Антивирусная индустрия в канун десятилетия
Министерство образования Российской Федерации
Восточно-Сибирский государственный технологический университет
Кафедра: ''Мировая экономика''
Реферат на тему:
«Антивирусная индустрия в канун десятилетия »
Выполнил
Проверил
Улан-Удэ.2001
Содержание
Введение
2) Фирмы представляющие антивирусный рынок в России
2) Структура мирового антивирусного рынка
3) Вредоносные программы
а) Компьютерные вирусы
б) Сетевые черви
в) Троянские программы
4) Файловые вирусы
а) Overwriting-вирусы
в) Parasitic-вирусы
в) Companion-вирусы
г) Файловые черви
д) Link-вирусы
е) OBJ,LIB и вирусы в исходных текстах
5) Загрузочные вирусы
6) Макровирусы
7) Скрипт-вирусы
8) Особенности алгоритмов работы вирусов
а) Резидентные вирусы
б) Стелс-вирусы
в) Полиморфик-вирусы
9) Классификация антивирусных программ
а) Чистый антивирус
б) Программы двойного назначения
10) Основные методы определения вирусов
а) Алгоритм «сравнение с эталоном»
б) Алгоритм «контрольной суммы»
в) Методы определения полиморфик-вирусов
г) Эвристический анализ
11) Заключение
12) Список использованной литературы
Введение
Антивирусы появились более десяти лет назад. Однако первое время они распространялись как бесплатное противоядие. Не было должной поддержки сервиса, поскольку проекты были некоммерческими. Как индустрия служба создания и представления антивирусных программ оформилась примерно в 1992 году, не раньше, а значит вскоре отметит свое десятилетие. Десять лет для рождения и развития целой индустрии, с оборотом в сотни миллионов долларов, срок очень небольшой. За это время возник совсем новый рынок, сформировался определенный перечень продуктов, появилось такое количество терминов, что их хватило бы на целую энциклопедию. Следует отметить, что неискушенному пользователю порой даже трудно отличить научный термин от коммерческого названия, Конечно, для того чтобы пользоваться антивирусными программами, не обязательно знать все подробности строения и поведения вирусов, однако иметь общие представления о том, какие основные группы вирусов сформировались на сегодняшний день, какие принципы заложены в алгоритмы вредоносных программ и как поделены мировой и российский антивирусный рынок, будет полезно знать.
Фирмы представляющие антивирусный рынок в России
Как было уже отмечено, антивирусный рынок живет в преддверии своего десятилетия. Именно в 1992 году было создано АОЗТ '' ДиалогНаука '', положившее начало активному продвижению на отечественный рынок знаменитой программы Лозинского Aidstest ; начиная с этого времени Aidstest стала распространяться на коммерческой основе. Примерно в тоже время Евгений Касперский организовывает небольшой коммерческий отдел в рамках КАМИ, в котором по началу работали три человека. Также в 1992 году американский рынок завоевывает программа McAfee VirusScan.В России рынок тогда развивался достаточно медленно, и к 1994 году картина примерно следующим образом: доминирующее положение занимала компания «ДиалогНаука» около 80%, Антивирусу Касперского принадлежало менее 5% рынка, всем остальным еще 15% рынка. В 1995 году 3% Евгений Касперский перенес свой антивирус на 32- битные интеловские платформы Windows, Novell NetWare и OS/2, в результате продукт начал активно продвигаться на рынок.
В 1997 году Антивирус Касперского занимал уже 30% рынка, а на долю компании «ДиалогНаука» приходилось 50% рынка. В 1998 году Антивирус Касперского занимал уже 30% рынка, а на долю компании «Диалог Наука» приходилось примерно 50% рынка .В 1998 году Антивирус Касперского догнал по объёму продаж «ДиалогНауки», и вместе они покрыли 80% рынка, а к 2001 году Антивирус Касперского завоевал уже около 60% рынка. Из западных компаний на российском рынке достаточно прочно обосновалась компания «Symantec», которой сегодня принадлежит от 20 до 25% рынка занимает компания «ДиалогНаука».
