Evaluación de programas antivirus. Comparación de antivirus según la eficacia de la protección contra el último malware. Análisis comparativo de virus informáticos.
Introducción
1. Parte teórica
1.1 Concepto de seguridad de la información
1.2 Tipos de amenazas
1.3 Métodos de seguridad de la información
2. Parte de diseño
2.1 Clasificación de virus informáticos
2.2 El concepto de programa antivirus
2.3 Tipos de productos antivirus
2.4 Comparación de paquetes antivirus
Conclusión
Lista de literatura usada
Solicitud
Introducción
Desarrollo de nuevos tecnologías de la información y la informatización general han llevado a que la seguridad de la información no sólo se vuelva obligatoria, sino que también sea una de las características de los sistemas de información. Existe una clase bastante amplia de sistemas de procesamiento de información en cuyo desarrollo el factor de seguridad juega un papel primordial.
El uso masivo de computadoras personales está asociado con la aparición de programas virales autorreplicantes que impiden operación normal computadoras que destruyen estructura de archivos discos duros y dañar la información almacenada en el ordenador.
A pesar de las leyes adoptadas en muchos países para combatir los delitos informáticos y el desarrollo programas especiales Con la ayuda de nuevas herramientas de protección antivirus, el número de nuevos virus de software crece constantemente. Esto requiere que el usuario computadora personal conocimiento sobre la naturaleza de los virus, los métodos de infección por virus y la protección contra ellos.
Los virus son cada día más sofisticados, lo que provoca un cambio significativo en el perfil de amenazas. Pero también el mercado de los antivirus software no se queda quieto, ofreciendo muchos productos. Sus usuarios, al presentar el problema sólo en términos generales, a menudo pasan por alto matices importantes y terminan con la ilusión de protección en lugar de la protección misma.
El objetivo de este trabajo de curso es realizar un análisis comparativo de paquetes antivirus.
Para lograr este objetivo, en el trabajo se resuelven las siguientes tareas:
Aprender conceptos seguridad de información, virus informáticos y productos antivirus;
Determinar tipos de amenazas a la seguridad de la información, métodos de protección;
Estudiar la clasificación de virus informáticos y programas antivirus;
Realizar un análisis comparativo de paquetes antivirus;
Crea un programa antivirus.
Importancia práctica de la obra.
Los resultados obtenidos y el material del curso se pueden utilizar como base para una comparación independiente de programas antivirus.
La estructura del trabajo del curso.
Este trabajo de curso consta de una Introducción, dos secciones, una Conclusión y una lista de referencias.
antivirus de seguridad de virus informáticos
1. Parte teórica
En el proceso de realizar un análisis comparativo de paquetes antivirus, es necesario definir los siguientes conceptos:
1 Seguridad de la información.
2 Tipos de amenazas.
3 Métodos de seguridad de la información.
Pasemos a una consideración detallada de estos conceptos:
1.1 Concepto de seguridad de la información
A pesar de los crecientes esfuerzos por crear tecnologías de protección de datos, su vulnerabilidad en condiciones modernas no solo no disminuye, sino que también aumenta constantemente. Por tanto, la relevancia de los problemas relacionados con la protección de la información es cada vez mayor.
El problema de la seguridad de la información es multifacético y complejo y abarca una serie de tareas importantes. Por ejemplo, la confidencialidad de los datos, que se garantiza mediante el uso de diversos métodos y medios. La lista de tareas similares de seguridad de la información puede continuar. Desarrollo intensivo de tecnologías de la información modernas y, en particular, tecnologías de red, crea todos los requisitos previos para ello.
La protección de la información es un conjunto de medidas destinadas a garantizar la integridad, disponibilidad y, si es necesario, confidencialidad de la información y los recursos utilizados para ingresar, almacenar, procesar y transmitir datos.
Hasta la fecha se han formulado dos principios básicos para la protección de la información:
1 integridad de los datos: protección contra fallos que conduzcan a la pérdida de información, así como protección contra la creación o destrucción no autorizada de datos;
2 confidencialidad de la información.
La protección contra fallas que conducen a la pérdida de información se lleva a cabo con el objetivo de aumentar la confiabilidad de los elementos y sistemas individuales que ingresan, almacenan, procesan y transmiten datos, duplicando y redundando elementos y sistemas individuales, utilizando diversas fuentes de energía, incluidas las autónomas. aumentar el nivel de calificaciones del usuario, protección contra acciones intencionales y no intencionales que conduzcan a fallas del equipo, destrucción o cambio (modificación) de software e información protegida.
Se proporciona protección contra la creación o destrucción no autorizada de datos. protección física información, delimitación y restricción de acceso a elementos de información protegida, cierre de información protegida en el proceso de su procesamiento directo, desarrollo de sistemas de software y hardware, dispositivos y software especializado para evitar el acceso no autorizado a la información protegida.
La confidencialidad de la información se garantiza mediante la identificación y autenticación de los sujetos de acceso al iniciar sesión en el sistema mediante un identificador y contraseña, identificación dispositivos externos por direcciones físicas, identificación de programas, volúmenes, directorios, archivos por nombre, cifrado y descifrado de información, delimitación y control de acceso a la misma.
Entre las medidas encaminadas a proteger la información, las principales son técnicas, organizativas y legales.
Las medidas técnicas incluyen protección contra el acceso no autorizado al sistema, redundancia de subsistemas informáticos particularmente importantes, organización Red de computadoras con la posibilidad de redistribuir recursos en caso de mal funcionamiento de enlaces individuales, instalar sistemas de suministro de energía de respaldo, equipar las instalaciones con cerraduras, instalar un sistema de alarma, etc.
Las medidas organizativas incluyen: seguridad del centro informático (salas de informática); celebrar un contrato para el mantenimiento de equipos informáticos con una organización acreditada y de buena reputación; excluyendo la posibilidad de que personas no autorizadas, personas aleatorias, etc., trabajen en equipos informáticos.
Las medidas legales incluyen el desarrollo de estándares que establecen la responsabilidad por la inutilización de equipos informáticos y la destrucción (cambio) de software, y el control público sobre los desarrolladores y usuarios de sistemas y programas informáticos.
Cabe destacar que ningún hardware, software ni ninguna otra solución puede garantizar la absoluta confiabilidad y seguridad de los datos en los sistemas informáticos. Al mismo tiempo, es posible minimizar el riesgo de pérdidas, pero sólo con un enfoque integrado de protección de la información.
1.2 Tipos de amenazas
Las amenazas pasivas están dirigidas principalmente al uso no autorizado recursos de información sistema de información sin afectar su funcionamiento. Por ejemplo, acceso no autorizado a bases de datos, escuchas en canales de comunicación, etc.
Las amenazas activas tienen como objetivo alterar funcionamiento normal sistema de información mediante la influencia dirigida sobre sus componentes. Las amenazas activas incluyen, por ejemplo, la destrucción de una computadora o su Sistema operativo, destrucción de software informático, interrupción de las líneas de comunicación, etc. Las amenazas activas pueden provenir de piratas informáticos, malware y similares.
Las amenazas intencionales también se dividen en internas (que surgen dentro de la organización gestionada) y externas.
Las amenazas internas suelen estar determinadas por la tensión social y un clima moral difícil.
Las amenazas externas pueden estar determinadas por acciones maliciosas de los competidores, condiciones económicas y otras razones (por ejemplo, desastres naturales).
Las principales amenazas a la seguridad de la información y al normal funcionamiento del sistema de información incluyen:
Fuga de información confidencial;
Compromiso de información;
Uso no autorizado de recursos de información;
Uso incorrecto de los recursos de información;
Intercambio no autorizado de información entre suscriptores;
Denegación de información;
Violación de servicios de información;
Uso ilegal de privilegios.
Una fuga de información confidencial es la divulgación incontrolada de información confidencial fuera del sistema de información o del círculo de personas a quienes se les confió en el curso de su trabajo o se conoció en el curso del trabajo. Esta fuga puede deberse a:
Divulgación de información confidencial;
Transferencia de información a través de diversos canales, principalmente técnicos;
Acceso no autorizado a información confidencial diferentes caminos.
La divulgación de información por parte de su propietario o poseedor son acciones intencionales o negligentes de funcionarios y usuarios a quienes se les confió la información relevante en la forma prescrita a través de su servicio o trabajo, que llevaron a que personas a las que no se les permitía familiarizarse con ella acceso a esta información.
Es posible la pérdida incontrolada de información confidencial a través de canales visual-ópticos, acústicos, electromagnéticos y otros.
El acceso no autorizado es la adquisición deliberada e ilícita de información confidencial por parte de una persona que no tiene derecho a acceder a información protegida.
Las formas más comunes de acceso no autorizado a la información son:
Intercepción de radiación electrónica;
Uso de dispositivos de escucha;
Fotografía remota;
Intercepción de radiación acústica y restauración de texto impreso;
Copiar medios de almacenamiento superando las medidas de seguridad;
Enmascararse como usuario registrado;
Enmascaramiento según solicitudes del sistema;
Uso de trampas de software;
Explotar las deficiencias de los lenguajes de programación y los sistemas operativos;
Conexión ilegal a equipos y líneas de comunicación de hardware especialmente diseñado que brinda acceso a la información;
Fallo malicioso de los mecanismos de protección;
Descifrado de información cifrada mediante programas especiales;
Infecciones de información.
Los métodos enumerados de acceso no autorizado requieren bastantes conocimientos técnicos y hardware o desarrollo de software del ladrón. Por ejemplo, se utilizan canales técnicos Las fugas son caminos físicos desde una fuente de información confidencial hasta un atacante a través de los cuales se puede obtener información protegida. La causa de los canales de fuga son imperfecciones tecnológicas y de diseño en las soluciones de circuitos o el desgaste operativo de los elementos. Todo esto permite a los piratas informáticos crear convertidores que funcionan según ciertos principios físicos, formando un canal de transmisión de información inherente a estos principios: un canal de fuga.
Sin embargo, también existen formas bastante primitivas de acceso no autorizado:
Robo de soportes de almacenamiento y residuos documentales;
Cooperación de iniciativas;
Inclinación a la cooperación por parte del ladrón;
Consulta;
Escuchas;
Observación y otras formas.
Cualquier medio de filtración de información confidencial puede provocar importantes daños materiales y morales tanto para la organización donde opera el sistema de información como para sus usuarios.
Existe y se desarrolla constantemente una gran variedad. malware, cuya finalidad es dañar la información contenida en bases de datos y programas informáticos. La gran cantidad de variedades de estos programas no nos permite desarrollar medios de protección permanentes y confiables contra ellos.
Se cree que el virus se caracteriza por dos características principales:
La capacidad de autorreproducirse;
La capacidad de intervenir en proceso computacional(adquirir la capacidad de controlar).
El uso no autorizado de recursos de información, por un lado, es la consecuencia de su filtración y un medio para ponerlo en peligro. Por otro lado, tiene un significado independiente, ya que puede causar grandes daños al sistema gestionado o a sus suscriptores.
El uso erróneo de los recursos de información, aunque autorizado, puede conllevar, no obstante, la destrucción, filtración o compromiso de dichos recursos.
El intercambio no autorizado de información entre suscriptores puede tener como resultado que uno de ellos reciba información a la que tiene prohibido acceder. Las consecuencias son las mismas que para el acceso no autorizado.
1.3 Métodos de seguridad de la información
La creación de sistemas de seguridad de la información se basa en los siguientes principios:
1 Un enfoque sistemático para construir un sistema de protección, es decir, una combinación óptima de software organizacional interrelacionado. Hardware, propiedades físicas y otras propiedades confirmadas por la práctica de crear sistemas de seguridad nacionales y extranjeros y utilizadas en todas las etapas del ciclo tecnológico de procesamiento de información.
2 El principio de desarrollo continuo del sistema. Este principio, que es uno de los principios fundamentales para los sistemas de información informáticos, es aún más relevante para los sistemas de seguridad de la información. Los métodos para implementar amenazas a la información se mejoran constantemente y, por lo tanto, garantizar la seguridad de los sistemas de información no puede ser un acto de una sola vez. Este es un proceso continuo que consiste en la justificación e implementación de los métodos, métodos y formas más racionales de mejorar los sistemas de seguridad de la información, monitoreo continuo, identificación de sus cuellos de botella y debilidades, posibles canales de fuga de información y nuevos métodos de acceso no autorizado.
3 Asegurar la confiabilidad del sistema de protección, es decir, la imposibilidad de reducir el nivel de confiabilidad en caso de fallas, fallas, acciones intencionales de un pirata informático o errores involuntarios de los usuarios y personal de mantenimiento en el sistema.
4 Asegurar el control sobre el funcionamiento del sistema de protección, es decir, la creación de medios y métodos para monitorear el desempeño de los mecanismos de protección.
5 Proporcionar todo tipo de herramientas antimalware.
6 Asegurar la viabilidad económica del uso del sistema. Protección, que se expresa en el exceso de posibles daños por la implementación de amenazas sobre el costo de desarrollar y operar sistemas de seguridad de la información.
Como resultado de la solución de problemas de seguridad de la información, los sistemas de información modernos deberían tener las siguientes características principales:
Disponibilidad de información de diversos grados de confidencialidad;
Garantizar la protección criptográfica de información de diversos grados de confidencialidad durante la transferencia de datos;
Gestión obligatoria del flujo de información, como en redes locales, y cuando se transmite a través de canales de comunicación a largas distancias;
La presencia de un mecanismo para registrar y contabilizar intentos de acceso no autorizados, eventos en el sistema de información y documentos impresos;
Obligatorio garantizar la integridad del software y la información;
Disponibilidad de medios para restaurar el sistema de seguridad de la información;
Contabilidad obligatoria de medios magnéticos;
Disponibilidad de seguridad física de equipos de cómputo y medios magnéticos;
Disponibilidad de un sistema especial de servicio de seguridad de la información.
Métodos y medios para garantizar la seguridad de la información.
Un obstáculo es un método para bloquear físicamente el camino de un atacante hacia la información protegida.
Control de acceso: métodos para proteger la información regulando el uso de todos los recursos. Estos métodos deben resistir todas las formas posibles de acceso no autorizado a la información. El control de acceso incluye las siguientes características de seguridad:
Identificación de usuarios, personal y recursos del sistema (asignando un identificador personal a cada objeto);
Identificación de un objeto o sujeto mediante el identificador que se les presenta;
Permiso y creación de condiciones de trabajo dentro de la normativa establecida;
Registro de solicitudes a recursos protegidos;
Reacción a intentos de acciones no autorizadas.
Mecanismos de cifrado – cierre criptográfico de la información. Estos métodos de protección se utilizan cada vez más tanto al procesar como al almacenar información en medios magnéticos. Al transmitir información a través de canales de comunicación de larga distancia, este método es el único confiable.
La lucha contra los ataques de malware implica un conjunto de diversas medidas organizativas y el uso de programas antivirus.
todo el conjunto medios tecnicos dividido en hardware y físico.
Hardware: dispositivos integrados directamente en tecnologia computacional, o dispositivos que interactúan con él a través de una interfaz estándar.
Los medios físicos incluyen diversos dispositivos y estructuras de ingeniería que evitan la penetración física de atacantes en objetos protegidos y protegen al personal (equipo de seguridad personal), recursos materiales y financieros, e información de acciones ilegales.
Las herramientas de software son programas especiales y sistemas de software, diseñado para proteger la información en los sistemas de información.
Entre las herramientas software de sistemas de seguridad, es necesario destacar software, implementando mecanismos de cifrado (criptografía). La criptografía es la ciencia que garantiza el secreto y/o la autenticidad (autenticidad) de los mensajes transmitidos.
Los medios organizativos llevan a cabo su compleja regulación de las actividades de producción en los sistemas de información y las relaciones de los artistas intérpretes o ejecutantes sobre una base legal de tal manera que la divulgación, la filtración y el acceso no autorizado a información confidencial se vuelven imposibles o se ven significativamente obstaculizados debido a medidas organizativas.
Los recursos legislativos están determinados por los actos legislativos del país, que regulan las reglas para el uso, procesamiento y transmisión de información. acceso limitado y se establecen sanciones por la violación de estas normas.
Los medios de protección moral y ética incluyen todo tipo de normas de comportamiento que tradicionalmente se han desarrollado anteriormente, se forman a medida que la información se difunde en el país y en el mundo, o se desarrollan especialmente. Las normas morales y éticas pueden no estar escritas o formalizarse en un determinado conjunto de reglas o regulaciones. Estas normas, por regla general, no están legalmente aprobadas, pero dado que su incumplimiento conduce a una disminución del prestigio de la organización, se consideran obligatorias.
2. Parte de diseño
En la parte de diseño se deben completar los siguientes pasos:
1 Definir el concepto de virus informático y la clasificación de los virus informáticos.
2 Definir el concepto de programa antivirus y la clasificación de herramientas antivirus.
3 Realizar un análisis comparativo de paquetes antivirus.
2.1 Clasificación de virus informáticos
Un virus es un programa que puede infectar a otros programas incluyendo en ellos una copia modificada que tiene la capacidad de reproducirse posteriormente.
Los virus se pueden dividir en clases según las siguientes características principales:
Posibilidades destructivas
Características del algoritmo operativo;
Hábitat;
Según sus capacidades destructivas, los virus se pueden dividir en:
Inofensivos, es decir, no afectan de ninguna manera el funcionamiento de la computadora (excepto la reducción de la memoria libre en el disco como resultado de su distribución);
No peligroso, cuyo impacto está limitado por una disminución de la memoria libre en el disco y efectos gráficos, sonoros y de otro tipo;
Virus peligrosos que pueden provocar graves fallos de funcionamiento del ordenador;
Muy peligroso, cuyo algoritmo contiene deliberadamente procedimientos que pueden provocar la pérdida de programas, destruir datos, borrar información necesaria para el funcionamiento de la computadora registrada en áreas de memoria del sistema.
Las características del algoritmo de operación de virus se pueden caracterizar por las siguientes propiedades:
Residencia;
Uso de algoritmos sigilosos;
Polimorfismo;
Virus residentes.
El término "residencia" se refiere a la capacidad de los virus de dejar copias de sí mismos en la memoria del sistema, interceptar ciertos eventos y llamar a procedimientos para infectar objetos detectados (archivos y sectores). Por lo tanto, los virus residentes están activos no sólo mientras se ejecuta el programa infectado, sino también después de que el programa haya terminado de ejecutarse. Las copias residentes de dichos virus siguen siendo viables hasta el próximo reinicio, incluso si se destruyen todos los archivos infectados en el disco. A menudo es imposible deshacerse de estos virus restaurando todas las copias de los archivos desde los discos de distribución o las copias de seguridad. La copia residente del virus permanece activa e infecta los archivos recién creados. Lo mismo ocurre con los virus de arranque: formatear un disco cuando hay un virus residente en la memoria no siempre cura el disco, ya que muchos virus residentes lo infectan nuevamente después de formatearlo.
Virus no residentes. Los virus no residentes, por el contrario, están activos durante un tiempo bastante corto, sólo en el momento en que se inicia el programa infectado. Para propagarse, buscan archivos no infectados en el disco y escriben en ellos. Una vez que el código del virus transfiere el control al programa anfitrión, el impacto del virus en el funcionamiento del sistema operativo se reduce a cero hasta el próximo lanzamiento de cualquier programa infectado. Por lo tanto, es mucho más fácil eliminar del disco archivos infectados con virus no residentes sin permitir que el virus los infecte nuevamente.
Virus sigilosos. Los virus furtivos ocultan de una forma u otra el hecho de su presencia en el sistema. El uso de algoritmos ocultos permite que los virus se oculten total o parcialmente en el sistema. El algoritmo sigiloso más común es interceptar las solicitudes del sistema operativo para leer (escribir) objetos infectados. En este caso, los virus ocultos los curan temporalmente o los “sustituyen” por secciones de información no infectadas. En el caso de los virus de macro, el método más popular es desactivar las llamadas al menú de visualización de macros. Se conocen virus ocultos de todo tipo, a excepción de los virus de Windows: virus de arranque, virus de archivos DOS e incluso virus de macro. La aparición de virus sigilosos que infectan archivos de windows, lo más probable es que sea cuestión de tiempo.
Virus polimórficos. Casi todos los tipos de virus utilizan el autocifrado y el polimorfismo para complicar al máximo el procedimiento de detección del virus. Los virus polimórficos son bastante difíciles de detectar si no tienen firmas, es decir, no contienen una única sección constante de código. En la mayoría de los casos, dos muestras del mismo virus polimórfico no tendrán una sola coincidencia. Esto se logra cifrando el cuerpo principal del virus y modificando el programa de descifrado.
Los virus polimórficos incluyen aquellos que no se pueden detectar mediante las llamadas máscaras de virus: secciones de código constante específicas para un virus en particular. Esto se logra de dos maneras principales: cifrando el código del virus principal con un grito variable y un conjunto aleatorio de comandos de descifrado, o cambiando el código del virus ejecutable. Se encuentran polimorfismos de diversos grados de complejidad en virus de todo tipo, desde virus de arranque y archivos de DOS hasta virus de Windows.
Según su hábitat, los virus se pueden dividir en:
Archivo;
Bota;
Macrovirus;
Red.
Virus de archivos. Los virus de archivos se inyectan en archivos ejecutables de diversas maneras, crean archivos duplicados (virus complementarios) o utilizan peculiaridades de la organización del sistema de archivos (virus de enlace).
Se puede introducir un virus de archivo en casi todos los archivos ejecutables de todos los sistemas operativos populares. Hoy en día, se conocen virus que infectan todo tipo de objetos ejecutables estándar de DOS: archivos por lotes (BAT), controladores cargables (SYS, incluidos archivos especiales IO.SYS y MSDOS.SYS) y archivos binarios ejecutables (EXE, COM). Hay virus que infectan archivos ejecutables de otros sistemas operativos: Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, incluidos los controladores de Windows 3.x y Windows95 VxD.
Existen virus que infectan archivos que contienen el código fuente de programas, bibliotecas o módulos objeto. También es posible que un virus quede registrado en archivos de datos, pero esto sucede como resultado de un error del virus o cuando se manifiestan sus propiedades agresivas. Los virus de macro también escriben su código en archivos de datos (documentos u hojas de cálculo), pero estos virus son tan específicos que se clasifican en un grupo separado.
Virus de arranque. Los virus de arranque infectan el sector de arranque de un disquete y el sector de arranque o Master Boot Record (MBR) de un disco duro. El principio de funcionamiento de los virus de arranque se basa en algoritmos para iniciar el sistema operativo cuando enciende o reinicia la computadora; después de las pruebas necesarias del equipo instalado (memoria, discos, etc.), el programa de arranque del sistema lee el primer sector físico. disco de inicio(A:, C: o CD-ROM dependiendo de los parámetros establecidos en Configuración del BIOS) y le transfiere el control.
