Реферат: Антивирусная индустрия в канун десятилетия

МинистерствообразованияРоссийскойФедерации

Восточно-Сибирскийгосударственныйтехнологическийуниверситет

Кафедра:''Мировая экономика''

Рефератна тему:

«Антивируснаяиндустрия вканун десятилетия»

Выполнил

Проверил

Улан-Удэ.2001

Содержание

Введение

2)Фирмы представляющиеантивирусныйрынок в России

2) Структурамировогоантивирусногорынка

3)Вредоносныепрограммы

а)Компьютерныевирусы

б)Сетевые черви

в)Троянскиепрограммы

4)Файловые вирусы

а) Overwriting-вирусы

в)Parasitic-вирусы

в)Companion-вирусы

г) Файловыечерви

д) Link-вирусы

е) OBJ,LIBи вирусы в исходныхтекстах

5)Загрузочныевирусы

6) Макровирусы

7) Скрипт-вирусы

8) Особенностиалгоритмовработы вирусов

а)Резидентныевирусы

б)Стелс-вирусы

в)Полиморфик-вирусы

9) Классификацияантивирусныхпрограмм

а)Чистый антивирус

б)Программыдвойного назначения

10) Основныеметоды определениявирусов

а)Алгоритм «сравнениес эталоном»

б)Алгоритм «контрольнойсуммы»

в)Методы определенияполиморфик-вирусов

г)Эвристическийанализ

11) Заключение

12) Списокиспользованнойлитературы

Введение

Антивирусыпоявились болеедесяти летназад. Однакопервое времяони распространялиськак бесплатноепротивоядие.Не было должнойподдержкисервиса, посколькупроекты былинекоммерческими.Как индустрияслужба созданияи представленияантивирусныхпрограмм оформиласьпримерно в 1992году, не раньше, а значит вскореотметит своедесятилетие.Десять лет длярождения иразвития целойиндустрии, соборотом всотни миллионовдолларов, срокочень небольшой.За это времявозник совсемновый рынок, сформировалсяопределенныйперечень продуктов, появилось такоеколичествотерминов, чтоих хватило бына целую энциклопедию.Следует отметить, что неискушенномупользователюпорой дажетрудно отличитьнаучный терминот коммерческогоназвания, Конечно, для того чтобыпользоватьсяантивируснымипрограммами, не обязательнознать все подробностистроения иповедениявирусов, однакоиметь общиепредставленияо том, какиеосновные группывирусов сформировалисьна сегодняшнийдень, какиепринципы заложеныв алгоритмывредоносныхпрограмм и какподелены мировойи российскийантивирусныйрынок, будетполезно знать.

Фирмы представляющие антивирусныйрынок в России

Как былоуже отмечено, антивирусныйрынок живетв преддвериисвоего десятилетия.Именно в 1992 годубыло созданоАОЗТ '' ДиалогНаука'', положившееначало активномупродвижениюна отечественныйрынок знаменитойпрограммыЛозинскогоAidstest; начиная с этоговремени Aidstestстала распространятьсяна коммерческойоснове. Примернов тоже времяЕвгений Касперскийорганизовываетнебольшойкоммерческийотдел в рамкахКАМИ, в которомпо началу работалитри человека.Также в 1992 годуамериканскийрынок завоевываетпрограммаMcAfeeVirusScan.ВРоссии рыноктогда развивалсядостаточномедленно, и к1994 году картинапримерно следующимобразом: доминирующееположениезанимала компания«ДиалогНаука»около 80%, АнтивирусуКасперскогопринадлежаломенее 5% рынка, всем остальнымеще 15% рынка. В1995 году 3% ЕвгенийКасперскийперенес свойантивирус на32- битные интеловскиеплатформыWindows,NovellNetWare и OS/2, в результатепродукт началактивно продвигатьсяна рынок.

В 1997 годуАнтивирусКасперскогозанимал уже30% рынка, а на долюкомпании«ДиалогНаука»приходилось50% рынка. В 1998 годуАнтивирусКасперскогозанимал уже30% рынка, а на долюкомпании «ДиалогНаука» приходилосьпримерно 50% рынка.В 1998 году АнтивирусКасперскогодогнал по объёмупродаж «ДиалогНауки», и вместе онипокрыли 80% рынка, а к 2001 году АнтивирусКасперскогозавоевал ужеоколо 60% рынка.Из западныхкомпаний нароссийскомрынке достаточнопрочно обосноваласькомпания «Symantec», которой сегодняпринадлежитот 20 до 25% рынказанимает компания«ДиалогНаука».

