- Десять років розвитку антивірусного ринку в Росії
- Класифікація шкідливих програм
- файлові віруси
- Overwriting-віруси
- Parasitic-віруси
- Companion-віруси
- файлові черви
- Link-віруси
- OBJ, LIB і віруси у вихідних текстах
- завантажувальні віруси
- макровіруси
- Скрипт-віруси
- Особливості алгоритмів роботи вірусів
- резидентні віруси
- Стелс-віруси
- Полиморфик-віруси
- Класифікація антивірусних програм
- Основні методи визначення вірусів
- Алгоритм «контрольної суми»
- Методи визначення поліморфік-вірусів
- еврістічній аналіз
- Лінійка продуктів «Лабораторії Касперського»
- Для Домашніх Користувачів
- Для корпоративних користувачів
- Лінійка антивірусних програм від компанії «ДиалогНаука»
- Сторож SpIDer Guard
- Сімейство програм ADinf
- універсальний лікар
Олександр Прохоров
Десять років розвитку антивірусного ринку в Росії
Класифікація шкідливих програм
файлові віруси
Overwriting-віруси
Parasitic-віруси
Companion-віруси
файлові черви
Link-віруси
OBJ, LIB і віруси у вихідних текстах
завантажувальні віруси
макровіруси
Скрипт-віруси
Особливості алгоритмів роботи вірусів
резидентні віруси
Стелс-віруси
Полиморфик-віруси
Класифікація антивірусних програм
Основні методи визначення вірусів
Алгоритм «порівняння з еталоном»
Алгоритм «контрольної суми»
Методи визначення поліморфік-вірусів
евристичний аналіз
Лінійка продуктів «Лабораторії Касперського»
Для малого та середнього бізнесу
Для домашніх користувачів
Для корпоративних користувачів
Лінійка антивірусних програм від компанії «ДиалогНаука»
Сімейство програм Doctor Web
Сканер Doctor Web
Сторож SpIDer Guard
Сімейство програм ADinf
Ревізор дисків Adinf
універсальний лікар
Вірусописання як психологічний феномен
Портрет компанії «Лабораторія Касперського»
Портрет компанії «ДиалогНаука»
Тестування Doctor Web для MS-DOS - знову все 100%!
Перед тим як приступити до написання даної статті, я зустрівся з одним із засновників вітчизняної антивірусної індустрії Євгеном Касперського, який повідомив мені деякі цифри про стан російського і світового антивірусного ринку. Також я поговорив з представником знаменитої антивірусної компанії «ДиалогНаука», менеджером по роботі з великими клієнтами, Максимом Скид. З розмови я дізнався цікавий факт - виявляється, антивірусна індустрія ось-ось відзначить своє перше десятиліття.
Десять років розвитку антивірусного ринку в Росії
Як вже було зазначено, антивірусний ринок живе напередодні свого десятиліття. Саме в 1992 році було створено АТЗТ «ДиалогНаука», що поклала початок активному просуванню на вітчизняний ринок знаменитої програми Лозинського Aidstest; починаючи з цього часу Aidstest стала поширюватися на комерційній основі. Приблизно в той же час Євген Касперський організовує невеликий комерційний відділ в рамках КАМІ, в якому спочатку працювали три людини. Також в 1992 році американський ринок швидко завойовує програма McAfee VirusScan. У Росії ринок розвивався тоді досить повільно, і принаймні до 1994 року ( Мал. 1 ) Картина виглядала приблизно так: домінуюче положення займала компанія «ДиалогНаука» (близько 80%), Антивірусу Касперського належало менше 5% ринку, всім іншим - ще 15% ринку. У 1995 році Євген Касперський переніс свій антивірус на 32-бітові интеловские платформи Windows, Novell NetWare і OS / 2, в результаті продукт почав активно просуватися на ринок.
У 1997 році ( Мал. 2 ) Антивірус Касперського займав вже 30% ринку, а на частку компанії «ДиалогНаука» припадало приблизно 50% ринку. У 1998 році Антивірус Касперського наздогнав за обсягом продажів «ДіалогНаука», і разом вони покрили 80% ринку ( Мал. 3 ), А до 2001 року Антивірус Касперського завоював вже близько 60% ринку ( Мал. 4 ). Із західних компаній на російському ринку досить міцно влаштувалася компанія Symantec, якій сьогодні належить від 20 до 25% ринку, і відповідно 15-20% ринку займає компанія «ДиалогНаука».
Структура світового антивірусного ринку
На світовій арені лідирує компанія McAfee - її продукт міцно утримує перше місце і має близько 50% продажів, причому пропонуються рішення переважно для корпоративного ринку. На другому місці знаходиться Symantec - ця компанія більше продає саме на роздрібному ринку. Третє і четверте місця ділять Computer Associates і TrendMicro, які мають приблизно по 10%, далі йдуть ще близько 20 компаній, внесок яких в світовий ринок становить близько 20%. Причому з цих 20 шістка великих локальних компаній - Sophos AV (Англія), F-Secure (Фінляндія), Norman (Норвегія), Command Software (США), Panda Software (Іспанія), Kaspersky Lab (Росія) - має більш 18% обсягу продажів.
Крім оцінок ринку, зроблених російськими компаніями ( Мал. 1 , 2 , 3 , 4 , 5 ), Цікаво ознайомитися також з деякими оцінками міжнародної компанії Gartner Group, відповідно до яких в 1999 році обсяг продажів антивірусних продуктів і послуг в світі склав близько 1,5 млрд. Дол. У 1988 році фірма McAfee 1 (США) займала 50% світового ринку, фірма Symantec 2 (США) - 20% і фірма Trend Micro (Тайвань) - 10%. За останні 5 років цей обсяг збільшувався в середньому на 100% в рік, що є одним з найвищих показників в софтверної індустрії взагалі.
У 1999 році обсяг ринку продажів антивірусних продуктів і послуг в Росії склав 1,5 млн. Дол. І за останні 5 років збільшувався в середньому на 30% в рік. У 1998 році «ДиалогНаука» і «Лабораторія Касперського» займали по 40% цього ринку.
З якими ж вірусами доводиться боротися світової та вітчизняної антивірусної індустрії?
Класифікація шкідливих програм
В принципі, не всі шкідливі програми є вірусами. Що ж таке віруси? Повинен сказати, що строгого визначення комп'ютерного вірусу взагалі не існує. Різноманітність вірусів така велика, що дати достатня умова (перерахувати набір ознак, при виконанні яких програму можна однозначно віднести до вірусів) просто неможливо - завжди знайдеться клас програм з даними ознаками, які не є при цьому вірусом. При цьому більшість визначень необхідної умови сходяться на тому, що комп'ютерні віруси - це програми, які вміють розмножуватися і впроваджувати свої копії в інші програми. Тобто заражають вже існуючі файли.
Другий тип шкідливих програм - так звані мережеві черв'яки (див. таблицю ) - розмножуються, але не є частиною інших файлів.
Мережеві черв'яки підрозділяються на Internet-черви (поширюються по Internet), LAN-черви (поширюються по локальній мережі), IRC-черв'яки Internet Relay Chat (поширюються через чати). Існують також змішані типи, які поєднують в собі відразу декілька технологій.
Виділяють в окрему групу також троянські програми, які не розмножуються і не розсилаються самі.
Троянські програми підрозділяють на кілька видів (див. таблицю ). Емулятори DDoS-атак 3 призводять до атак на Web-сервери, при яких на Web-сервер з різних місць надходить велика кількість пакетів, що і призводить до відмов роботи системи. Викрадачі секретної інформації крадуть інформацію.
Утиліти несанкціонованого віддаленого управління, проникаючи в ваш комп'ютер, надають господареві троянця доступ до цього комп'ютера і керувати нею.
Дроппер (від англ. Drop - кидати) - програма, яка «скидає» в систему вірус або інші шкідливі програми, при цьому сама більше нічого не робить.
Велика кількість вірусів дозволяє говорити про більш докладної їх класифікації.
- Файлові віруси:
- Звичайні файлові віруси
- OBJ, LIB і віруси у вихідних текстах
- файлові черви
- Link-віруси
- Companion-віруси
- Parasitic-віруси
- Overwriting-віруси
- завантажувальні
- макровіруси
- Для MS Word
- Excel
- Access
- PowerPoint
- Для всіх платформ
- Для інших додатків
- Скрипт-віруси
- для Windows
- для DOS
- Для інших систем
- змішаного типу
файлові віруси
Файлові віруси - це віруси, які при розмноженні використовують файлову систему будь-якої ОС. Впровадження файлового вірусу можливо практично в усі виконувані файли всіх популярних ОС - DOS, Windows, OS / 2, Macintosh, UNIX і т.д.
За способом зараження файлів файлові віруси діляться на звичайні, які вбудовують свій код в файл, по можливості не порушуючи його функціональності, а також на overwriting, паразитичні (parasitic), компаньйон-віруси (сompanion), link-віруси, віруси-черв'яки і віруси , що заражають об'єктні модулі (OBJ), бібліотеки компіляторів (LIB) і вихідні тексти програм.
Overwriting-віруси
Overwriting-вірус записує свій код замість коду заражає файли, знищуючи його вміст, після чого файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, так як операційна система і додатки швидко перестають працювати.
Parasitic-віруси
Parasitic-віруси змінюють вміст файлів, залишаючи при цьому самі файли повністю або частково працездатними. Такі віруси підрозділяються на віруси, що записуються в початок, в кінець і в середину файлів.
Companion-віруси
Companion-віруси не змінюють заражають файлів, а створюють для заражає файли файл-двійник, причому при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус.
файлові черви
Файлові черви (worms) є різновидом компаньйон-вірусів, однак не пов'язують свою присутність з яким-небудь виконуваним файлом. При розмноженні вони всього лише копіюють свій код в будь-які каталоги дисків в надії, що ці нові копії будуть коли-небудь запущені користувачем.
Link-віруси
Link-віруси використовують особливості організації файлової системи. Вони, як і компаньйони-віруси, не змінюють фізичного вмісту файлів, проте при запуску зараженого файлу «змушують» ОС виконати свій код за рахунок модифікації необхідних полів файлової системи.
OBJ, LIB і віруси у вихідних текстах
Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм. Віруси, що заражають OBJ- і LIB-файли, записують у них свій код у форматі об'єктного модуля або бібліотеки. Заражений файл не є виконуваним і не здатний на подальше поширення вірусу в поточному стані. Носієм же «живого» вірусу стає COM- або EXE-файл, який отримують в процесі лінковки зараженого OBJ / LIB-файла з іншими об'єктними модулями і бібліотеками. Таким чином, вірус поширюється в два етапи: на першому заражаються OBJ / LIB-файли, на другому етапі (лінковка) виходить працездатний вірус.
завантажувальні віруси
Завантажувальні віруси називаються так тому, що заражають завантажувальний (boot) сектор - записують себе в завантажувальний сектор диска (boot-сектор) або в сектор, що містить системний завантажувач вінчестера (Master Boot Record). Завантажувальні віруси заміщають код програми, яка отримує управління при завантаженні системи. Таким чином при перезавантаженні управління передається вірусу. При цьому оригінальний boot-сектор зазвичай переноситься в будь-якій іншій сектор диска.
макровіруси
Макровіруси є програмами на макромови, вбудованих в деякі системи обробки даних (текстові редактори, електронні таблиці і т.д.). Вони заражають документи й електронні таблиці ряду офісних редакторів.
Для розмноження вони використовують можливості макромов і при їхній допомозі переносять себе з одного зараженого файлу в інші. Найбільшого поширення набули макровіруси для Microsoft Word, Excel і Office 97. Віруси цього типу одержують керування при відкритті зараженого файлу і інфікують файли, до яких згодом йде звернення з відповідного офісного додатка - Word, Excel та ін.
Скрипт-віруси
Скрипт-віруси - це віруси, написані на скрипт-мовах, таких як Visual Basic Script, Java Script і ін. Вони, в свою чергу, діляться на віруси для DOS, для Windows, для інших систем.
Крім описаних класів існує велика кількість сполучень: наприклад файлово-завантажувальний вірус, що заражає як файли, так і завантажувальні сектори дисків, або мережевий макровірус, який не тільки заражає редаговані документи, але і розсилає свої копії по електронній пошті.
Особливості алгоритмів роботи вірусів
Різноманітність вірусів дозволяє класифікувати їх також за особливостями роботи їх алгоритмів. Про це варто поговорити окремо.
резидентні віруси
Вірус знаходиться в оперативній пам'яті і перехоплює звернення ОС. Якщо нерезидентні віруси активні тільки в момент запуску інфікованої програми, то резидентні віруси знаходяться в пам'яті і залишаються активними аж до вимикання комп'ютера або перезавантаження операційної системи. Резидентні віруси знаходяться в оперативній пам'яті, перехоплюють звертання операційної системи до тих чи інших об'єктів і впроваджуються в них. Такі віруси активні не тільки в момент роботи інфікованої програми, але і після завершення її роботи.
Стелс-віруси
Стелс-віруси (невидимки) приховують факт своєї присутності в системі. Вони змінюють інформацію таким чином, що файл з'являється перед користувачем в незараженою вигляді, наприклад тимчасово лікують заражені файли.
Полиморфик-віруси
Полиморфик-віруси використовують шифрування для ускладнення процедури визначення вірусу. Дані віруси не містять постійних ділянок коду, що досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача. У більшості випадків два зразки того самого поліморфік-вірусу не матимуть жодного збігу. Саме тому поліморфік-вірус неможливо виявити за допомогою виявлення ділянок постійного коду, специфічних для конкретного вірусу. Поліморфізм зустрічається у вірусах всіх типів - від завантажувальних і файлових DOS-вірусів до Windows-вірусів і навіть макровірусів.
Класифікація антивірусних програм 
Всі антивіруси можна розділити на два великі класи: чисті антивіруси і антивіруси подвійного призначення.
Чистий антивірус відрізняється наявністю антивірусного ядра, яке виконує функцію сканування за зразками. Принципова особливість в цьому випадку полягає в можливості лікування. Якщо вірус відомий, значить можливе лікування. Далі чисті антивіруси підрозділяються за типом доступу до файлів на дві категорії - on access і on demand, які відповідно здійснюють контроль за доступом або перевірку на вимогу. Наприклад, в термінології продуктів «Лабораторії Касперського» on access-продукт - це «Монітор», а on demand-продукт - це «Сканер». Оn demand-продукт працює за наступною схемою: користувач хоче що-небудь перевірити і видає запит (demand), після чого здійснюється перевірка. On access-продукт - це резидентна програма, яка відстежує доступ і в момент доступу здійснює перевірку.
Крім того, антивірусні програми, так само як і віруси, можна розділити по платформі.
Поняття «платформа» в антивірусної термінології трохи відрізняється від загальноприйнятого в комп'ютерній індустрії. У антивірусної індустрії SW-платформа - це той продукт, всередині якого працює антивірус. Тобто поряд з Windows або Linux до платформ можуть бути віднесені Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Програми подвійного призначення - це програми, які використовуються і в антивирусах, і в ПО, яке не є антивірусом. Наприклад, CRC-checker - ревізор змін на основі контрольних сум, може використовуватися не тільки для лову вірусів. У «Лабораторії Касперського» ревізор реалізований під комерційною назвою «Інспектор» 4 .
Різновидом програм подвійного призначення є поведінковіблокатори, які аналізують поведінку інших програм і при виявленні підозрілих дій блокують їх.
Від класичного антивіруса з антивірусним ядром, «який дізнається» і лікуючим від вірусів, які аналізувалися в лабораторії і до яких був прописаний алгоритм лікування, поведінковіблокатори відрізняються тим, що лікувати від вірусів не вміють, оскільки нічого про них не знають. Це властивість блокаторів корисно тим, що вони можуть працювати з будь-якими вірусами, в тому числі і з невідомими. Це сьогодні особливо актуально, оскільки розповсюджувачі вірусів і антивірусів використовують одні і ті ж канали передачі даних, тобто Інтернет. При цьому вірус завжди має деяку фору (час затримки), оскільки антивірусної компанії завжди потрібен час на те, щоб отримати сам вірус, проаналізувати його і написати відповідні лікувальні модулі. Програми з групи подвійного призначення як раз і дозволяють блокувати поширення вірусу до того моменту, поки компанія не напише лікувальний модуль.
Основні методи визначення вірусів
Алгоритм «порівняння з еталоном»
Найстаріший алгоритм - це алгоритм, в якому вірус визначається класичним ядром по деякій масці. Зміст даного алгоритму полягає у використанні статистичних методів. Маска повинна бути, з одного боку, маленькою, щоб об'єм файлу був прийнятних розмірів, з іншого боку - настільки великий, щоб уникнути помилкових спрацьовувань (коли «свій» сприймається як «чужий», і навпаки).
Алгоритм «контрольної суми»
Алгоритм контрольної суми припускає, що дії вірусу змінюють контрольну суму. Однак синхронні зміни в двох різних сегментах можуть привести до того, що контрольна сума залишиться незмінною при зміні файлу. Основне завдання побудови алгоритму полягає в тому, щоб зміни в файлі гарантовано приводили до зміни контрольної суми.
Методи визначення поліморфік-вірусів
на Мал. 6 показана робота програми, інфікованої вірусом (а), і програми, інфікованої зашифрованих вірусом (б). У першому випадку схема роботи вірусу виглядає наступним чином: йде виконання програми, в якийсь момент починає виконуватися код вірусу і потім знову йде виконання програми. У випадку з зашифрованою програмою все складніше.
Йде виконання програми, потім включається дешифратор, який розшифровує вірус, потім відпрацьовує вірус і знову йде виконання коду основної програми. Код вірусу в кожному випадку зашифрований по-різному. Якщо в разі нешифрованих вірусу еталонне порівняння дозволяє «дізнатися» вірус за деякою постійної сигнатуре, то в зашифрованому вигляді сигнатура, хоч я знаю. При цьому шукати дешифратор практично неможливо, оскільки він дуже маленький і детектувати такий компактний елемент марно, тому що різко збільшується кількість помилкових спрацьовувань.
У подібному випадку вдаються до технології емуляції процесора (антивірусна програма емулює роботу процесора для того, щоб проаналізувати виконуваний код вірусу). Якщо зазвичай умовна ланцюжок складається з трьох основних елементів: ЦПУ а ОС а Програма ( Мал. 7 ), - то при емуляції процесора в такий ланцюжок додається емулятор, про який програма нічого не знає і, умовно кажучи, «вважає», що вона працює з центральною операційною системою. Таким чином, емулятор як би відтворює роботу програми в деякому віртуальному просторі або реконструює її оригінальне вміст. Емулятор завжди здатний перервати виконання програми, контролює її дії, не даючи нічого зіпсувати, і викликає антивірусне скануючий ядро.
еврістічній аналіз
Для того щоб розмножуватися, вірус повинен здійснювати якісь конкретні дії: копіювання в пам'ять, запис в сектори і т.д. Евристичний аналізатор (який є частиною антивірусного ядра) містить список таких дій, переглядаючи виконуваний код програми, визначає, що вона робить, виходячи з цього приходить до висновку, чи є дана програма вірусом чи ні. Принципова відмінність евристичного аналізатора від поведінкового блокіратора полягає в тому, що останній не розглядає програму як набір команд. Блокіратор відстежує дії програми в процесі її роботи, а евристичний аналізатор починає роботу до виконання програми. Перший евристичний аналізатор з'явився на початку 90-х років.
Лінійка продуктів «Лабораторії Касперського»
Для малого та середнього бізнесу
Антивірус Касперського (AVP) Business Optimal призначений для боротьби з вірусами всіх типів в мережах малого і середнього масштабу, що містять до 100 робочих станцій і використовують в основному гомогенні операційні середовища, і включає наступні елементи:
- Антивірус Касперського (AVP) для Windows 95/98 / Me і Windows 2000 / NT (Wintel) робочих станцій
- Антивірус Касперського для OS / 2
- Антивірус Касперського (AVP) для Linux Workstation
- Антивірус Касперського для Windows NT / 2000 Server
- Антивірус Касперського для Linux Server
- Антивірус Касперського для Novell NetWare
- Антивірус Касперського для FreeBSD / BSDi UNIX
- Антивірус Касперського для Microsoft Exchange Server
- Антивірус Касперського (AVP) для Lotus Notes / Domino
- Антивірус Касперського (AVP) для Sendmail / Qmail / Postfix
Для Домашніх Користувачів
1. Антивірус Касперського (AVP) Personal Pro
2. Антивірус Касперського (AVP) Personal
3. Антивірус Касперського (AVP) Lite
4. Антивірус Касперського для Palm OS
Для корпоративних користувачів
Kaspersky Corporate Suite служить для забезпечення повномасштабної структури комп'ютерної безпеки для систем корпоративного масштабу.
Програмний пакет забезпечує створення незалежної від платформного забезпечення, централізовано керованої структури захисту від вірусів і хакерських атак для корпоративних мереж будь-топологічної складності, з можливим підключенням віддалених ділянок мережі, розташованих на будь-якому кінці земної кулі.
Лінійка антивірусних програм від компанії «ДиалогНаука»
Сімейство програм Doctor Web
Сканер Doctor Web
- для Windows 95/98 / Me / NT / 2000;
- для DOS / 386 і Windows 3.1x;
- для Novell NetWare;
- для OS / 2;
- для Linux / FreeBSD (сканер + daemon).
Суперсучасної, простий у використанні і виключно надійний антивірусний сканер, регулярно показує відмінні результати в авторитетних міжнародних тестах.
Сторож SpIDer Guard
- для Windows 95/98 / Me / NT / 2000
Антивірусний сторож нового покоління забезпечує користувачам максимальний комфорт і безпеку. Постійно контролюючи стан системи, він не стане турбувати вас через дрібниці, але обов'язково попередить вторгнення комп'ютерного вірусу і при необхідності припинить вірусну активність.
Сімейство програм ADinf
Ревізор дисків Adinf
- для Windows 95/98 / Me / NT / 2000;
- для Windows 3.1x;
- для DOS.
Антивірусний ревізор забезпечує швидкий, повний і виключно зручний контроль за станом файлової системи. У парі зі сканером Doctor Web дозволяє на 1-2 порядки прискорити процес сканування жорстких дисків великого обсягу.
універсальний лікар
ADinf Cure Module
- для Windows 3.1x
- для DOS
Лікуючий модуль ревізора дисків, що дозволяє в переважній більшості випадків відновити заражені файли.
Автор висловлює подяку компанії «Лабораторія Касперського» за надані консультації та матеріали.
У статті використані матеріали:
Плакат «Лабораторії Касперського» «Класифікація шкідливих комп'ютерних програм»;
Енциклопедія вірусів.
КомпьютерПресс 9'2001
З якими ж вірусами доводиться боротися світової та вітчизняної антивірусної індустрії?
Що ж таке віруси?
