antivirus software (eng-rus)
DESCRIPTION
Антивирусное ПО: механизмы работы антивирусных программ и методики выявления вирусов. Перевод статьи из "Википедии".TRANSCRIPT
1
Перевод: Е
катерина Н
иконова ( e
kate
rina.v
.nik
onova@
live.ru
)
Антивирусное
программное
обеспечение
Antivirus
software
Антивирусное программное
обеспечение (ПО) — это
компьютерные программы, которые
используются для обнаружения,
нейтрализации или удаления
вредоносных программ.
Использование названия
"антивирусное" связано с тем, что
первые образцы таких приложений
были предназначены исключительно
для борьбы с компьютерными
вирусами. Однако большинство
современных антивирусных программ
разработаны так, чтобы иметь
возможность противостоять самым
разным угрозам, в том числе
компьютерным червям, фишингу,
руткитам, троянским и другим
вредоносным программам.
Antivirus software are
computer programs that
attempt to identify,
neutralize or eliminate
malicious software. The
term "antivirus" is used
because the earliest
examples were designed
exclusively to combat
computer viruses; however
most modern antivirus
software is now designed to
combat a wide range of
threats, including worms,
phishing attacks, rootkits,
trojan horses and other
malware.
Для выполнения этих функций обычно
используются два подхода:
проверка (сканирование) файлов
для поиска известных вирусов,
совпадающих с их определениями в
словаре, и
выявление подозрительного
поведения какой-либо компьютерной
программы, которое может
свидетельствовать о заражении.
Antivirus software typically
uses two different
approaches to accomplish
this:
examining (scanning) files to look for known viruses
matching definitions in a
virus dictionary, and
identifying suspicious behavior from any computer
program which might
indicate infection.
2
Перевод:
Екатерина Н
иконова (
ekate
rina.v
.nik
onova@
live.r
u )
Второй подход носит название
эвристического анализа. Такой анализ
может включать в себя сбор данных,
мониторинг портов и другие методы.
The second approach is
called heuristic analysis.
Such analysis may include
data captures, port
monitoring and other
methods.
В большей части коммерческого
антивирусного программного
обеспечения используются оба
подхода, однако основным является
основанный на поиске соответствий в
словаре. Хотя некоторые люди
считают сетевые межсетевые экраны
разновидностью антивирусного ПО,
такая классификация неверна.
Most commercial antivirus
software uses both of these
approaches, with an
emphasis on the virus
dictionary approach.
Although some people
consider network firewalls to
be a type of antivirus
software, this categorization
is not correct.
Межсетевой экран, или брандмауэр,
— это часть компьютерной системы
или сети, предназначенная для
блокировки несанкционированного
доступа, которая не препятствует
осуществлению санкционированных
подключений. Он представляет собой
устройство или совокупность
устройств, в соответствии с
конфигурацией которых на основании
набора правил и других критериев
происходит разрешение, блокировка,
шифрование, дешифрование или
проксирование всего трафика,
входящего и исходящего,
передаваемого между разными
доменами безопасности.
A firewall is a part of a
computer system or network
that is designed to block
unauthorized access while
permitting authorized
communications. It is a
device or set of devices
configured to permit, deny,
encrypt, decrypt, or proxy all
(in and out) computer traffic
between different security
domains based upon a set
of rules and other criteria.
3
Перевод: Е
катерина Н
иконова ( e
kate
rina.v
.nik
onova@
live.ru
)
Брандмауэр может быть выполнен как
в аппаратном, так и в программном
варианте, либо являться их
сочетанием. Его часто используют для
закрытия доступа неавторизованным
пользователям сети Интернет к
частным сетям, соединённым с
Интернетом, особенно
внутрикорпоративным. Все
сообщения, попадающие во
внутрикорпоративную сеть или
покидающие её, проходят через
брандмауэр, который проверяет
каждое сообщение и блокирует те, что
не соответствуют установленным
критериям безопасности.
Firewalls can be
implemented in either
hardware or software, or a
combination of both.
Firewalls are frequently
used to prevent
unauthorized Internet users
from accessing private
networks connected to the
Internet, especially
intranets. All messages
entering or leaving the
intranet pass through the
firewall, which examines
each message and blocks
those that do not meet the
specified security criteria.
