zu verbieten oder zuzulassen. Filterprogramme sind sehr nützlich, da sie einen Virus im frühesten Stadium seiner Existenz vor der Reproduktion erkennen können. Sie "heilen" jedoch keine Dateien und Datenträger. Um Viren zu zerstören, müssen Sie andere Programme wie Phagen verwenden. Zu den Nachteilen von Watchdog-Programmen gehören ihre „Ärgerlichkeit“ (sie warnen beispielsweise ständig vor dem Versuch, eine ausführbare Datei zu kopieren) sowie mögliche Konflikte mit anderer Software. Ein Beispiel für ein Filterprogramm ist das Vsafe-Programm, das Teil des MS DOS-Dienstprogrammpakets ist.

Impfungen oder Immunisierer sind residente Programme, die eine Dateiinfektion verhindern. Impfstoffe werden verwendet, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff modifiziert das Programm oder die Diskette so, dass es ihre Arbeit nicht beeinträchtigt, und der Virus sie als infiziert wahrnimmt und sich daher nicht festsetzt. Impfprogramme sind derzeit von begrenztem Nutzen.

Die rechtzeitige Erkennung von mit Viren infizierten Dateien und Datenträgern sowie die vollständige Zerstörung erkannter Viren auf jedem Computer hilft, die Ausbreitung einer Virenepidemie auf andere Computer zu vermeiden.

6.3. Grundlegende Maßnahmen zum Schutz vor Viren

Um Ihren Computer keinen Viren auszusetzen und eine zuverlässige Speicherung von Informationen auf Datenträgern zu gewährleisten, müssen Sie die folgenden Regeln beachten:

¨ Statten Sie Ihren Computer mit aktuellen Antivirenprogrammen wie Aidstest, Doctor Web aus und aktualisieren Sie deren Versionen ständig

¨ Bevor Sie Informationen, die auf anderen Computern gespeichert sind, von Disketten lesen, überprüfen Sie diese Disketten immer auf Viren, indem Sie Antivirenprogramme auf Ihrem Computer ausführen

¨ Wenn Sie archivierte Dateien auf Ihren Computer übertragen, überprüfen Sie diese sofort nach dem Entpacken auf Ihrer Festplatte, indem Sie den Prüfbereich nur auf neu aufgezeichnete Dateien beschränken

¨ regelmäßig auf Viren prüfen Festplatte Computer durch Ausführen von Antivirenprogrammen zum Testen von Dateien, Speicher und Systembereichen von Datenträgern von einer schreibgeschützten Diskette, nachdem das Betriebssystem von einer schreibgeschützten Systemdiskette geladen wurde

¨ Schützen Sie Ihre Disketten immer schreibgeschützt, wenn Sie an anderen Computern arbeiten, wenn sie nicht auf Informationen geschrieben werden

¨ Stellen Sie sicher, dass Sie Archivkopien auf Disketten mit wertvollen Informationen anfertigen

¨ Lassen Sie beim Einschalten oder Neustarten des Betriebssystems keine Disketten im Fach von Laufwerk A, um eine Infektion des Computers mit Boot-Viren zu verhindern

¨ Verwenden Sie Antivirenprogramme zur Eingabekontrolle aller aus Computernetzwerken empfangenen ausführbaren Dateien

¨ Um eine größere Sicherheit zu gewährleisten, muss die Verwendung von Aidstest und Doctor Web mit der täglichen Verwendung des Adinf Disk Auditor kombiniert werden

FAZIT

Wir können also viele Fakten anführen, die darauf hindeuten, dass die Bedrohung der Informationsressource täglich zunimmt und die Verantwortlichen in Banken, Unternehmen und Unternehmen auf der ganzen Welt in Panik versetzt. Und diese Bedrohung geht von Computerviren aus, die lebenswichtige, wertvolle Informationen verfälschen oder zerstören, was nicht nur zu finanziellen Verlusten, sondern auch zu menschlichen Opfern führen kann.

Computer Virus - ein speziell geschriebenes Programm, das sich spontan an andere Programme anhängen, Kopien von sich selbst erstellen und sie in Dateien, Computersystembereiche und Computernetzwerke einbetten kann, um Programme zu stören, Dateien und Verzeichnisse zu beschädigen und alle Arten von Eingriffen in den Computerbetrieb zu verursachen.

Derzeit sind mehr als 5.000 Softwareviren bekannt, deren Zahl ständig wächst. Es gibt bekannte Fälle, in denen Studienführer um beim Schreiben von Viren zu helfen.

Die Haupttypen von Viren: Boot, Datei, Datei-Boot. Die gefährlichste Art von Viren ist polymorph.

Aus der Geschichte der Computervirologie geht hervor, dass jede originelle Computerentwicklung die Entwickler von Antivirenprogrammen dazu zwingt, sich an neue Technologien anzupassen und Antivirenprogramme ständig zu verbessern.

Die Gründe für das Auftreten und die Verbreitung von Viren verstecken sich einerseits in der menschlichen Psychologie, andererseits im fehlenden Schutz des Betriebssystems.

Die Hauptwege für das Eindringen von Viren sind Wechseldatenträger und Computernetzwerke. Treffen Sie Vorkehrungen, um dies zu verhindern. Außerdem wurden mehrere Arten von Spezialprogrammen, die als Antivirenprogramme bezeichnet werden, entwickelt, um Computerviren zu erkennen, zu entfernen und sich davor zu schützen. Wenn Sie immer noch einen Virus auf Ihrem Computer finden, ist es nach dem traditionellen Ansatz besser, einen Fachmann anzurufen, damit er es weiter herausfinden kann.

Aber einige Eigenschaften von Viren stellen selbst Experten vor Rätsel. Bis vor kurzem war es schwer vorstellbar, dass ein Virus einen Kaltstart überleben oder sich über Dokumentdateien ausbreiten könnte. Unter solchen Bedingungen ist es unmöglich, zumindest auf die anfängliche Antiviren-Schulung der Benutzer keinen Wert zu legen. Trotz der Ernsthaftigkeit des Problems kann kein Virus so viel Schaden anrichten wie ein weißer Benutzer mit zitternden Händen!

Damit, die Gesundheit Ihrer Computer, die Sicherheit Ihrer Daten - in Ihren Händen!

Bibliographisches Verzeichnis

1. Informatik: Lehrbuch / Hrsg. Prof.. NV Makarowa. - M.: Finanzen und Statistik, 1997.

2. Enzyklopädie der Geheimnisse und Empfindungen / Vorbereitet. Text von Yu.N. Petrov. - Minsk: Literatur, 1996.

3. Bezrukow N.N. Computer Virus. -M.: Nauka, 1991.

4. Mostovoy D.Ju. Moderne Technologien zur Virenbekämpfung // PC World. - Nr. 8. - 1993.

Einstufung.

Antivirenprodukte können nach mehreren Kriterien gleichzeitig klassifiziert werden, wie z. B. den verwendeten Antivirenschutztechnologien, der Produktfunktionalität und den Zielplattformen.

Verwendete Virenschutztechnologien:

• Klassische Antivirus-Produkte (Produkte, die nur die signaturbasierte Erkennungsmethode verwenden)
• Proaktive Antivirus-Schutzprodukte (Produkte, die ausschließlich proaktive Antivirus-Schutztechnologien verwenden);
• Kombinierte Produkte (Produkte, die sowohl klassische, signaturbasierte als auch proaktive Schutzmethoden verwenden)

Produktfunktionalität:

• Antivirus-Produkte (Produkte, die nur Antivirus-Schutz bieten)
• Kombinationsprodukte (Produkte, die nicht nur Malware-Schutz bieten, sondern auch Spam-Filterung, Datenverschlüsselung und -sicherung sowie andere Funktionen)

Nach Zielplattformen:

• Antivirus-Produkte für die Windows-Betriebssystemfamilie
• Antivirus-Produkte für Betriebssysteme der *NIX-Familie (diese Familie umfasst OS BSD, Linux usw.)
• Antivirus-Produkte für die OS-Familie MacOS
• Antivirus-Produkte für mobile Plattformen (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 usw.)

Auch Antiviren-Produkte für Unternehmensanwender lassen sich nach den Schutzgütern klassifizieren:

• Antivirus-Produkte zum Schutz von Workstations
• Antivirus-Produkte zum Schutz von Datei- und Terminalservern
• Antivirus-Produkte zum Schutz von Mail- und Internet-Gateways
• Antivirus-Produkte zum Schutz von Virtualisierungsservern
• usw.

Eigenschaften von Antivirenprogrammen.

Antivirenprogramme werden unterteilt in: Detektorprogramme, Arztprogramme, Prüfprogramme, Filterprogramme, Impfprogramme.

Erkennungsprogramme ermöglichen die Suche und Erkennung von Viren im Arbeitsspeicher und auf externen Medien und geben bei Erkennung eine entsprechende Meldung aus. Es gibt universelle und spezialisierte Detektoren.

Universaldetektoren verwenden in ihrer Arbeit die Überprüfung der Unveränderlichkeit von Dateien durch Zählen und Vergleichen mit einem Prüfsummenstandard. Der Nachteil universeller Detektoren ist die Unmöglichkeit, die Ursachen der Dateibeschädigung zu ermitteln.

Spezialisierte Detektoren suchen anhand ihrer Signatur (einem sich wiederholenden Codestück) nach bekannten Viren. Der Nachteil solcher Detektoren ist, dass sie nicht alle bekannten Viren erkennen können.

Ein Detektor, der mehrere Viren erkennen kann, wird als Polydetektor bezeichnet.

Der Nachteil solcher Antivirenprogramme ist, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

Schadprogramme (Phagen) finden mit Viren infizierte Dateien nicht nur, sondern „behandeln“ sie auch, d.h. den Hauptteil des Virusprogramms aus der Datei entfernen und die Dateien in ihren ursprünglichen Zustand zurückversetzen. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören sie und fahren erst dann mit der „Behandlung“ von Dateien fort. Unter Phagen werden Polyphagen unterschieden, d.h. Doctor-Programme, die entwickelt wurden, um eine große Anzahl von Viren zu finden und zu zerstören.

Da ständig neue Viren auftauchen, veralten Erkennungs- und Doktorprogramme schnell und es sind regelmäßige Updates ihrer Versionen erforderlich.

Auditor-Programme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Prüfer merken sich den Anfangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Wunsch des Benutzers den aktuellen Zustand mit dem ursprünglichen. Die erfassten Änderungen werden auf dem Bildschirm des Videomonitors angezeigt. Der Zustandsvergleich erfolgt in der Regel unmittelbar nach dem Laden des Betriebssystems. Beim Vergleich werden die Dateilänge, der zyklische Kontrollcode (Dateiprüfsumme), Datum und Uhrzeit der Änderung und andere Parameter überprüft.

Prüfprogramme verfügen über ziemlich fortschrittliche Algorithmen, erkennen Stealth-Viren und können sogar zwischen Änderungen in der geprüften Programmversion und Änderungen durch den Virus unterscheiden.

Filterprogramme (Wächter) sind kleine residente Programme, die verdächtige Aktionen während des Computerbetriebs erkennen sollen, die für Viren charakteristisch sind. Solche Aktionen können sein:

Versucht, Dateien mit COM- und EXE-Erweiterungen zu korrigieren;

Ändern von Dateiattributen;

Direktes Schreiben auf Platte an absoluter Adresse;

Wenn ein Programm versucht, die angegebenen Aktionen auszuführen, sendet der "Wächter" eine Nachricht an den Benutzer und bietet an, die entsprechende Aktion zu verbieten oder zuzulassen. Filterprogramme sind sehr nützlich, da sie einen Virus im frühesten Stadium seiner Existenz vor der Reproduktion erkennen können. Sie "heilen" jedoch keine Dateien und Datenträger. Um Viren zu zerstören, müssen Sie andere Programme wie Phagen verwenden. Zu den Nachteilen von Watchdog-Programmen gehören ihre „Ärgerlichkeit“ (sie warnen beispielsweise ständig vor dem Versuch, eine ausführbare Datei zu kopieren) sowie mögliche Konflikte mit anderer Software.

Impfstoffe (Immunisierer) sind residente Programme, die eine Infektion von Dateien verhindern. Impfstoffe werden verwendet, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff modifiziert das Programm oder die Diskette so, dass es ihre Arbeit nicht beeinträchtigt, und der Virus sie als infiziert wahrnimmt und sich daher nicht festsetzt. Impfprogramme sind derzeit von begrenztem Nutzen.

