Не бывает вирусов хороших — они все плохие. Нет антивирусов плохих — они все хорошие

Антивирусное обозрение "Не бывает вирусов хороших — они все плохие.
Нет антивирусов плохих — они все хорошие"
(Народная мудрость)

Бесконечная история, или Какой антивирус лучше
В последнее время вечно разрозненный вирусный андеграунд как будто проснулся от зимней спячки и готовит свою многоликую армию к очередному сражению с антивирусными программами. Почему именно с ними? Потому что воевать с простыми пользователями неинтересно — не та весовая категория. А вот написать такой вирус, который ни один сканер не возьмет, — это цель! Так считают многие вирусописатели, желая видеть свои ники на газетных страницах и добиться дешевой славы в своих кругах.
И им наплевать на то, что тысячи компьютеров по всему миру выйдут из строя. Им все равно, что кто-то потеряет годами накопленные базы данных по клиентам или по бухгалтерии. А если вирус проникнет, например, в медицинские учреждения? Это может привести к потере историй болезни, результатов наблюдений за больными, статистики по апробированию лекарств и прочее. И это уже не говоря о том, что потребуются сотни тысяч человеко-часов на полное восстановление работоспособности вышедших из строя систем!
В базе антивирусной программы Касперского AVP — 44186 известных вируса по состоянию на 19.03.01г. Обновлена программа для автоматического конструирования вирусов "Vbs Worms Generator" — инструмент, с помощью которого был создан печально известный почтовый червь "Анна Курникова". Обнаружены новые троянские программы: SubSeven 22, Q2001, CAINABEL 151, также Magistr — один из самых злобных и чрезвычайно опасных вирусов этого года. Написанный на ассемблере, размером 30 Кбайт, Magistr обладает высокой живучестью и разрушительностью, позаимствованной от Win95.CIH — "Чернобыль" (очистка CMOS и Flash-памяти, что превращает компьютер в бесполезный хлам железа).
Что делать с этой армией вредных программ, знает даже школьник: надо установить антивирусные средства защиты в тех местах, где возможно проникновение компьютерной заразы.
Однако на второй, очень простой вопрос, логически вытекающий из первого, не может быть дан однозначный ответ: какую антивирусную программу лучше выбрать?
Вопрос-то простой, а вот ответ...
С самого начала появления вирусов и, соответственно, антивирусных программ каждый пользователь, начинающий бесконечную борьбу с вирусами, сталкивался с этой проблемой — выбор лучшего антивируса. И он решал ее в те времена, решает ее и сейчас. Но всегда по-разному. Вначале выбор антивирусов был невелик (да и вирусов было немного!) и решение нехитрое — использовать все, что было под рукой (даже программа FОRMAT.COM была неплохим антивирусом!). Но сегодня, когда существует целая куча антивирусных программ, прежде чем выбрать из них одну-единственную, которая должна будет стоять на страже Ваших собственных данных, как цепной пес, требуется знать ответ на ряд дополнительных вопросов. Например:
— Какая у Вас операционная система?
— Сколько оперативной памяти и места на жестком диске Вы готовы отдать под антивирус?
— У Вас рабочая станция или локальная сеть?
— Вы активно используете Интернет или вообще к нему не подсоединены?
— Вы ведете активную переписку по электронной почте, обмениваясь документами в формате Microsoft Office?
Ответив на эти и другие вопросы, Вы сможете окончательно решить, что Вам точно нужно. Или Вы вполне можете обойтись только сканером, проверяя, когда надо, гибкие и лазерные диски, или необходим постоянный мониторинг открываемых файлов. А если Вы ведете только переписку по электронной почте, то тогда нужно использовать специальный антивирус для почтовых программ.
Крупные разработчики антивирусного программного обеспечения обычно предлагают продукты для самых разных категорий своих клиентов. Так, например, комплекс программ Антивирус Касперского (AVP) включает в себя антивирусы: для рабочих станций, для обычных и WEB-серверов, почтовых программ и межсетевых экранов (firewall) и т.д.
Однако, это еще не все. Зачастую бывает так, что пользователь не может (или не хочет!) подыскивать себе антивирус по решаемым задачам. Ему, видите ли, подавай самое лучшее (самое крутое!), что есть на сегодняшний день в мире. А как узнать, что есть самое лучшее? Тут на помощь могут прийти результаты тестирований антивирусных средств.
Одно из таких тестирований регулярно проводит английский журнал VIRUS BULLETIN, каждый раз выбирая новую платформу для проведения виртуальных соревнований. Выигравшим считается тот антивирус, который смог обнаружить наибольшее количество вирусов (встречающихся в диком виде, полиморфных, стандартных и макровирусов). Наверное, стоит еще раз напомнить, что по результатам тестов на операционной системе Windows ME, имевших место в феврале 2001 года, победителем стал DrWeb 4.22. Он получил награду VB100%, определив все 100% предложенных ему вирусов.
Вы не доверяете результатам тестирования популярного журнала? В таком случае Вы можете попросить провести тестирование специалистов или сделать это самостоятельно. Это сделать нетрудно: надо подготовить зараженные вирусами файлы, потом последовательно натравить на них антивирусы, получить результаты сканирования и обработать их! Легко сказать...
Легко и сделать! Попробуйте провести собственные испытания, аналогичные тем, которые провел неизвестный автор в статье "Какой же антивирус выбрать?" (см. электронный журнал Internet Zone, выпуск 101 http://www.izcity.com/doc/arhive26.htm ). Результаты проверок прошу прислать мне по электронной почте. Самое интересное письмо будет опубликовано.
Однажды и мы в Карантине тоже решили провести тестирование. Правда, на этот раз мы преследовали несколько иную цель: определить, под каким именем антивирусы обнаруживают один и тот же макровирус и как сильно отличаются их механизмы классификации (см. таблицу).
Вначале несколько слов о том, что делает наш подопытный экземпляр. Да почти ничего не делает! Если не считать того, что в свойствах документа он пишет что-то португальское, да и 8-го числа каждого месяца заменяет слово "sim" на "nгo а regionalizaзгo!". А так как мы в основном пишем по-русски, старясь избегать непонятной иноземщины, то и слово "sim", смысл которого нам непонятен, использовать нигде не будем. Значит, и вирус сработает только в день святого Никогда.
Как показали результаты тестирования, почти у всех антивирусных программ классификация вирусов унифицирована (AVP, DrWeb, NAV 2001, Sophos, VBA32 и McAfee VirusScan). Макровирус обнаружили все. Но один антивирус не указал его принадлежности к макровирусам (Vet Anti-virus), а другой (VBA32) превзошел всех остальных вместе взятых: его название самое длинное и, видимо, самое полное!
Так какой же антивирус выбрать? Окончательное решение всегда за Вами. Главное — не опоздать с его принятием...