En el caso de un disquete o CD, el control lo recibe el sector de arranque, que analiza la tabla de parámetros del disco (BPB - BIOS Parameter Block), calcula las direcciones de los archivos del sistema operativo, los lee en la memoria y los inicia para ejecución. Los archivos del sistema suelen ser MSDOS.SYS e IO.SYS, o IBMDOS.COM e IBMBIO.COM, u otros dependiendo de versión instalada DOS, Windows u otros sistemas operativos. Si no hay archivos del sistema operativo en el disco de inicio, el programa ubicado en el sector de inicio del disco muestra un mensaje de error y sugiere reemplazar el disco de inicio.
En el caso de un disco duro, el control lo recibe un programa ubicado en el MBR del disco duro. Este programa analiza la tabla de particiones del disco, calcula la dirección del sector de arranque activo (generalmente este sector es el sector de arranque de la unidad C), lo carga en la memoria y le transfiere el control. Habiendo recibido el control, el sector de arranque activo del disco duro La unidad realiza las mismas acciones que el sector de arranque del disquete.
Al infectar discos, los virus de arranque “sustituyen” su código en lugar de cualquier programa que obtenga el control cuando se inicia el sistema. El principio de infección, por lo tanto, es el mismo en todos los métodos descritos anteriormente: el virus "obliga" al sistema, cuando se reinicia, a leer en la memoria y ceder el control no al código original del gestor de arranque, sino al código del virus.
Los disquetes se infectan del único modo conocido: el virus escribe su código en lugar de código original sectores de arranque del disquete. Winchester se infecta con tres formas posibles– el virus se escribe en lugar del código MBR o en lugar del código del sector de arranque del disco de arranque (generalmente la unidad C, o modifica la dirección del sector de arranque activo en la tabla de particiones del disco, ubicada en el MBR del disco duro conducir.
Virus de macros. Los virus de macro infectan archivos como documentos y hojas de cálculo de varios editores populares. Los virus de macro son programas escritos en lenguajes (lenguajes de macro) integrados en algunos sistemas de procesamiento de datos. Para reproducirse, estos virus utilizan las capacidades de los lenguajes de macros y, con su ayuda, se transfieren de un archivo infectado a otros. Los más extendidos son los virus de macro para Microsoft Word, Excel y Office97. También existen virus de macro que infectan documentos de Ami Pro y bases de datos de Microsoft Access.
Virus de red. Los virus de red incluyen virus que utilizan activamente los protocolos y capacidades de las redes locales y globales para propagarse. El principal principio operativo de un virus de red es la capacidad de transferir de forma independiente su código a un servidor o estación de trabajo remotos. Los virus de red "completos" también tienen la capacidad de ejecutar su código en una computadora remota o, al menos, "empujar" al usuario a ejecutar un archivo infectado. Un ejemplo de virus de red son los llamados gusanos IRC.
IRC (Internet Relay Chat) es un protocolo especial diseñado para la comunicación en tiempo real entre usuarios de Internet. Este protocolo les proporciona la capacidad de “conversar” por Internet utilizando un software especialmente desarrollado. Además de asistir a conferencias generales, los usuarios de IRC tienen la posibilidad de chatear individualmente con cualquier otro usuario. Además, existe una gran cantidad de comandos IRC, con la ayuda de los cuales el usuario puede obtener información sobre otros usuarios y canales, cambiar algunas configuraciones del cliente IRC, etc. También existe la posibilidad de enviar y recibir archivos; en esta capacidad se basan los gusanos IRC. Un potente y extenso sistema de comando de los clientes IRC permite, a partir de sus scripts, crear virus informáticos que transmiten su código a los ordenadores de los usuarios de las redes IRC, los llamados “gusanos IRC”. El principio de funcionamiento de estos gusanos IRC es aproximadamente el mismo. Utilizando comandos IRC, se envía automáticamente un archivo de script de trabajo (script) desde la computadora infectada a cada nuevo usuario que se une al canal. El archivo de script enviado reemplaza al estándar y durante la siguiente sesión el cliente recién infectado enviará el gusano. Algunos gusanos IRC también contienen un componente troyano: utilizando palabras clave específicas, realizan acciones destructivas en los ordenadores afectados. Por ejemplo, el gusano "pIRCH.Events", tras una determinada orden, borra todos los archivos del disco del usuario.
Hay una gran cantidad de combinaciones, por ejemplo, virus de arranque de archivos que infectan tanto archivos como sectores de arranque de discos. Estos virus, por regla general, tienen un algoritmo operativo bastante complejo, a menudo utilizan métodos originales para penetrar en el sistema y utilizan tecnologías sigilosas y polimórficas. Otro ejemplo de esta combinación es un virus de macro de red que no sólo infecta los documentos que se están editando, sino que también envía copias de sí mismo por correo electrónico.
Además de esta clasificación, cabe decir unas palabras sobre otros programas maliciosos que en ocasiones se confunden con virus. Estos programas no tienen la capacidad de autopropagarse como los virus, pero pueden causar daños igualmente destructivos.
Caballos de Troya (bombas lógicas o bombas de tiempo).
Los caballos de Troya incluyen programas que causan efectos destructivos, es decir, dependiendo de ciertas condiciones o cada vez que se ejecutan, destruyen la información de los discos, "cuelga" el sistema, etc. Como ejemplo, podemos citar este caso: cuando dicho programa, durante una sesión en Internet, envió sus identificadores de autor y contraseñas desde las computadoras donde vivía. Los caballos de Troya más conocidos son programas que “falsifican” algún tipo de programas útiles, nuevas versiones de utilidades populares o adiciones a ellas. Muy a menudo se envían a estaciones BBS o conferencias electrónicas. En comparación con los virus, los caballos de Troya no se utilizan mucho por las siguientes razones: o se destruyen a sí mismos junto con el resto de los datos del disco, o desenmascaran su presencia y son destruidos por el usuario afectado.
2.2 El concepto de programa antivirus
Los métodos para contrarrestar los virus informáticos se pueden dividir en varios grupos:
Prevención de infecciones virales y reducción de los daños esperados de dicha infección;
Métodos de uso de programas antivirus, incluida la neutralización y eliminación de virus conocidos;
Métodos para detectar y eliminar un virus desconocido.
Prevención de infecciones informáticas.
Uno de los principales métodos para combatir los virus es, como en medicina, la prevención oportuna. La prevención informática implica seguir una pequeña cantidad de reglas, que pueden reducir significativamente la probabilidad de contraer un virus y perder datos.
Para determinar las reglas básicas de "higiene" informática, es necesario conocer las principales formas en que un virus penetra en una computadora y en las redes informáticas.
La principal fuente de virus en la actualidad es red global Internet. El mayor número de infecciones de virus se produce al intercambiar cartas en formatos Word/Office97. El usuario de un editor infectado con un virus de macro, sin saberlo, envía cartas infectadas a los destinatarios, quienes a su vez envían nuevas cartas infectadas, y así sucesivamente. Debe evitar el contacto con fuentes de información sospechosas y utilizar únicamente productos de software legítimos (con licencia).
Restauración de objetos dañados.
En la mayoría de los casos de infección por virus, el procedimiento para restaurar archivos y discos infectados se reduce a ejecutar un antivirus adecuado que pueda neutralizar el sistema. Si algún antivirus desconoce el virus, basta con enviar el archivo infectado a los fabricantes de antivirus y, al cabo de un tiempo, recibir un medicamento "actualizado" contra el virus. Si el tiempo no espera, tendrás que neutralizar el virus tú mismo. Para la mayoría de los usuarios es necesario tener copias de seguridad tu información.
Las herramientas generales de seguridad de la información son útiles para algo más que la protección antivirus. Hay dos tipos principales de estos fondos:
1 Copiar información: crear copias de archivos y áreas del sistema de los discos.
2 El control de acceso evita el uso no autorizado de la información, en particular, la protección contra cambios en programas y datos por virus, programas que funcionan mal y acciones erróneas del usuario.
La detección oportuna de archivos y discos infectados por virus y la destrucción completa de los virus detectados en cada computadora ayudan a evitar la propagación de una epidemia de virus a otras computadoras.
El arma principal en la lucha contra los virus son los programas antivirus. Le permiten no solo detectar virus, incluidos los virus que utilizan varios métodos de disfraz, sino también eliminarlos de su computadora.
Existen varios métodos básicos de detección de virus que utilizan los programas antivirus. El método más tradicional para buscar virus es el escaneo.
Para detectar, eliminar y proteger contra virus informáticos, se han desarrollado varios tipos de programas especiales que le permiten detectar y destruir virus. Estos programas se denominan programas antivirus.
2.3 Tipos de productos antivirus
Programas detectores. Los programas detectores buscan una firma característica de un virus específico en memoria de acceso aleatorio tanto en los ficheros como cuando se detectan emiten el mensaje correspondiente. La desventaja de estos programas antivirus es que sólo pueden encontrar virus conocidos por los desarrolladores de dichos programas.
Programas médicos. Los programas médicos o fagos, así como los programas de vacunas, no sólo encuentran archivos infectados con virus, sino que también los "tratan", es decir, eliminan el cuerpo del programa viral del archivo, devolviendo los archivos a su estado original. Al comienzo de su trabajo, los fagos buscan virus en la RAM, los destruyen y solo entonces proceden a "limpiar" los archivos. Entre los fagos se encuentran los polífagos, es decir, programas médicos diseñados para buscar y destruir una gran cantidad de virus. Los más famosos: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Teniendo en cuenta que constantemente aparecen nuevos virus, los programas detectores y médicos quedan obsoletos rápidamente y se requieren actualizaciones periódicas de las versiones.
Los programas de auditoría (inspectores) se encuentran entre los medios más fiables de protección contra virus.
Los auditores (inspectores) verifican los datos del disco en busca de virus invisibles. Además, el inspector no puede utilizar las herramientas del sistema operativo para acceder a los discos, lo que significa que un virus activo no podrá interceptar este acceso.
El hecho es que varios virus, al introducirse en los archivos (es decir, agregarse al final o al principio del archivo), reemplazan las entradas sobre este archivo en las tablas de asignación de archivos de nuestro sistema operativo.
Los auditores (inspectores) recuerdan el estado inicial de los programas, directorios y áreas del sistema del disco cuando la computadora no está infectada con un virus, y luego periódicamente o a petición del usuario comparan el estado actual con el original. Los cambios detectados se muestran en la pantalla del monitor. Como regla general, la comparación de estados se realiza inmediatamente después de cargar el sistema operativo. Al comparar, se verifican la longitud del archivo, el código de control cíclico (suma de verificación del archivo), la fecha y hora de modificación y otros parámetros. Los programas de auditoría (inspectores) tienen algoritmos bastante desarrollados, detectan virus sigilosos e incluso pueden limpiar los cambios en la versión del programa que se está verificando de los cambios realizados por el virus.
Es necesario iniciar el auditor (inspector) cuando el ordenador aún no está infectado, para que pueda crear una tabla en el directorio raíz de cada disco, con toda la información necesaria sobre los archivos que se encuentran en ese disco, así como sobre su zona de maletero. Se solicitará permiso para crear cada tabla. Durante los lanzamientos posteriores, el auditor (inspector) escaneará los discos y comparará los datos de cada archivo con sus registros.
Si se detectan infecciones, el auditor (inspector) podrá utilizar su propio módulo de curación, que restaurará el archivo dañado por el virus. Para restaurar archivos, el inspector no necesita saber nada sobre un tipo específico de virus, basta con utilizar los datos sobre los archivos almacenados en las tablas.
Además, si es necesario, se puede llamar a un escáner antivirus.
Programas de filtrado (monitores). Los programas de filtro (monitores) o “vigilantes” son pequeños programas residentes diseñados para detectar acciones sospechosas durante el funcionamiento de la computadora, características de los virus. Tales acciones pueden ser:
Intenta corregir archivos con extensiones COM, EXE;
Cambiar los atributos del archivo;
Escritura directa en disco en dirección absoluta;
Escriba en los sectores de arranque del disco;
Cuando cualquier programa intenta realizar las acciones especificadas, el "guardia" envía un mensaje al usuario y le ofrece prohibir o permitir la acción correspondiente. Los programas de filtrado son muy útiles porque pueden detectar un virus en la etapa más temprana de su existencia antes de replicarse. Sin embargo, no “limpian” archivos ni discos. Para destruir virus, es necesario utilizar otros programas, como phages.
Vacunas o inmunizadores. Las vacunas son programas residentes que previenen la infección de archivos. Las vacunas se utilizan si no existen programas médicos que “traten” este virus. La vacunación sólo es posible contra virus conocidos. La vacuna modifica el programa o disco de tal forma que no afecta a su funcionamiento, y el virus lo percibirá como infectado y por tanto no echará raíces. Actualmente, los programas de vacunas tienen un uso limitado.
Escáner. El principio de funcionamiento de los escáneres antivirus se basa en comprobar archivos, sectores y memoria del sistema y buscar virus nuevos y conocidos (desconocidos para el escáner). Para buscar virus conocidos se utilizan las llamadas "máscaras". La máscara de un virus es una secuencia constante de código específico de este virus en particular. Si el virus no contiene una máscara permanente, o la longitud de esta máscara no es lo suficientemente larga, entonces se utilizan otros métodos. Un ejemplo de tal método es un lenguaje algorítmico que describe todo. opciones posibles código que puede ocurrir al infectarse con un virus de este tipo. Algunos antivirus utilizan este enfoque para detectar virus polimórficos. Los escáneres también se pueden dividir en dos categorías: "universales" y "especializados". Escáneres universales diseñado para buscar y neutralizar todo tipo de virus, independientemente del sistema operativo en el que esté diseñado para funcionar el escáner. Los escáneres especializados están diseñados para neutralizar un número limitado de virus o solo una clase de virus, por ejemplo, virus de macro. Los escáneres especializados diseñados únicamente para virus de macro a menudo resultan ser la solución más conveniente y confiable para proteger los sistemas de administración de documentos en entornos MSWord y MSExcel.
Los escáneres también se dividen en "residentes" (monitores, guardias), que realizan escaneos sobre la marcha, y "no residentes", que escanean el sistema solo cuando se solicita. Como regla general, los escáneres "residentes" proporcionan más protección confiable sistemas, ya que responden inmediatamente a la aparición de un virus, mientras que un escáner "no residente" puede identificar el virus solo durante su próximo lanzamiento. Por otro lado, un escáner residente puede ralentizar un poco el ordenador, incluso debido a posibles falsos positivos.
Las ventajas de los escáneres de todo tipo incluyen su versatilidad, las desventajas son la velocidad relativamente baja de escaneo de virus.
Escáneres CRC. El principio de funcionamiento de los escáneres CRC se basa en el cálculo de sumas CRC ( sumas de control) para archivos/sectores del sistema presentes en el disco. Estas cantidades de CRC luego se almacenan en la base de datos del antivirus, así como otra información: longitud de los archivos, fechas de su última modificación, etc. Cuando se inician posteriormente, los escáneres CRC comparan los datos contenidos en la base de datos con los valores calculados reales. Si la información del archivo registrada en la base de datos no coincide con los valores reales, los escáneres CRC indican que el archivo ha sido modificado o infectado con un virus. Los escáneres CRC que utilizan algoritmos anti-sigilo son un arma bastante poderosa contra los virus: casi el 100% de los virus se detectan casi inmediatamente después de su aparición en la computadora. Sin embargo, este tipo de antivirus tiene un defecto inherente que reduce significativamente su eficacia. Esta desventaja es que los escáneres CRC no pueden detectar un virus en el momento en que aparece en el sistema, sino que solo lo hacen algún tiempo después, después de que el virus se haya extendido por toda la computadora. Los escáneres CRC no pueden detectar un virus en archivos nuevos (en correos electrónicos, disquetes, archivos restaurados a partir de una copia de seguridad o al descomprimir archivos de un archivo comprimido), porque sus bases de datos no contienen información sobre estos archivos. Además, periódicamente aparecen virus que aprovechan esta "debilidad" de los escáneres CRC, infectando sólo archivos recién creados y, por tanto, permaneciendo invisibles para ellos.
Bloqueadores. Los bloqueadores son programas residentes que interceptan situaciones "peligrosas para virus" y notifican al usuario al respecto. Los "virus peligrosos" incluyen llamadas a abrir para escribir en archivos ejecutables, escribir en sectores de arranque de discos o en el MBR de un disco duro, intentos de los programas de permanecer residentes, etc., es decir, llamadas típicas de virus en el momento de la reproducción. A veces, algunas funciones de bloqueo se implementan en los escáneres residentes.
Las ventajas de los bloqueadores incluyen su capacidad para detectar y detener un virus en la etapa más temprana de su reproducción. Las desventajas incluyen la existencia de formas de eludir la protección del bloqueador y una gran cantidad de falsos positivos.
También es necesario tener en cuenta una dirección de herramientas antivirus como los bloqueadores antivirus, fabricados en forma de componentes de hardware de computadora. La más común es la protección contra escritura integrada en la BIOS en el MBR del disco duro. Sin embargo, como en el caso de los bloqueadores de software, dicha protección se puede eludir fácilmente escribiendo directamente en los puertos del controlador de disco, y al iniciar la utilidad de DOS FDISK se produce inmediatamente un "falso positivo" de la protección.
Hay varios bloqueadores de hardware más universales, pero además de las desventajas enumeradas anteriormente, también existen problemas de compatibilidad con configuraciones de computadora estándar y complejidad para instalarlas y configurarlas. Todo esto hace que los bloqueadores de hardware sean extremadamente impopulares en comparación con otros tipos de protección antivirus.
2.4 Comparación de paquetes antivirus
Independientemente de lo que sistema de informacion necesitan estar protegidos, el parámetro más importante al comparar antivirus es la capacidad de detectar virus y otros programas maliciosos.
Sin embargo, aunque este parámetro es importante, está lejos de ser el único.
El hecho es que la eficacia de un sistema de protección antivirus depende no sólo de su capacidad para detectar y neutralizar virus, sino también de muchos otros factores.
Un antivirus debe ser cómodo de utilizar, sin distraer al usuario del ordenador de sus tareas directas. Si el antivirus molesta al usuario con solicitudes y mensajes persistentes, tarde o temprano se desactivará. La interfaz del antivirus debe ser amigable y comprensible, ya que no todos los usuarios tienen mucha experiencia trabajando con programas de computador. Sin entender el significado del mensaje que aparece en la pantalla, puedes permitir involuntariamente una infección de virus incluso con un antivirus instalado.
El modo de protección antivirus más conveniente es cuando se analizan todos los archivos abiertos. Si el antivirus no puede funcionar en este modo, el usuario deberá ejecutar un análisis de todos los discos todos los días para detectar virus recién aparecidos. Este procedimiento puede tardar decenas de minutos o incluso horas si estamos hablando acerca de sobre discos grandes instalados, por ejemplo, en un servidor.
Dado que todos los días aparecen nuevos virus, es necesario actualizar periódicamente la base de datos antivirus. De lo contrario, la eficacia de la protección antivirus será muy baja. Los antivirus modernos, después de una configuración adecuada, pueden actualizar automáticamente las bases de datos antivirus a través de Internet, sin distraer a los usuarios y administradores de realizar este trabajo de rutina.
Al proteger una gran red corporativa, pasa a primer plano un parámetro para comparar antivirus como la presencia de un centro de control de red. Si red corporativa une cientos y miles de estaciones de trabajo, decenas y cientos de servidores, es casi imposible organizar una protección antivirus eficaz sin un centro de control de red. Uno o más administradores de sistemas no podrán eludir todas las estaciones de trabajo y servidores instalando y configurando programas antivirus en ellos. Lo que se necesita aquí son tecnologías que permitan la instalación y configuración centralizada de antivirus en todos los ordenadores de la red corporativa.
Proteger sitios de Internet como servidores de correo y los servidores de servicios de mensajería requieren el uso de herramientas antivirus especializadas. Los programas antivirus convencionales diseñados para escanear archivos no podrán encontrar códigos maliciosos en las bases de datos de los servidores de mensajería o en el flujo de datos que pasa por los servidores de correo.
Normalmente, se tienen en cuenta otros factores al comparar productos antivirus. Las agencias gubernamentales pueden, en igualdad de condiciones, preferir antivirus de producción nacional que tengan todos los certificados necesarios. También juega un papel importante la reputación ganada por una u otra herramienta antivirus entre los usuarios de ordenadores y administradores de sistemas. Las preferencias personales también pueden desempeñar un papel importante en la elección.
Los desarrolladores de antivirus suelen utilizar resultados de pruebas independientes para demostrar los beneficios de sus productos. Al mismo tiempo, los usuarios a menudo no entienden qué y cómo se probó exactamente en esta prueba.
En este trabajo, los más populares fueron sometidos a un análisis comparativo. este momento programas antivirus, a saber: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
La revista británica Virus Bulletin fue una de las primeras en probar productos antivirus. Las primeras pruebas publicadas en su web datan del año 1998. La prueba se basa en la colección de malware WildList. Para pasar la prueba con éxito, es necesario identificar todos los virus de esta colección y demostrar un nivel cero de falsos positivos en una colección de archivos de registro "limpios". Las pruebas se realizan varias veces al año en varios sistemas operativos; Los productos que superan con éxito la prueba reciben un premio VB100%. La Figura 1 muestra cuántos premios VB100% recibieron productos de varias compañías antivirus.
Por supuesto, la revista Virus Bulletin puede considerarse el probador de antivirus más antiguo, pero su condición de patriarca no la exime de las críticas a la comunidad antivirus. En primer lugar, WildList sólo incluye virus y gusanos y es sólo para la plataforma Windows. En segundo lugar, la colección WildList contiene una pequeña cantidad de programas maliciosos y se repone muy lentamente: solo aparecen unas pocas docenas de virus nuevos por mes, mientras que, por ejemplo, la colección AV-Test se repone durante este tiempo con varias decenas o incluso cientos de miles de copias de software malicioso.
Todo esto sugiere que en su forma actual la colección WildList está moralmente desactualizada y no refleja la situación real de los virus en Internet. Como resultado, las pruebas basadas en la colección WildList pierden cada vez más sentido. Son buenos para publicitar productos que los han superado, pero en realidad no reflejan la calidad de la protección antivirus.
Figura 1 – Número de pruebas VB superadas con éxito 100%
Laboratorios de investigación independientes como AV-Comparatives y AV-Tests prueban los productos antivirus dos veces al año para determinar los niveles de detección de malware bajo demanda. Al mismo tiempo, las colecciones en las que se realizan pruebas contienen hasta un millón de malware y se actualizan periódicamente. Los resultados de las pruebas se publican en los sitios web de estas organizaciones (www.AV-Comparatives.org, www.AV-Test.org) y en las conocidas revistas de informática PC World, PC Welt. Los resultados de las próximas pruebas se presentan a continuación:
Figura 2: Tasa general de detección de malware según AV-Test
Si hablamos de los productos más comunes, según los resultados de estas pruebas, entre los tres primeros solo se encuentran las soluciones de Kaspersky Lab y Symantec. Especial atención merece Avira, líder en las pruebas.
Las pruebas de los laboratorios de investigación AV-Comparatives y AV-Test, como cualquier prueba, tienen sus pros y sus contras. Las ventajas son que las pruebas se realizan en grandes colecciones de malware y que estas colecciones contienen una amplia variedad de tipos de malware. La desventaja es que estas colecciones contienen no sólo muestras “nuevas” de malware, sino también muestras relativamente antiguas. Normalmente se utilizan muestras recogidas durante los últimos seis meses. Además, estas pruebas analizan los resultados de la verificación. disco duro bajo demanda, mientras que en vida real el usuario descarga archivos infectados de Internet o los recibe como archivos adjuntos por correo electrónico. Es importante detectar dichos archivos exactamente en el momento en que aparecen en la computadora del usuario.
Una de las revistas de informática británicas más antiguas, PC Pro, intentó desarrollar una metodología de prueba que no sufriera este problema. Su prueba utilizó una colección de malware descubierto dos semanas antes de la prueba en el tráfico que pasaba por los servidores de MessageLabs. MessageLabs ofrece a sus clientes servicios de filtrado varios tipos El tráfico y su colección de programas maliciosos reflejan realmente la situación de la propagación de virus informáticos en Internet.
El equipo de la revista PC Pro no se limitó a escanear los archivos infectados, sino que simuló las acciones del usuario: los archivos infectados se adjuntaron a las cartas como archivos adjuntos y estas cartas se descargaron a una computadora con un antivirus instalado. Además, mediante scripts especialmente escritos, los archivos infectados se descargaron desde un servidor web, es decir, se simuló la navegación por Internet. Las condiciones en las que se llevan a cabo dichas pruebas son lo más cercanas posible a las reales, lo que no podía dejar de afectar los resultados: el nivel de detección de la mayoría de los antivirus resultó ser significativamente menor que con un simple análisis bajo demanda en AV- Comparativas y pruebas AV-Test. En estas pruebas, juega un papel importante la rapidez con la que los desarrolladores de antivirus responden a la aparición de nuevo malware, así como los mecanismos proactivos que se utilizan para detectar el malware.
La velocidad a la que se publican las actualizaciones antivirus con firmas de nuevo malware es uno de los componentes más importantes de una protección antivirus eficaz. Cuanto más rápido se publique la actualización de la base de datos de firmas, menos tiempo permanecerá el usuario desprotegido.
Figura 3 – Tiempo promedio de respuesta a nuevas amenazas
Últimamente, aparecen nuevos programas maliciosos con tanta frecuencia que los laboratorios antivirus apenas tienen tiempo de reaccionar ante la aparición de nuevas muestras. En tal situación, surge la pregunta de cómo un antivirus puede contrarrestar no sólo los virus ya conocidos, sino también las nuevas amenazas para las que aún no se ha publicado una firma de detección.
Para detectar amenazas desconocidas se utilizan las denominadas tecnologías proactivas. Estas tecnologías se pueden dividir en dos tipos: heurísticas (detectan malware basándose en el análisis de su código) y bloqueadores de comportamiento (bloquean las acciones del malware cuando se ejecuta en una computadora, basándose en su comportamiento).
Hablando de heurísticas, su eficacia ha sido estudiada durante mucho tiempo por AV-Comparatives, un laboratorio de investigación dirigido por Andreas Climenti. El equipo de AV-Comparatives utiliza una técnica especial: los antivirus se comparan con la colección de virus actual, pero utilizan un antivirus con firmas que tienen tres meses de antigüedad. Por tanto, el antivirus tiene que luchar contra un malware del que no sabe nada. Los antivirus se comprueban escaneando una colección de malware en el disco duro, por lo que sólo se prueba la eficacia de la heurística. En estas pruebas no se utiliza otra tecnología proactiva, un bloqueador de comportamiento. Incluso las mejores heurísticas muestran actualmente una tasa de detección de sólo alrededor del 70%, y muchas de ellas también sufren falsos positivos en archivos limpios. Todo esto hace pensar que por ahora este método de detección proactiva sólo se puede utilizar simultáneamente con el método de firma.
En cuanto a otra tecnología proactiva: el bloqueador de comportamiento, no se han realizado pruebas comparativas serias en esta área. En primer lugar, muchos productos antivirus (Doctor Web, NOD32, Avira y otros) no tienen un bloqueador de comportamiento. En segundo lugar, la realización de tales pruebas plantea algunas dificultades. El hecho es que para probar la efectividad de un bloqueador de comportamiento, no es necesario escanear un disco con una colección de programas maliciosos, sino ejecutar estos programas en su computadora y observar con qué éxito el antivirus bloquea sus acciones. Este proceso requiere mucha mano de obra y sólo unos pocos investigadores pueden realizar este tipo de pruebas. Todo lo que actualmente está disponible para el público en general son los resultados de las pruebas de productos individuales realizadas por el equipo de AV-Comparatives. Si durante las pruebas los antivirus bloquearon con éxito las acciones de programas maliciosos desconocidos para ellos mientras se ejecutaban en la computadora, entonces el producto recibió el Premio a la Protección Proactiva. Actualmente, estos premios los han recibido F-Secure con la tecnología de comportamiento DeepGuard y Kaspersky Anti-Virus con el módulo Proactive Protection.
Las tecnologías de prevención de infecciones basadas en el análisis del comportamiento del malware están cada vez más extendidas y es alarmante la falta de pruebas comparativas exhaustivas en este ámbito. Recientemente, los especialistas del laboratorio de investigación AV-Test mantuvieron un amplio debate sobre este tema, en el que también participaron los desarrolladores de productos antivirus. El resultado de esta discusión fue una nueva metodología para probar la capacidad de los productos antivirus para resistir amenazas desconocidas.
Un alto nivel de detección de malware mediante diversas tecnologías es una de las características más importantes de un antivirus. Sin embargo, una característica igualmente importante es la ausencia de falsos positivos. Los falsos positivos no pueden causar menos daño al usuario que una infección de virus: bloquear el trabajo programas necesarios, bloquear el acceso a sitios, etc.
En el marco de su investigación, AV-Comparatives, además de estudiar las capacidades de los antivirus para detectar malware, también realiza pruebas de falsos positivos en colecciones de archivos limpios. Según la prueba, el mayor número de falsos positivos se encontró en los antivirus Doctor Web y Avira.
No existe una protección 100% contra virus. De vez en cuando, los usuarios se encuentran con una situación en la que un programa malicioso ha penetrado en su computadora y ésta queda infectada. Esto sucede porque no había ningún antivirus en la computadora o porque el antivirus no detectó el malware mediante métodos proactivos o de firma. En tal situación, es importante que cuando instale un antivirus con bases de datos de firmas nuevas en su computadora, el antivirus no solo pueda detectar un programa malicioso, sino también eliminar con éxito todas las consecuencias de su actividad y curar una infección activa. Al mismo tiempo, es importante comprender que los creadores de virus mejoran constantemente sus "habilidades" y algunas de sus creaciones son bastante difíciles de eliminar de una computadora: el malware puede diferentes caminos enmascarar su presencia en el sistema (incluido el uso de rootkits) e incluso interferir con el funcionamiento de los programas antivirus. Además, no basta con eliminar o desinfectar un archivo infectado; es necesario eliminar todos los cambios realizados por el proceso malicioso en el sistema y restaurar completamente la funcionalidad del sistema. Equipo portal ruso Anti-Malware.ru realizó una prueba similar, sus resultados se presentan en la Figura 4.
Figura 4 – Tratamiento de la infección activa
Anteriormente se analizaron varios enfoques para las pruebas de antivirus y se mostró qué parámetros de funcionamiento del antivirus se consideran durante las pruebas. Se puede concluir que para algunos antivirus un indicador resulta ventajoso, para otros, otro. Al mismo tiempo, es natural que en sus materiales publicitarios los desarrolladores de antivirus se centren únicamente en aquellas pruebas en las que sus productos ocupan posiciones de liderazgo. Por ejemplo, Kaspersky Lab se centra en la velocidad de reacción ante la aparición de nuevas amenazas, Eset en la potencia de sus tecnologías heurísticas, Doctor Web describe sus ventajas en el tratamiento de infecciones activas.
Por tanto, conviene realizar una síntesis de los resultados de las distintas pruebas. Esto resume las posiciones que ocuparon los antivirus en las pruebas revisadas y también proporciona una evaluación integrada: qué lugar ocupa un producto en particular en promedio en todas las pruebas. Como resultado, los tres primeros ganadores fueron: Kaspersky, Avira y Symantec.
Según los paquetes antivirus analizados, un software, diseñado para buscar y desinfectar archivos infectados con el virus SVC 5.0. Este virus no provoca la eliminación o copia no autorizada de archivos, pero interfiere significativamente con el funcionamiento completo del software de la computadora.
Los programas infectados son más largos que el código fuente. Sin embargo, al explorar directorios en una máquina infectada, esto no será visible, ya que el virus comprueba si el archivo encontrado está infectado o no. Si un archivo está infectado, la longitud del archivo no infectado se registra en el DTA.
Puede detectar este virus de la siguiente manera. En el área de datos de virus hay una cadena de caracteres "(c) 1990 by SVC,Ver. 5.0", mediante la cual se puede detectar el virus, si está en el disco.
Al escribir un programa antivirus, se realiza la siguiente secuencia de acciones:
1 Para cada archivo escaneado, se determina el momento de su creación.
2 Si el número de segundos es sesenta, entonces se verifican tres bytes con un desplazamiento igual a "longitud de archivo menos 8AN". Si son iguales a 35H, 2EN, 30H respectivamente, entonces el archivo está infectado.
3 Se decodifican los primeros 24 bytes del código original, que se encuentran en el desplazamiento "longitud del archivo menos 01CFН más 0BAAN". Las claves de decodificación están ubicadas en los desplazamientos "longitud del archivo menos 01CFН más 0С1АН" y "longitud del archivo menos 01CFН más 0С1BN".
4 Los bytes decodificados se reescriben al comienzo del programa.
5 El archivo se "trunca" al valor "longitud del archivo menos 0С1F".
El programa fue creado en el entorno de programación TurboPascal. El texto del programa se presenta en el Apéndice A.
Conclusión
En este trabajo de curso se realizó un análisis comparativo de paquetes antivirus.
Durante el análisis se resolvieron exitosamente las tareas planteadas al inicio del trabajo. Así, se estudiaron los conceptos de seguridad de la información, virus informáticos y herramientas antivirus, se identificaron tipos de amenazas a la seguridad de la información, métodos de protección, se consideró la clasificación de virus informáticos y programas antivirus y se realizó un análisis comparativo de antivirus. paquetes, se escribió un programa que busca archivos infectados.
Los resultados obtenidos durante el trabajo se pueden utilizar a la hora de elegir un agente antivirus.
Todos los resultados obtenidos se reflejan en el trabajo mediante diagramas, por lo que el usuario puede comprobar de forma independiente las conclusiones extraídas en el diagrama final, que refleja la síntesis de los resultados identificados de varias pruebas de productos antivirus.
Los resultados obtenidos durante el trabajo se pueden utilizar como base para una comparación independiente de programas antivirus.
A la luz del uso generalizado de las tecnologías de la información, el trabajo del curso presentado es relevante y cumple con los requisitos para ello. Durante el trabajo se consideraron las herramientas antivirus más populares.
Lista de literatura usada
1 Anin B. Protección de la información informática. - San Petersburgo. : BHV – San Petersburgo, 2000. – 368 p.
2 Artyunov V.V. Protección de la información: libro de texto. - método. prestación. M.: Liberia - Bibinform, 2008. - 55 p. – (Bibliotecario y tiempo. Siglo XXI; edición nº 99).
3 Korneev I.K., E.A. Stepanov Protección de la información en la oficina: libro de texto. – M.: Prospekt, 2008. – 333 p.
5 Kupriyanov A. I. Fundamentos de la protección de la información: libro de texto. prestación. – 2ª ed. borrado – M.: Academia, 2007. – 254 p. – (Educación profesional superior).
6 Semenenko V. A., N. V. Fedorov Protección de la información de software y hardware: libro de texto. ayuda para estudiantes universidades – M.: MGIU, 2007. – 340 p.
7 Tsirlov V. L. Fundamentos de seguridad de la información: un curso breve. – Rostov s/f: Phoenix, 2008. – 254 p. (Educación profesional).
Solicitud
Listado de programas
ProgramaANTIVIRUS;
Utiliza dos, crt, impresora;
Escriba St80 = Cadena;
FileInfection: Archivo de bytes;
BuscarArchivo:BuscarRec;
Mas: Conjunto de St80;
MasByte: Matriz de bytes;
Posición,I,J,K:Byte;
Num,NúmeroDeArchivo,NúmeroDeArchivoInf:Palabra;
Bandera,SiguienteDisco,Error:Booleano;
Clave1, Clave2, Clave3, NumError: Byte;
MasScreen: Matriz de bytes absolutos $B800:0000;
Cura del procedimiento (St: St80);
I: Byte; MasCure: Matriz de bytes;
Asignar(FileInfection,St); Restablecer (Infección de archivo);
NumError:=IOResultado;
Si(NumError<>
Buscar(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Leer (Infección de archivo, Clave1);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Leer (Infección de archivo, Clave2);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Buscar(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Para I:=1 a 24 hacer
Leer(FileInfection,MasCure[i]);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Clave3:=MasCure[i];
MasCure[i]:=Clave3;
Buscar(FileInfection,0);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Para I:=1 a 24, escriba(FileInfection,MasCure[i]);
Buscar(FileInfection,FileSize(FileInfection) - $0C1F);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Truncar(FileInfection);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Cerrar (Infección de archivo); NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Procedimiento F1(St: St80);
BuscarPrimero(St + "*.*", $3F, BuscarArchivo);
Mientras (SearchFile.Attr = $10) Y (DosError = 0) Y
((SearchFile.Name = ".") O (SearchFile.Name = "..")) Haga
BuscarSiguiente(BuscarArchivo);
Mientras (DosError = 0) Hacer
Si se presiona la tecla entonces
Si (Ord(ReadKey) = 27) Entonces detener;
Si (SearchFile.Attr = $10) Entonces
Mas[k]:=St + SearchFile.Name + "\";
Si(SearchFile.Attr<>$10) Entonces
NúmeroDeArchivo:=NúmeroDeArchivo + 1;
DesempacarTiempo(SearchFile.Time, DT);
Para I:=18 a 70 haga MasScreen:=$20;
Escribir(St + BuscarArchivo.Nombre," ");
Si (Dt.Sec = 60) Entonces
Asignar(FileInfection,St + SearchFile.Name);
Restablecer (Infección de archivo);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Buscar(FileInfection,FileSize(FileInfection) - $8A);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Para I:=1 a 3, haga Read(FileInfection,MasByte[i]);
Cerrar (Infección de archivo);
NumError:=IOResultado;
Si(NumError<>0) Luego comienza Error:=Verdadero; Salida; Fin;
Si (MasByte = $35) Y (MasByte = $2E) Y
(MasByte = $30) Entonces
NúmeroDeArchivoInf:=NúmeroDeArchivoInf + 1;
Escribir(St + SearchFile.Name," infectado.",
"¿Borrar? ");
Si (Ord(Ch) = 27) Entonces salga;
Hasta (Ch = "Y") O (Ch = "y") O (Ch = "N")
Si (Ch = "Y") o (Ch = "y") Entonces
Curar(St + SearchFile.Name);
Si(NumError<>0) Luego Salir;
Para I:=0 a 79 haga MasScreen:=$20;
BuscarSiguiente(BuscarArchivo);
GoToXY(29,1); TextoAttr:=$1E; GoToXY(20,2); TextoAttr:=$17;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("zaragennih SVC50.");
TextoAttr:=$4F; GoToXY(1,25);
Escribir(" ESC - salir ");
TextoAttr:=$1F; GoToXY(1,6);
Write("¿Probado el disco Kakoj?");
Si (Ord(Disco) = 27) Entonces salga;
R.Ah:=$0E; R.Dl:=Ord(UpCase(Disco))-65;
Intr($21,R); R.Ah:=$19; Intr($21,R);
Bandera:=(R.Al = (Ord(UpCase(Disco))-65));
St:=UpCase(Disco) + ":\";
Writeln("Disco de prueba ",St," ");
Writeln("Testiruetsya fajl");
NúmeroDeArchivo:=0;
NúmeroDeArchivoInf:=0;
Si (k = 0) o error, entonces marca: = falso;
Si (k > 0) Entonces K:=K-1;
Si (k=0) Entonces Bandera:=Falso;
Si (k > 0) Entonces K:=K-1;
Writeln("Fajlov verificado -",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("¿Comprobar disco de drugoj? ");
Si (Ord(Ch) = 27) Entonces salga;
Hasta (Ch = "Y") O (Ch = "y") O (Ch = "N") O (Ch = "n");
Si (Ch = "N") o (Ch = "n") Entonces NextDisk:=False;
2.1.4 Análisis comparativo de agentes antivirales.
Existen muchos programas antivirus diferentes, tanto de origen nacional como extranjero. Y para entender qué programa antivirus es mejor, realizaremos un análisis comparativo de ellos. Para hacer esto, tomemos los programas antivirus modernos, así como los que utilizan con mayor frecuencia los usuarios de PC.
Panda Antivirus 2008 3.01.00
Sistemas compatibles: Windows 2000/XP/Vista
Instalación
Es difícil imaginar una instalación más sencilla y rápida que la que ofrece Panda 2008. Sólo nos dicen de qué amenazas protegerá esta aplicación y sin elección de tipo de instalación ni fuente de actualización, en menos de un minuto ofrecen protección contra virus, gusanos, troyanos, spyware y phishing, tras escanear la memoria del ordenador en busca de virus. Sin embargo, no admite otras funciones avanzadas de los antivirus modernos, como bloquear páginas web sospechosas o proteger datos personales.
Interfaz y operación
La interfaz del programa es muy brillante. La configuración existente proporciona un nivel mínimo de cambios; sólo los esenciales están disponibles. En absoluto, autoconfiguración opcional en este caso: la configuración predeterminada se adapta a la mayoría de los usuarios y brinda protección contra ataques de phishing, software espía, virus, aplicaciones de piratas informáticos y otras amenazas.
Panda sólo se puede actualizar a través de Internet. Además, se recomienda encarecidamente instalar la actualización inmediatamente después de instalar el antivirus; de lo contrario, Panda requerirá acceso periódicamente al servidor "principal" con una ventana pequeña pero bastante visible en la parte inferior de la pantalla, lo que indica un bajo nivel de protección actual.
Panda 2008 divide todas las amenazas en conocidas y desconocidas. En el primer caso, podemos desactivar el análisis en busca de ciertos tipos de amenazas; en el segundo caso, determinamos si sometemos los archivos, mensajes instantáneos y correos electrónicos a un análisis profundo para buscar objetos maliciosos desconocidos. Si Panda detecta comportamientos sospechosos en alguna aplicación, te lo notificará inmediatamente, brindándote así protección contra amenazas no incluidas en la base de datos del antivirus.
Panda te permite escanear todo tu disco duro o secciones individuales del mismo. Recuerde que el análisis de archivos está desactivado de forma predeterminada. El menú de configuración presenta las extensiones de los archivos que se analizan; si es necesario, puede agregar sus propias extensiones. Mención especial merecen las estadísticas de amenazas detectadas, que se presentan en forma de gráfico circular que demuestra claramente la proporción de cada tipo de amenaza en el número total de objetos maliciosos. Se puede generar un informe de los objetos detectados durante un período de tiempo seleccionado.
· mínimo Requisitos del sistema: disponibilidad de Windows 98/NT/Me/2000/XP.
Los requisitos de hardware corresponden a los indicados para el sistema operativo especificado.
Principales características funcionales:
· protección contra gusanos, virus, troyanos, virus polimórficos, virus de macro, software espía, marcadores, software publicitario, utilidades de piratas informáticos y scripts maliciosos;
· actualizar bases de datos antivirus hasta varias veces por hora, el tamaño de cada actualización es de hasta 15 KB;
· comprobar la memoria del sistema de la computadora para detectar virus que no existen en forma de archivos (por ejemplo, CodeRed o Slammer);
· un analizador heurístico que le permite neutralizar amenazas desconocidas antes de que se publiquen las correspondientes actualizaciones de la base de datos de virus.
Instalación
Al principio, Dr.Web advierte sinceramente que no pretende llevarse bien con otras aplicaciones antivirus y le pide que se asegure de que no existan dichas aplicaciones en su ordenador. De lo contrario colaboración podría tener "consecuencias impredecibles". A continuación, seleccione la instalación "Personalizada" o "Normal" (recomendada) y comience a estudiar los componentes principales presentados:
· escáner para Windows. Comprobar archivos manualmente;
· escáner de consola para Windows. Diseñado para ejecutarse desde archivos de comando;
· Guardia de Araña. Comprobación de archivos sobre la marcha, previniendo infecciones en tiempo real;
· Correo Araña. Escanea mensajes recibidos mediante protocolos POP3, SMTP, IMAP y NNTP.
Interfaz y operación
Llama la atención la falta de coherencia en la interfaz entre los módulos antivirus, lo que crea una incomodidad visual adicional con el acceso ya poco amigable a los componentes Dr.Web. Una gran cantidad de configuraciones diferentes claramente no están diseñadas para un usuario novato; sin embargo, una ayuda bastante detallada en un formulario accesible le explicará el propósito de ciertos parámetros que le interesan. El acceso al módulo central de Dr.Web, un escáner para Windows, no se realiza a través de la bandeja, como todos los antivirus analizados en la revisión, sino únicamente a través de "Inicio", lo que está lejos de ser la mejor solución, que fue reparada en Kaspersky. Antivirus al mismo tiempo.
La actualización está disponible tanto a través de Internet como mediante servidores proxy, lo que, dado el pequeño tamaño de las firmas, hace que Dr.Web sea una opción muy atractiva para empresas medianas y grandes. Red de computadoras.
Puede configurar los parámetros de análisis del sistema, el orden de actualización y configurar las condiciones de funcionamiento de cada módulo Dr.Web mediante la cómoda herramienta "Programador", que le permite crear un sistema de protección coherente desde el "diseñador" de los componentes Dr.Web.
Como resultado, obtenemos un recurso informático poco exigente, una protección integral bastante sencilla (tras un examen más detenido) de la computadora contra todo tipo de amenazas, cuyas capacidades para contrarrestar aplicaciones maliciosas superan claramente el único inconveniente expresado por la interfaz "variada" del Dr. Módulos web.
Consideremos el proceso de escanear directamente el directorio seleccionado. Una carpeta llena de documentos de texto, archivos, música, vídeos y otros archivos inherentes al disco duro del usuario medio. La cantidad total de información fue de 20 GB. Inicialmente, se suponía que debía escanear la partición del disco duro en la que estaba instalado el sistema, pero Dr.Web tenía la intención de extender el escaneo durante dos o tres horas, estudiando minuciosamente los archivos del sistema y, como resultado, se asignó una carpeta separada para la “zona de pruebas”. Cada antivirus utilizó todas las capacidades proporcionadas para configurar la cantidad máxima de archivos escaneados.
El primer lugar en términos de tiempo invertido fue para Panda 2008. Increíble pero cierto: el escaneo tomó sólo cinco (!) minutos. Dr.Web se negó a utilizar racionalmente el tiempo del usuario y estudió el contenido de las carpetas durante más de una hora y media. El tiempo mostrado por Panda 2008 generó algunas dudas, ya que requirió diagnósticos adicionales de un parámetro aparentemente insignificante: el número de archivos escaneados. Las dudas no surgieron en vano y encontraron una base práctica durante repetidas pruebas. Debemos rendir homenaje a Dr.Web: el antivirus no perdió tanto tiempo en vano y demostró el mejor resultado: poco más de 130 mil archivos. Tengamos en cuenta que, lamentablemente, no fue posible determinar el número exacto de archivos en la carpeta de prueba. Por lo tanto, se consideró que el indicador Dr.Web refleja la situación real en este asunto.
Los usuarios tienen diferentes actitudes hacia el proceso de escaneo "a gran escala": algunos prefieren dejar la computadora y no interferir con el escaneo, otros no quieren comprometerse con el antivirus y continuar trabajando o jugando. Resultó que la última opción permite implementar Panda Antivirus sin ningún problema. Sí, este programa, en el que resultó imposible destacar. características clave, en cualquier configuración, causará la única preocupación con un letrero verde que anuncia la finalización exitosa del escaneo. Dr.Web recibió el título de consumidor de RAM más estable, en modo de carga completa su funcionamiento requería sólo unos pocos megabytes más que durante el funcionamiento normal.
Ahora echemos un vistazo más de cerca a antivirus como:
1. Kaspersky Antivirus 2009;
3. Panda Antivirus 2008;
según los siguientes criterios:
· Calificación de conveniencia interfaz de usuario;
· Evaluación de la facilidad de uso;
· Análisis de reclutamiento habilidades técnicas;
· Costo estimado.
De todos los antivirus analizados, el más barato es Panda Antivirus 2008 y el más caro es NOD 32. Pero esto no significa que Panda Antivirus 2008 sea peor y así lo demuestran los demás criterios. Tres de los cuatro programas analizados (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) tienen una interfaz más sencilla, funcional y fácil de usar que Dr. Web, que tiene muchas configuraciones que resultan incomprensibles para un usuario novato. En el programa, puede utilizar ayuda detallada que le explicará el propósito de ciertos parámetros que necesita.
Todos los programas ofrecen una protección fiable contra gusanos, virus tradicionales, virus de correo, software espía, troyanos, etc. Comprobar archivos en programas como Dr. Web, NOD 32, se ejecuta al iniciar el sistema, pero Kaspersky Anti-Virus comprueba los archivos en el momento en que se accede a ellos. Kaspersky Anti-Virus, NOD 32, a diferencia de todos los demás, tiene un avanzado sistema de protección proactiva basado en algoritmos de análisis heurístico; la capacidad de establecer una contraseña y así proteger el programa de virus destinados a destruir la protección antivirus. Además, Kaspersky Anti-Virus 2009 tiene un bloqueador de comportamiento. Panda Antivirus, a diferencia de todos los demás, no permite bloquear páginas web sospechosas ni proteger datos personales. Todos estos antivirus tienen actualizaciones automáticas de bases de datos y un programador de tareas. Además, estos programas antivirus son totalmente compatibles con Vista. Pero todos ellos, excepto Panda Antivirus, requieren que además de ellos no exista ningún otro programa similar en el sistema. A partir de estos datos crearemos una tabla.
Tabla.1 Características de los programas antivirus.
| criterios | Kaspersky Antivirus 2009 | ASENTIR 32 | Dr. Web | Antivirus Panda |
| Costo estimado | - | - | - | + |
| Calificación de usabilidad de la interfaz de usuario | + | + | - | |
| Calificación de facilidad de uso | + | + | +- | - |
| Análisis de un conjunto de capacidades técnicas. | + | + | + | - |
| Impresión general del programa. | + | + | - |
Cada uno de los antivirus considerados se ha ganado su popularidad de una forma u otra, pero absolutamente Solución perfecta no existe para todas las categorías de usuarios.
En mi opinión, los más útiles son Kaspersky Anti-Virus 2009 y NOD 32. Ya que tienen casi todos los requisitos que debe tener un programa antivirus. Esto es tanto una interfaz como un conjunto de capacidades técnicas. En general, tienen lo necesario para proteger tu computadora de virus.
Conclusión
Como conclusión del trabajo de este curso, me gustaría decir que se logró el objetivo que me propuse: realizar un análisis comparativo de las herramientas antivirus modernas. En este sentido, se resolvieron las siguientes tareas:
1. Se ha seleccionado literatura sobre este tema.
2. Se han estudiado varios programas antivirus.
3. Se realizó una comparación de programas antivirus.
Al completar mis estudios me encontré con una serie de problemas relacionados con la búsqueda de información, ya que en muchas fuentes es bastante contradictoria; así como con un análisis comparativo de las ventajas y desventajas de cada programa antivirus y la construcción de un cuadro resumen.
Una vez más, cabe señalar que no existe un programa antivirus universal. Ninguno de ellos puede garantizarnos una protección 100% contra virus, y la elección de un programa antivirus depende en gran medida del usuario.
Literatura
1. Revista para usuarios de ordenadores personales “PC World”
2. Leontyev V.P. "La última enciclopedia de la computadora personal"
3. http://www.viruslist.com
Busca todos los módulos excepto el módulo Computer Scan. 1) Se puede conectar el módulo antispam para Outlook Express y Windows Mail. Después de instalar Eset Smart Security en Outlook Express o Windows Mail, aparece una barra de herramientas que contiene las siguientes funciones del módulo antispam 2) El módulo antispam funciona...
Virus informáticos. Para un tratamiento correcto y de alta calidad de un programa infectado, se necesitan antivirus especializados (por ejemplo, Kaspersky antivirus, Dr Web, etc.). CAPÍTULO 2. ANÁLISIS COMPARATIVO DE PROGRAMAS ANTIVIRUS Para demostrar las ventajas de sus productos, los desarrolladores de antivirus suelen utilizar los resultados de pruebas independientes. Uno de los primeros en probar antivirus...
Funciona muy bien con la colección VirusBulletin ITW, y nada más. La calificación de antivirus promediada en todas las pruebas se muestra en la Fig. 1. (Ver Apéndice Fig. 1). Capítulo 2. Uso de programas antivirus 2.1 Verificación antivirus Correo electrónico Si en los albores del desarrollo de la tecnología informática el principal canal de propagación de virus era el intercambio de archivos de programas a través de disquetes, entonces...
... (por ejemplo, no descargar ni ejecutar programas desconocidos de Internet) reduciría la probabilidad de que se propaguen virus y eliminaría la necesidad de utilizar muchos programas antivirus. Los usuarios de computadoras no deberían trabajar con derechos de administrador todo el tiempo. Si usaran el modo de acceso de usuario normal, entonces algunos tipos de virus no...
Los programas antivirus existen para proteger su computadora contra malware, virus, caballos de Troya, gusanos y software espía que pueden eliminar sus archivos, robar sus datos personales y hacer que su computadora y su conexión web sean extremadamente lentas y problemáticas. Por lo tanto, elegir un buen programa antivirus es una prioridad importante para su sistema.
Hoy en día existen más de 1 millón de virus informáticos en el mundo. Debido a que los virus y otros programas maliciosos son tan comunes, existen muchas opciones diferentes para los usuarios de computadoras en el área del software antivirus.
Programas antivirus rápidamente se convirtió en un gran negocio, y los primeros productos antivirus comerciales llegaron al mercado a finales de los años 1980. Hoy en día puedes encontrar muchos programas antivirus, tanto gratuitos como de pago, para proteger tu ordenador.
¿Qué hacen los programas antivirus?
Los programas antivirus escanearán periódicamente su computadora en busca de virus y otro malware que pueda haber en su PC. Si el software detecta un virus, normalmente lo pondrá en cuarentena, lo desinfectará o lo eliminará.
Usted elige la frecuencia con la que se realizará el análisis, aunque generalmente se recomienda ejecutarlo al menos una vez a la semana. Además, la mayoría de los programas antivirus lo protegerán durante las actividades cotidianas, como consultar el correo electrónico y navegar por la web.
Siempre que descargue un archivo a su computadora desde Internet o desde un correo electrónico, el antivirus lo escaneará y se asegurará de que el archivo esté bien (libre de virus o “limpio”).
Los programas antivirus también actualizarán las llamadas "definiciones de antivirus". Estas definiciones se actualizan con tanta frecuencia a medida que se introducen y descubren nuevos virus y malware.
Cada día aparecen nuevos virus, por lo que es necesario actualizar periódicamente la base de datos antivirus en el sitio web del fabricante del programa antivirus. Después de todo, como usted sabe, cualquier programa antivirus puede reconocer y neutralizar sólo aquellos virus para los cuales el fabricante lo ha "entrenado". Y no es ningún secreto que pueden pasar varios días desde el momento en que se envía el virus a los desarrolladores del programa hasta que se actualizan las bases de datos antivirus. ¡Durante este período, miles de computadoras en todo el mundo pueden resultar infectadas!
Por lo tanto, asegúrese de instalar uno de los mejores paquetes antivirus y mantenerlo actualizado periódicamente.
CORTAFUEGOS (FIREWALL)
Proteger su computadora de los virus depende de más de un programa antivirus. La mayoría de los usuarios se equivocan al creer que un antivirus instalado en su ordenador es la panacea para todos los virus. Su computadora aún puede infectarse con un virus, incluso si tiene un programa antivirus potente. Si su computadora tiene acceso a Internet, un antivirus no es suficiente.
Un antivirus puede eliminar un virus cuando está directamente en su computadora, pero si el mismo virus comienza a introducirse en su computadora desde Internet, por ejemplo, al cargar una página web, entonces el programa antivirus no podrá hacer nada. con él, hasta que ya no muestre su actividad en la PC. Por lo tanto, la protección completa de su computadora contra virus es imposible sin un firewall, un programa de seguridad especial que le notificará sobre la presencia de actividades sospechosas cuando un virus o gusano intenta conectarse a su computadora.
El uso de un firewall en Internet le permite limitar la cantidad de conexiones no deseadas desde el exterior a su computadora y reduce significativamente la probabilidad de que se infecte. Además de la protección contra virus, también hace que sea mucho más difícil para los intrusos (piratas informáticos) acceder a su información e intentar descargar un programa potencialmente peligroso en su computadora.
Cuando se utiliza un firewall en combinación con un programa antivirus y actualizaciones del sistema operativo, la protección de su computadora se mantiene al más alto nivel de seguridad.
ACTUALIZACIÓN DEL SISTEMA OPERATIVO Y PROGRAMAS
Un paso importante para proteger su computadora y sus datos es actualizar sistemáticamente su sistema operativo con los últimos parches de seguridad. Se recomienda hacer esto al menos una vez al mes. Últimas actualizaciones para el sistema operativo y los programas creará condiciones bajo las cuales la protección de la computadora contra virus estará en un nivel bastante alto.
Las actualizaciones son correcciones de errores de software que se encuentran con el tiempo. Una gran cantidad de virus utilizan estos errores (“agujeros”) en la seguridad del sistema y de los programas para propagarse. Sin embargo, si cierra estos "agujeros", no tendrá miedo de los virus y la protección de su computadora estará en un alto nivel. Una ventaja adicional de las actualizaciones periódicas es el funcionamiento más fiable del sistema gracias a la corrección de errores.
CONTRASEÑA DE INICIO DE SESIÓN
Contraseña para iniciar sesión en su sistema, especialmente para cuenta"Administrador" le ayudará a proteger su información del acceso no autorizado localmente o a través de la red, y también creará una barrera adicional contra virus y software espía. Asegúrate de utilizar una contraseña compleja porque... Muchos virus utilizan contraseñas simples para propagarse, por ejemplo 123, 12345, comenzando con contraseñas vacías.
NAVEGACIÓN SEGURA EN LA WEB
Proteger tu ordenador de los virus será complicado si, mientras navegas y navegas por Internet, aceptas todo e instalas todo. Por ejemplo, con el pretexto de actualizar Adobe Flash El jugador se propaga por una de las variedades del virus: "Enviar SMS al número". Practica la navegación web segura. Lea siempre exactamente qué le ofrecen hacer y solo entonces acepte o rechace. Si te ofrecen algo idioma extranjero- intenta traducir esto; de lo contrario, no dudes en rechazarlo.
Muchos virus están contenidos en archivos adjuntos de correo electrónico y comienzan a propagarse tan pronto como se abre el archivo adjunto. No recomendamos encarecidamente que abra archivos adjuntos sin el consentimiento previo para recibirlos.
Antivirus para SIM, tarjetas flash y dispositivos USB
Los teléfonos móviles que se fabrican hoy en día tienen una amplia gama de interfaces y capacidades de transferencia de datos. Los consumidores deben revisar cuidadosamente los métodos de protección antes de conectar cualquier dispositivo pequeño.
Los métodos de protección como el hardware, posiblemente antivirus en dispositivos USB o SIM, son más adecuados para los consumidores. teléfonos móviles. La evaluación y revisión técnica de cómo instalar un programa antivirus en un teléfono móvil celular debe considerarse como un proceso de escaneo que puede afectar otras aplicaciones legítimas en ese teléfono.
Los programas antivirus en la SIM con antivirus integrado en una pequeña área de memoria brindan protección antimalware/virus, protegiendo el PIM y la información del usuario del teléfono. Los antivirus en tarjetas flash brindan al usuario la posibilidad de intercambiar información y utilizar estos productos con varios dispositivos de hardware.
Antivirus, dispositivos móviles y soluciones innovadoras
Nadie se sorprenderá cuando los virus que infectan las computadoras personales y portátiles lleguen a los dispositivos móviles. Cada vez más desarrolladores en este ámbito ofrecen programas antivirus para combatir virus y proteger los teléfonos móviles. EN dispositivos móviles Existen los siguientes tipos de control de virus:
- § limitaciones de la CPU
- § limitación de memoria
- § identificar y actualizar las firmas de estos dispositivos móviles
Empresas y programas antivirus.
- § AOL® Virus Protection como parte de AOL Safety and Centro de Seguridad
- § ActiveVirusShield de AOL (basado en KAV 6, gratuito)
- § AhnLab
- § Sistemas de conocimiento Aladdin
- § Software ALWIL (avast!) de la República Checa (versiones gratuitas y de pago)
- § ArcaVir de Polonia
- § AVZ de Rusia (gratis)
- § Avira de Alemania (gratis Versión clásica)
- § Authentium del Reino Unido
- § BitDefender de Rumania
- § BullGuard de Dinamarca
- § Asociados informáticos de EE. UU.
- § Grupo Comodo de EE. UU.
- § ClamAV - Licencia GPL - gratuita y de código abierto códigos fuente programas
- § ClamWin - ClamAV para Windows
- § Dr.Web de Rusia
- § Eset NOD32 de Eslovaquia
- §Fortinet
- § Frisk Software de Islandia
- § F-Secure de Finlandia
- § GeCAD de Rumania (Microsoft compró la empresa en 2003)
- § Software GFI
- § GriSoft (AVG) de la República Checa (versiones gratuita y de pago)
- §Hauri
- § H+BEDV de Alemania
- § Kaspersky Anti-Virus de Rusia
- § McAfee de EE. UU.
- § Tecnologías MicroWorld de la India
- § Software NuWave de Ucrania
- § MKS de Polonia
- § Normando de Noruega
- § Puesto avanzado de Rusia
- § Panda Software de España
- § Antivirus de curación rápida de la India
- § Creciente
- § ROSA SWE
- § Sophos del Reino Unido
- § Doctor en software espía
- Investigación más quieta
- § Sybari Software (Microsoft compró la empresa a principios de 2005)
- § Symantec de EE. UU. o Reino Unido
- § Cazador de troyanos
- § Trend Micro de Japón (nominalmente Taiwán-EE.UU.)
- § Antivirus nacional ucraniano de Ucrania
- § VirusBlokAda (VBA32) de Bielorrusia
- § VirusBuster de Hungría
- § ZoneAlarm AntiVirus (americano)
- § Escaneo de archivos con varios antivirus.
- § Comprobar el archivo con varios antivirus (inglés)
- § Comprobar archivos en busca de virus antes de descargarlos (inglés)
- § virusinfo.info Portal dedicado a la seguridad de la información (conferencia de virólogos), donde se puede solicitar ayuda.
- § antivse.com Otro portal donde descargar los programas antivirus más habituales, tanto de pago como gratuitos.
- § www.viruslist.ru Enciclopedia de virus de Internet creada por Kaspersky Lab
Antivirus
¡Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot *F-Secure Antivirus * Kaspersky Antivirus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin *Windows Live OneCare
Comparar programas antivirus nunca ha sido una tarea fácil. Al fin y al cabo, las empresas que crean este tipo de productos siempre se han distinguido por su afán de mejora y actualización constante de su software. A pesar de esto, algunos antivirus realizan mejor sus tareas, mientras que otros son peores.
Cada uno de ellos tiene sus propias ventajas y desventajas, pero no todas las personas pueden evaluar objetivamente su trabajo y elegir el que mejor se adapte al funcionamiento de su computadora.
Por eso, decidimos analizar los programas antivirus más populares del mercado, Kaspersky, ESET NOD32, McAfee, Symantec, para darte una idea general de su trabajo y ayudarte a tomar la decisión correcta para proteger tu computadora personal. Los resultados del análisis se mostraron en forma de tabla para maximizar la percepción de la diferencia entre el software probado.
|
Soporte para el escenario "denegar por defecto" con la capacidad de excluir automáticamente del escenario procesos y fuentes de actualización confiables necesarias para que el sistema funcione |
||||
|
Permitir/bloquear programas: |
||||
|
Seleccionar del registro del programa |
||||
|
Seleccionar archivos ejecutables del registro |
||||
|
Ingresar metadatos de archivos ejecutables |
||||
|
Ingresar sumas de verificación de archivos ejecutables (MD5, SHA1) |
||||
|
Entrando en el camino hacia archivos ejecutables(local o UNC) |
||||
|
Seleccionar categorías de aplicaciones preestablecidas |
||||
|
Permitir/bloquear aplicaciones para usuarios individuales/grupos de usuarios Directorio Activo |
||||
|
Monitoreo y limitación de la actividad del programa. |
||||
|
Monitorear y priorizar vulnerabilidades |
||||
|
Permitir/bloquear el acceso a recursos web, advirtiendo sobre peligro: |
||||
|
Filtrado de enlaces |
||||
|
Filtrar contenido por categorías preestablecidas |
||||
|
Filtrar contenido por tipo de datos |
||||
|
Integración de Directorio Activo |
||||
|
Permitir/bloquear el acceso a recursos web según un horario |
||||
|
Generar informes detallados sobre el uso de la PC para acceder a recursos web |
||||
|
Control de dispositivos basado en políticas: |
||||
|
Por tipo de puerto/autobús |
||||
|
Por tipo de dispositivo conectado |
||||
|
Por grupos de usuarios en Active Directory |
||||
|
Crear listas blancas basadas en números seriales dispositivos |
||||
|
Control flexible de los derechos de acceso a dispositivos para lectura/escritura con la capacidad de configurar un horario |
||||
|
Administrar permisos de acceso temporal |
||||
|
Denegar escenario predeterminado, aplicado según la prioridad |
Al analizar los datos obtenidos, podemos decir con confianza que solo un antivirus, Kaspersky, hizo frente a todas las tareas, como monitorear programas, sitios y dispositivos de Internet. Antivirus McAfee mostró buenos resultados en la categoría "control de dispositivos", recibiendo la calificación máxima, pero, desafortunadamente, no es confiable para el control web y el control de aplicaciones.
Otro análisis importante de los programas antivirus fue su investigación práctica para determinar la calidad de la protección de las computadoras personales. Para realizar este análisis se agregaron tres programas antivirus más: Dr. Web, AVG, TrustPort, por lo que el panorama de comparación de programas en este segmento se ha vuelto aún más completo. Para las pruebas se utilizaron 3.837 archivos infectados con distintos tipos de amenazas, y en la siguiente tabla se muestra cómo los programas antivirus probados los abordaron.
|
Kaspersky |
|||||
|
1 min 10 seg |
|||||
|
5 min 32 seg |
|||||
|
6 min 10 seg |
|||||
|
1 min 10 seg |
Y nuevamente Kaspersky Anti-Virus tomó la delantera, por delante de sus competidores en un indicador tan importante como el porcentaje de detección de amenazas: más del 96%. Pero, como dicen, aquí había una mosca en el ungüento. El tiempo dedicado a buscar archivos infectados y los recursos consumidos en una computadora personal fueron los más altos entre todos los productos probados.
Los más rápidos aquí fueron el Dr. Web y ESET NOD32, que dedicaron poco más de un minuto a buscar virus, con un 77,3% y un 50,8% de detección de archivos infectados, respectivamente. Lo que es más importante, el porcentaje de virus detectados o el tiempo dedicado a la búsqueda, lo decides tú. Pero no olvides que la seguridad de tu ordenador debe ser primordial.
ESET ASENTIR32 mostró el peor resultado en la detección de amenazas, sólo el 50,8%, lo que es un resultado inaceptable para una PC. TrustPort resultó ser el más rápido y AVG el que menos exige recursos, pero, lamentablemente, el bajo porcentaje de amenazas detectadas por estos programas antivirus no les permite competir con los líderes.
Según los resultados de las pruebas, Kaspersky Anti-Virus puede considerarse con seguridad la mejor opción para proteger su computadora, siempre que tenga suficiente RAM instalada y buen procesador. Además, el precio del producto Kaspersky Lab no es el más alto, lo que no puede dejar de complacer a los consumidores.
