Краш-тест для антивирусов

Владимир Молочков (В. Новгород)

Подобно тому, как автомобили разгоняют и врезают в стену (краш-тест), так и антивирусы проверяют тестовыми вирусами. Там проверяют насколько хорош автомобиль, здесь — насколько хорош антивирус…

BIGITALRU_11

Какой антивирус лучше? На этот вопрос трудно дать однозначный ответ. Тем не менее, вы можете проверить, насколько хорош выбранный вами домашний антивирус, использовав для такой проверки тестовые вирусы. Давайте посмотрим, как это делается. Будем проверять очень популярный антивирус ESET и сравнивать его работу с Антивирусом Касперского. Для нашего эксперимента создадим три файла с тестовыми вирусами: eicar.com, cure-eicar.com и susp-eicar.com.

Создаем тестовый вирус eicar.com

EICAR (European Institute for Computer Antivirus Research) — файл, применяемый для проверки работы антивирусных программ. Он реальным вирусом НЕ ЯВЛЯЕТСЯ, а всего лишь выводит текстовое сообщение и возвращает управление операционной системе. Поэтому любой пользователь может убедиться в работоспособности своего антивируса, набрав в текстовом редакторе (например, в Блокноте) тестовую строку длиной 68 байт и сохранив ее с расширением .EXE или .COM. Итак, запустите текстовый редактор Блокнот, воспользовавшись системным меню Пуск > Программы > Стандартные > Блокнот и наберите строку:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*.

Создаем тестовый вирус cure-eicar.com

Суть вируса EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить — то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса — обнаружение. Поэтому для тестирования антивирусов хорошо использовать модифицированный тестовый вирус, а именно: CURE-EICAR Обнаружив такой файл, антивирус должен его «вылечить», сократив его размер до 4 байт (символы «CURE»). Поэтому модифицируйте EICAR, добавив к нему в блокноте приставку «CURE-«.

Сохраните получившийся файл под именем cure-eicar.com. Этот тестовый вирус так же, как и предыдущий, хорошо известен в лаборатории Касперского, и антивирус Касперского его однозначно обнаруживает, но вылечить не может.

Создаем тестовый вирус SUSP-EICAR

Описанным выше способом можно создать множество вирусов. Так, DELE-EICAR Антивирус Касперского определяет как неизлечимый вирус или троянскую программу и удаляет. Следовательно, по результатам проверки DELE-EICAR должен быть обнаружен только в резервном хранилище. CORR-EICAR предназначен для диагностики работы Антивируса Касперского в случае обнаружения файла с поврежденной структурой, вследствие чего проверить его на наличие вирусов невозможно. Такой файл признается условно чистым. Вирус WARN-EICAR признается подозрительным. Это приводит к предложению поместить его на карантин или удалить. Все эти имитаторы вирусов создаются  по одному принципу — 68-символьная строка с начала дополняется пятью символами, в зависимости от модификации — приставкой CURE, DELE, CORR, ERRO, SUSP или WARN и дефисом. Например, содержимое CURE-EICAR выглядит так:

CURE-X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*.

Мы создадим SUSP-EICAR. Этот файл Антивирус Касперского признает подозрительным, а именно — зараженным неизвестным вирусом. Следовательно, он должен быть помещен на карантин или удален (по умолчанию действие при обнаружении подозрительного объекта запрашивается у пользователя).

Сохраните файл как susp-eicar.com.

Убедитесь, что все три вируса созданы правильно, проверив размер каждого из файлов. Для этого по очереди наведите курсор мыши на каждый из файлов и ознакомьтесь с информацией, представленной во всплывающем окне. Файл eicar.com должен иметь размер 68 байт, а cure-eicar.com и susp-eicar.com — по 73 байта.

Убедитесь, что при запуске тестовый вирус выводит предупреждающее окно. Для этого наберите Пуск-Выполнить-CMD, а затем наберите  eicar и нажмите на Enter.

BIGITALRU_22

На рисунке: Вирус вывел текстовое сообщение

Итак, выше мы создали три разных вируса. Антивирус Касперского все их обнаруживает, но в каждом случае поступает по-разному (лечит, помещает в карантин, удаляет). Посмотрим, как на эти тестовые вирусы отреагирует ESET.

Тестирование антивируса ESET с помощью EICAR

Итак, нужно протестировать способность установленного  на вашем ПК антивируса ESET (или, например, AVAST, McAfee, Dr_WEB, Avira…) с целью сравнить его с неким эталоном, за который мы взяли антивирус Касперского. Если ESET (или иной домашний антивирус) смогут обнаруживать вирусы на примере модификаций базового тестового вируса EICAR, то они хороши. А если нет — то вы в опасности. Иначе говоря, нужно будет перейти к папке с тестовыми файлами, проверить ее на вирусы.

Антивирус должен найти вирус eicar.com и запросить дальнейшие действия у пользователя. Поскольку EICAR неизлечим, функция лечения недоступна. Такие файлы всегда рекомендуется удалять, что и нужно будет выбрать в этом задании. Однако не все антивирусы ведут себя одинаково.

BIGITALRU_33

Как видим из этого окна, при настройках по умолчанию антивирус ESET удалил eicar.com без всяких сообщений для пользователя как в распакованном виде, так и в виде архива  — eicar.zip. В то время как вирус susp-eicar.com обнаружен не был.

Отсюда можно сделать вывод, что антивирус ESET хуже, чем антивирус Касперского работает с тестовыми вирусами. Что касается других антивирусов, то эксперимент проведите сами. Это недолго, несложно, но весьма полезно.

Врага надо знать в лицо

Признаки появления вирусов

  • прекращение работы или неправильная работа ранее успешно функционировавших программ
  • медленная работа компьютера
  • невозможность загрузки операционной системы
  • исчезновение файлов и каталогов или искажение их содержимого
  • изменение даты и времени модификации файлов
  • изменение размеров файлов
  • неожиданное значительное увеличение количества файлов на диске
  • существенное уменьшение размера свободной оперативной памяти
  • вывод на экран непредусмотренных сообщений или изображений
  • подача непредусмотренных звуковых сигналов
  • частые зависания и сбои в работе компьютера

Основные типы компьютерных вирусов

Программные. Это блоки программного кода, внедренные внутрь других прикладных программ. Вирусный код запускается при запуске программы.

Загрузочные. Поражают системные области магнитных носителей (гибких и жестких дисков). Заражение происходит при загрузке ПК с зараженного носителя.

Макровирусы. Поражают документы, выполненные в некоторых прикладных программах (например, Word). Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд (макросов).

Этапы действия вируса

Размножение — вирусный код может воспроизводить себя в теле других программ.

Вирусная атака — после создания достаточного числа копий программный вирус начинает осуществлять разрушение: нарушение работы программ и ОС, удаление информации на жестком диске, самые разрушительные вирусы вызывают форматирование жесткого диска. Некоторые вирусы могут уничтожать данные, в этом случае требуется замена микросхемы (хотя считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение ПК).

Защита от компьютерных вирусов

Существуют три рубежа защиты:

  • предотвращение поступления вирусов;
  • предотвращение вирусной атаки, если вирус поступил на ПК;
  • предотвращение разрушительных последствий, если атака произошла.

Методы реализации защиты — программные, аппаратные и организационные.

Средства антивирусной защиты

Основное средство — резервное копирование ценных данных, вспомогательные — антивирусные программы и аппаратные средства.

Аппаратное средство: отключение перемычки на материнской плате не позволит осуществить стирание микросхемы BIOS ни вирусу, ни злоумышленнику, ни неаккуратному пользователю.

BIGITALRU_44

Действия пользователя в различных антивирусных программах

При работе с антивирусом пользователю могут быть предложены следующие варианты действий с зараженным файлом:

  • Лечить (рекомендуется) — после нажатия кнопки OK будет предпринята попытка вылечить зараженный файл. Если эта попытка будет неудачной, то будет выдано сообщение.
  • Удалить — зараженный файл будет удален без возможности восстановления.
  • Пропустить (игнорировать) — с зараженным файлом не будет выполнено ни каких действий. Факт его обнаружения будет зафиксирован в отчете о работе антивируса. Следующая попытка обратиться к зараженному файлу вновь приведет к выводу на экран сообщения об обнаружении вируса.
  • Поместить в карантин (Переместить в резервное хранилище). Карантин — это папка, куда антивирус в ходе проверки компьютера перемещает подозрительные объекты, заражение которых он не смог однозначно определить. После каждого обновления баз объекты, хранящиеся на карантине, подвергаются проверке. Ели объект определяется как зараженный, то он должен быть либо вылечен, либо удален. Если после обновления баз объект однозначно определен как здоровый, то он может быть восстановлен в том месте, откуда он был помещен в карантин.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>