Сравнительная таблица распознавания одного и того же макровируса различным антивирусным программным обеспечением.



Антивирус

Наименование

Антивирус Касперского (AVP)

Macro.Word97.VMPC-based

DrWeb

W97M.VMPCK

NAV 2001

W97M.VMPCK1.BK

Sophos

W97/Vmpck-1BY

VBA32

MW97.VicodinES.Poppy.Yix.1424

Vet Anti-virus 10.1

Vmpck1.BY

McAfee VirusScan 5.15

W97M/VMPCK1.gen
Новые вирусы
Здесь — лишь малая часть "появившихся" вирусов. Наша цель — убедить пользователей применять антивирусные средства.
1. Win32.Cafet. Очень опасный нерезидентный Win32-вирус. Ищет PE EXE-файлы с расширениями .EXE и .SCR в текущем каталоге и системном каталоге Windows и записывается в их конец.
Уничтожает антивирусные файлы данных:
ANTI-VIR.DAT
CHKLIST.TAV
CHKLIST.MS
AVP.CRC
IVB.NTZ
По 12-м числам ежемесячно выводит сообщение:
VIRUS CEFET-RJ
FORA F.H.C.
MAIS VERBAS PARA NOSSAS ESCOLAS
MADE IN BRAZIL — 1999
FEITO POR: N.B.K.
Затем создает файл D.BAT (командный файл DOS) и записывает в него команду "deltree" уничтожения всех файлов на текущем диске. В зависимости от системного таймера вирус затем запускает этот файл на выполнение.

2. WM97/Opey-X. Вариант макро-вируса "Opey", инфицирующего документы Microsoft Word.
В любой месяц кроме июля вирус меняет информацию о пользователе на следующую:
Имя = "Crazy Man"
Адрес = "LBTMM B'99 PHILIPPINES"
Инициалы = "Crazy"
Вирус также изменяет свойства инфицированного документа на следующие:
Автор = "Crazy Man"
Название = "Crazy"
Руководитель = "MMA"
Компания = "Crazy Man Company"
Заметки = "HELLO I am the Crazy Man From the Crazy World
of Computer. Don't you worry I'm not as crazy than you think..."
При попытке пользователя обратиться к меню Tools/Macro вирус выводит message box:
AHA! You want to know about my Macro Code.. Kill Me FIRST..
Если текущее системное время равно 15.00, вирус показывает другой message box, содержащий текст:
It's 3:00 P.M., Please Pray The salvation of your Life,
cuase you don't know it's is the time for you to die...
В 12:05 неутомимый вирус показывает новое сообщение
It's 12:00 it's time for Lunch...
и затем закрывает Microsoft Word.

3. WM97/Pizdec-A — новый макро-вирус для Word
В "диком виде" появился новый макро-вирус с именем "WM97/Pizdec-A". Вирус содержит основную функцию под названием "Virus" и заражает документы Word при их открытии/закрытии.
Вирус проявляет себя, показывая message box, содержащий нелатинские (скорее всего — русские) символы, при обращении пользователя зараженной машины к любой из нижеперечисленных опций в меню Word:
Help|About
File|Save
File|SaveAs
File|Print
File|PageSetup
Tools|Macro
File|Templates
Это же сообщение появляется при попытке просмотреть вирусный код с помощью Visual Basic.
Вирус также содержит функцию с именем "Pizdec", которая выводит другой message box через семь дней после заражения компьютера.

4. TROJ_Q2001.
Backdoor-троянец, позволяющий хакеру удаленно управлять инфицированной машиной. По своим возможностям напоминает Back Orifice Trojan. Троянец состоит из серверной и клиентской частей.
Клиентская компонента троянца ищет в Интернете IP-адреса инфицированных компьютеров. При выполнении серверной компоненты на зараженной машине удаленный "пользователь" может установить соединение с компьютером-жертвой.
Серверная часть троянца после выполнения регистрирует себя в инфицированной системе, обеспечивая свой запуск после каждого старта Windows. Находясь в памяти зараженной машины, троянец ждет команд от удаленного клиента.

АНТИВИРУСЫ
1. McAfee VirusScan 5.15 for Windows 95/98/NT/2000/Me ( www.mcafee.com ). Network Associates Inc. Дата выхода: 20.12.00г. Дистрибутив: 14 436 Kб.
При установке обнаруживает антивирусные программы других производителей (Norton AV 2001, InoculateIT Personal Edition и другие) и просит их удалить. В противном случае не гарантирует нормальное функционирование системы.
— Условия распространения: Trial (30 days);
— Цена регистрации: 29.95$;
— Требуемые ресурсы:
• VirusScan for Win Me, 98, 95, 40 MB;
• VirusScan for Win 2000, NT, 30 MB;
• 32 MB ОЗУ или больше;
• Pentium 100 МГц или выше;
— Обнаружение и удаление более 57 000 вирусов и вредоносных программ;
— Монитор VShield — фоновое сканирование файлов, отрываемых пользователем;
— Сканирование сжатых исполняемых файлов, включая форматы PkLite, LZexe, MS Compressed, Ice, Cryptcom, Com2Exe, Diet, Teledisk;
— Сканирование файловых архивов в формате ARC, ARJ, CAB, LHA/LZH, ZIP, RAR, TAR (если задан режим автоматического излечения, архив модифицируется);
— Модуль для MS Outlook;
— Поддержка Lotus cc:Mail;
— Сканирование форматов Corel Draw и Lotus AmiPro на предмет макро-вирусов;
— Сканирование файловых вложений электронной почты;
— Обнаружение враждебных объектов Java/ActiveX при работе с Интернет;
— Функция AutoUpdate — автоматическое обновление антивирусных баз по расписанию, через Интернет или по локальной сети;
— Функция AutoUpgrade — автоматическое обновление сканирующего механизма либо версии антивируса по сети, по заданному администратором расписанию;
— Технология Incremental Updates — обновление антивирусных баз, позволяет загружать только изменения;
— Эвристический анализатор исполняемых файлов и макросов MS Office ViruLogic — обнаружение более 90% неизвестных вирусов;
— Сканер для командного процессора DOS (16-bit, 32-bit);
— Функция Emergency Disk — создание загрузочной дискеты, позволяющей восстановить поврежденную вирусами систему;
— Функция McAfee Alert Manager — оповещение администратора сети при обнаружении вирусов.

2. Virus Detector for Windows v2.00 (Console, Win9x/NT/2000). http://www.virdet.com.ua . Разработчик: VirDet Labs. Дата выпуска: 21.01.01г. Дистрибутив: 2947Кб.
Virus Detector — антивирус-полифаг со встроенными функциями ревизора диска.
Реализована функция, которой нет ни в одном антивирусе в мире — "Менеджер задач". Данная функция позволяет успешно бороться со многими злобными вирусами и троянскими программами.
— Условия распространения: Demo, без лечения
— Цена полнофункциональной версии: 35$
— Известных вирусов: 23242 на 11.03.01г.
— Резидентный монитор
— Планировщик заданий
— Эвристический анализатор c регулированием уровня чувствительности
— Проверка архивов
— Языковая поддержка: английский и русский
— Автоматическое обновление антивирусных баз через Интернет

Вирусный ТОП-10
1. VBS/LoveLetter@MM
2. APStrojan.qa@MM
3. W32/FunLove.gen
4. W95/CIH.1003a
5. W95/MTX.gen@M
6. W32/Kriz.4050
7. W32/Hybris.plugin@MM
8. W97M/Marker.gen
9. W95/Spaces.1445
10. W32/Ska.dll@M
13-20.03.01г.
Источник: www.mcafee.com .