Существует несколько техник работы
брандмауэров:
There are several types of
firewall techniques:
1. Пакетный фильтр. При
фильтрации пакетов проверяется
каждый пакет, проходящий через
сеть, и его принятие или отклонение
происходит на основе правил,
определённых пользователем.
Несмотря на сложность
конфигурирования, пакетный фильтр
довольно эффективен и обычно
прозрачен для пользователя. Кроме
того, он подходит для защиты от IP-
спуфинга.
Packet filter: Packet filtering
inspects each packet
passing through the network
and accepts or rejects it
based on user-defined
rules. Although difficult to
configure, it is fairly effective
and mostly transparent to its
users. In addition, it is
susceptible to IP spoofing.
2. Шлюз приложений. Такие типы
брандмауэров применяют механизмы
обеспечения безопасности к
конкретным приложениям, таким как
Application gateway:
Applies security
mechanisms to specific
applications, such as FTP
4
Перевод:
Екатерина Н
иконова (
ekate
rina.v
.nik
onova@
live.r
u )
серверы FTP и Telnet. Они очень
эффективны, однако их
использование может снизить
производительность системы.
and Telnet servers. This is
very effective, but can
impose a performance
degradation.
3. Шлюз сеансового уровня. Он
подразумевает включение
механизмов обеспечения
безопасности при установлении
соединения TCP или UDP. Когда
соединение установлено, передача
пакетов между хостами производится
без дальнейших проверок.
Circuit-level gateway:
Applies security
mechanisms when a TCP or
UDP connection is
established. Once the
connection has been made,
packets can flow between
the hosts without further
checking.
4. Прокси-сервер. Прокси-сервер
перехватывает все входящие и
исходящие сообщения сети. Он
способен эффективно скрывать
действительные сетевые адреса.
Proxy server: Intercepts all
messages entering and
leaving the network. The
proxy server effectively
hides the true network
addresses.
Метод определения по словарю Dictionary
Когда антивирусная программа,
обнаруживающая вирусы по словарю,
сканирует файл, она обращается к
словарю известных вирусов,
определённых её авторами. Если
какой-либо участок кода файла
соответствует вирусу, описанному в
словаре, антивирусное приложение
может предпринять одно из
следующих действий:
In the virus dictionary
approach, when the
antivirus software looks at a
file, it refers to a dictionary
of known viruses that the
authors of the antivirus
software have identified. If a
piece of code in the file
matches any virus identified
in the dictionary, then the
antivirus software can take
one of the following actions:
5
Перевод: Е
катерина Н
иконова ( e
kate
rina.v
.nik
onova@
live.ru
)
попытаться вылечить файл,
извлекая из него тело вируса,
поместить файл в карантин, так что
другие программы не могут получить
к нему доступ и содержащийся в нём
вирус не имеет возможности
распространяться, или
удалить инфицированный файл.
attempt to repair the file by removing the virus itself
from the file,
quarantine the file (such that the file remains
inaccessible to other
programs and its virus can
no longer spread), or
delete the infected file.
Для стабильно успешного применения
данного метода в среднесрочной и
долгосрочной перспективе
необходимо периодически загружать,
обычно через Интернет, обновлённые
записи словаря. Обнаружив в сети
новые вирусы, сознательные,
технически подкованные
пользователи могут отправлять
заражённые файлы авторам
антивирусных программ, чтобы те
включили информацию о только что
найденных вирусах в словари.
To achieve consistent
success in the medium and
long term, the virus
dictionary approach requires
periodic (generally online)
downloads of updated virus
dictionary entries. As
civically-minded and
technically-inclined users
identify new viruses "in the
wild", they can send their
infected files to the authors
of antivirus software, who
then include information
about the new viruses in
their dictionaries.
Как правило, антивирусные
приложения, работающие на базе
словаря, проверяют файлы в тот
момент, когда операционная система
создаёт, открывает, закрывает или
отправляет их по электронной почте.
В этом случае известные вирусы могут
быть обнаружены сразу после того,
как произошло заражение. Следует
отметить, что системные
администраторы обычно планируют
Dictionary-based antivirus
software typically examines
files when the computer's
operating system creates,
opens, closes, or e-mails
them. In this way it can
detect a known virus
immediately upon receipt.
Note too that a System
Administrator can typically
schedule the antivirus
6
Перевод:
Екатерина Н
иконова (
ekate
rina.v
.nik
onova@
live.r
u )
регулярную проверку (сканирование)
антивирусом всех файлов,
находящихся на жестком диске
компьютера.
software to examine (scan)
all files on the computer's
hard disk on a regular basis.
Несмотря на то, что методика
обнаружения по словарю позволяет
при соответствующих обстоятельствах
эффективно препятствовать
проникновению вирусов, их авторы
пытаются обойти защиту, создавая
"олигоморфные", "полиморфные" и —
в последнее время — "метаморфные"
вирусы, которые для маскировки
своего присутствия шифруют часть
своего кода или изменяют его каким-
либо другим способом, так чтобы их
сигнатуры не соответствовали
приведённым в словаре.
Although the dictionary
approach can effectively
contain virus outbreaks in
the right circumstances,
virus authors have tried to
stay a step ahead of such
software by writing
"oligomorphic",
"polymorphic" and more
recently "metamorphic"
viruses, which encrypt parts
of themselves or otherwise
modify themselves as a
method of disguise, so as to
not match the virus's
signature in the dictionary.
Метод "белого списка" является
новым в борьбе с любым вредоносным
ПО. Вместо того чтобы заниматься
поиском лишь известных вредоносных
программ, эта техника позволяет
предотвратить исполнение любого
программного кода, за исключением
того, что был заранее определён
системным администратором как
безопасный. Благодаря методике
запрета по умолчанию, можно
избежать ограничений, связанных с
необходимостью поддерживать базу
данных сигнатур вирусов в
актуальном состоянии. Кроме того,
имеющиеся на компьютере
An emerging technique to
deal with malware in
general is whitelisting.
Rather than looking for only
known bad software, this
technique prevents
execution of all computer
code except that which has
been previously identified as
trustworthy by the system
administrator. By following
this default deny approach,
the limitations inherent in
keeping virus signatures up
to date are avoided.
Additionally, computer
applications that are
7
Перевод: Е
катерина Н
иконова ( e
kate
rina.v
.nik
onova@
live.ru
)
нежелательные для администратора
приложения также невозможно
запустить, поскольку они не
упомянуты в "белом списке". Так как
инфраструктура современных
предприятий подразумевает наличие
большого количества надёжных
приложений, ограничения в
применении данной техники
заключаются в способности
администратора должным образом
составить и поддерживать "белый
список" безопасных приложений. По
этой причине её практическое
применение подразумевает
использование инструментов для
автоматизации процессов составления
и поддержания "белых списков".
unwanted by the system
administrator are prevented
from executing since they
are not on the whitelist.
Since modern enterprise
organizations have large
quantities of trusted
applications, the limitations
of adopting this technique
rest with the system
administrators' ability to
properly inventory and
maintain the whitelist of
trusted applications. As
such, viable
implementations of this
technique include tools for
automating the inventory
and whitelist maintenance
processes.
Метод выявления
подозрительного поведения Suspicious behavior
Основанный на подозрительном
поведении программ подход,
напротив, не пытается выявить
присутствие известных вирусов —
вместо этого отслеживаются действия
всех программ. Если одна из них
попытается, например, записать
данные в код исполняемого
приложения, антивирусная программа
может отметить её странное
поведение, оповестить об этом
пользователя и запросить его
действия.
The suspicious behavior
approach, by contrast,
doesn't attempt to identify
known viruses, but instead
monitors the behavior of all
programs. If one program
tries to write data to an
executable program, for
example, the antivirus
software can flag this
suspicious behavior, alert a
user, and ask what to do.
8
Перевод:
Екатерина Н
иконова (
ekate
rina.v
.nik
onova@
live.r
u )
В отличие от метода выявления по
словарю, технология определения
подозрительного поведения
обеспечивает, таким образом, защиту
от новейших вирусов, не описанных
ни в одном словаре. В то же время,
она чревата большим количеством
ложных срабатываний, так что
пользователь может перестать
реагировать на все оповещения. Если
он станет нажимать кнопку
"Разрешить" каждый раз при виде
сигнала опасности, несомненно,
антивирус окажется для него
бесполезным. Начиная с 1997 года эта
проблема становилась всё серьёзнее,
поскольку всё больше современных
безопасных программ требуют во
время работы внесения изменений в
код других EXE-файлов, без учёта
эффекта ложного срабатывания. Это
приводит к тому, что в большей части
современных антивирусных
приложений эта методика
используется всё реже.
Unlike the dictionary
approach, the suspicious
behavior approach therefore
provides protection against
brand-new viruses that do
not yet exist in any virus
dictionaries. However, it can
also sound a large number
of false positives, and users
probably become
desensitized to all the
warnings. If the user clicks
"Accept" on every such
warning, then the antivirus
software obviously gives no
benefit to that user. This
problem has worsened
since 1997, since many
more non-malicious
program designs came to
modify other .exe files
without regard to this false
positive issue. Therefore,
most modern antivirus
software uses this technique
less and less.
Другие методики Other approaches
Некоторые антивирусные программы
используют другие виды
эвристического анализа. Например,
антивирус может попытаться
эмулировать начальную часть кода
каждого нового исполняемого файла,
прежде чем ему будет передан
контроль. Если имеется подозрение,
Some antivirus software use
other types of heuristic
analysis. For example, it
could try to emulate the
beginning of the code of
each new executable that
the system invokes before
transferring control to that
executable. If the program
9
Перевод: Е
катерина Н
иконова ( e
kate
rina.v
.nik
onova@
live.ru
)
что в этом приложении используется
самомодифицирующийся код, либо
оно каким-то образом ведёт себя как
вирус (например, незамедлительно
пытается обнаружить другие
исполняемые файлы), приложение
будет отмечено как инфицированное.
Использование этого метода, однако,
может привести к большому числу
ложных срабатываний.
seems to use self-modifying
code or otherwise appears
as a virus (if it immediately
tries to find other
executables, for example),
one could assume that a
virus has infected the
executable. However, this
method could result in a lot
of false positives.
Ещё один метод обнаружения основан
на использовании изолированной
программной среды, или "песочницы".
Она эмулирует среду операционной
системы и запускает в этой имитации
исполняемый файл. После того как
работа программы завершена,
антивирусное приложение
анализирует содержимое "песочницы"
на предмет каких-либо изменений,
которые могут указать на присутствие
вируса. Из-за возможного снижения
производительности этот метод
обнаружения обычно используется
при сканированиях по требованию. Он
также может оказаться
неэффективным, если код вируса
основан на недетерминированном
алгоритме и во время нескольких
запусков производит различные
действия — либо не производит вовсе,
так что его невозможно выявить за
один запуск.
Yet another detection
method involves using a
sandbox. A sandbox
emulates the operating
system and runs the
executable in this
simulation. After the
program has terminated,
software analyzes the
sandbox for any changes
which might indicate a virus.
Because of performance
issues, this type of detection
normally only takes place
during on-demand scans.
Also this method may fail as
viruses can be
nondeterministic and result
in different actions or no
actions at all done when run
— so it will be impossible to
detect it from one run.
10
Перевод:
Екатерина Н
иконова (
ekate
rina.v
.nik
onova@
live.r
u )
Некоторые антивирусные сканеры
могут также выдавать пользователю
предупреждение, если имеется
подозрение, что файл содержит
вирус, характерный для файлов этого
типа.
Some virus scanners can
also warn a user if a file is
likely to contain a virus
based on the file type.
Спорные вопросы Issues of concern
Регулярное появление всё новых
вредоносных программ, без сомнения,
в финансовом плане выгодно для
производителей антивирусного
программного обеспечения, однако
никаких признаков их тайного сговора
с авторами вирусов выявлено не
было.
The regular appearance of
new malware is certainly in
the financial interest of
vendors of commercial
antivirus software, but there
is no evidence of collusion.
Некоторые антивирусные
программы могут значительно снижать
производительность системы. Чтобы
повысить быстродействие,
пользователи порой отключают
антивирусную защиту, что
увеличивает вероятность заражения.
Для обеспечения максимальной
защиты антивирус должен быть
включён постоянно — для этого часто
приходится жертвовать
быстродействием (см. также
«Раздувание программного
обеспечения»).
Some antivirus software can
considerably reduce
performance. Users may
disable the antivirus
protection to overcome the
performance loss, thus
increasing the risk of
infection. For maximum
protection, the antivirus
software needs to be
enabled all the time — often
at the cost of slower
performance (see also
software bloat).
Важно отметить, что не следует
устанавливать одновременно
несколько резидентных антивирусных
It is important to note that
one should not have more
than one memory-resident
11
Перевод: Е
катерина Н
иконова ( e
kate
rina.v
.nik
onova@
live.ru
)
средств на один компьютер. Это
может привести к нарушению
функционирования системы и
дальнейшему её повреждению.
antivirus software solution
installed on a single
computer at any given time.
Otherwise, the computer
may be crippled and further
damaged.
Иногда необходимо временно
отключать антивирусную защиту во
время установки основных
обновлений системы, таких как
Windows Service Pack, или обновления
драйверов графических карт.
Работающая программа-антивирус
может частично или полностью
воспрепятствовать установке
основного обновления.
It is sometimes necessary to
temporarily disable virus
protection when installing
major updates such as
Windows Service Packs or
updating graphics card
drivers. Active antivirus
protection may partially or
completely prevent the
installation of a major
update.
Во время приобретения
антивирусного программного
обеспечения следует учесть, что
лицензионное соглашение может
содержать условие, согласно которому
подписка на приложение
возобновляется автоматически и
средства с кредитной карты
покупателя взимаются при этом без
его явного согласия. Для
предотвращения повторного снятия
средств компания McAfee, например,
требует, чтобы пользователь
аннулировал подписку по меньшей
мере за 60 дней до момента истечения
срока текущей подписки. Пакет Norton
Antivirus также по умолчанию
автоматически возобновляет
When purchasing antivirus
software, the agreement
may include a clause that
the subscription will be
automatically renewed, and
the purchaser's credit card
automatically billed, at the
renewal time without explicit
approval. For example,
McAfee requires one to
unsubscribe at least 60
days before the expiration of
the present subscription.
Norton Antivirus also
renews subscriptions
automatically by default.
12
Перевод:
Екатерина Н
иконова (
ekate
rina.v
.nik
onova@
live.r
u )
подписку.
Некоторые "антивирусы" являются
на самом деле шпионскими
программами, маскирующимися под
антивирусное программное
обеспечение. Чтобы убедиться в том,
что скачиваемое антивирусное
приложение в действительности
является таковым, лучше всего
проверить его дважды.
Some antivirus programs
are actually spyware
masquerading as antivirus
software. It is best to
double-check that the
antivirus software which is
being downloaded is
actually a real antivirus
program.
Некоторые коммерческие
антивирусные программные продукты
содержат рекламное ПО.
Some commercial antivirus
software programs contain
adware.
Большинство широко
распространённых антивирусных
программ, как правило, не способны
выявить недавно созданные вирусы.
Most widely-accepted
antivirus programs often do
not detect newly-created
viruses.
Иногда производителей
антивирусного ПО обвиняют в том, что
они нагнетают страх, преувеличивая
опасность, которую представляют
собой вирусы для их клиентов.
Anti-virus manuafacturers
have been criticised for fear
mongering by exaggerating
the risk that virus pose to
consumers.
Мобильные устройства Mobile devices
Из сферы настольных компьютеров и
ноутбуков вирусы перебрались на
мобильные устройства.
Производители антивирусного ПО уже
начинают предлагать решения для
мобильных телефонов. Работа
антивирусной программы на таких
устройствах связана со следующими
Viruses from the desktop
and laptop world have
migrated to mobile devices.
Antivirus vendors are
beginning to offer solutions
for mobile handsets. These
devices present significant
challenges for antivirus
13
Перевод: Е
катерина Н
иконова ( e
kate
rina.v
.nik
onova@
live.ru
)
сложностями: software, such as:
ограничения, налагаемые
архитектурой процессора,
ограничения, налагаемые объёмом
памяти, и
необходимость определения и
обновления сигнатур вирусов
специально для мобильных устройств.
processor constraints,
memory constraints, and
definitions and new signature updates to these
mobile handsets.
В настоящее время мобильные
телефоны предоставляют широкий
спектр интерфейсов и способов
передачи данных. Потребителю
следует тщательно оценивать
средства безопасности, прежде чем
применять их на устройствах столь
малого форм-фактора.
Mobile handsets are now
offered with a variety of
interfaces and data
connection capabilities.
Consumers should carefully
evaluate security products
before deploying them on
devices with a small form
factor.
Аппаратные решения, такие как
антивирусы на USB-устройствах и
SIM-картах, возможно, лучше
соответствуют потребностям
пользователя мобильного телефона.
Поскольку процесс сканирования
может затронуть другие приложения,
имеющиеся на портативном
устройстве, использование
антивирусных решений на мобильных
телефонах требует проведения
технической оценки и анализа.
Solutions that are hardware-
based, perhaps USB
devices or SIM-based
antivirus solutions, might
work better in meeting the
needs of mobile handset
consumers. Technical
evaluation and review on
how deploying an antivirus
solution on cellular mobile
handsets should be
considered as scanning
process might impact other
legitimate applications on
the handheld.
14
Перевод:
Екатерина Н
иконова (
ekate
rina.v
.nik
onova@
live.r
u )
Решения на SIM-картах со встроенным
антивирусом, занимающим малый
объём памяти, могут представлять
собой базовый вариант как для
борьбы с вредоносным ПО и
вирусами, так и для защиты PIM-
данных и пользовательской
информации. Решения, основанные на
USB-устройствах и флэш-картах,
позволяют пользователю переносить
эти программы для использования на
разных аппаратных платформах.
SIM-based solutions with
antivirus integrated on the
small memory footprint
might provide a basic
solution to combat
malware/viruses in
protecting PIM and mobile
user data. Solutions based
on USB and Flash memory
allow the user to swap and
use these products with a
range of hardware devices.
Эффективность применения Effectiveness
Проведённые в декабре 2007 года
исследования показали, что
эффективность применения
антивирусного программного
обеспечения значительно снизилась в
сравнении с показателями нескольких
лет давности, в частности, в борьбе
против неизвестных угроз или атак
"нулевого дня". Немецкий журнал
«c't», посвящённый компьютерной
технике, обнаружил, что частота
обнаружений угроз таких типов за
один только год снизилась с 40-50%
до 20-30%. Лишь одно из описанных
приложений сумело достигнуть уровня
обнаружения атак выше 50%.
Studies in December 2007
have shown that the
effectiveness of Antivirus
software is much reduced
from what it was a few years
ago, particularly against
unknown or zero day
threats. The German
computer magazine c't
found that detection rates
for these threats had
dropped to a frightening
20% to 30%, as compared
to 40% to 50% only one
year earlier. Only one
product managed a
detection rate above 50%.
15
Перевод: Е
катерина Н
иконова ( e
kate
rina.v
.nik
onova@
live.ru
)
Эта проблема становится всё более
серьёзной по мере того, как меняются
цели авторов вирусов. Несколько лет
назад инфицирование системы было
для пользователя очевидным. Вирусы
того времени, создаваемые
любителями, явным образом
демонстрировали своё
разрушительное поведение или
обнаруживали себя с помощью
всплывающих окон с сообщениями.
Современные вирусы часто создаются
профессионалами при финансовой
поддержке криминальных
организаций. Обнаруживать
присутствие вирусов в этом случае
невыгодно, поскольку целью авторов
является создание ботнетов или
похищение информации в течение как
можно более долгого времени так,
чтобы пользователь не знал об этом.
По этой причине вирусы часто
тщательно замаскированы. Если
владелец инфицированной системы
пользуется не слишком эффективным
антивирусным продуктом, который
сообщает о том, что вирусов не
обнаружено, они могут продолжать
работу незамеченными. В результате
даже разработки крупных
производителей бывают неспособны
выявить программы, чьё
функционирование наносит вред
системе.
The problem is magnified by
the changing intent of virus
authors. Some years ago it
was obvious when a virus
infection was present. The
viruses of the day, written
by amateurs, exhibited
destructive behavior or
popped-up screen
messages. Modern viruses
are often written by
professionals, financed by
criminal organizations. It is
not in their interests to make
their viruses evident,
because their purpose is to
create botnets or steal
information for as long as
possible without the user
realizing this; consequently,
they are often well-hidden. If
an infected user has a less-
than-effective antivirus
product that says the
computer is clean, then the
virus may go undetected. As
a result of this, even major
antivirus products have
failed to detect programs
containing malicious
behaviour.