Ein wesentlicher Nachteil solcher Programme ist ihre begrenzte Fähigkeit, eine Infektion durch eine große Anzahl verschiedener Viren zu verhindern.

Beispiele für Antivirenprogramme

Bei der Auswahl eines Antivirenprogramms muss nicht nur der Prozentsatz der Virenerkennung berücksichtigt werden, sondern auch die Fähigkeit, neue Viren zu erkennen, die Anzahl der Viren in der Antivirendatenbank, die Häufigkeit ihrer Aktualisierungen und die Verfügbarkeit zusätzlicher Funktionen.

Derzeit muss ein seriöser Antivirus mindestens 25.000 Viren erkennen können. Dies bedeutet nicht, dass sie alle „frei“ sind. Tatsächlich existieren die meisten von ihnen entweder nicht mehr oder befinden sich in Labors und werden nicht vertrieben. In Wirklichkeit können Sie 200-300 Viren begegnen, und nur ein paar Dutzend davon sind gefährlich.

Es gibt viele Antivirenprogramme. Betrachten Sie die berühmtesten von ihnen.

Norton AntiVirus 4.0 und 5.0 (Hersteller: Symantec).

Eines der bekanntesten und beliebtesten Antivirenprogramme. Die Virenerkennungsrate ist sehr hoch (nahezu 100 %). Das Programm verwendet einen Mechanismus, mit dem Sie neue unbekannte Viren erkennen können.

Die Benutzeroberfläche von Norton AntiVirus enthält eine LiveUpdate-Funktion, mit der Sie sowohl das Programm als auch den Virensignatursatz über das Internet mit einem Klick auf eine einzige Schaltfläche aktualisieren können. Der Virus Control Wizard gibt Ihnen detaillierte Informationen über den entdeckten Virus und gibt Ihnen die Möglichkeit, den Virus entweder automatisch oder vorsichtiger zu entfernen, durch ein schrittweises Verfahren, das es Ihnen ermöglicht, jede der während der Entfernung durchgeführten Aktionen zu sehen Prozess.

Antiviren-Datenbanken werden sehr häufig aktualisiert (manchmal erscheinen Updates mehrmals pro Woche). Es gibt einen ansässigen Monitor.

Der Nachteil dieses Programms ist die Komplexität der Einstellungen (obwohl Grundeinstellungen fast keine Änderung erforderlich).

Dr. Solomon's AntiVirus (Hersteller: Dr. Solomon's Software).

Es gilt als eines der besten Antivirenprogramme (Eugene Kaspersky hat einmal gesagt, dass dies der einzige Konkurrent seines AVP ist). Erkennt fast 100 % aller bekannten und neuen Viren. Viele Funktionen, ein Scanner, ein Monitor, Heuristiken und alles, was Sie brauchen, um Viren erfolgreich zu widerstehen.

McAfee-Virenscan (Hersteller: McAfee Associates).

Dies ist eines der bekanntesten Antivirenpakete. Es entfernt Viren sehr gut, aber VirusScan ist schlechter als andere Pakete, wenn es darum geht, neue Arten von Dateiviren zu erkennen. Es ist einfach und schnell mit den Standardeinstellungen zu installieren, aber Sie können es auch nach Ihren Wünschen anpassen. Sie können alle Dateien oder nur Programmdateien scannen, den Scanvorgang auf komprimierte Dateien verteilen oder nicht verteilen. Es hat viele Funktionen für die Arbeit mit dem Internet.

.Dr.Web (Hersteller: Dialog Science)

Beliebter inländischer Virenschutz. Es erkennt Viren gut, aber es gibt viel weniger davon in seiner Datenbank als andere Antivirenprogramme.

Antiviral Toolkit Pro (Hersteller: Kaspersky Lab).

Dieses Antivirenprogramm gilt weltweit als eines der zuverlässigsten. Trotz der Benutzerfreundlichkeit verfügt es über das gesamte notwendige Arsenal, um Viren zu bekämpfen. Heuristischer Mechanismus, redundantes Scannen, Scannen von Archiven und gepackten Dateien - dies ist keine vollständige Liste seiner Fähigkeiten.

Kaspersky Lab überwacht das Auftreten neuer Viren genau und veröffentlicht zeitnah Updates für Antiviren-Datenbanken. Es gibt einen residenten Monitor, um ausführbare Dateien zu kontrollieren.