Результаты опроса, проводимого VirusList.com
Как часто вы обновляете свой антивирус?
— После того, как мой компьютер заразится вирусом 42%
— Еженедельно 25%
— Ежедневно 14%
— Сразу, как только выходит обновление 9%
— Ежемесячно 8%
— После того, как появится сообщение о новом вирусе 2%
На 21 марта 2001. г приняло участие 574 чел.

InfoWorld.com. Norton AntiVirus повесил замок на e-mail
Пользователи Symantec, установившие Norton AntiVirus, могут столкнуться со сложностями при получении электронной почты из-за антивирусного фильтра. В поставку Norton AntiVirus версии 7.0 и выше включена специальная программа под названием Poproxy, предназначенная для перехватывания почтовых сообщений, содержащих злонамеренные коды, прежде, чем они попадут в почтовый ящик пользователя.
Эта программа находится между пользовательским email-клиентом и почтовым сервером интернет-провайдера, и вся входящая почта сканируется ею на предмет безопасности. При инсталляции пользователем Norton AntiVirus установки почтового клиента изменяются, и соединение с почтовым сервером провайдера происходит уже через антивирусный фильтр — Poproxy.
При сбое в работе Poproxy, возможно, из-за конфликтов с какими-то системными процессами, пользователь вместо почты получит лишь сообщение, гласящее: "Соединение с сервером невозможно". Столкнувшиеся с подобными проблемами пользователи — в замешательстве, провайдеры — в гневе.
А компания Symantec признает получение жалоб от клиентов на неисправность в работе электронной почты, но при этом не расценивает это как недочет своего продукта. "
Обычно это — конфигурационная ошибка или сбой во время инсталляции, на самом деле нет никакой неразрешимой проблемы", — заявляют представители Symantec, а также добавляют, что в компании не располагают никакой информацией относительно каких-либо программ, конфликтующих с Poproxy.
По словам представителей Symantec, существует единственная причина блокировки доступа к электронной почте, и заключается она лишь в недостатке знаний у пользователей.
"Одни пользователи имеют привычку отключать Poproxy вручную в Task Manager, другие блокируют ее, утомленные сообщениями программы о попытке подключиться к Интернету. Они не понимают, что Poproxy — это часть Norton AntiVirus".
Возвращение же установок почтового клиента в исходное положение (подключение к почтовому серверу провайдера напрямую) устранит проблему с получением почты, но заблокирует работу антивирусного почтового фильтра Poproxy. Однако, по заверениям Symantec, пользовательская система, тем не менее, останется в безопасности при условии, что опция Norton Auto-Protect будет включена, при этом антивирус будет сканировать все файлы перед тем, как они будут открыты или запущены на выполнение.
10.03.01

McAfee выпускает VirusScan Wireless 2.0 с поддержкой сканирования файлов на PDA
Являясь первой компанией, разработавшей антивирусный продукт для PDA VirusScan Wireless 1.0, McAfee подтверждает свое лидирующее положение на рынке, выпустив VirusScan Wireless 2.0. Новая версия антивируса обеспечивает более высокий уровень защиты карманных компьютеров, включая в себя сканер, оперирующий на самом устройстве (on-device scanner). Он позволяет защищать от вирусов PDA на базе Palm-OS в периоды между синхронизациями с персональным компьютером. Это особенно полезно для пользователей, передающих данные через инфракрасный порт или использующих беспроводный доступ в Интернет.
McAfee VirusScan Wireless 2.0 является единственным продуктом на рынке, осуществляющим защиту как на уровне беспроводного устройства, так и синхронизирующего компьютера. Это обеспечивает всестороннюю защиту карманного компьютера от вирусов вне зависимости от источника проникновения. В отличие от большинства разработчиков, предлагающих решения для защиты отдельных платформ, McAfee VirusScan Wireless 2.0 обеспечивает защиту для Palm OS, PocketPC, Windows CE и EPOC.
В ближайшее время планируется выпуск новых версий VirusScan Wireless, включающих функции антивирусного монитора для Palm OS, а также on-device-сканера для Windows CE и EPOC.
19.03.2001

По материалам www.mcafee.ru,
www.viruslist.com
Дежурный по карантину
Доктор МакроФаг macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 12 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета