Антивирусные программы имеются на каждом компьютере и в каждой сети. За последние годы развитие методов сканирования продвинулось далеко вперед — но, к сожалению, изобретатели вирусов тоже. И сегодня все еще справедливо утверждение, что абсолютно надежной защиты с помощью совершенной антивирусной программы не существует. Впрочем, при правильном выборе эта цель все-таки становится почти достижимой.

Как утверждается в исследовании Message Lab, в 2002 г. из почти 10 млрд электронных сообщений, ежедневно пересылаемых через Internet, каждое 212-е сообщение было инфицировано компьютерным вирусом, и ситуация лишь усугубляется. Опаснее становится и серфинг. Загружаемые из Internet файлы и сценарии тоже все чаще являются носителями злонамеренного программного обеспечения (malware), которое может причинить компьютеру значительный вред, причем, как показывают последние эпидемии, участие пользователя для этого не требуется. Присутствия в сети с любым браузером уже вполне достаточно, чтобы за короткое время автоматически были выведены из строя прежде всего компьютеры с Windows XP, если они не оснащены межсетевым экраном. К тому же вредитель способен занести в систему троянского коня и впоследствии получить с его помощью полный доступ к локальным носителям данных. В свое время самые свежие версии антивирусных программ оказались бессильны против Blaster, даже если они могли распознать этот вирус. Злонамеренная программа была нацелена на слабые места Microsoft XP (см. врезку «Важные виды злонамеренного кода»).

РЫНОК И ИГРОКИ

Такой горький опыт — или даже только страх перед возможной опасностью — обеспечивает работой производителей антивирусных программ. Согласно анализу IDC, объем этого бизнеса на мировом рынке вырос с 2001 по 2002 г. на 31% и составил 2,2 млрд долларов. До 2007 г. исследователи предсказывают прирост еще на 1 млрд, и тогда продажи достигнут приблизительно 3,1 млрд долларов. Надо полагать, разработчики могут быть довольны среднегодовыми темпами роста в 15,4%.

Рисунок 1. Первая пятерка игроков на мировом рынке антивирусных программ и их доли рынка в 2002 г.

Среди пяти важнейших производителей антивирусных программ (см. Рисунок 1) первое место, согласно упомянутому исследованию IDC, надежно занимает Symantec. Ее доля на рынке составляет 37% (2002 г.). Впрочем, высокий рост продаж только условно отражает предпочтение пользователей: при подсчете учитывались также лицензии, которые приобретались вместе с новым компьютером. С долей рынка в 24% также очень хорошо смотрится в этой гонке Network Associates, в то время как Trend Micro с 14% остается несколько позади. Computer Associates и Sophos, имеющие 5 и 3% рынка соответственно, пока находятся лишь в первой десятке. К другим значительным игрокам — в частности на европейском рынке — относятся Central Command, F-Secure, H+Bedv, Kaspersky Labs, Norman Data Defense, Panda и Sybari.

НЕ ОСТАВЛЯТЬ НИ ОДНОЙ ДЫРЫ

Как и прежде, главным разносчиком инфекции остаются почтовые сообщения. При выборе антивирусного решения в первую очередь следует выяснить, поддерживает ли оно используемые на предприятии почтовые системы или платформы передачи сообщений. Большинство производителей поддерживают как Microsoft Exchange, так и Lotus Notes, но некоторые ограничиваются только одной из этих платформ.

Важно обеспечить полную защиту всех систем предприятия, поскольку достаточно одного-единственного слабого места, чтобы «торпедировать» все прочие меры безопасности. Следует учитывать, что системы Macintosh или Linux охотно используются хакерами в качестве шлюзов для проникновения в корпоративную сеть. Сами системы остаются невредимыми, но передают вирусы в компьютеры с Windows, если таковые имеются на предприятии.

Ядром любого антивирусного программного обеспечения является сканер, или так называемый механизм сканирования (Scan Engine). В некоторых системах сканер жестко интегрирован в программу управления — последняя предоставляет пользователю интерфейс к функциям программного обеспечения.

Другие решения имеют модульную структуру и позволяют включать в программное обеспечение несколько сканеров, иногда даже сканеры других производителей. Это большой плюс, так как у любого сканера имеются свои сильные и слабые места. Так, например, одни с исключительной надежностью распознают определенные типы вирусов, находят «червей» и троянских коней, в то время как преимущество других заключается в исследовании сжатых файлов разных типов. Третьи представляют собой приемлемые для определенных областей применения «всеядные» сканеры, алгоритмы сканирования которых оптимизированы для достижения высокой производительности.

Между тем «совершенного» сканера, как и прежде, нет. Они должны естественным образом дополнять друг друга. Впрочем, нельзя заходить слишком далеко. Каждая процедура сканирования занимает какое-то время, поэтому эффективность следует взвесить и сравнить с возможными потерями производительности. Впрочем, в инсталляциях все же нередко применяются четыре и более активных механизма сканирования (см. также врезку «Семь раз проверь»).

БОРЬБА С ДВУМЯ ПРОТИВНИКАМИ

Сами механизмы сканирования очень часто используют два различных процесса для отслеживания вирусов.

Классический метод — сканирование сигнатур: сканер сравнивает входящие последовательности байт с последовательностями байт из своей базы данных, в которой хранятся фрагменты известных вирусов (сигнатуры). При нахождении соответствия выдается сообщение о наличии вируса. Из этого описания уже становится понятным, в чем состоит недостаток методики: она позволяет обнаружить только уже известные вирусы, сигнатуры которых занесены в базу данных антивирусных программ. Таким образом, надежность и эффективность метода увеличиваются и уменьшаются вместе с частотой обновления базы данных. Хорошие антивирусные программы обновляются автоматически, как только производитель предоставляет новые сигнатуры. Это происходит по крайней мере один раз в день, а то и чаще. Большинство антивирусных лабораторий контактирует друг с другом и обменивается сигнатурами, поэтому времени, необходимого для того, чтобы вновь обнаруженный вирус стал известен повсюду, очень мало. В сетях обновление должно осуществляться централизованно.

Рисунок 2. Даже такие простые антивирусные программы, как Antivirus Titanium компании Panda, предоставляют опцию подключения эвристического сканера.

Различия между производителями проявляются в случае «противодействия» особенно каверзным вирусам. Впрочем, трудно указать оптимальный критерий, потому что невозможно предсказать, кто же в каждом отдельном случае окажется наиболее оперативным. Кроме того, база данных сигнатур ежедневно растет (в настоящее время зарегистрировано около 70 тыс. сигнатур), и поэтому сравнение становится все более трудоемким. Принципиально иным методом обнаружения вирусов пользуются эвристические сканеры (см. Рисунок 2). Они проверяют структуру программ и логику программирования исполняемых файлов, а также подаваемые ими команды. На основании полученной информации сканер решает, инфицирован файл вирусом или нет. Процесс сканирования протекает как минимум в два этапа. На первом составляется каталог выполняемых программой действий, чтобы определить, в каком месте файла, размер которого достигает порой несколько мегабайт, может находиться вирус. Во время второго — сканер тщательно анализирует программную логику подозрительных мест. Если содержащиеся команды ведут к аномальным действиям, например выполняется неразрешенный переход к другому файлу, то это достаточно надежный признак наличия вируса. Эвристические процессы не зависят от базы данных сигнатур. Более того, они распознают вирусы на основании их «плохого поведения». Однако всеобъемлющей защиты не обеспечивают и эти сканеры — вероятность обнаружения вирусов составляет около 80—85%. К тому же их использование всегда сопровождается некоторым количеством неверных срабатываний (False/Positives).

Хорошую антивирусную программу отличает тщательный поиск в архивах и сжатых файлах. Форматы архивов DOS/Windows — ACE, ARJ, CAB, LHA, RAR и ZIP — должны составлять для сканера столь же малую трудность, как и форматы UNIX/Linux — BZ2, GZ, TAR, TBZ и TGZ. Распространенные форматы сжатия файлов Windows — это ASPack, Neolite, PEPack, Petite, PKLite32, Shrink, UPX и WWPack32. Производители предлагают различные решения, как и при обращении с многократным инфицированием. Однако нередко антивирусные программы распознают первый вирус, но второй оставляют без внимания.

ПРАВИЛЬНАЯ СТЫКОВКА

Действие вирусных сканеров для платформ коллективной работы Microsoft Exchange и Lotus Notes зависит не только от скорости их распознавания, но и от того, каким образом они интегрируются в почтовую систему соответствующего сервера. Так, подключение Exchange через интерфейс программирования приложений обмена сообщениями (Messaging Application Programming Interface, MAPI) больше не рекомендуется. Лучше в Exchange использовать расширяемый механизм хранения (Extensible Storage Engine, ESE).

Начиная с версии 5.5 вместе с Service Pack 3 Exchange предоставляет собственный антивирусный интерфейс API (Antivirus API, AVAPI). Он гарантирует, что получателю будут передаваться только действительно отсканированные файловые вложения. Уже в версии 2.0 AVAPI способен сканировать и потоковые мультимедийные файлы, к тому же он использует при распознавании вирусов такую информацию, как имя получателя и отправителя почтового сообщения. У Notes соединение через предоставляемый на этот случай Hook Driver является весьма накладным и к тому же ненадежным. Лучше включить антивирусный компонент в процесс маршрутизации сообщений Notes в виде дополнительной серверной задачи. При выборе должна учитываться архитектура антивирусного решения.

К прикрепленным к сообщениям инфицированным файлам применяются разнообразные подходы. В крупных сетях все более популярен перенос соответствующих файлов сначала в карантинную зону, без попытки дезинфекции. Позднее их можно проанализировать и вылечить подходящими для этого методами. Дело в том, что для срочной дезинфекции, во-первых, процессор должен быть весьма производительным, а во-вторых, «функции очистки» представленных на рынке продуктов слишком различаются по качеству. Остроту первой проблемы можно значительно снизить путем применения специализированных антивирусных устройств.

В некоторых пакетах плохо продуманы установка и процедура подключения обновлений и заплат. Современная антивирусная программа для рабочих систем должна иметь возможность обходиться без перезагрузки компьютера после инсталляции. Однако иногда требуется даже многократная перезагрузка.

РЕЗЮМЕ

Правильный выбор антивирусной программы — совсем не тривиальная задача. Наряду с описанными критериями (см. также врезку «Важные критерии выбора антивирусного решения») необходимо исследование интерфейса управления на предмет комфортабельности и функциональности. Первое впечатление позволяют получить тестовые версии, которые можно загрузить из Internet. Важным моментом является также доступность службы поддержки, по возможности круглосуточной, на родном языке и учет скрытых расходов — например, связанных с использованием платных телефонных номеров.

Штефан Мучлер — шеф-корреспондент LANline. С ним можно связаться по адресу: sm@lanline.awi.de.


Важные виды злонамеренного кода

«Черви»:

  • не размножаются самостоятельно внутри компьютерной системы;
  • чаще всего распространяются автоматически по электронной почте, а также через другие коммуникационные каналы.

Троянские кони:

  • не размножаются и не распространяются сами;
  • выполняют намеренные и целенаправленные действия, например записывают и пересылают все данные, введенные с клавиатуры, с целью получения информации о паролях.

Для инфицирования троянским конем достаточно посещения одной инфицированной страницы Internet.

Вирусы:

  • проникают в компьютерные системы и размножаются там;
  • способны внедряться в программы (при вызове инфицированного файла), в то время как последние еще продолжают выполняться полностью или частично;
  • распространяются в системе через заново инфицированные программы.

Все вирусы используют схожие алгоритмы во время инфицирования и перед их активацией. В общем случае компьютерные вирусы проникают в систему по электронной почте, при загрузке уже инфицированных файлов из Internet и использовании инфицированных носителей данных: дискет, компакт-дисков или дисков DVD.

Все существующие в настоящее время вирусы, «черви» и троянские кони представляют собой сложные многокомпонентные программы и обладают отдельными свойствами всех типов злонамеренного кода.


Семь раз проверь

Каждый день в мире появляются десятки новых вирусов, и их образцы попадают к разработчикам антивирусных средств в разное время. Как следствие, и очередные «вакцины» добавляются в соответствующие вирусные базы не одновременно.

В некоторых ситуациях «повышенного риска» (например, при подготовке мастер-копии многотиражного CD-ROM) имеет смысл прибегнуть к помощи нескольких антивирусных программ, тем более что ранее уже бывали случаи, когда по всему миру миллионными тиражами расходился CD-ROM, на котором по недосмотру оказывался и вредоносный код. Весьма показательная в этом смысле история произошла осенью 2002 г. во время конференции азиатских разработчиков антивирусов (Association of Anti-Virus Asia Researchers, AVAR) в Сеуле. Организаторы раздали 200 участникам экземпляры CD-ROM с материалами конференции, где, как утверждалось, не содержится вирусов, так как диск перед тиражированием был проверен антивирусными программами от компаний Network Associates, Symantec, Trend Micro и Ahnlab. Однако сканирование посредством продуктов других разработчиков выявило, что вирус на этом CD-ROM все-таки есть. Его обнаружили антивирусы от компаний Kaspersky Lab, DialogueScience, H+BEDV и Sophos.

В настоящее время многие организации для повышения уровня общей антивирусной защиты зачастую используют антивирусные программы от нескольких производителей на разных уровнях своей корпоративной сети. Так, Microsoft в документе «Руководство по глубоко эшелонированной антивирусной обороне» (см. http://www.microsoft.com/ technet/security/guidance/avdind_0.mspx) рекомендует «...использовать антивирусы разных вендоров для защиты клиентских компьютеров, серверов и периметра корпоративной сети. Тем самым обеспечивается последовательное сканирование файлов разными антивирусными ядрами на разных уровнях инфраструктуры сети, что уменьшает общий риск заражения, даже если какая-то программа и пропустит новый вирус».

Схожая идея многоядерной антивирусной защиты реализована и компанией Sybari в антивирусных продуктах Antigen для серверов Microsoft Exchange и Lotus Domino, шлюзов Microsoft SMTP Gateways, серверов документов Microsoft SharePoint и др. Так, в базовую поставку продуктов Antigen входят четыре антивирусных «ядра»: Sophos (Англия), Computer Associates Vet (Австралия), Norman Data Defence (Швеция) и Computer Associates Inoculate (Израиль). Дополнительно за небольшую плату можно заказать еще два «ядра» — от «Лаборатории Касперского» (Россия) и Virus Buster (Венгрия).

Если какой-то вирус «обойдет» защиту одного антивируса, его обязательно «остановит» второй, третий или четвертый. Для разных ситуаций системный администратор может определить как разное количество проверок, так и разные политики их применения. Несколько антивирусных «ядер» в своих продуктах используют и многие другие поставщики. Например, в китайском антивирусе iDuba.net компании Kingsoft используется два ядра — собственное китайское и российское Dr.Web.

Конечно, поддерживать несколько антивирусных решений труднее, чем одно. Однако если поставлена задача обеспечить высокий уровень антивирусной защиты, то этого можно достичь только за счет использования мультиядерных антивирусных решений.

Сергей Антимонов — председатель совета директоров ЗАО «ДиалогНаука». С ним можно связаться по адресу: sga@antivir.ru.


Важные критерии выбора антивирусного решения

Общие рекомендации:

  • поддержка всех систем и платформ коллективной работы;
  • включение через AVAPI версия 2. 0 и выше (Exchange) или в качестве Server-Add-in-Task в процесс маршрутизации сообщений (Notes);
  • модульные/несколько механизмов сканирования;
  • поддержка как сканирования сигнатур, так и эвристического сканирования;
  • высокая степень распознавания (вирусов, троянских коней, «червей»);
  • тщательный поиск в архивах и сжатых файлах;
  • постоянная доступность службы поддержки (прозрачные расходы);
  • комфортное обслуживание.

Рекомендации для крупных сетей:

  • наличие функции Outbreak;
  • возможность отключения непосредственной дезинфекции/карантин;
  • отсутствие необходимости перезапуска после установки обновлений и заплат.

? AWi Verlag