Структура мирового антивирусного рынка
На мировой арене лидирует компания МсАfее – ее продукт прочно удерживает первое место и имеет порядка 50% продаж, причем предлагаются решения преимущественно для корпоративного рынка. На втором месте находится Symantec –эта компания больше продает как раз на розничном рынке. Третье и четвертые места делят Computer Associates и TrendMicro, которые имеют примерно по 10% , далее следуют еще порядка 20 компаний, вклад которых в мировой рынок составляет около 20%. Причем из этих 20 шестерка крупных локальных компаний – Sophos AV ( Англия),F- Secure (Финляндия), Norman (Норвегия ), Command Software (США ), Panda Software (Испания ), Kaspersky Lab (Россия ) – имеет более 18% объема продаж.
Помимо оценок рынка , сделанных российскими компаниями , интересно ознакомиться также с некоторыми оценками международной компании Gartner Group , в соответствии с которыми в 1999 году объем продаж антивирусных продуктов и услуг в мире составил около 1,5 млрд долл. В 1988 году фирма McAfee (США) занимала 50 % мирового рынка, фирма Symantes (США) – 20%, и фирма Trend Micro( Тайвань) – 10%. За последние 5 лет этот объем увеличивался в среднем на 100% в год , что является одним из самых высоких показателей в софтверной индустрии вообще. В 1999 году объем рынка продаж антивирусных продуктов и услуг в России составил 1, 5 млн.долл и за последние 5 лет увеличивался в среднем на 30% в год. В 1998 году «ДиалогНаука» и «Лаборатория Касперского» занимали по 40% этого рынка.
Вредоносные программы
С какими же вирусами приходится бороться мировой и отечественной антивирусной индустрии?
В принципе, не все вредоносные программы являются вирусами. Что же такое вирусы? Строгого определения компьютерного вируса вообще не существует. Разнообразие вирусов столь велико, что дать достаточное условие (перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) просто невозможно – всегда найдется класс программ с данными признаками, не являющихся при этом вирусом. При этом большинство определений необходимого условия сходятся на том, что компьютерные вирусы – это программы, которые умеют размножаться и внедрять свои копии в другие программы. То есть заражают существующие файлы.
Второй тип вредоносных программ – так называемые сетевые черви – размножаются, но не являются частью других файлов.
Сетевые черви подразделяются на Internet – черви (распространяются по
), LAN -черви (распространяются по локальной сети ), IRC – черви Internet Relay Chat (распространяются через чаты ). Существуют так же смешанные типы, которые совмещают в себе сразу несколько технологий .
Выделяют в отдельную группу также троянские программы, которые не размножаются и не рассылаются сами. Троянские программы подразделяют на несколько видов Эмуляторы DDoS –атак приводят к атакам на Web -серверы, при которых на Web - сервер из разных мест поступает большое количество пакетов, что и приводит к отказам работы системы. Похитители секретной информации воруют информацию.
Утилиты несанкционированного удаленного управления, внедряясь в ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру и возможность управления им.
Дроппер ( от англ. drop – бросать) – программа, которая «сбрасывает» в систему вирус или другие вредоносные программы, при этом сама больше ничего не делает. Обилие вирусов позволяет говорить о более подробной классификации .
Файловые вирусы:
Обычные файловые вирусы
OBJ, LIB и вирусы в исходных текстах
Файловые черви
Link - вирусы
Companion - вирусы
Parasitic – вирусы
Overwriting – вирусы
Загрузочные
Макровирусы
Для MS Word
Excel
Access
PowerPoint
Многоплатформенные
Для других приложений
Скрипт – вирусы
Для Windows
Для DOS
Для других систем
Смешанного типа
Файловые вирусы
Файловые вирусы – это вирусы, которые при размножении используют файловую систему какой – либо ОС. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС – DOS, Windows, OS/2, Macentosh, UNIX и т.д.
По способу заражения файлов файловые вирусы делятся на обычные, которые встраивают свой код в файл, по возможности не нарушая его функциональности, а также на overwriting , паразитические ( parasitic ), компаньон – вирусы ( companion ), link - вирусы, вирусы – черви и вирусы, заражающие объектные модули ( OBJ ), библиотеки компиляторов ( LIB ) и исходные тексты программ.
Overwriting – вирусы
Overwriting - вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения быстро перестает работать.
Parasitic – вирусы
Parasitic – вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяют на вирусы , записывающиеся в начало, в конец и в середину файлов.
Companion – вирусы
Companion – вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл – двойник, причем при запуску зараженного файла управление получает именно этот двойник, то есть вирус.
Файловые черви
Файловые черви ( worms ) являются разновидностью компаньон – вирусов, однако не связывают своё присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свои код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем.
Link – вирусы
Link – вирусы используют особенности организации файлов системы. Они, как и компаньон – вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС свой код за счет модификации необходимых полей файловой системы.
OBJ, LIB и вирусы в исходных текстах
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ - и LIB - файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится COM - или EXE - файл, получаемый в процессе линковки зараженного OBJ / LIB - файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ /LIB - файлы, на втором этапе (линковка) получается работоспособный вирус.
Загрузочные вирусы
Загрузочные вирусы называются так потому, что заражают загрузочный ( boot) сектор – записывают себя в загрузочный сектор диска ( boot - сектор ) либо в сектор, содержащий системный загрузчик винчестера ( Master Boot Record ). Загрузочные вирусы замещают код программы, получающей управление при загрузки системы. Таким образом при перезагрузке управление передается вирусу. При этом оригинальный - сектор обычно переносится в какой – либо другой сектор диска.
Макровирусы
Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных ( текстовые редакторы, электронные таблицы и т. д.). Они заражают документы и электронные таблицы ряда офисных редакторов.
Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым в последствии идет обращение из соответствующего офисного приложения – Word, Excel и пр.
Скрипт – вирусы
Visual Basic Script, java Script и др .Они в свою очередь ,делятся на вирусы для DOS, для Windows, для других систем . Помимо описанных классов существует большое количество сочетаний: например файлово – загрузачный вирус, заражающий файлы, так и загрузочные сектора дисков, или сетевой макровирус, который заражает редактируемые документы, но и рассылает свои электронные копии по электронной почте.
Особенности алгоритмов работы вирусов
Разнообразие вирусов классифицировать их также по особенностям работы их алгоритмов. Об этом стоит поговорить отдельно.
Резидентные вирусы
Вирус находится в оперативной памяти и перехватывает сообщения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компъютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти , перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения ее работы.
Стелс – вирусы
Стелс-вирусы (невидимки) скрывают факт своего присутствия в системе. Ониизменяют информацию таким образом , что файл появляется перед ползователем в незараженном виде , например временно лечат зараженные файлы.
Полиморфик – вирусы
Полиморфик – вирусы используют шифрование для усложнения процедуры определения вируса. Данные вирусы не содержат постоянных участков кода ,что достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. В большинстве случаев два образца одного итого же полиморфик-вируса не будут иметь ни одного совпадения. Именно поэтому полиморфик-вирус невозможно обнаружить при помощи выявления участков постоянного кода ,специфичных для конкретного вируса. Полиморфизм встречается в вирусах всех типов – от загрузочных и
файловых DOS - вирусов до Windows – вирусов и даже макровирусов.
Классификация антивирусных программ
Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения.
Чистые антивирусы
Чистый вирус-отличается наличием антивирусного ядра , которое выполняет функцию сканирования по образцам. Принципиальная особенность в этом случае заключается в возможности лечения. Если вирус известен , значит возможно лечение. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории – on access и on demand, которые соответственно осуществляет контроль по доступу или проверку по требованию. Например, в терминологоии продуктов « Лаборатории Касперского» on access - продукт – это «Монитор », а on demand - продукт – это «Сканер». On demand –продукт работает по следующей схеме: пользователь хочет что- либо проверить и выдает запрос ( demand ), после чего осуществляется проверка. On access –продукт – это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку. Кроме того, антивирусные программы, также как и вирусы, можно разделить по платформе. Понятие «Платформа» в антивирусной терминологии немного отличается от общепринятого в компьютерной индустрии. В антивирусной индустрии SW – платформа – это тот продукт, внутри которого работает антивирус. То есть на ряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Программы двойного значения
Программы двойного назначения - это программы, используемы и в антивирусах, и в ПО, которое не является антивирусом. Например, - ревизор изменений на основе контрольных сумм, может использоваться не только для ловли вирусов. В «Лаборатории Касперского» ревизор реализован под коммерческим названием «Инспектор»
( «Сканер», «Монитор», «Инспектор» - это коммерческие названия соответствующих модулей «Лаборатории Касперского» )
Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.
От классического антивируса с антивирусным ядром, «узнающим» и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом вирус всегда имеет некоторую форму (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
Основные методы определения вирусов
Алгоритм «сравнение с эталоном»
Самый старый алгоритм – это алгоритм, в котором вирус определяется классическим ядром по некоторой маске. Смысл данного алгоритма заключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, с другой стороны – настолько большой, чтобы избежать ложных срабатываний (когда «свой» воспринимается как «чужой», и наоборот) .
Рис. 1. Схемы работы
программы, инфицированной незашифрованным
вирусом, и программы, инфицированной зашифрованным вирусом
Рис. 2. Схема работы эмулятора процессора
Алгоритм «контрольной
суммы»
Алгоритм контрольной суммы предполагает, что действия вируса изменяют контрольную сумму. Однако синхронные изменения в двух разных сегментах могут привести к тому, что контрольная сумма останется неизменной при изменении файла. Основная задача построения алгоритма состоит в том, чтобы изменения в файле гарантированно приводили к изменению контрольной суммы.
Методы определения полиморфик – вирусов
На рис. 1 показана работа программы, информированной вирусом (а), и программы, информированной зашифрованным вирусом (б). В первом случае схема работы вируса выглядит следующим образом: идет выполнение программы, в какой –то момент начинает выполнятся код вируса и затем опять идет выполнение программы. В случае с зашифрованной программой все сложнее.
Идет выполнение программы, потом включается дешифратор, который расшифровывает вирус, затем отбрасывает вирус и опять идет исполнение кода основной программы. Код вируса в каждом случае зашифрован по разному. Если в случае нешифрованного вируса эталонное сравнение позволяет «узнать» вирус по некоторой постоянной сигнатуре, то в зашифрованном виде сигнатура не видна. При этом искать дешифратор практически невозможно, поскольку он очень маленький и детектировать такой компактный элемент бесполезно, потому что резко увеличивается количество ложных срабатываний.
В подобном случае прибегают к технологии эмуляции процессора (антивирусная программа эмулирует работу процессора для того, чтобы проанализировать исполняемый код вируса). Если обычно условная цепочка состоит из трех основных элементов: ЦПУ ОС . Программа (рис.2), - то при эмуляции процессора в такую цепочку добавляется эмулятор, о котором программа ничего не знает и, условно говоря, «считает», что она работает с центральной оперативной системой. Таким образом, эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве или реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.
Эвристический анализ
Для того чтобы размножаться, вирус должен совершать какие – то конкретные действия: копирование в память, запись в сектора, и т. д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий, просматривая выполняемый код программы, определяет, что она делает, исходя из этого приходит к выводу, является ли данная программа вирусом или нет. Принципиальное отличие эвристического анализатора от поведенческого блокиратора состоит в том, что последний не рассматривает программу как набор команд. Блокиратор отслеживает действия программы в процессе ее работы, а эвристический анализатор начинает работу до выполнения программы. Первый эвристический анализатор появился в начале 90–х годов.
Заключение
В рамках международного рынка информации остро стоит проблема сохранение информации, особенно, в последнее время, когда идет всеобщая компьютеризация общества. Все больше фирм и предприятий внедряют на производстве компьютеры, сохраняя в них ценную информацию и желая оградить себя от потери или порчи данной информации. Это обусловило развитие такого сектора рынка, как создание антивирусных программ. И на данный момент эта индустрия является наиболее динамично развивающейся.
И в будущем ожидается увеличение объёма продаж антивирусных продуктов, поскольку будет продолжаться появление новых вирусов, а следовательно и потребность в программах способных защитить информацию от них.
Список использованной литературы
Журнал: «Компьютер пресс» М: №9 2001г
Журнал: «Компьютер пресс» М: №11 2001г
WWW. GAZETA.ru