Antivirus Software (ENG-RUS)

1

Перевод: Е

катерина Н

иконова ( e

kate

rina.v

.nik

onova@

live.ru

)

Антивирусное

программное

обеспечение

Antivirus

software

Антивирусное программное

обеспечение (ПО) — это

компьютерные программы, которые

используются для обнаружения,

нейтрализации или удаления

вредоносных программ.

Использование названия

"антивирусное" связано с тем, что

первые образцы таких приложений

были предназначены исключительно

для борьбы с компьютерными

вирусами. Однако большинство

современных антивирусных программ

разработаны так, чтобы иметь

возможность противостоять самым

разным угрозам, в том числе

компьютерным червям, фишингу,

руткитам, троянским и другим

вредоносным программам.

Antivirus software are

computer programs that

attempt to identify,

neutralize or eliminate

malicious software. The

term "antivirus" is used

because the earliest

examples were designed

exclusively to combat

computer viruses; however

most modern antivirus

software is now designed to

combat a wide range of

threats, including worms,

phishing attacks, rootkits,

trojan horses and other

malware.

Для выполнения этих функций обычно

используются два подхода:

проверка (сканирование) файлов

для поиска известных вирусов,

совпадающих с их определениями в

словаре, и

выявление подозрительного

поведения какой-либо компьютерной

программы, которое может

свидетельствовать о заражении.

Antivirus software typically

uses two different

approaches to accomplish

this:

examining (scanning) files to look for known viruses

matching definitions in a

virus dictionary, and

identifying suspicious behavior from any computer

program which might

indicate infection.

2

Перевод:

Екатерина Н

иконова (

ekate

rina.v

.nik

onova@

live.r

u )

Второй подход носит название

эвристического анализа. Такой анализ

может включать в себя сбор данных,

мониторинг портов и другие методы.

The second approach is

called heuristic analysis.

Such analysis may include

data captures, port

monitoring and other

methods.

В большей части коммерческого

антивирусного программного

обеспечения используются оба

подхода, однако основным является

основанный на поиске соответствий в

словаре. Хотя некоторые люди

считают сетевые межсетевые экраны

разновидностью антивирусного ПО,

такая классификация неверна.

Most commercial antivirus

software uses both of these

approaches, with an

emphasis on the virus

dictionary approach.

Although some people

consider network firewalls to

be a type of antivirus

software, this categorization

is not correct.

Межсетевой экран, или брандмауэр,

— это часть компьютерной системы

или сети, предназначенная для

блокировки несанкционированного

доступа, которая не препятствует

осуществлению санкционированных

подключений. Он представляет собой

устройство или совокупность

устройств, в соответствии с

конфигурацией которых на основании

набора правил и других критериев

происходит разрешение, блокировка,

шифрование, дешифрование или

проксирование всего трафика,

входящего и исходящего,

передаваемого между разными

доменами безопасности.

A firewall is a part of a

computer system or network

that is designed to block

unauthorized access while

permitting authorized

communications. It is a

device or set of devices

configured to permit, deny,

encrypt, decrypt, or proxy all

(in and out) computer traffic

between different security

domains based upon a set

of rules and other criteria.

3

Перевод: Е

катерина Н

иконова ( e

kate

rina.v

.nik

onova@

live.ru

)

Брандмауэр может быть выполнен как

в аппаратном, так и в программном

варианте, либо являться их

сочетанием. Его часто используют для

закрытия доступа неавторизованным

пользователям сети Интернет к

частным сетям, соединённым с

Интернетом, особенно

внутрикорпоративным. Все

сообщения, попадающие во

внутрикорпоративную сеть или

покидающие её, проходят через

брандмауэр, который проверяет

каждое сообщение и блокирует те, что

не соответствуют установленным

критериям безопасности.

Firewalls can be

implemented in either

hardware or software, or a

combination of both.

Firewalls are frequently

used to prevent

unauthorized Internet users

from accessing private

networks connected to the

Internet, especially

intranets. All messages

entering or leaving the

intranet pass through the

firewall, which examines

each message and blocks

those that do not meet the

specified security criteria.

Существует несколько техник работы

брандмауэров:

There are several types of

firewall techniques:

1. Пакетный фильтр. При

фильтрации пакетов проверяется

каждый пакет, проходящий через

сеть, и его принятие или отклонение

происходит на основе правил,

определённых пользователем.

Несмотря на сложность

конфигурирования, пакетный фильтр

довольно эффективен и обычно

прозрачен для пользователя. Кроме

того, он подходит для защиты от IP-

спуфинга.

Packet filter: Packet filtering

inspects each packet

passing through the network

and accepts or rejects it

based on user-defined

rules. Although difficult to

configure, it is fairly effective

and mostly transparent to its

users. In addition, it is

susceptible to IP spoofing.

2. Шлюз приложений. Такие типы

брандмауэров применяют механизмы

обеспечения безопасности к

конкретным приложениям, таким как

Application gateway:

Applies security

mechanisms to specific

applications, such as FTP

4

Перевод:

Екатерина Н

иконова (

ekate

rina.v

.nik

onova@

live.r

u )

серверы FTP и Telnet. Они очень

эффективны, однако их

использование может снизить

производительность системы.

and Telnet servers. This is

very effective, but can

impose a performance

degradation.

3. Шлюз сеансового уровня. Он

подразумевает включение

механизмов обеспечения

безопасности при установлении

соединения TCP или UDP. Когда

соединение установлено, передача

пакетов между хостами производится

без дальнейших проверок.

Circuit-level gateway:

Applies security

mechanisms when a TCP or

UDP connection is

established. Once the

connection has been made,

packets can flow between

the hosts without further

checking.

4. Прокси-сервер. Прокси-сервер

перехватывает все входящие и

исходящие сообщения сети. Он

способен эффективно скрывать

действительные сетевые адреса.

Proxy server: Intercepts all

messages entering and

leaving the network. The

proxy server effectively

hides the true network

addresses.

Метод определения по словарю Dictionary

Когда антивирусная программа,

обнаруживающая вирусы по словарю,

сканирует файл, она обращается к

словарю известных вирусов,

определённых её авторами. Если

какой-либо участок кода файла

соответствует вирусу, описанному в

словаре, антивирусное приложение

может предпринять одно из

следующих действий:

In the virus dictionary

approach, when the

antivirus software looks at a

file, it refers to a dictionary

of known viruses that the

authors of the antivirus

software have identified. If a

piece of code in the file

matches any virus identified

in the dictionary, then the

antivirus software can take

one of the following actions:

5

Перевод: Е

катерина Н

иконова ( e

kate

rina.v

.nik

onova@

live.ru

)

попытаться вылечить файл,

извлекая из него тело вируса,

поместить файл в карантин, так что

другие программы не могут получить

к нему доступ и содержащийся в нём

вирус не имеет возможности

распространяться, или

удалить инфицированный файл.

attempt to repair the file by removing the virus itself

from the file,

quarantine the file (such that the file remains

inaccessible to other

programs and its virus can

no longer spread), or

delete the infected file.

Для стабильно успешного применения

данного метода в среднесрочной и

долгосрочной перспективе

необходимо периодически загружать,

обычно через Интернет, обновлённые

записи словаря. Обнаружив в сети

новые вирусы, сознательные,

технически подкованные

пользователи могут отправлять

заражённые файлы авторам

антивирусных программ, чтобы те

включили информацию о только что

найденных вирусах в словари.

To achieve consistent

success in the medium and

long term, the virus

dictionary approach requires

periodic (generally online)

downloads of updated virus

dictionary entries. As

civically-minded and

technically-inclined users

identify new viruses "in the

wild", they can send their

infected files to the authors

of antivirus software, who

then include information

about the new viruses in

their dictionaries.

Как правило, антивирусные

приложения, работающие на базе

словаря, проверяют файлы в тот

момент, когда операционная система

создаёт, открывает, закрывает или

отправляет их по электронной почте.

В этом случае известные вирусы могут

быть обнаружены сразу после того,

как произошло заражение. Следует

отметить, что системные

администраторы обычно планируют

Dictionary-based antivirus

software typically examines

files when the computer's

operating system creates,

opens, closes, or e-mails

them. In this way it can

detect a known virus

immediately upon receipt.

Note too that a System

Administrator can typically

schedule the antivirus

6

Перевод:

Екатерина Н

иконова (

ekate

rina.v

.nik

onova@

live.r

u )

регулярную проверку (сканирование)

антивирусом всех файлов,

находящихся на жестком диске

компьютера.

software to examine (scan)

all files on the computer's

hard disk on a regular basis.

Несмотря на то, что методика

обнаружения по словарю позволяет

при соответствующих обстоятельствах

эффективно препятствовать

проникновению вирусов, их авторы

пытаются обойти защиту, создавая

"олигоморфные", "полиморфные" и —

в последнее время — "метаморфные"

вирусы, которые для маскировки

своего присутствия шифруют часть

своего кода или изменяют его каким-

либо другим способом, так чтобы их

сигнатуры не соответствовали

приведённым в словаре.

Although the dictionary

approach can effectively

contain virus outbreaks in

the right circumstances,

virus authors have tried to

stay a step ahead of such

software by writing

"oligomorphic",

"polymorphic" and more

recently "metamorphic"

viruses, which encrypt parts

of themselves or otherwise

modify themselves as a

method of disguise, so as to

not match the virus's

signature in the dictionary.

Метод "белого списка" является

новым в борьбе с любым вредоносным

ПО. Вместо того чтобы заниматься

поиском лишь известных вредоносных

программ, эта техника позволяет

предотвратить исполнение любого

программного кода, за исключением

того, что был заранее определён

системным администратором как

безопасный. Благодаря методике

запрета по умолчанию, можно

избежать ограничений, связанных с

необходимостью поддерживать базу

данных сигнатур вирусов в

актуальном состоянии. Кроме того,

имеющиеся на компьютере

An emerging technique to

deal with malware in

general is whitelisting.

Rather than looking for only

known bad software, this

technique prevents

execution of all computer

code except that which has

been previously identified as

trustworthy by the system

administrator. By following

this default deny approach,

the limitations inherent in

keeping virus signatures up

to date are avoided.

Additionally, computer

applications that are

7

Перевод: Е

катерина Н

иконова ( e

kate

rina.v

.nik

onova@

live.ru

)

нежелательные для администратора

приложения также невозможно

запустить, поскольку они не

упомянуты в "белом списке". Так как

инфраструктура современных

предприятий подразумевает наличие

большого количества надёжных

приложений, ограничения в

применении данной техники

заключаются в способности

администратора должным образом

составить и поддерживать "белый

список" безопасных приложений. По

этой причине её практическое

применение подразумевает

использование инструментов для

автоматизации процессов составления

и поддержания "белых списков".

unwanted by the system

administrator are prevented

from executing since they

are not on the whitelist.

Since modern enterprise

organizations have large

quantities of trusted

applications, the limitations

of adopting this technique

rest with the system

administrators' ability to

properly inventory and

maintain the whitelist of

trusted applications. As

such, viable

implementations of this

technique include tools for

automating the inventory

and whitelist maintenance

processes.

Метод выявления

подозрительного поведения Suspicious behavior

Основанный на подозрительном

поведении программ подход,

напротив, не пытается выявить

присутствие известных вирусов —

вместо этого отслеживаются действия

всех программ. Если одна из них

попытается, например, записать

данные в код исполняемого

приложения, антивирусная программа

может отметить её странное

поведение, оповестить об этом

пользователя и запросить его

действия.

The suspicious behavior

approach, by contrast,

doesn't attempt to identify

known viruses, but instead

monitors the behavior of all

programs. If one program

tries to write data to an

executable program, for

example, the antivirus

software can flag this

suspicious behavior, alert a

user, and ask what to do.

8

Перевод:

Екатерина Н

иконова (

ekate

rina.v

.nik

onova@

live.r

u )

В отличие от метода выявления по

словарю, технология определения

подозрительного поведения

обеспечивает, таким образом, защиту

от новейших вирусов, не описанных

ни в одном словаре. В то же время,

она чревата большим количеством

ложных срабатываний, так что

пользователь может перестать

реагировать на все оповещения. Если

он станет нажимать кнопку

"Разрешить" каждый раз при виде

сигнала опасности, несомненно,

антивирус окажется для него

бесполезным. Начиная с 1997 года эта

проблема становилась всё серьёзнее,

поскольку всё больше современных

безопасных программ требуют во

время работы внесения изменений в

код других EXE-файлов, без учёта

эффекта ложного срабатывания. Это

приводит к тому, что в большей части

современных антивирусных

приложений эта методика

используется всё реже.

