· Логические бомбы - программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия, например, может сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись, и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.
· Программы-черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных, могут подсматривать пароль для доступа к банковской системе и изменять базу данных. Некоторые вирусы-черви (например, CodeRed) существуют не внутри файлов, а в виде процессов в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера.
· Вирусы в системах документооборота- документы, хранящиеся в базах данных таких систем документооборота, как LotusNotes и MicrosoftExchange, тоже могут содержать вирусы, точнее, вредоносные макрокоманды. Они могут активизироваться при выполнении каких-либо действий над документом (например, когда пользователь щелкает кнопку мышью). Поскольку такие вирусы расположены не в файлах, а в записях баз данных, для защиты от них требуются специализированные антивирусные программы;
· новые и экзотические вирусы. По мере развития компьютерных технологий совершенствуются и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. Новые вирусы могут использовать неизвестные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы.
По используемым технологиям антивирусной защиты:
· Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования, продукты, применяющие только проактивные технологии антивирусной защиты);
· Комбинированные продукты (продукты, применяющие как сигнатурные методы защиты, так и проактивные <https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0>)
По функционалу продуктов:
· Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
· Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)
По целевым платформам:
· Антивирусные продукты для ОС семейства Windows
· Антивирусные продукты для ОС семейства *NIX (к данному семейству относятся ОС BSD, Linux и др.)
· Антивирусные продукты для ОС семейства MacOS
· Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.)
Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты:
· Антивирусные продукты для защиты рабочих станций
· Антивирусные продукты для защиты файловых и терминальных серверов
· Антивирусные продукты для защиты почтовых и Интернет-шлюзов
· и т. д.
. Антивирусы для сайтов
Их можно поделить условно на несколько типов:
· Серверный - устанавливается на веб-сервер. Поиск вирусов, в этом случае, происходит в файлах всего сервера.
· Скрипт или компонент CMS - выполняющие поиск вредоносного кода, непосредственно в файлах сайта.
· SaaS сервис - система централизованного управления, позволяющая
управлять файлами, базами данных, настройками и компонентами веб-ресурсов на
VDS и DS удаленно.
. Лжеантивирусы
Лжеантиви́рус (или псевдоантивирус) - компьютерная программа, которая имитирует удаление вредоносного программного обеспечения, или сначала заражает, потом удаляет. К концу 2000-х годов значимость лжеантивирусов как угрозы персональным компьютерам повысилась. В первую очередь, это связано с тем, что в США частично взяли под контроль индустрию spyware и adware, а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Во-вторых, полноценных антивирусных программ стало настолько много, что сложно запомнить их все. Так, VirusTotal на конец 2015 года располагает 57 антивирусами. Основная статья: Лжеантивирус
Лжеантивирусы относятся к категории троянских программ, то есть программ, распространяемых с целью вымогательства банковских данных. В отличие от «нигерийских писем» (которые играют на алчности и сострадании), фишинга и ложных лотерейных выигрышей, лжеантивирусы похожи на винлокеры - они играют на страхе заражения системы, шантажируя пользователя для получения нужной информации. Встречаясь чаще всего под видом всплывающих окон веб-браузера, они якобы сканируют операционную систему пользователя и тут же выявляют в ней вирусы и другие вредоносные программы. Для наибольшей достоверности этот процесс также может сопровождаться внедрением одной или нескольких программ такого типа в систему путём обхода конфигурации, особенно если компьютер обладает минимальной и легко обходимой защитой. В итоге компьютер-жертва начинает выдавать сообщения о невозможности продолжения работы ввиду заражения, а лжеантивирус - упорно предлагать купить услугу или же разблокировать её, введя данные кредитной карты.
Самые первые лжеантивирусы возникли с развитием интернета и представляли
собой лишь окна, имитирующие ОС (чаще всего - проводник Windows и рабочий стол
интерфейса Windows XP) с присущими звуками при загрузке и нажатии кнопок. Такие
окна легко убирались блокировщиками рекламы, например, Adblock Plus. Во второй
половине 2000-х годов лжеантивирусы превратились в полноценные программы и
стали выдавать себя за настоящие антивирусы при помощи использования
агрессивной рекламы, ложных пользовательских отзывов или даже «отравления» поисковых
результатов при вводе ключевых слов (в том числе по темам, не связанным с
компьютерной безопасностью). Такие программы задумывались с названиями,
похожими на названия настоящих антивирусов (например Security Essentials 2010
вместо «Microsoft Security Essentials» или AntiVirus XP 2008 вместо «Norton
AntiVirus») и работали по принципу прямого отправления денег распространителям
-партнёрским сетям за каждую удачную исталляцию.
. Работа антивируса
Говоря о системах Майкрософт, следует знать, что обычно антивирус действует по схеме:
· поиск в базе данных антивирусного ПО сигнатур вирусов.
· если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс «карантина», и процесс блокируется.
зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации и оставляет систему уязвимой. По умолчанию Файловый Антивирус проверяет только новые или измененные файлы, то есть те файлы, которые были добавлены или изменены со времени последнего обращения к ним (т. е. открывались, запускались, сохранялись).
Процесс проверки файла выполняется по следующему алгоритму:
· Компонент перехватывает обращение пользователя или некоторой программы к каждому файлу.
· Файловый Антивирус проверяет наличие информации о перехваченном файле в базах iChecker и iSwift и на основании полученных сведений принимает решение о необходимости проверки файла.
При проверке выполняются следующие действия:
1. Файл анализируется на присутствие вирусов. Распознавание вредоносных объектов производится на основании антивирусных баз программы. Базы содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания.
2. По результатам анализа возможны следующие варианты поведения Файлового Антивируса:
· Если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл, создает его резервную копию и пытается провести лечение. В результате успешного лечения файл становится доступным для работы, если же лечение произвести не удалось, файл удаляется.
· Если в файле обнаружен код, похожий на вредоносный, но записи в антивирусной базе о нем пока нет, файл помещается в специальное хранилище - карантин. По умолчанию файлы в карантине проверяются после каждого обновления антивирусных баз. После очередной проверки новыми базами объект либо признается безвредным, и пользователь может восстановить его из карантина для дальнейшей работы, либо зараженным, и тогда пользователь может провести лечение или удалить объект.
· Если в файле не обнаружено вредоносного кода, он сразу же становится доступным для работы.
При обнаружении зараженного или возможно зараженного объекта программа уведомит вас об этом. Если в программе установлен интерактивный режим защиты, то при обнаружении зараженного или возможно зараженного объекта на экран будет выведено уведомление с запросом дальнейших действий. Вам будет предложено:
· Лечить объект (для вредоносных объектов) или поместить объект на карантин для последующей проверки и обработки с помощью обновленных баз (для подозрительных объектов).
· Удалить объект.
· Пропустить объект, если вы абсолютно уверены в том, что он не является вредоносным.
Если дело касается операционных систем Microsoft, то обычно антивирусная программа действует по следующей схеме:
•поиск сигнатур вирусов в базе данных антивирусного программного обеспечения;
•при нахождении инфицированного кода в памяти (постоянной и/или оперативной) осуществляется запуск процесса «карантина» и выполняется блокировка процесса;
•зарегистрированное программное обеспечение обычно удаляет вирус, незарегистрированное просит зарегистрироваться и оставляет операционную систему уязвимой.
Базы антивирусных программ
Для использования антивирусных программ необходимо постоянное обновление
их баз, в которых находится информация о способах обнаружения и обезвреживания
вирусов. Поскольку вирусы создаются постоянно, необходим непрерывный мониторинг
активности вирусов в интернете. Для этого созданы специальные сети, собирающие
соответствующую информацию. На основании этой информации выполняется анализ
вредоносности вируса, производится анализ его кода, поведения, а затем
выбираются методы борьбы с ним. Как правило, вирусы запускаются вместе с ОС. В
таком случае можно удалить из реестра строки запуска вируса, и для простых
вирусов процесс на этом может завершиться. Более сложные разновидности вирусов
заражают файлы. К примеру, известны случаи, когда даже антивирусные программы
подвергаются заражению и заражают другие чистые файлы и программы. Поэтому в
более совершенных антивирусах предусмотрена защита своих файлов от изменения и
возможность их проверки на целостность по специальным алгоритмам. Таким
образом, происходит усложнение как вирусов, так и способов борьбы с ними. В
настоящее время существуют вирусы, занимающие уже не десятки, а сотни килобайт,
а некоторые могут иметь размер и в два мегабайта. Чаще всего такие вирусы
пишутся на языках более высокого уровня, по этой причине их легче остановить.
