Міністерство освіти Російської Федерації

Східно-Сибірський державний технологічний університет

Кафедра:''Світова економіка''

Реферат на тему:

«Антивірусна індустрія напередодні десятиліття»

Виконав

Перевірив

Улан-Уде.2001

Зміст

1. Введення

2) Фірми представляють антивірусний ринок у Росії

2) Структура світового антивірусного ринку

3) Шкідливі програми

а) Комп'ютерні віруси

б) Мережеві черв'яки

в) Троянські програми

4) Файлові віруси

а) Overwriting-віруси

в) Parasitic-віруси

в) Companion-віруси

г) Файлові хробаки

д) Link-віруси

е) OBJ, LIB і віруси у вихідних текстах

5) Завантажувальні віруси

6) Макровіруси

7) Скрипт-віруси

8) Особливості алгоритмів роботи вірусів

а) Резидентні віруси

б) Стелс-віруси

в) Полиморфик-віруси

9) Класифікація антивірусних програм

а) Чистий антивірус

б) Програми подвійного призначення

10) Основні методи визначення вірусів

а) Алгоритм «порівняння з еталоном»

б) Алгоритм «контрольної суми»

в) Методи визначення поліморфік-вірусів

г) Евристичний аналіз

11) Висновок

12) Список використаної літератури

Введення

Антивіруси з'явилися більше десяти років тому. Проте перший час вони поширювалися як безкоштовне протиотруту. Не було належної підтримки сервісу, оскільки проекти були некомерційними. Як індустрія служба створення і представлення антивірусних програм оформилася приблизно в 1992 році, не раніше, а значить незабаром відзначить своє десятиріччя. Десять років для народження і розвитку цілої індустрії, з оборотом в сотні мільйонів доларів, строк дуже невеликий. За цей час виник зовсім новий ринок, сформувався певний перелік продуктів, з'явилася така кількість термінів, що їх вистачило б на цілу енциклопедію. Слід зазначити, що недосвідченому користувачеві часом навіть важко відрізнити науковий термін від комерційної назви, Звичайно, для того щоб користуватися антивірусними програмами, не обов'язково знати всі подробиці будови і поведінки вірусів, проте мати загальні уявлення про те, які основні групи вірусів сформувалися на сьогоднішній день , які принципи закладені в алгоритми шкідливих програм і як поділені світовий і російський антивірусний ринок, буде корисно знати.

Фірми представляють антивірусний ринок у Росії

Як було вже зазначено, антивірусний ринок живе напередодні свого десятиліття. Саме в 1992 році було створено АТЗТ''ДіалогНаука'', що поклало початок активному просуванню на вітчизняний ринок знаменитої програми Лозінського Aidstest; починаючи з цього часу Aidstest стала поширюватися на комерційній основі. Приблизно в той же час Євген Касперський організовує невеликий комерційний відділ у рамках КАМІ, в якому по початку працювали три людини. Також в 1992 році американський ринок завойовує програма McAfee VirusScan.В Росії ринок тоді розвивався досить повільно, і до 1994 року картина приблизно наступним чином: домінуюче становище займала компанія «ДіалогНаука» близько 80%, Антивірусу Касперського належало менш 5% ринку, всім іншим ще 15% ринку. У 1995 році 3% Євген Касперський переніс свій антивірус на 32 - бітні интеловские платформи Windows, Novell NetWare і OS / 2, в результаті продукт почав активно просуватися на ринок.

У 1997 році Антивірус Касперського займав вже 30% ринку, а на частку компанії «ДіалогНаука» припадало 50% ринку. У 1998 році Антивірус Касперського займав вже 30% ринку, а на частку компанії «Діалог Наука» припадало приблизно 50% ринку. У 1998 році Антивірус Касперського наздогнав за обсягом продажів «ДіалогНаука», і разом вони покрили 80% ринку, а до 2001 року Антивірус Касперського завоював вже близько 60% ринку. Із західних компаній на російському ринку досить міцно влаштувалася компанія «Symantec», якій сьогодні належить від 20 до 25% ринку займає компанія «ДіалогНаука».