Unlike the dictionary

approach, the suspicious

behavior approach therefore

provides protection against

brand-new viruses that do

not yet exist in any virus

dictionaries. However, it can

also sound a large number

of false positives, and users

probably become

desensitized to all the

warnings. If the user clicks

"Accept" on every such

warning, then the antivirus

software obviously gives no

benefit to that user. This

problem has worsened

since 1997, since many

more non-malicious

program designs came to

modify other .exe files

without regard to this false

positive issue. Therefore,

most modern antivirus

software uses this technique

less and less.

Другие методики Other approaches

Некоторые антивирусные программы

используют другие виды

эвристического анализа. Например,

антивирус может попытаться

эмулировать начальную часть кода

каждого нового исполняемого файла,

прежде чем ему будет передан

контроль. Если имеется подозрение,

Some antivirus software use

other types of heuristic

analysis. For example, it

could try to emulate the

beginning of the code of

each new executable that

the system invokes before

transferring control to that

executable. If the program

9

Перевод: Е

катерина Н

иконова ( e

kate

rina.v

.nik

onova@

live.ru

)

что в этом приложении используется

самомодифицирующийся код, либо

оно каким-то образом ведёт себя как

вирус (например, незамедлительно

пытается обнаружить другие

исполняемые файлы), приложение

будет отмечено как инфицированное.

Использование этого метода, однако,

может привести к большому числу

ложных срабатываний.

seems to use self-modifying

code or otherwise appears

as a virus (if it immediately

tries to find other

executables, for example),

one could assume that a

virus has infected the

executable. However, this

method could result in a lot

of false positives.

Ещё один метод обнаружения основан

на использовании изолированной

программной среды, или "песочницы".

Она эмулирует среду операционной

системы и запускает в этой имитации

исполняемый файл. После того как

работа программы завершена,

антивирусное приложение

анализирует содержимое "песочницы"

на предмет каких-либо изменений,

которые могут указать на присутствие

вируса. Из-за возможного снижения

производительности этот метод

обнаружения обычно используется

при сканированиях по требованию. Он

также может оказаться

неэффективным, если код вируса

основан на недетерминированном

алгоритме и во время нескольких

запусков производит различные

действия — либо не производит вовсе,

так что его невозможно выявить за

один запуск.

Yet another detection

method involves using a

sandbox. A sandbox

emulates the operating

system and runs the

executable in this

simulation. After the

program has terminated,

software analyzes the

sandbox for any changes

which might indicate a virus.

Because of performance

issues, this type of detection

normally only takes place

during on-demand scans.

Also this method may fail as

viruses can be

nondeterministic and result

in different actions or no

actions at all done when run

— so it will be impossible to

detect it from one run.

10

Перевод:

Екатерина Н

иконова (

ekate

rina.v

.nik

onova@

live.r

u )

Некоторые антивирусные сканеры

могут также выдавать пользователю

предупреждение, если имеется

подозрение, что файл содержит

вирус, характерный для файлов этого

типа.

Some virus scanners can

also warn a user if a file is

likely to contain a virus

based on the file type.

Спорные вопросы Issues of concern

Регулярное появление всё новых

вредоносных программ, без сомнения,

в финансовом плане выгодно для

производителей антивирусного

программного обеспечения, однако

никаких признаков их тайного сговора

с авторами вирусов выявлено не

было.

The regular appearance of

new malware is certainly in

the financial interest of

vendors of commercial

antivirus software, but there

is no evidence of collusion.

Некоторые антивирусные

программы могут значительно снижать

производительность системы. Чтобы

повысить быстродействие,

пользователи порой отключают

антивирусную защиту, что

увеличивает вероятность заражения.

Для обеспечения максимальной

защиты антивирус должен быть

включён постоянно — для этого часто

приходится жертвовать

быстродействием (см. также

«Раздувание программного

обеспечения»).

Some antivirus software can

considerably reduce

performance. Users may

disable the antivirus

protection to overcome the

performance loss, thus

increasing the risk of

infection. For maximum

protection, the antivirus

software needs to be

enabled all the time — often

at the cost of slower

performance (see also

software bloat).

Важно отметить, что не следует

устанавливать одновременно

несколько резидентных антивирусных

It is important to note that

one should not have more

than one memory-resident

11

Перевод: Е

катерина Н

иконова ( e

kate

rina.v

.nik

onova@

live.ru

)

средств на один компьютер. Это

может привести к нарушению

функционирования системы и

дальнейшему её повреждению.

antivirus software solution

installed on a single

computer at any given time.

Otherwise, the computer

may be crippled and further

damaged.

Иногда необходимо временно

отключать антивирусную защиту во

время установки основных

обновлений системы, таких как

Windows Service Pack, или обновления

драйверов графических карт.

Работающая программа-антивирус

может частично или полностью

воспрепятствовать установке

основного обновления.

It is sometimes necessary to

temporarily disable virus

protection when installing

major updates such as

Windows Service Packs or

updating graphics card

drivers. Active antivirus

protection may partially or

completely prevent the

installation of a major

update.

Во время приобретения

антивирусного программного

обеспечения следует учесть, что

лицензионное соглашение может

содержать условие, согласно которому

подписка на приложение

возобновляется автоматически и

средства с кредитной карты

покупателя взимаются при этом без

его явного согласия. Для

предотвращения повторного снятия

средств компания McAfee, например,

требует, чтобы пользователь

аннулировал подписку по меньшей

мере за 60 дней до момента истечения

срока текущей подписки. Пакет Norton

Antivirus также по умолчанию

автоматически возобновляет

When purchasing antivirus

software, the agreement

may include a clause that

the subscription will be

automatically renewed, and

the purchaser's credit card

automatically billed, at the

renewal time without explicit

approval. For example,

McAfee requires one to

unsubscribe at least 60

days before the expiration of

the present subscription.

Norton Antivirus also

renews subscriptions

automatically by default.

12

Перевод:

Екатерина Н

иконова (

ekate

rina.v

.nik

onova@

live.r

u )

подписку.

Некоторые "антивирусы" являются

на самом деле шпионскими

программами, маскирующимися под

антивирусное программное

обеспечение. Чтобы убедиться в том,

что скачиваемое антивирусное

приложение в действительности

является таковым, лучше всего

проверить его дважды.

Some antivirus programs

are actually spyware

masquerading as antivirus

software. It is best to

double-check that the

antivirus software which is

being downloaded is

actually a real antivirus

program.

Некоторые коммерческие

антивирусные программные продукты

содержат рекламное ПО.

Some commercial antivirus

software programs contain

adware.

Большинство широко

распространённых антивирусных

программ, как правило, не способны

выявить недавно созданные вирусы.

Most widely-accepted

antivirus programs often do

not detect newly-created

viruses.

Иногда производителей

антивирусного ПО обвиняют в том, что

они нагнетают страх, преувеличивая

опасность, которую представляют

собой вирусы для их клиентов.

Anti-virus manuafacturers

have been criticised for fear

mongering by exaggerating

the risk that virus pose to

consumers.

Мобильные устройства Mobile devices

Из сферы настольных компьютеров и

ноутбуков вирусы перебрались на

мобильные устройства.

Производители антивирусного ПО уже

начинают предлагать решения для

мобильных телефонов. Работа

антивирусной программы на таких

устройствах связана со следующими

Viruses from the desktop

and laptop world have

migrated to mobile devices.

Antivirus vendors are

beginning to offer solutions

for mobile handsets. These

devices present significant

challenges for antivirus

13

Перевод: Е

катерина Н

иконова ( e

kate

rina.v

.nik

onova@

live.ru

)

сложностями: software, such as:

ограничения, налагаемые

архитектурой процессора,

ограничения, налагаемые объёмом

памяти, и

необходимость определения и

обновления сигнатур вирусов

специально для мобильных устройств.

processor constraints,

memory constraints, and

definitions and new signature updates to these

mobile handsets.

В настоящее время мобильные

телефоны предоставляют широкий

спектр интерфейсов и способов

передачи данных. Потребителю

следует тщательно оценивать

средства безопасности, прежде чем

применять их на устройствах столь

малого форм-фактора.

Mobile handsets are now

offered with a variety of

interfaces and data

connection capabilities.

Consumers should carefully

evaluate security products

before deploying them on

devices with a small form

factor.

Аппаратные решения, такие как

антивирусы на USB-устройствах и

SIM-картах, возможно, лучше

соответствуют потребностям

пользователя мобильного телефона.

Поскольку процесс сканирования

может затронуть другие приложения,

имеющиеся на портативном

устройстве, использование

антивирусных решений на мобильных

телефонах требует проведения

технической оценки и анализа.

Solutions that are hardware-

based, perhaps USB

devices or SIM-based

antivirus solutions, might

work better in meeting the

needs of mobile handset

consumers. Technical

evaluation and review on

how deploying an antivirus

solution on cellular mobile

handsets should be

considered as scanning

process might impact other

legitimate applications on

the handheld.

14

Перевод:

Екатерина Н

иконова (

ekate

rina.v

.nik

onova@

live.r

u )

Решения на SIM-картах со встроенным

антивирусом, занимающим малый

объём памяти, могут представлять

собой базовый вариант как для

борьбы с вредоносным ПО и

вирусами, так и для защиты PIM-

данных и пользовательской

информации. Решения, основанные на

USB-устройствах и флэш-картах,

позволяют пользователю переносить

эти программы для использования на

разных аппаратных платформах.

SIM-based solutions with

antivirus integrated on the

small memory footprint

might provide a basic

solution to combat

malware/viruses in

protecting PIM and mobile

user data. Solutions based

on USB and Flash memory

allow the user to swap and

use these products with a

range of hardware devices.

Эффективность применения Effectiveness

Проведённые в декабре 2007 года

исследования показали, что

эффективность применения

антивирусного программного

обеспечения значительно снизилась в

сравнении с показателями нескольких

лет давности, в частности, в борьбе

против неизвестных угроз или атак

"нулевого дня". Немецкий журнал

«c't», посвящённый компьютерной

технике, обнаружил, что частота

обнаружений угроз таких типов за

один только год снизилась с 40-50%

до 20-30%. Лишь одно из описанных

приложений сумело достигнуть уровня

обнаружения атак выше 50%.

Studies in December 2007

have shown that the

effectiveness of Antivirus

software is much reduced

from what it was a few years

ago, particularly against

unknown or zero day

threats. The German

computer magazine c't

found that detection rates

for these threats had

dropped to a frightening

20% to 30%, as compared

to 40% to 50% only one

year earlier. Only one

product managed a

detection rate above 50%.

15

Перевод: Е

катерина Н

иконова ( e

kate

rina.v

.nik

onova@

live.ru

)

Эта проблема становится всё более

серьёзной по мере того, как меняются

цели авторов вирусов. Несколько лет

назад инфицирование системы было

для пользователя очевидным. Вирусы

того времени, создаваемые

любителями, явным образом

демонстрировали своё

разрушительное поведение или

обнаруживали себя с помощью

всплывающих окон с сообщениями.

Современные вирусы часто создаются

профессионалами при финансовой

поддержке криминальных

организаций. Обнаруживать

присутствие вирусов в этом случае

невыгодно, поскольку целью авторов

является создание ботнетов или

похищение информации в течение как

можно более долгого времени так,

чтобы пользователь не знал об этом.

По этой причине вирусы часто

тщательно замаскированы. Если

владелец инфицированной системы

пользуется не слишком эффективным

антивирусным продуктом, который

сообщает о том, что вирусов не

обнаружено, они могут продолжать

работу незамеченными. В результате

даже разработки крупных

производителей бывают неспособны

выявить программы, чьё

функционирование наносит вред

системе.

The problem is magnified by

the changing intent of virus

authors. Some years ago it

was obvious when a virus

infection was present. The

viruses of the day, written

by amateurs, exhibited

destructive behavior or

popped-up screen

messages. Modern viruses

are often written by

professionals, financed by

criminal organizations. It is

not in their interests to make

their viruses evident,

because their purpose is to

create botnets or steal

information for as long as

possible without the user

realizing this; consequently,

they are often well-hidden. If

an infected user has a less-

than-effective antivirus

product that says the

computer is clean, then the

virus may go undetected. As

a result of this, even major

antivirus products have

failed to detect programs

containing malicious

behaviour.