Структурамировогоантивирусногорынка

На мировойарене лидируеткомпания МсАfее– ее продуктпрочно удерживаетпервое местои имеет порядка50% продаж, причем предлагаютсярешения преимущественнодля корпоративногорынка. На второмместе находитсяSymantec–эта компаниябольше продаеткак раз на розничномрынке. Третьеи четвертыеместа делятComputerAssociatesи TrendMicro, которые имеютпримерно по10%, далее следуютеще порядка20 компаний, вкладкоторых в мировойрынок составляетоколо 20%. Причемиз этих 20 шестеркакрупных локальныхкомпаний –SophosAV( Англия),F-Secure(Финляндия),Norman (Норвегия ),Command Software (США ), Panda Software (Испания), Kaspersky Lab (Россия ) –имеет более18% объема продаж.

Помимооценок рынка, сделанныхроссийскимикомпаниями, интересноознакомитьсятакже с некоторымиоценкамимеждународнойкомпании GartnerGroup, в соответствиис которыми в1999 году объемпродаж антивирусныхпродуктов иуслуг в миресоставил около1,5 млрд долл. В1988 году фирмаMcAfee (США) занимала50 % мирового рынка, фирма Symantes (США)– 20%, и фирма TrendMicro(Тайвань) – 10%. Запоследние 5 летэтот объемувеличивался в среднем на100% в год, что являетсяодним из самыхвысоких показателейв софтвернойиндустриивообще. В 1999 годуобъем рынкапродаж антивирусныхпродуктов иуслуг в России составил 1, 5млн.долл и запоследние 5 летувеличивалсяв среднем на30% в год. В 1998 году«ДиалогНаука»и «ЛабораторияКасперского»занимали по40% этого рынка.

Вредоносныепрограммы

С какими жевирусами приходитсябороться мировойи отечественнойантивируснойиндустрии?

В принципе, не все вредоносныепрограммыявляются вирусами.Что же такоевирусы? Строгогоопределениякомпьютерноговируса вообщене существует.Разнообразиевирусов стольвелико, чтодать достаточноеусловие (перечислитьнабор признаков, при выполнениикоторых программуможно однозначноотнести к вирусам)просто невозможно– всегда найдетсякласс программс данными признаками, не являющихсяпри этом вирусом.При этом большинствоопределенийнеобходимогоусловия сходятсяна том, чтокомпьютерныевирусы – этопрограммы, которые умеютразмножатьсяи внедрять своикопии в другиепрограммы. Тоесть заражаютсуществующиефайлы.

Второйтип вредоносныхпрограмм – такназываемыесетевыечерви –размножаются, но не являютсячастью другихфайлов.

Сетевыечерви подразделяютсяна Internet– черви (распространяютсяпо

), LAN-черви (распространяютсяпо локальнойсети ), IRC– черви InternetRelayChat (распространяютсячерез чаты ).Существуюттак же смешанныетипы, которыесовмещают всебе сразунесколькотехнологий.

Выделяютв отдельнуюгруппу такжетроянскиепрограммы, которые неразмножаютсяи не рассылаютсясами. Троянскиепрограммыподразделяютна нескольковидов Эмуляторы DDoS–атак приводятк атакам на Web -серверы, прикоторых на Web- сервер из разныхмест поступаетбольшое количествопакетов, чтои приводит котказам работысистемы. Похитителисекретнойинформацииворуют информацию.

Утилитынесанкционированногоудаленногоуправления, внедряясь вваш компьютер, предоставляютхозяину троянцадоступ к этомукомпьютеруи возможностьуправленияим.

Дроппер( от англ. drop – бросать) –программа, которая «сбрасывает»в систему вирусили другиевредоносныепрограммы, приэтом сама большеничего не делает.Обилие вирусовпозволяетговорить оболее подробнойклассификации.

Файловыевирусы:

Обычные файловые вирусы

OBJ, LIB и вирусы в исходных текстах

Файловые черви

Link — вирусы

Companion — вирусы

Parasitic – вирусы

Overwriting – вирусы

Загрузочные

Макровирусы

Для MS Word

Excel

Access

PowerPoint

Многоплатформенные

Для других приложений

Скрипт –вирусы

Для Windows

Для DOS

Для других систем

Смешанноготипа

Файловыевирусы

Файловыевирусы – этовирусы, которыепри размножениииспользуютфайловую системукакой – либоОС. Внедрениефайловоговируса возможнопрактическиво все исполняемыефайлы всехпопулярныхОС – DOS,Windows,OS/2,Macentosh,UNIXи т.д.

По способузараженияфайлов файловыевирусы делятсяна обычные, которые встраиваютсвой код в файл, по возможностине нарушая егофункциональности, а также на overwriting, паразитические( parasitic), компаньон –вирусы ( companion), link- вирусы, вирусы– черви и вирусы, заражающиеобъектныемодули ( OBJ), библиотекикомпиляторов( LIB) и исходныетексты программ.

Overwriting –вирусы

Overwriting — вирус записываетсвой код вместокода заражаемогофайла, уничтожаяего содержимое, после файлперестаетработать и невосстанавливается.Такие вирусыочень быстрообнаруживаютсебя, так какоперационнаясистема и приложениябыстро перестаетработать.

Parasitic –вирусыParasitic – вирусыизменяют содержимоефайлов, оставляяпри этом самифайлы полностьюили частичноработоспособными.Такие вирусыподразделяютна вирусы, записывающиесяв начало, в конеци в серединуфайлов.Companion –вирусыCompanion– вирусы неизменяют заражаемыхфайлов, а создаютдля заражаемогофайла файл –двойник, причемпри запускузараженногофайла управлениеполучает именноэтот двойник, то есть вирус.

Файловыечерви

Файловыечерви ( worms) являютсяразновидностьюкомпаньон –вирусов, однаконе связываютсвоё присутствиес каким-либовыполняемымфайлом. Приразмноженииони всего лишькопируют своикод в какие-либокаталоги дисков в надежде, чтоэти новые копиибудут когда-либозапущеныпользователем.

Link – вирусы

Link– вирусы используютособенностиорганизациифайлов системы.Они, как и компаньон– вирусы, неизменяют физическогосодержимогофайлов, однакопри запускезараженногофайла «заставляют»ОС свой код засчет модификациинеобходимыхполей файловойсистемы.

OBJ,LIBи вирусы в исходныхтекстах

Вирусы, заражающиебиблиотекикомпиляторов, объектныемодули и исходныетексты программ.Вирусы, заражающие OBJ- и LIB- файлы, записываютв них свой кодв формате объектногомодуля илибиблиотеки.Зараженныйфайл не являетсявыполняемыми не способенна дальнейшеераспространениевируса в текущемсостоянии.Носителем же«живого» вирусастановитсяCOM- или EXE- файл, получаемыйв процесселинковки зараженногоOBJ/ LIB- файла с другимиобъектнымимодулями ибиблиотеками.Таким образом, вирус распространяетсяв два этапа: напервом заражаются OBJ/LIB- файлы, на второмэтапе (линковка)получаетсяработоспособныйвирус.

Загрузочные вирусы

Загрузочныевирусы называютсятак потому, чтозаражают загрузочный( boot) сектор– записываютсебя в загрузочныйсектор диска( boot — сектор) либо в сектор, содержащийсистемныйзагрузчиквинчестера( Master BootRecord ). Загрузочныевирусы замещаюткод программы, получающейуправлениепри загрузкисистемы. Такимобразом приперезагрузкеуправлениепередаетсявирусу. Приэтом оригинальный — сектор обычнопереноситсяв какой – либодругой сектордиска.Макровирусы

Макровирусыявляются программамина макроязыках, встроенныхв некоторыесистемы обработкиданных ( текстовыередакторы, электронныетаблицы и т.д.). Они заражаютдокументы иэлектронныетаблицы рядаофисных редакторов.

Дляразмноженияони используютвозможностимакроязыкови при их помощипереносят себяиз одного зараженногофайла в другие.Наибольшеераспространениеполучили макровирусыдля Microsoft Word,Excel и Office97. Вирусы этоготипа получаютуправлениепри открытиизараженногофайла и инфицируютфайлы, к которымв последствииидет обращениеиз соответствующегоофисного приложения– Word, Excelи пр.

Скрипт – вирусы

VisualBasicScript,javaScript и др.Они в своюочередь, делятсяна вирусы дляDOS, для Windows, для другихсистем. Помимоописанныхклассов существуетбольшое количествосочетаний: например файлово– загрузачныйвирус, заражающийфайлы, так изагрузочныесектора дисков, или сетевоймакровирус, который заражаетредактируемыедокументы, нои рассылаетсвои электронныекопии по электроннойпочте.

Особенностиалгоритмовработы вирусов

Разнообразиевирусов классифицироватьих также поособенностямработы их алгоритмов.Об этом стоитпоговоритьотдельно.

Резидентныевирусы

Вируснаходится воперативнойпамяти и перехватываетсообщения ОС.Если нерезидентныевирусы активнытолько в моментзапуска зараженнойпрограммы, торезидентныевирусы находятся в памяти и остаютсяактивнымивплоть до выключениякомпъютераили перезагрузкиоперационнойсистемы. Резидентныевирусы находятсяв оперативнойпамяти, перехватываютобращенияоперационнойсистемы к темили иным объектами внедряютсяв них. Такиевирусы активныне только вмомент работызараженнойпрограммы, нои после завершения ее работы.

Стелс – вирусы

Стелс-вирусы(невидимки)скрывают фактсвоего присутствияв системе.Ониизменяютинформациютаким образом, что файл появляетсяперед ползователемв незараженномвиде, напримервременно лечатзараженныефайлы.

Полиморфик– вирусы

Полиморфик– вирусы используютшифрованиедля усложненияпроцедурыопределениявируса. Данныевирусы не содержатпостоянныхучастков кода, что достигаетсяшифрованием основного телавируса и модификациямипрограммы-расшифровщика.В большинствеслучаев дваобразца одногоитого же полиморфик-вирусане будут иметь ни одногосовпадения.Именно поэтомуполиморфик-вирусневозможнообнаружитьпри помощивыявленияучастков постоянногокода, специфичныхдля конкретноговируса. Полиморфизмвстречаетсяв вирусах всехтипов – от загрузочныхи

файловых DOS — вирусовдо Windows – вирусови даже макровирусов.

Классификацияантивирусныхпрограмм

Всеантивирусыможно разделитьна два большихкласса: чистыеантивирусыи антивирусыдвойного назначения.

Чистые антивирусы

Чистыйвирус-отличается наличиемантивирусногоядра, котороевыполняетфункцию сканированияпо образцам.Принципиальнаяособенностьв этом случаезаключаетсяв возможностилечения. Есливирус известен, значит возможнолечение. Далее чистые антивирусыподразделяютсяпо типу доступа к файлам надве категории– onaccess и ondemand, которые соответственноосуществляетконтроль подоступу илипроверку потребованию.Например, втерминологоиипродуктов «ЛабораторииКасперского»onaccess- продукт – это«Монитор », аondemand- продукт – это«Сканер». Ondemand–продукт работаетпо следующейсхеме: пользовательхочет что- либопроверить ивыдает запрос( demand), после чегоосуществляетсяпроверка. Onaccess–продукт – эторезидентнаяпрограмма, которая отслеживаетдоступ и в моментдоступа осуществляетпроверку. Крометого, антивирусныепрограммы, также как ивирусы, можноразделить поплатформе.Понятие «Платформа»в антивируснойтерминологиинемного отличаетсяот общепринятогов компьютернойиндустрии. Вантивирусной индустрии SW– платформа– это тот продукт, внутри которогоработает антивирус.То есть на рядус Windowsили Linuxк платформаммогут бытьотнесены MicrosoftExchangeServer,Microsoft Office, Lotus Notes.

Программыдвойного значения

Программыдвойного назначения- это программы, используемыи в антивирусах, и в ПО, котороене являетсяантивирусом.Например, — ревизоризменений наоснове контрольныхсумм, можетиспользоватьсяне только дляловли вирусов.В «ЛабораторииКасперского»ревизор реализованпод коммерческимназванием«Инспектор»

(«Сканер», «Монитор»,«Инспектор»- это коммерческиеназваниясоответствующихмодулей «ЛабораторииКасперского»)

Разновидностьюпрограмм двойногоназначенияявляютсяповеденческиеблокираторы, которые анализируютповедениедругих программи при обнаруженииподозрительныхдействий блокируютих.

Отклассическогоантивирусас антивируснымядром, «узнающим»и лечащим отвирусов, которыеанализировалисьв лабораториии к которым былпрописан алгоритмлечения, поведенческиеблокираторыотличаютсятем, что лечитьот вирусов неумеют, посколькуничего о нихне знают. Этосвойство блокираторовполезно тем, что они могутработать слюбыми вирусами, в том числе ис неизвестными.Это сегодняособенно актуально, посколькураспространителивирусов и антивирусовиспользуютодни и те жеканалы передачиданных, то естьИнтернет. Приэтом вирусвсегда имеетнекоторую форму(время задержки), посколькуантивирусной компании всегданужно времяна то, чтобыполучить самвирус, проанализироватьего и написатьсоответствующиелечебные модули.Программы изгруппы двойногоназначениякак раз и позволяютблокироватьраспространениевируса до тогомомента, покакомпания ненапишет лечебныймодуль.

Основныеметоды определениявирусов

Алгоритм«сравнениес эталоном»

Самый старыйалгоритм – этоалгоритм, вкотором вирусопределяетсяклассическимядром по некотороймаске. Смыслданного алгоритмазаключаетсяв использованиистатистическихметодов. Маска должна быть, с одной стороны, маленькой, чтобы объемфайла был приемлемыхразмеров, сдругой стороны– настолькобольшой, чтобыизбежать ложныхсрабатываний(когда «свой»воспринимаетсякак «чужой», и наоборот).

/>

/>

Рис. 1. Схемыработы программы, инфицированнойнезашифрованным

вирусом, и программы, инфицированнойзашифрованнымвирусом

/>/> Рис.2. Схема работыэмуляторапроцессора

Алгоритм«контрольнойсуммы»

Алгоритмконтрольнойсуммы предполагает, что действиявируса изменяютконтрольнуюсумму. Однакосинхронныеизменения вдвух разныхсегментах могутпривести ктому, что контрольнаясумма останетсянеизменнойпри изменениифайла. Основнаязадача построенияалгоритмасостоит в том, чтобы измененияв файле гарантированноприводили кизменениюконтрольнойсуммы.

Методы определенияполиморфик– вирусов

Нарис. 1 показанаработа программы, информированнойвирусом (а), ипрограммы, информированнойзашифрованнымвирусом (б). Впервом случаесхема работывируса выглядитследующимобразом: идетвыполнениепрограммы, вкакой –то моментначинает выполнятсякод вируса изатем опятьидет выполнениепрограммы. Вслучае с зашифрованнойпрограммойвсе сложнее.

Идетвыполнениепрограммы, потом включаетсядешифратор, который расшифровываетвирус, затемотбрасываетвирус и опятьидет исполнениекода основнойпрограммы. Кодвируса в каждомслучае зашифрованпо разному.Если в случаенешифрованноговируса эталонноесравнениепозволяет«узнать» вируспо некоторойпостояннойсигнатуре, тов зашифрованномвиде сигнатуране видна. Приэтом искатьдешифраторпрактическиневозможно, поскольку оночень маленькийи детектироватьтакой компактныйэлемент бесполезно, потому чторезко увеличиваетсяколичестволожных срабатываний.

В/>/>подобном случаеприбегают ктехнологииэмуляции процессора(антивируснаяпрограммаэмулируетработу процессорадля того, чтобыпроанализироватьисполняемыйкод вируса).Если обычноусловная цепочкасостоит из трехосновных элементов: ЦПУ ОС. Программа(рис.2), — то приэмуляции процессорав такую цепочкудобавляетсяэмулятор, окотором программаничего не знаети, условно говоря,«считает», чтоона работаетс центральнойоперативнойсистемой. Такимобразом, эмуляторкак бы воспроизводитработу программыв некоторомвиртуальномпространствеили реконструируетее оригинальноесодержимое.Эмулятор всегдаспособен прерватьвыполнениепрограммы, контролируетее действия, не давая ничегоиспортить, ивызывает антивирусноесканирующееядро.

Эвристическийанализ

Длятого чтобыразмножаться, вирус долженсовершать какие– то конкретныедействия: копированиев память, записьв сектора, и т.д. Эвристическийанализатор(который являетсячастью антивирусногоядра) содержитсписок такихдействий, просматриваявыполняемыйкод программы, определяет, что она делает, исходя из этогоприходит квыводу, являетсяли данная программавирусом илинет. Принципиальноеотличие эвристическогоанализатораот поведенческогоблокираторасостоит в том, что последнийне рассматриваетпрограмму какнабор команд.Блокираторотслеживаетдействия программыв процессе ееработы, а эвристическийанализаторначинает работудо выполненияпрограммы.Первый эвристическийанализаторпоявился вначале 90–х годов.

Заключение

В рамках международногорынка информацииостро стоитпроблема сохранение информации, особенно, впоследнеевремя, когдаидет всеобщаякомпьютеризацияобщества. Всебольше фирми предприятийвнедряют напроизводствекомпьютеры, сохраняя в нихценную информациюи желая оградитьсебя от потериили порчи даннойинформации. Это обусловилоразвитие такогосектора рынка, как созданиеантивирусныхпрограмм. И наданный моментэта индустрияявляется наиболеединамичноразвивающейся.

И в будущеможидаетсяувеличениеобъёма продажантивирусныхпродуктов, поскольку будетпродолжаться появлениеновых вирусов, а следовательнои потребностьв программахспособныхзащитить информациюот них.

Списокиспользованнойлитературы

Журнал:«Компьютерпресс» М: №9 2001г

Журнал:«Компьютерпресс» М: №11 2001г

WWW. GAZETA.ru