Структура світового антивірусного ринку

На світовій арені лідирує компанія МсАfее - її продукт міцно утримує перше місце і має близько 50% продажу, причому пропонуються рішення переважно для корпоративного ринку. На другому місці знаходиться Symantec-ця компанія більше продає якраз на роздрібному ринку. Третє і четверті місця ділять Computer Associates і TrendMicro, які мають приблизно по 10%, далі йдуть ще близько 20 компаній, внесок яких у світовий ринок становить близько 20%. Причому з цих 20 шістка великих локальних компаній - Sophos AV (Англія), F-Secure (Фінляндія), Norman (Норвегія), Command Software (США), Panda Software (Іспанія), Kaspersky Lab (Росія) - має більше 18% обсягу продажів.

Крім оцінок ринку, зроблених російськими компаніями, цікаво ознайомитися також з деякими оцінками міжнародної компанії Gartner Group, відповідно до яких у 1999 році обсяг продажів антивірусних продуктів і послуг у світі склав близько 1,5 млрд дол У 1988 році фірма McAfee (США) займала 50% світового ринку, фірма Symantes (США) - 20%, і фірма Trend Micro (Тайвань) - 10%. За останні 5 років цей обсяг збільшувався в середньому на 100% на рік, що є одним з найвищих показників у софтверної індустрії взагалі. У 1999 році обсяг ринку продажів антивірусних продуктів і послуг у Росії склав 1, 5 млн. дол і за останні 5 років збільшувався в середньому на 30% в рік. У 1998 році «ДіалогНаука» та «Лабораторія Касперського» займали по 40% цього ринку.

Шкідливі програми

З якими ж вірусами доводиться боротися світової та вітчизняної антивірусної індустрії?

У принципі, не всі шкідливі програми є вірусами. Що ж таке віруси? Точного визначення комп'ютерного вірусу взагалі не існує. Різноманітність вірусів настільки велике, що дати достатня умова (перерахувати набір ознак, при виконанні яких програму можна однозначно віднести до вірусів) просто неможливо - завжди знайдеться клас програм з даними ознаками, які не є при цьому вірусом. При цьому більшість визначень необхідної умови сходяться на тому, що комп'ютерні віруси - це програми, які вміють розмножуватися і впроваджувати свої копії в інші програми. Тобто заражають існуючі файли.

Другий тип шкідливих програм - так звані мережеві черв'яки - розмножуються, але не є частиною інших файлів.

Мережеві черв'яки поділяються на Internet - черв'яки (поширюються по

), LAN-черв'яки (поширюються по локальній мережі), IRC - черв'яки Internet Relay Chat (поширюються через чати). Існують так само змішані типи, які поєднують в собі відразу декілька технологій.

Виділяють в окрему групу також троянські програми, які не розмножуються і не розсилаються самі. Троянські програми поділяють на кілька видів Емулятори DDoS-атак призводять до атак на Web-сервери, при яких на Web - сервер з різних місць надходить велика кількість пакетів, що і приводить до відмов роботи системи. Викрадачі секретної інформації крадуть інформацію.

Утиліти несанкціонованого віддаленого управління, проникаючи у ваш комп'ютер, надають господареві троянця доступ до цього комп'ютера і керувати нею.

Дроппер (від англ. Drop - кидати) - програма, яка «скидає» в систему вірус або інші шкідливі програми, при цьому сама більше нічого не робить. Велика кількість вірусів дозволяє говорити про більш докладної класифікації.

Файлові віруси:

• Звичайні файлові віруси

• OBJ, LIB і віруси у вихідних текстах

• Файлові хробаки

• Link - віруси

• Companion - віруси

• Parasitic - віруси

• Overwriting - віруси

Завантажувальні

Макровіруси

• Для MS Word

• Excel

• Access

• PowerPoint

• Для всіх платформ

• Для інших програм

Скрипт - віруси

• Для Windows

• Для DOS

• Для інших систем

Змішаного типу

Файлові віруси

Файлові віруси - це віруси, які при розмноженні використовують файлову систему будь - якої ОС. Впровадження файлового вірусу можливо практично у всі виконувані файли всіх популярних ОС - DOS, Windows, OS / 2, Macentosh, UNIX і т.д.

За способом зараження файлів файлові віруси діляться на звичайні, які вбудовують свій код у файл, по можливості не порушуючи його функціональності, а також на overwriting, паразитичні (parasitic), компаньйон - віруси (companion), link - віруси, віруси - черв'яки і віруси , що заражають об'єктні модулі (OBJ), бібліотеки компіляторів (LIB) і вихідні тексти програм.

Overwriting - віруси

Overwriting - вірус записує свій код замість коду заражає файли, знищуючи його вміст, після файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, тому що операційна система і додатки швидко перестає працювати.

Parasitic - віруси

Parasitic - віруси змінюють вміст файлів, залишаючи при цьому самі файли повністю або частково працездатними. Такі віруси поділяють на віруси, що записуються в початок, в кінець і в середину файлів.

Companion - віруси

Companion - віруси не змінюють заражають файлів, а створюють для заражає файли файл - двійник, причому при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус.

Файлові хробаки

Файлові хробаки (worms) є різновидом компаньйон - вірусів, однак не пов'язують свою присутність із яким-небудь виконуваним файлом. При розмноженні вони всього лише копіюють свої код в будь-які каталоги дисків в надії, що ці нові копії будуть коли-небудь запущені користувачем.

Link - віруси

Link - віруси використовують особливості організації файлів системи. Вони, як і компаньйон - віруси, не змінюють фізичного вмісту файлів, проте при запуску зараженого файлу «змушують» ОС свій код за рахунок модифікації необхідних полів файлової системи.

OBJ, LIB і віруси у вихідних текстах

Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм. Віруси, що заражають OBJ - і LIB - файли, записують у них свій код у форматі об'єктного модуля або бібліотеки. Заражений файл не є виконуваним і не здатний на подальше поширення вірусу в поточному стані. Носієм ж «живого» вірусу стає COM - або EXE - файл, що отримується в процесі компонування зараженого OBJ / LIB - файлу з іншими об'єктними модулями і бібліотеками. Таким чином, вірус поширюється в два етапи: на першому заражаються OBJ / LIB - файли, на другому етапі (лінкування) виходить працездатний вірус.

Завантажувальні віруси

Завантажувальні віруси називаються так тому, що заражають завантажувальний (boot) сектор - записують себе в завантажувальний сектор диска (boot - сектор) або в сектор, що містить системний завантажувач вінчестера (Master Boot Record). Завантажувальні віруси заміщають код програми, яка отримує управління при завантаження системи. Таким чином при перезавантаженні управління передається вірусу. При цьому оригінальний - сектор звичайно переноситься в будь - якій інший сектор диска.

Макровіруси

Макровіруси є програмами на макромови, вбудованих в деякі системи обробки даних (текстові редактори, електронні таблиці і т. д.). Вони заражають документи й електронні таблиці ряду офісних редакторів.

Для розмноження вони використовують можливості макромов і з їх допомогою переносять себе з одного зараженого файлу в інші. Найбільшого поширення набули макровіруси для Microsoft Word, Excel і Office 97. Віруси цього типу одержують керування при відкритті зараженого файлу і інфікують файли, до яких згодом йде звернення з відповідного офісного застосування - Word, Excel і пр.

Скрипт - віруси

Visual Basic Script, java Script та ін. Вони в свою чергу, діляться на віруси для DOS, для Windows, для інших систем. Крім описаних класів існує велика кількість сполучень: наприклад файлово - загрузачний вірус, що заражає файли, так і завантажувальні сектори дисків, або мережевий макровірус, який заражає редаговані документи, але і розсилає свої електронні копії по електронній пошті.

Особливості алгоритмів роботи вірусів

Різноманітність вірусів класифікувати їх також за особливостями роботи їх алгоритмів. Про це варто поговорити окремо.

Резидентні віруси

Вірус знаходиться в оперативній пам'яті і перехоплює повідомлення ОС. Якщо нерезидентні віруси активні тільки в момент запуску інфікованої програми, то резидентні віруси знаходяться в пам'яті і залишаються активними аж до вимикання комп'ютера або перезавантаження операційної системи. Резидентні віруси знаходяться в оперативній пам'яті, перехоплюють звертання операційної системи до тих чи інших об'єктів і впроваджуються в них. Такі віруси активні не тільки в момент роботи інфікованої програми, але і після завершення її роботи.

Стелс - віруси

Стелс-віруси (невидимки) приховують факт своєї присутності в системі. Оніізменяют інформацію таким чином, що файл з'являється перед ползователем в незараженою вигляді, наприклад тимчасово лікують заражені файли.

Полиморфик - віруси

Полиморфик - віруси використовують шифрування для ускладнення процедури визначення вірусу. Дані віруси не містять постійних ділянок коду, що досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача. У більшості випадків два зразки разом ж поліморфік-вірусу не будуть мати жодного збігу. Саме тому поліморфік-вірус неможливо виявити за допомогою виявлення ділянок постійного коду, специфічних для конкретного вірусу. Поліморфізм зустрічається у вірусах всіх типів - від завантажувальних і

файлових DOS - вірусів до Windows - вірусів і навіть макровірусів.

Класифікація антивірусних програм

Всі антивіруси можна розділити на два великі класи: чисті і антивіруси антивіруси подвійного призначення.

Чисті антивіруси

Чистий вірус-відрізняється наявністю антивірусного ядра, яке виконує функцію сканування за зразками. Принципова особливість в цьому випадку полягає у можливості лікування. Якщо вірус відомий, отже можливо лікування. Далі чисті антивіруси поділяються за типом доступу до файлів на дві категорії - on access і on demand, які відповідно здійснює контроль за доступом або перевірку на вимогу. Наприклад, в термінологоіі продуктів «Лабораторії Касперського» on access - продукт - це «Монітор», а on demand - продукт - це «Сканер». On demand-продукт працює за наступною схемою: користувач хоче що-небудь перевірити і видає запит (demand), після чого здійснюється перевірка. On access-продукт - це резидентна програма, яка відстежує доступ і в момент доступу здійснює перевірку. Крім того, антивірусні програми, також як і віруси, можна розділити по платформі. Поняття «Платформа» в антивірусної термінології трохи відрізняється від загальноприйнятого в комп'ютерній індустрії. У антивірусної індустрії SW - платформа - це той продукт, всередині якого працює антивірус. Тобто на ряду з Windows або Linux до платформ можуть бути віднесені Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Програми подвійного значення

Програми подвійного призначення - це програми, використовувані і в антивірусах, і в ПЗ, яке не є антивірусом. Наприклад, - ревізор змін на основі контрольних сум, може використовуватися не тільки для лову вірусів. У «Лабораторії Касперського» ревізор реалізований під комерційним назвою «Інспектор»

(«Сканер», «Монітор», «Інспектор» - це комерційні назви відповідних модулів «Лабораторії Касперського»)

Різновидом програм подвійного призначення є поведінкові блокіратори, які аналізують поведінку інших програм і при виявленні підозрілих дій блокують їх.

Від класичного антивіруса з антивірусним ядром, «дізнаються» і лікуючим від вірусів, які аналізувалися в лабораторії і до яких був прописаний алгоритм лікування, поведінкові блокіратори відрізняються тим, що лікувати від вірусів не вміють, оскільки нічого про них не знають. Це властивість блокіраторів корисно тим, що вони можуть працювати з будь-якими вірусами, в тому числі і з невідомими. Це сьогодні особливо актуально, оскільки розповсюджувачі вірусів і антивірусів використовують одні й ті ж канали передачі даних, тобто Інтернет. При цьому вірус завжди має деяку форму (час затримки), оскільки антивірусної компанії завжди потрібен час на те, щоб отримати сам вірус, проаналізувати його і написати відповідні лікувальні модулі. Програми з групи подвійного призначення якраз і дозволяють блокувати поширення вірусу до того моменту, поки компанія не напише лікувальний модуль.