При этом по-прежнему существует угроза, исходящая от вирусов, которые написаны
на низкоуровневых машинных кодах вроде ассемблера. Такие вредоносные программы
заражают ОС, в результате чего она становится нерабочей и уязвимой. По
прогнозам, работа антивирусных компаний в ближайшем будущем будет сильно
осложняться в связи с усиленным распространением вирусов с защитой от
копирования.
. Базы антивирусов
Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах - как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним. Чаще всего вирусы запускаются вместе с операционной системой. В таком случае можно просто удалить строки запуска вируса из реестра, и на этом в простом случае процесс может закончиться. Более сложные вирусы используют возможность заражения файлов. Например, известны случаи, как некие даже антивирусные программы, будучи зараженными, сами становились причиной заражения других чистых программ и файлов. Поэтому более современные антивирусы имеют возможность защиты своих файлов от изменения и проверяют их на целостность по специальному алгоритму. Таким образом, вирусы усложнились, как и усложнились способы борьбы с ними. Сейчас можно увидеть вирусы, которые занимают уже не десятки килобайт, а сотни, а порой могут быть и размером в пару мегабайт. Обычно такие вирусы пишут в языках программирования более высокого уровня, поэтому их легче остановить. Но по-прежнему существует угроза от вирусов, написанных на низкоуровневых машинных кодах наподобие ассемблера. Сложные вирусы заражают операционную систему, после чего она становится уязвимой и нерабочей.
"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, и Aladdin Knowledge Systems, один из мировых лидеров в области защиты компьютерных данных, объявляют об интеграции программного ядра Антивируса Касперского™ в комплекс eSafe™. Тем самым пользователи Aladdin eSafe™ получают дополнительные качественные преимущества в области поиска и лечения вредоносных программ, основанные на передовых разработках "Лаборатории Касперского".
"Антивирусная защита тем более надежна, чем больше уровней фильтрации она содержит, - сказал Шимон Групер, Вице-президент по Интернет-технологиям компании Aladdin, - Сотрудничество с "Лабораторией Касперского" обеспечивает нашим заказчикам дополнительный уровень антивирусной защиты, значительно усиливающий существующие возможности eSafe. Таким образом, мы предлагаем мощь двух антивирусных продуктов в одном".
"Мы рады предоставить пользователям eSafe наши технологии защиты от вирусов и уверены, что с нашей помощью они смогут более эффективно противостоять участившимся вирусным атакам", - прокомментировал Всеволод Иванов, директор по маркетингу и продажам "Лаборатории Касперского", - Наряду с многочисленными победами в сравнительных тестах и сертификатами независимых научно-исследовательских центров, интеграция наших разработок в программные продукты ряда ведущих антивирусных компаний является лучшим подтверждением технологического лидерства "Лаборатории Касперского" в обеспечении полномасштабной защиты от вредоносных программ всех типов." На данным момент технологии Антивируса Касперского используются в продуктах компаний F-Secure (Финляндия), G-Data (Германия) и Vintage Solutions (Япония).
"Лаборатория Касперского" является крупнейшим российским разработчиком систем информационной безопасности: около 60% российских пользователей выбрали качество и надежность продуктов компании. Продуктовый спектр "Лаборатории Касперского" включает в себя антивирусы, межсетевые экраны, системы контентной фильтрации и контроля над внутрикорпоративным документооборотом.
Вакцины или иммунизаторы
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, а также поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы.