Сегодня чистый антивирус – редкость. Вирусы уступают территорию более коммерчески нацеленным вредоносным программам, таким как программы-шпионы, кейлоггеры и троянцы, охотящиеся за информацией пользователя. Сегодня, когда мы говорим об антивирусе, мы обычно имеем в виду сканер, способный обнаруживать и удалять целый ряд вредоносных программ: вирусы, шпионы, зомбирующие программы (“боты”-botnets), троянцы и т.д. Некоторые из этих “объединенных продуктов” более успешны, чем другие, поэтому важно понимать специфические особенности каждого компонента при выборе решения, которое вам подходит.
Так что же такое антивирус и как он работает?
В сущности, антивирус – это вид средства безопасности, которое сканирует ваш компьютер на предмет самораспространяющегося вредоносного ПО (обычно вирусов и червей) и нейтрализует его. Для достижения этой цели антивирус использует ряд технологий обнаружения:
Сигнатурное обнаружение
Сигнатурное обнаружение является основным методом, используемым современными антивирусами; он заключается в анализе вредоносного кода на предмет наличия в нем известных контрольных сумм. Для этого антивирус инспектирует содержимое файла в поисках фрагментов, совпадающих с известной последовательностью, обозначенной в его базе как вредоносная. При обнаружении такой последовательности файл или его фрагмент помечается как зараженный и помещается в карантин, вылечивается или удаляется в соответствии с настройками конкретного антивируса. Метод основан на обычном сравнении и является быстрым и точным способом обнаружения заражений существующими вирусами.
Обратная сторона этого метода заключается в том, что пользователь всегда должен иметь обновленную базу сигнатур, чтобы точное обнаружение работало. Кроме того, сигнатурное обнаружение неэффективно против новейших и полиморфных (мутирующих) вирусов, которые скрывают свое присутствие, частично изменяясь.
Эвристика и аппроксимация
Как было замечено выше, при изменении угрозы традиционные методы обнаружения становятся неэффективны, так как не могут обнаружить модифицированный код. Одним из способов борьбы с этим недостатком является эвристическое обнаружение, которое оценивает вероятность того, что слегка измененный код может являться модификацией исходной угрозы. Это довольно сложный и требовательный метод, но он используется большинством наиболее технологичных антивирусов. Из-за своей относительной молодости технология эвристического анализа все-таки нуждается в дополнении другими методами обнаружения; также данный метод в каком-то смысле подвержен ошибкам, так как способен производить большое число ложных срабатываний (ситуаций, когда чистые объекты неверно определяются как вредоносные).
Виртуализированная имитация
Это новый многообещающий подход, способный обнаруживать новые и неизвестные вирусы. Вместо запуска традиционного сигнатурного сканера для проверки подозрительного файла, виртуализация создает временную безопасную среду, в которой выполняет файл и исследует его более тщательно. Так как эта среда изолирована, потенциально зараженный файл может быть запущен без риска подвергнуть компьютер опасности – виртуальные действия не могут навредить реальным данным пользователей. После запуска файла в этой виртуализированной среде и активации его функций, методы, которые он использует для сокрытия своего присутствия (мы опишем их чуть ниже), больше не работают, так как код запущен в памяти “в открытом виде”. Это означает, что вся дейтельность файла видна антивирусу и может быть проверена традиционным сигнатурным анализом. Из-за своей относительной новизны и сложности виртуализация еще недостаточно развита как метод обнаружения вирусов и еще не так распространена в персональных антивирусах.
Виртуализация работает рука об руку с дополнительными технологиями, такими как анализ поведения и технология “песочницы” (sandbox), которые мы обсудим подробнее в третьем выпуске нашего цикла статей.
Что происходит при обнаружении вируса?
После идентификации вредоносного файла его нужно соответствующим образом обработать. Если обыкновенный легитимный файл был заражен вирусом, изменившим его содержимое, вредоносную секцию файла необходимо локализовать и уничтожить, восстановив при этом исходное содержимое файла, чтобы его можно было снова безопасно использовать. Примером могут служить восстановленные исполняемые файлы (*.exe) или компоненты драйверов программного обеспечения (*.sys), поврежденные в результате атаки. Процесс восстановления довольно сложен, и эффективно с ним справляются лишь некоторые из коммерческих антивирусов. Кроме того, каждый тип вирусного заражения требует особого подхода при лечении: файл, зараженный вирусом A, может быть вылечен только тем антивирусом, который знает, что именно делает вирус A и как он работает, и способен аннулировать последствия ущерба, вызванного им. Для обеспечения подобного уровня защиты требуется опытная команда вирусных аналитиков для проведения реинжиниринга каждого вируса, определения его действий и последующего тщательного построения процесса лечения. Даже если у вас есть проактивное средство безопасности, блокирующее проникновение на ваш компьютер вредоносных файлов, вам все-таки стоит убедиться, что у вас есть свежие резервные копии всех важных программ и данных на тот случай, если вам встретится новый вирус, для которого еще не существует механизма лечения.
К счастью, вирусы, изменяющие содержимое существующих файлов, сейчас встречаются довольно редко. Наиболее часто зараза является отдельной вредоносной програмой; в этом случае ее просто-напросто можно полностью удалить из системы. Подобные программы предназначены только для заражения, кражи, уничтожения или захвата – существенное отличие от зараженных обыкновенных файлов, описанных ранее.
Как только вредоносная программа обнаружена, она либо автоматически удаляется, либо помещается в специальную папку – карантин, что гарантирует, что она больше не сможет активироваться и нанести запланированный урон. Пользователь может в любой момент просмотреть список объектов, помещенных в карантин, и решить, следует ли безвозвратно удалить, либо восстановить какой-либо файл по его исходному местоположению, если он уверен, что файл на самом деле не является вредоносным. Ложные срабатывания вполне возможны, и иногда полезно некоторое время хранить подозрительные файлы в специальном безопасном месте (карантине), пока не проведен более детальный анализ. Недавно один из разработчиков антивируса ошибочно удалил настоящий файл Windows с жестких дисков пользователей, и ему пришлось восстанавливать его, когда ошибка была обнаружена.
Устранение последствий заражения – еще одна задача антивируса. После успешного удаления вредоносной программы на компьютере могут остаться следы ее деятельности. Эти следы способны вызвать сбои в работе системы или ошибки файловой системы (изменения значений реестра, сетевого стека или настроек браузера), которые могут повлиять на производительность или работу некоторых функций Windows. В этом случае крайне необходимо иметь "План Б" для защиты важных данных, предполагающий использование проактивной защиты и/или своевременное резервное копирование.
Осложняющие факторы
Существует ряд методов, используемых вирусами для усложнения задачи антивирусов; большинство из них используют множество технологий для сокрытия собственного присутствия и пытаются таким образом предотвратить свое обнаружение:
Упаковщики – это способ запаковать исполняемый код, используя специальные алгоритмы, неизвестные антивирусу, чтобы антивирус не мог распаковать файл и проанализировать вредоносный код в чистом виде.
Полиморфные шифровщики – аналогично упаковщикам, исходный исполняемый файл зашифровывается изменяющимися ключами, таким образом сигнатура исходного кода каждый раз новая. Этот метод позволяет противостоять чисто сигнатурному подходу.
Руткиты – маскирующаяся под доверенную программа, пытающаяся скрыть присутствие вредоносного кода в системе.
Что проверяет антивирус
Чтобы быть максимально надежным, антивирус должен исследовать все из нижеперечисленных мест системы:
Электронная почта. Практически все антивирусные решения способны проверять входящую и исходящую почту на наличие вредоносного содержимого и автоматически удалять его.
Веб-трафик. Все данные, отправляемые или принимаемые по сети, должны проверяться на законность. Веб-эксплойты – вредоносный код, автоматически загружаемый на компьютер при доступе к вредоносному сайту с использованием необновленного браузера – также может быть проанализирован и заблокирован более продвинутыми антивирусами.
Конфигурация системы. Включает в себя реестр, параметры автозапуска, драйверы и службы, данные о сетевой инфраструктуре, дополнительные модули браузера и другие внутренние настройки.
Активные процессы. Включают все запущенные на данный момент программы и другие исполняемые модули – все, что находится в памяти компьютера.
Локальная файловая система. Это ваши файлы, папки и жесткие диски вашего компьютера, включая данные, которые хранятся в альтернативных потоках файловой системы NTFS.
Съемные устройства. Включают оптические накопители, flash-носители и прочие цифровые устройства с модулями памяти, которые могут подключаться к USB-портам, такие как смартфоны или iPod.
Удаленные хранилища. Включают общие сетевые папки, устройства резервного копированияи и сетевые ресурсы.
Когда работает антивирус
Первичной задачей любого антивируса является обнаружение вредоносного ПО и предотвращение распространения инфекции путем его удаления до того момента, как оно сможет атаковать файлы пользователя. Антивирусные решения обычно предлагают три подхода обнаружения и удаления вирусов:
Мониторинг в режиме реального времени. Это означает, что антивирус наблюдает за текущей активностью компьютера и автоматически блокирует все известные вредоносные действия.
Сканирование по требованию. При данном подходе антивирус осуществляет проверку системы на предмет наличия вредоносных файлов по вашему запросу.
Сканирование по расписанию. Вы можете запланировать проведение проверок в указанные дни и часы, а также при наступлении определенного события, например, если компьютер был включен, но не использовался в течение длительного промежутка времени.
Выводы
Что антивирус может:
Проверять содержимое вашего компьютера на наличие известных или опознаваемых угроз, удалять или блокировать их;
Проверять отдельные файлы, например, только что загруженные из Интернета, на предмет заражения;
Лечить зараженные файлы;
Предотвращать распространение опознаваемых вирусов.
Чего антивирус не может:
Обнаруживать и удалять угрозы, которые невозможно идентифицировать по сигнатуре или с помощью эвристического анализа;
Блокировать сетевые вторжения и кражу персональной информации в результате атаки неизвестного вредоносного ПО.
Потенциальные недостатки антивирусов:
Невозможность остановить неизвестные угрозы;
Реактивный подход означает немгновенную реакцию на активность вируса;
Проблемы совместимости и стабильности при одновременной работе нескольких антивирусов на одном компьютере.
Источник: agnitum.ru
Добавьте комментарий первым!