Вся правда об антивирусах

Андрей Семенюченко

Спецвыпуск: Хакер, номер #058, стр. 058-038-2

Следствие ведут знатоки

Итак, начнем наше исследование с описания возможностей антивирусных программ.

В таблице №1 - сравнение услуг, предоставляемых антивирусными компаниями. Если в ней пропущены некоторые значения, значит, разработчик ПО не сказал исследовательским центрам ничего по поводу этих сегментов.

При поражении объектов вирус, использующий шифрование, преобразует свой код в шифрованную последовательность данных

S = F (T), где

T – базовый код вируса;

S – зашифрованные коды вируса;

F – функция шифрования вируса, произвольно выбирающаяся из некоторого множества преобразований {F}.

Для детектирования и лечения полиморфных вирусов используется способ редуцированной маски. Его суть: выбирается преобразование R зашифрованных кодов вируса S, такое, что результат преобразования (то есть некоторая последовательность данных S') не будет зависеть от ключей преобразования F. То есть вот так:

S = F (T)

S' = R (S) = R ( F (T) ) = R' (T).

При применении преобразования R к всевозможным вариантам шифрованного кода S результат S' будет постоянным при постоянном T. В итоге получаем, что идентификация пораженных объектов проходит так: в качестве редуцированной маски выбирают S' и к пораженным объектам преобразования применяют R.

Первое, что бросается в глаза (и что известно далеко не всем), – огромное количество операционных систем, поддерживаемых большинством антивирусов, а также интеграция осей с различными приложениями. Обидно только, что компания Symantec совсем не уделяет внимания *nix-системам.

Самым быстрым в плане сканирования файлов оказался Dr.Web, за ним - Symantec Antivirus. Неплохие результаты показали Антивирус Касперского и Nod32 Antivirus. Зато у Dr.Web и Symantec отсутствует детектирование SpyWare, шпионского программного обеспечения, которое собирает информацию о компьютере и пользователе.

По частоте обновлений лидером является Антивирус Касперского. Ежечасно! Это вполне объяснимо: "Лаборатория Касперского" позиционирует себя как разработчика с самым высоким рейтингом детектирования вредоносных программ и мгновенной реакцией на возникновение вирусных эпидемий. А вот компании Symantec и McAfee, видимо, не считают нужным торопиться при вспышке новых вирусов. Позор, господа, стыдитесь!

Поскольку представленные антивирусы являются корпоративными, все они имеют средства удаленного администрирования и управления. Одна из новомодных функций - возможность обнаружения вирусов в архивах. Такая способность имеется у всех представленных антивирусов, но удалять и лечить зараженные объекты способны далеко не все. С этой задачей справляются только Антивирус Касперского и McAfee Antivirus. Последний, правда, способен чистить исключительно архивы типа zip с одноуровневой глубиной вложения.