Новости

Краш-тест для антивірусів

  1. Створюємо тестовий вірус eicar.com
  2. Створюємо тестовий вірус cure-eicar.com
  3. Створюємо тестовий вірус SUSP-EICAR
  4. Ворога треба знати в обличчя
  5. Основні типи комп'ютерних вірусів
  6. Етапи дії вірусу
  7. Захист від комп'ютерних вірусів
  8. Засоби антивірусного захисту
  9. Усунення різних антивірусних програмах

Володимир Молочков (В. Новгород)

Подібно до того, як автомобілі розганяють і врізають в стіну (краш-тест), так і антивіруси перевіряють тестовими вірусами. Там перевіряють наскільки хороший автомобіль, тут - наскільки хороший антивірус ...

Який антивірус краще? На це питання важко дати однозначну відповідь. Тим не менш, ви можете перевірити, наскільки хороший обраний вами домашній антивірус, використавши для такої перевірки тестові віруси. Давайте подивимося, як це робиться. Будемо перевіряти дуже популярний антивірус ESET і порівнювати його роботу з Антивірусом Касперського. Для нашого експерименту створимо три файли з тестовими вірусами: eicar.com, cure-eicar.com і susp-eicar.com.

Створюємо тестовий вірус eicar.com

EICAR (European Institute for Computer Antivirus Research) - файл, застосовуваний для перевірки роботи антивірусних програм. Він реальним вірусом НЕ Є, а всього лише виводить текстове повідомлення і повертає керування операційній системі. Тому будь-який користувач може переконатися в працездатності свого антивіруса, набравши в текстовому редакторі (наприклад, в Блокноті) тестовий рядок довжиною 68 байт і зберігши її з розширенням .EXE або .COM. Отже, запустіть текстовий редактор Блокнот, скориставшись системним меню Пуск> Програми> Стандартні> Блокнот і наберіть рядок:

X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7} $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H *.

Створюємо тестовий вірус cure-eicar.com

Суть вірусу EICAR така, що він виявляється невиліковним. Це відбувається тому, що антивірус ідентифікує EICAR як вірус за наявністю в ньому згаданих 68 символів. Якщо їх видалити - то від файлу нічого не залишиться. Отже, за допомогою EICAR можна тестувати тільки основну функцію антивіруса - виявлення. Тому для тестування антивірусів добре використовувати модифікований тестовий вірус, а саме: CURE-EICAR Виявивши такий файл, антивірус повинен його «вилікувати», скоротивши його розмір до 4 байт (символи «CURE»). Тому змінюйте EICAR, додавши до нього в блокноті приставку «CURE-«.

Збережіть отриманий файл під ім'ям cure-eicar.com. Цей тестовий вірус так само, як і попередній, добре відомий в лабораторії Касперського, і антивірус Касперського його однозначно виявляє, але вилікувати не може.

Створюємо тестовий вірус SUSP-EICAR

Описаним вище способом можна створити безліч вірусів. Так, DELE-EICAR Антивірус Касперського визначає як невиліковний вірус або троянську програму і видаляє. Отже, за результатами перевірки DELE-EICAR повинен бути виявлений тільки в резервному сховище. CORR-EICAR призначений для діагностики роботи Антивірус Касперського в разі виявлення файлу з ушкодженою структурою, внаслідок чого перевірити його на наявність вірусів неможливо. Такий файл визнається умовно чистим. Вірус WARN-EICAR визнається підозрілим. Це призводить до пропозиції помістити його на карантин або видалити. Всі ці імітатори вірусів створюються за одним принципом - 68-символьний рядок з початку доповнюється п'ятьма символами, в залежності від модифікації - приставкою CURE, DELE, CORR, ERRO, SUSP або WARN і дефісом. Наприклад, вміст CURE-EICAR виглядає так:

CURE-X5O! P% @ AP [4PZX54 (P ^) 7CC) 7} $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H *.

Ми створимо SUSP-EICAR. Цей файл Антивірус Касперського визнає підозрілим, а саме - зараженим невідомим вірусом. Отже, він повинен бути поміщений на карантин або видалений (за замовчуванням дію при виявленні підозрілого об'єкта запитується у користувача).

Збережіть файл як susp-eicar.com.

Переконайтеся, що всі три віруси створені правильно, перевіривши розмір кожного з файлів. Для цього по черзі наведіть курсор миші на кожен з файлів і ознайомтеся з інформацією, представленою у спливаючому вікні. Файл eicar.com повинен мати розмір 68 байт, а cure-eicar.com і susp-eicar.com - по 73 байта.

Переконайтеся, що при запуску тестовий вірус виводить попереджувала вікно. Для цього наберіть Пуск-Виконати-CMD, а потім наберіть eicar і натисніть на Enter.

Для цього наберіть Пуск-Виконати-CMD, а потім наберіть eicar і натисніть на Enter

На малюнку: Вірус вивів текстове повідомлення

Отже, вище ми створили три різних вірусу. Антивірус Касперського все їх виявляє, але в кожному разі надходить по-різному (лікує, поміщає в карантин, видаляє). Подивимося, як на ці тестові віруси відреагує ESET.