Основні методи визначення вірусів

Алгоритм «порівняння з еталоном»

Самий старий алгоритм - це алгоритм, в якому вірус визначається класичним ядром по деякій масці. Зміст даного алгоритму полягає у використанні статистичних методів. Маска повинна бути, з одного боку, маленькою, щоб об'єм файлу був прийнятних розмірів, з іншого боку - настільки великий, щоб уникнути помилкових спрацьовувань (коли «свій» сприймається як «чужий», і навпаки).

Рис. 1. Схеми роботи програми, інфікованої незашифрованим

вірусом, і програми, інфікованої зашифрованим вірусом

Рис. 2. Схема роботи емулятора процесора

Алгоритм «контрольної суми»

Алгоритм контрольної суми припускає, що дії вірусу змінюють контрольну суму. Однак синхронні зміни у двох різних сегментах можуть призвести до того, що контрольна сума залишиться незмінною при зміні файлу. Основне завдання побудови алгоритму полягає в тому, щоб зміни у файлі гарантовано приводили до зміни контрольної суми.

Методи визначення поліморфік - вірусів

На рис. 1 показана робота програми, інформованої вірусом (а), і програми, інформованої зашифрованим вірусом (б). У першому випадку схема роботи вірусу виглядає наступним чином: йде виконання програми, в якийсь момент починає виконуватися код вірусу і потім знову йде виконання програми. У випадку із зашифрованою програмою все складніше.

Йде виконання програми, потім включається дешифратор, який розшифровує вірус, потім відкидає вірус і знову йде виконання коду основної програми. Код вірусу в кожному випадку зашифрований по різному. Якщо у випадку нешифрованому вірусу еталонне порівняння дозволяє «дізнатися» вірус за деякою постійної сигнатурі, то в зашифрованому вигляді сигнатура не видно. При цьому шукати дешифратор практично неможливо, оскільки він дуже маленький і детектувати такий компактний елемент марно, тому що різко збільшується кількість помилкових спрацьовувань.

У подібному випадку вдаються до технології емуляції процесора (антивірусна програма емулює роботу процесора для того, щоб проаналізувати виконуваний код вірусу). Якщо зазвичай умовна ланцюжок складається з трьох основних елементів: ЦПУ ОС. Програма (рис.2), - то при емуляції процесора в такий ланцюжок додається емулятор, про який програма нічого не знає і, умовно кажучи, «вважає», що вона працює з центральною оперативною системою. Таким чином, емулятор як би відтворює роботу програми в деякому віртуальному просторі або реконструює її оригінальне вміст. Емулятор завжди здатний перервати виконання програми, контролює її дії, не даючи нічого зіпсувати, і викликає антивірусне скануючий ядро.

Евристичний аналіз

Для того щоб розмножуватися, вірус повинен чинити будь - то конкретні дії: копіювання в пам'ять, запис в сектори, і т. д. Евристичний аналізатор (який є частиною антивірусного ядра) містить список таких дій, переглядаючи виконуваний код програми, визначає, що вона робить, виходячи з цього приходить до висновку, чи є дана програма вірусом чи ні. Принципова відмінність евристичного аналізатора від поведінкового блокіратора полягає в тому, що останній не розглядає програму як набір команд. Блокіратор відстежує дії програми в процесі її роботи, а евристичний аналізатор починає роботу до виконання програми. Перший евристичний аналізатор з'явився на початку 90-х років.

Висновок

У рамках міжнародного ринку інформації гостро стоїть проблема збереження інформації, особливо, останнім часом, коли йде загальна комп'ютеризація суспільства. Все більше фірм і підприємств впроваджують на виробництві комп'ютери, зберігаючи в них цінну інформацію і бажаючи захистити себе від втрати або псування даної інформації. Це зумовило розвиток такого сектора ринку, як створення антивірусних програм. І на даний момент ця індустрія є найбільш динамічно розвивається.

І в майбутньому очікується збільшення обсягу продажів антивірусних продуктів, оскільки буде продовжуватися поява нових вірусів, а отже і потреба в програмах здатних захистити інформацію від них.

Список використаної літератури

Журнал: «Комп'ютер прес» М: № 9 2001р

Журнал: «Комп'ютер прес» М: № 11 2001р

WWW. GAZETA.ru