Наконец, ревизоры диска (ADINF,KAV Inspector), которые работают по принципу «слепка, сделанного с системы» - по требованию пользователя ревизор восстановит диск, в прежнем состоянии. Это, кстати, один из самых надежных методов защиты компьютера. Ревизор проверяет диски на наличие изменений содержимого файлов и папок. Его работа основана на сохранении основных данных о диске в таблице, содержащей образы Master-Boot и Boot-секторов, список номеров сбойных кластеров, схему дерева каталогов и информацию обо всех контролируемых файлах. Например, если изменилась контрольная сумма или длина файла, но не менялась дата его последней обработки, то такой файл вызывает подозрение (рис. 2.3).
Рис. 2.3
Могут ли вирусы вызвать аппаратные повреждения компьютера? Точных данных о наличии таких вирусов у меня нет. Сведения о вирусах, которые могут перепрограммировать видеоадаптер таким образом, чтобы он выжег люминофор на экране монитора, и вирусах, которые вводят в резонанс головки жесткого диска, достоверно не подтверждены, и не были подтверждены никогда и нигде, по сведениям международных ассоциаций разработчиков антивирусных средств. Европейская - EICAR, американская - ICSA.
Тем не менее, существуют вирусы, которые могут основательно вывести компьютер из строя.
Многие вирусы стирают или портят содержимое энергонезависимой СМОS - памяти компьютера. В результате он перестает загружаться. Отдельные вирусы используют еще более изощренный метод – они устанавливают в СМОS - памяти пароль для загрузки системы. При этом блокируется как загрузка компьютера, так и доступ к программе установок компьютера. Убрать такой пароль можно, отключив питание энергонезависимой памяти. Для этого необходимо открыть корпус компьютера и переставить перемычки на системной плате.
На данный момент антивирусное программное обеспечение разрабатывается в основном для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, также как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью.
Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие как Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств.
Лжеантивирусы. В 2009 началось активное распространение т.н. лжеантивирусов – программного обеспечения, не являющегося антивирусным (т.е. не имеющего реального функционала для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением.
Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах - как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним...
К еще одному варианту работы Лжеантивирусов,мне кажется, уместно отнести случаи, когда посещаемый сайт сообщает вам, что ваш компьютер заражен вирусами и предлагает срочное лечение. С моей точки зрения таким сообщениям не стоит доверять по двум причинам. Во-первых не дела сайта искать вирусы забредшего туда клиента, а во вторых нельзя позволять кому попало копаться в вашем компьютере. В данной ситуации я несколько раз проверял свой компьютер установленными антивирусными программами и ни разу ничего не находил. Другой вопрос, что существуют специальные сайты удаленно тестирующие защиту вашего компьютера или сети, но делают они это за деньги или большие деньги.
Примеры Лжеантивирусов-W32/Fraudload.OR позволяет рассылать спам с зараженных машин, создает БОТ-сети. W32/Yakes-загрузчик Бот-нета. Распространяется в виде фишинговых писем. Тема письма: Ваша карта заблокирована.
***
В заключении, можно привести результаты недавнего сравнительного тестирования антивирусного ПО сотрудниками компании NSS Labs. Они построили собственные эксплойты, по два для каждой уязвимости. Один эксплойт запустил программу на системе-жертве (в данном случае — безобидный calc.exe), другой открыл удаленный доступ на жертву (бэкдор).
Для исследования они установили 13 популярных антивирусных программ на тест-системы без критических патчей для двух проверяемых уязвимостей. Они запустили каждую атаку против каждой тест-системы, сначала используя стандартное соединение HTTP, а затем через защищенное соединение HTTPS.
Вывод таков:
• Avast, Kaspersky, McAfee, Trend Micro блокировали все четыре нападения на HTTP и HTTPS.
• ESET и Нортон блокировали HTTP-атаки, но пропустили половину по протоколу HTTPS.
• AVG и Avira также перекрыли все HTTP-атаки, но пропустили все атаки по HTTPS.
• CA Total Defense, F-Secure и Microsoft блокировали половину атак через HTTP, но ни одной по протоколу HTTPS.
• Norman и Panda заблокировали только одну атаку — и через HTTP, и через HTTPS.
Могут ли вирусы вызвать аппаратные повреждения компьютера? Точных данных о наличии таких вирусов у меня нет. Сведения о вирусах, которые могут перепрограммировать видеоадаптер таким образом, чтобы он выжег люминофор на экране монитора, и вирусах, которые вводят в резонанс головки жесткого диска, достоверно не подтверждены, и не были подтверждены никогда и нигде, по сведениям международных ассоциаций разработчиков антивирусных средств. Европейская - EICAR, американская - ICSA.