Тестування антивіруса ESET за допомогою EICAR

Отже, потрібно протестувати здатність встановленого на вашому ПК антивіруса ESET (або, наприклад, AVAST, McAfee, Dr_WEB, Avira ...) з метою порівняти його з певним еталоном, за який ми взяли антивірус Касперського. Якщо ESET (або інший домашній антивірус) зможуть виявляти віруси на прикладі модифікацій базового тестового вірусу EICAR, то вони хороші. А якщо немає - то ви в небезпеці. Інакше кажучи, потрібно буде перейти до папки з тестовими файлами, перевірити її на віруси.

Антивірус має знайти вірус eicar.com і запросити подальші дії у користувача. Оскільки EICAR невиліковний, функція лікування недоступна. Такі файли завжди рекомендується видаляти, що і потрібно буде вибрати в цьому завданні. Однак не всі антивіруси поводяться однаково.

Однак не всі антивіруси поводяться однаково

Як бачимо з цього вікна, при настройках за умовчанням антивірус ESET видалив eicar.com без всяких повідомлень для користувача як в розпакованому вигляді, так і у вигляді архіву - eicar.zip. У той час як вірус susp-eicar.com виявлений не був.

Звідси можна зробити висновок, що антивірус ESET гірше, ніж антивірус Касперського працює з тестовими вірусами. Що стосується інших антивірусів, то експеримент проведіть самі. Це недовго, нескладно, але дуже корисно.

Ворога треба знати в обличчя

Ознаки появи вірусів

  • припинення роботи або неправильна робота раніше успішно функціонуючих програм
  • повільна робота комп'ютера
  • неможливість завантаження операційної системи
  • зникнення файлів і каталогів або перекручування їхнього вмісту
  • зміна дати і часу модифікації файлів
  • зміна розмірів файлів
  • несподіване значне збільшення кількості файлів на диску
  • істотне зменшення розміру вільної оперативної пам'яті
  • висновок на екран непередбачених повідомлень або зображень
  • подача непередбачених звукових сигналів
  • часті зависання і збої в роботі комп'ютера

Основні типи комп'ютерних вірусів

Програмні. Це блоки програмного коду, впроваджені всередину інших прикладних програм. Вірусний код запускається при запуску програми.

Завантажувальні. Вражають системні області магнітних носіїв (гнучких і жорстких дисків). Зараження відбувається при завантаженні ПК з зараженого носія.

Макровіруси. Вражають документи, виконані в деяких прикладних програмах (наприклад, Word). Зараження відбувається при відкритті файлу документа у вікні програми, якщо в ній не відключена можливість виконання макрокоманд (макросів).

Етапи дії вірусу

Розмноження - вірусний код може відтворювати себе в тілі інших програм.

Вірусна атака - після створення достатньої кількості копій програмний вірус починає здійснювати руйнування: порушення роботи програм і ОС, видалення інформації на жорсткому диску, самі руйнівні віруси викликають форматування жорсткого диска. Деякі віруси можуть знищувати дані, в цьому випадку потрібна заміна мікросхеми (хоча вважається, що жоден вірус не в змозі вивести з ладу апаратне забезпечення ПК).

Захист від комп'ютерних вірусів

Існують три рубежі захисту:

  • запобігання надходження вірусів;
  • запобігання вірусної атаки, якщо вірус надійшов на ПК;
  • запобігання руйнівних наслідків, якщо атака відбулася.

Методи реалізації захисту - програмні, апаратні та організаційні.

Засоби антивірусного захисту

Основний засіб - резервне копіювання цінних даних, допоміжні - антивірусні програми і апаратні засоби.

Апаратний засіб: відключення перемички на материнській платі не дозволить здійснити стирання мікросхеми BIOS ні вірусу, ні зловмисникові, ні неакуратному користувачеві.

Апаратний засіб: відключення перемички на материнській платі не дозволить здійснити стирання мікросхеми BIOS ні вірусу, ні зловмисникові, ні неакуратному користувачеві

Усунення різних антивірусних програмах

При роботі з антивірусом користувачеві можуть бути запропоновані наступні варіанти дій із зараженим файлом:

  • Лікувати (рекомендується) - після натискання кнопки OK буде зроблена спроба вилікувати заражений файл. Якщо ця спроба буде невдалою, то буде видане повідомлення.
  • Видалити - заражений файл буде видалений без можливості відновлення.
  • Пропустити (ігнорувати) - із зараженим файлом не буде виконано жодних дій. Факт його виявлення буде зафіксований в звіті про роботу антивіруса. Наступна спроба звернутися до зараженого файлу знову призведе до висновку на екран повідомлення про виявлення вірусу.
  • Помістити в карантин (Перемістити в резервне сховище). Карантин - це папка, куди антивірус в ході перевірки комп'ютера переміщує підозрілі об'єкти, зараження яких він не зміг однозначно визначити. Після кожного оновлення баз об'єкти, що зберігаються на карантині, піддаються перевірці. Їли об'єкт визначається як заражений, то він повинен бути або вилікуваний, або видалений. Якщо після оновлення баз об'єкт однозначно визначено як здоровий, то він може бути відновлений в тому місці, звідки він був поміщений в карантин.

Який антивірус краще?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация:

Все права защищены © 2013 Производственная компания El.Od
Промышленное производство рыбной продукции