Итак, начнем наше исследование с описания возможностей антивирусных программ.

 При поражении объектов вирус, использующий шифрование, преобразует свой код в шифрованную последовательность данных

 S = F (T), где

 T – базовый код вируса;

 S – зашифрованные коды вируса;

 F – функция шифрования вируса, произвольно выбирающаяся из некоторого множества преобразований {F}.

 Для детектирования и лечения полиморфных вирусов используется способ редуцированной маски. Его суть: выбирается преобразование R зашифрованных кодов вируса S, такое, что результат преобразования (то есть некоторая последовательность данных S') не будет зависеть от ключей преобразования F. То есть вот так:

S = F (T)

S' = R (S) = R ( F (T) ) = R' (T).

 При применении преобразования R к всевозможным вариантам шифрованного кода S результат S' будет постоянным при постоянном T. В итоге получаем, что идентификация пораженных объектов проходит так: в качестве редуцированной маски выбирают S' и к пораженным объектам преобразования применяют R.

 Первое, что бросается в глаза (и что известно далеко не всем), – огромное количество операционных систем, поддерживаемых большинством антивирусов, а также интеграция осей с различными приложениями. Обидно только, что компания Symantec совсем не уделяет внимания *nix-системам.

 Самым быстрым в плане сканирования файлов оказался Dr.Web, за ним - Symantec Antivirus. Неплохие результаты показали Антивирус Касперского и Nod32 Antivirus. Зато у Dr.Web и Symantec отсутствует детектирование SpyWare, шпионского программного обеспечения, которое собирает информацию о компьютере и пользователе.

 По частоте обновлений лидером является Антивирус Касперского. Ежечасно! Это вполне объяснимо: "Лаборатория Касперского" позиционирует себя как разработчика с самым высоким рейтингом детектирования вредоносных программ и мгновенной реакцией на возникновение вирусных эпидемий. А вот компании Symantec и McAfee, видимо, не считают нужным торопиться при вспышке новых вирусов. Позор, господа, стыдитесь!

 Поскольку представленные антивирусы являются корпоративными, все они имеют средства удаленного администрирования и управления. Одна из новомодных функций - возможность обнаружения вирусов в архивах. Такая способность имеется у всех представленных антивирусов, но удалять и лечить зараженные объекты способны далеко не все. С этой задачей справляются только Антивирус Касперского и McAfee Antivirus. Последний, правда, способен чистить исключительно архивы типа zip с одноуровневой глубиной вложения.

 Описав возможности антивирусов, окинем взором их недостатки!

 Dr.Web

 - Иногда Dr.Web ничего не находит на зараженном компьютере .

 - Частая блокировка ключей (конечно, это не касается лицензионных пользователей, а пиратам так и надо).

 - При обновлении часто возникает сообщение "Ошибка получения файла версий", которая уже никого не удивляет.

 - При использовании Apache некоторые скрипты перестают корректно выполнять свою работу. Такое бывает при использовании Spider Guard от Dr.Web.

 McAfee

 - При установке McAfee Office наблюдается нестабильная работа, видимо, из-за множественности одновременно запускаемых программ (по умолчанию пять). Сократив их количество, можно добиться более-менее стабильной работы.

 - Сбои при запуске модуля отчетов Discover Pro.

 - Компонент McAfee VirusScan's WebScanX подключается в explorer.exe. Когда Explorer используется для просмотра каталогов и основной каталог пользователя расположен на сетевом ресурсе, WebScanX вызывает несколько .dll-файлов в основном каталоге пользователя. Нападающий может внедрить произвольный код в эти dll, который будет выполнен на системе пользователя с системными привилегиями.

 - При сканировании сформированных особым образом архивов в формате LHA в движке антивируса возникает ошибка переполнения буфера, после чего нападающий получает возможность выполнить на машине вредоносный код.

 Eset

 - Eset NOD32 не всегда может определить точное название вируса, номер его версии и т.д.

 - В антивирусе Eset's NOD32 для UNIX-систем существует ошибка, приводящая к переполнению буфера. Локальный пользователь может получить root-привилегии.

- Существуют редкие ложные срабатывания. Но и одного такого случая достаточно, если в результате вместо вируса удален нужный файл.

 Symantec

 - Редкие обновления большого размера (обычно не менее 4 Мб).

 - При попытке просканировать на наличие вирусов с локальной машины антивирус выдает ошибку 0х2. Однако при сканировании этого же компьютера через Symantec System Center Console все идет нормально.

 - Существует уязвимость в обработке UPX сжатых файлов. Уязвимость вызвана ошибкой в модуле антивируса DEC2EXE.

 - Symantec обнаруживает многие вирусы, но нормально убить их, не то что лечить, ему вряд ли удастся.

 - Медленнее всех выполняет полное сканирование жесткого диска.

 Антивирус Касперского

 - Не самый быстрый антивирус, но, видимо, за качество приходится платить.

 - Существовала бага с обработкой zip-архивов. Суть в том, что для каждого находящегося в архиве объекта zip хранит две копии заголовка (local/central directory), содержащего, среди прочего, реальный размер распакованного файла. Если злоумышленник в обоих заголовках укажет значение размера равным нулю, то антивирусный сканер ошибочно посчитает объект слишком маленьким для проверки и пропустит его (пофиксено после огласки, следует добавить ради справедливости).

 - Неудачная четвертая версия, ее продукты отличаются непродуманным и совершенно недружелюбным для пользователя интерфейсом.

 - Антивирус Касперского все-таки удаляет многие вирусы, даже не пытаясь лечить их.

 Trend Micro

 - По умолчанию к папке установки Trend Micro Office Scan и соответствующему разделу реестра дается полный доступ группе Everyone.

 - Выпуск "сырых" (непроверенных) обновлений, приводящих к нарушению работы системы, проблемам доступа к сетевым ресурсам и др.

 - Некорректная обработка сформированных особым образом архивов в формате ARJ. Для реализации нападения злоумышленнику необходимо вставить в локальный заголовок архива чрезмерно длинное имя файла. Если атака пройдет успешно, будет выполнен произвольный вредоносный код на удаленном компьютере.

 - Когда Trend Micro PC-cillin Internet Security выдает предупреждения пользователю, она создает HMTL-файл в каталоге временных файлов на целевой системе и затем загружает файл через Microsoft Internet Explorer. Удаленный пользователь может создать специально сформированный zip-архив и HTML, который заставит браузер целевого пользователя загрузить zip-файл. Затем, когда программное обеспечение Trend Micro сгенерирует предупреждение для zip-файла (что он содержит некоторый злонамеренный код), будет выполнен произвольный код сценария, содержащийся в zip-файле.

 - Слабая техническая поддержка, российская версия портала Trend Micro на английском языке.

 Высокие технологии

 На какие только ухищрения не идут злоумышленники при написании своих детищ, но антивирусные разработчики тоже не сидят на месте и используют различные методы детектирования. Вот основные:

 1. Использование сигнатур и контрольных сумм. Это самый распространенный метод, основанный на сравнении имеющихся сигнатур с сигнатурами сканируемых файлов.

 2. Эвристический анализатор. Эвристика (греч. heurisko - отыскиваю, открываю) – это наука, изучающая продуктивное творческое мышление и использующая специальные методы с целью открытия нового. С помощью эвристики можно распознать вирусную программу по типу выполняемых действий. Иногда эвристический анализатор позволяет детектировать целое семейство одного вируса по заданному алгоритму.

 Современные эвристические анализаторы позволяют обнаруживать вредоносные коды в исполняемых файлах, секторах и памяти, а также новые скрипт-вирусы и вредоносные программы для Microsoft Office (и других программ, использующих VBA) и, наконец, вредоносный код, написанный на языках высокого уровня, таких как Microsoft Visual Basic. Гибкая архитектура и комбинация различных методов позволяет добиться достаточно высокого уровня детектирования новых вредоносных программ. Высокая эффективность эвристического анализатора наблюдается при детектировании эксплойтов.

3. Эмуляция. При данном подходе создается виртуальная среда, в рамках которой эмулируется поведение подозреваемой программы. Позволяет распознавать полиморфные вирусы.

 Кроме того, многие компании имеют свои уникальные технологии, содействующие эффективному использованию антивируса. Так в антивирусном "движке" Антивируса Касперского реализован ряд технологий, которые значительно ускоряют проверку объектов и при этом гарантируют сохранение высокого качества детектирования, а также улучшают детектирование и лечение вредоносного программного обеспечения в архивных файлах.

 Технология iChecker позволяет добиться разумного баланса между надежностью защиты рабочих станций (особенно серверов) и использованием системных ресурсов защищаемого компьютера. Благодаря этой технологии значительно сокращается время загрузки (до 30-40%) операционной системы (по сравнению с традиционными антивирусными решениями) и время запуска приложений при активной антивирусной защите. При этом гарантируется, что все файлы на дисках компьютера были проверены и не инфицированы. Основная идея данной технологии – не проверять то, что не изменялось и уже было проверено. Антивирусный "движок" ведет специальную базу данных, в которой хранятся контрольные суммы всех проверенных (и неинфицированных) файлов. Теперь, прежде чем отдать файл на проверку, "движок" подсчитывает и сравнивает контрольную сумму файла с данными, хранящимися в базе данных. Если данные совпадают, значит, файл был проверен и повторная проверка не требуется. Стоит заметить, что время, затрачиваемое на подсчет контрольных сумм файла, значительно меньше, чем время антивирусной проверки.

iStreams – это технология, близкая по смыслу iChecker, которая позволяет исключить проверку файлов, расположенных на диске с файловой системой NTFS, не измененных со времени последней проверки. Для ее реализации используется технология хранения контрольных сумм файлов в дополнительных потоках NTFS.

 iCure – технология лечения инфицированных файлов в архивах. Благодаря этой технологии инфицированные объекты внутри архивных файлов будут успешно вылечены (или удалены, в зависимости от настроек антивируса) без помощи внешних утилит архивации. На сегодняшний день поддерживаются следующие типы архивов: ARJ, CAB, RAR, ZIP. Благодаря модульной архитектуре и технологии горячего обновления KeepUp2Date пользователь сможет легко обновлять и расширять список поддерживаемых типов архиваторов без перезагрузки антивируса.

 iArc – еще одна технология работы с архивными файлами. Эта технология улучшает поддержку многотомных архивов, которая была реализована в предыдущих версиях антивирусного "движка" Антивируса Касперского. iArc позволяет проверять многотомные архивы. Теперь Kaspersky Anti-Virus в состоянии обнаружить вирус даже если он будет упакован в многотомный архив, который, в свою очередь, также будет упакован в многотомный архив.

 Детектирование вирусов.

McAfree-     96%

AVK -          93%

Symantec-     85%

Trend Micro- 79%

Eset-           74%

Судя по результатам, Касперский, как и обещал, детектирует больше всего вредоносного программного обеспечения и лидирует в этом туре, по некоторым позициям, однако, уступая антивирусу McAfee. За передовиками следует Symantec. Ну а в числе отстающих оказались Trend Micro и Eset.

Как показывают результаты тестов, полностью со своей задачей справились только два антивируса: отечественный продукт Антивирус Касперского и Eset Nod32. Trend Micro занимает первое место с обратного конца. Антивирус Trend Micro вообще в последнее время показывает себя на мировой арене не с лучшей стороны. Сразу вспоминается неприятная история, произошедшая в Японии. Дело в том, что антивирусы Trend Micro стоят на защите в японской железнодорожной компании East Japan Railway Co. 24 апреля 2007 года газета Japan Times сообщила, что компания Trend Micro выпустила обновление, в котором содержался файл с грубой ошибкой. В результате на многих компьютерах железнодорожной компании, а также в некоторых других пострадавших организациях, довольно продолжительное время происходили сбои в работе системы, а сетевые ресурсы вообще были недоступны. Конечно, позже ошибка была исправлена, но все-таки это не образец для работы одного из лидеров антивирусной индустрии.