Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).
Многие современные антивирусы расширяют набор своих функций, позволяя обнаруживать и удалять также троянские и прочие вредоносные программы. Идёт и процесс интеграции антивирусных функций в другие программы — например, файрволы.
Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать сотни тысяч вирусов, но ни одна из них не даст 100 % защиты.
Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач: Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий: Удалить инфицированный файл. Заблокировать доступ к инфицированному файлу. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса). Попытаться «вылечить» файл, удалив тело вируса из файла. В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.
Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет) данные о новых вирусах. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а те затем добавляют информацию о новых вирусах в свои базы.
Для многих антивирусных программ с базой сигнатур характерна проверка файлов в тот момент, когда операционная система создаёт, открывает, закрывает или посылает файлы по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.
Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с определением в словаре вирусов.
Основная статья: Обнаружение аномалий
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (.EXE-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать.
В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System (HIPS).
В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe-n-Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы-файрволы издавна имели в своем составе модуль обнаружения странного поведения программ.
Основная статья: Обнаружение, основанное на эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть, например, немедленно начинает искать другие .EXE-файлы), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».
Евгений Касперский в 1992 году использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность): Сканеры (устаревший вариант — «полифаги») — определяют наличие вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора (см.: Эвристическое сканирование). Ревизоры (класс, близкий к IDS) — запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений. Сторожа (мониторы) — отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции. Вакцины — изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных (2007 год) условиях, когда количество возможных вирусов измеряется сотнями тысяч, этот подход неприменим.
Современные антивирусы сочетают все вышесказанные функции. Антивирусы так же можно разделить на: Антивирусы так же можно разделить на: Продукты для домашних пользователей: Собственно антивирусы; Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т. д.); Корпоративные продукты: Серверные антивирусы; Антивирусы на рабочих станциях («endpoint»).
В 2009 году различные производители антивирусов стали сообщать о широком распространении нового типа программ — ложных или лже-антивирусов (rogueware). По сути эти программы или вовсе не являются антивирусами (то есть не способны бороться с вредоносным ПО), или даже являются вирусами (воруют данные кредитных карт и т. п.).
Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. Один из способов заражения ПК ложным антивирусом следующий. Пользователь попадает на «инфицированный» сайт, который выдаёт ему предупреждающее сообщение вроде «На вашем компьютере обнаружен вирус» и предлагает скачать бесплатную программу для удаления вируса. После установки такой программы она производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $0 до 80 долларов) и ложный антивирус очищает ПК от несуществующих вирусов.
Что такое бесплатный антивирус? Откуда берутся бесплатные антивирусы, сетевые сканеры и другие бесплатные средства защиты компьютера от вирусов? Зачем платить за лицензионный антивирусный пакет, если можно бесплатно скачать антивирусную программу.
Принимая во внимание лавинообразно возрастающую конкуренцию на рынке антивирусных средств защиты компьютеров, некоторые разработчики антивирусных программ, с целью привлечения внимания к своим продуктам, предлагают скачать бесплатно антивирусы и другие средства защиты компьютеров от вирусов, червей, троянов и прочих вредоносных программ.
В качестве бесплатных антивирусов обычно предлагаются сетевые (online) сканеры, для проверки компьютеров на наличие вирусов подключенных к сети Интернет, многочисленные бесплатные утилиты для нейтрализации и удаления различных вирусов, а также бесплатные лицензионные антивирусные программы.
Как правило, бесплатные антивирусы имеют ограниченные функциональные возможности, по сравнению с коммерческими антивирусными пакетами или распространяются в обязательном комплекте с другими программами.
Сканеры вирусов являются основным элементом антивирусных программ, принцип действия которых заключается в сканировании компонентов компьютера, включая загрузочные секторы дисков и сравнивая результаты сканирования с сигнатурами вирусов. Большинство бесплатно предлагаемых сканеров можно использовать без инсталляции и параллельно с установленной на компьютере антивирусной программой. Важным условием корректной работы сканеров является своевременное обновление вирусных баз, хотя обычно это происходит автоматически и бесплатно.
Компания Доктор Веб предлагает скачать бесплатно сканер, который не требует установки и может проверять компьютер на наличие вирусов параллельно с любой другой антивирусной программой.
Бесплатным инструментом Лаборатории Касперского является Kaspersky Online Scanner
Хороший бесплатный инструмент, для сканирования компьютера на наличие вирусов, троянов и других вредоносных программ представила компания BitDefender
Скачать бесплатно можно не только сканеры или различные лечащие утилиты но и лицензионные антивирусные программы. В большинстве случаев бесплатные антивирусы предлагаются исключительно для домашнего использования.
Часто известные производители антивирусного программного обеспечения предлагают бесплатно лицензионные антивирусы в рамках совместных проектов с очень популярными в Интернете компаниями, как например, лучшая в Рунете поисковая система Яндекс.
Чешская компания ALWIL Software, разработчик и производитель антивирусных программ под маркой Avast!, объясняет наличие бесплатной лицензионной версии, на рынке антивирусных средств защиты компьютеров, заботой о вирусной обстановке глобального интернет пространства и защитой сети от вирусных эпидемий.