Что такое детектирование вирусов

Под вредоносными программами уголовное законодательство РФ понимает программы, специально созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение определенных в документации на программу операций.

Программы с потенциально опасными последствиями можно условно разделить на три класса:

• 1) программы-"вирусы" (термин был применен в 1984 г. Ф. Коэном);
• 2) программы типа "программный червь" или "троянский конь" и фрагменты программ типа "логический люк". Они обладают возможностью перехвата конфиденциальной информации или извлечения информации из сегментов систем безопасности;
• 3) программные закладки или разрушающие программные воздействия (РПВ) – обобщенный класс программ, обязательно реализующих хотя бы одну из перечисленных выше функций программы с потенциально опасными последствиями.

Вредоносные (Malware) программы классифицируются на:

• 1) вирусы и черви;
• 2) троянские программы;
• 3) подозрительные упаковщики;
• 4) вредоносные утилиты.

Вирусы и черви. Подобные вредоносные программы обладают способностью к несанкционированному пользователем саморазмножению в компьютерах или компьютерных сетях, при этом полученные копии также обладают этой возможностью.

Троянские программы созданы для осуществления несанкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представи

тели данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения. Основным признаком, по которому различают типы троянских программ, являются несанкционированные пользователем действия, которые они производят на зараженном компьютере.

Подозрительные упаковщики. Вредоносные программы часто сжимаются различным способом упаковки, совмещенным с шифрованием файла, для того, чтобы исключить обратную распаковку программы и усложнить анализ поведения проактивными и эвристическими методами. Антивирусом детектируется результат работы подозрительных упаковщиков – упакованные объекты.

Вредоносные утилиты – программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS [1] -атак на удаленные серверы, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы непосредственно компьютеру, па котором исполняются. Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.

RiskWare – к этой категории относятся обычные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые в руках злоумышленника способны причинить вред пользователю (вызвать уничтожение, блокирование, модификацию, копирование информации, нарушить работу компьютерных сетей). Все эти программы нс являются вредоносными сами по себе, однако обладают функционалом, которым могут воспользоваться злоумышленники для причинения вреда пользователям. Выбор, детектировать или нет подобные программы, лежит на пользователе.

PornWare – программы, которые связаны с показом пользователю информации порнографического характера. Они могут быть установлены пользователем на свой компьютер сознательно, и в этом случае они не являются вредоносными.

Те же самые программы могут быть установлены на пользовательский компьютер злоумышленниками – через использование уязвимостей операционной системы и интернет-браузера или при помощи вредоносных троянских программ. Делается это обычно с целью "насильственной" рекламы платных порнографических сайтов и сервисов, на которые пользователь никогда не обратил бы внимания.

Программы борьбы с компьютерными вирусами

Защитить компьютер от вирусов может только сам пользователь. Правильное и своевременное применение антивирусных средств может гарантировать от заражения или обеспечить минимальный ущерб, если заражение произошло.

Антивирусные программы обеспечивают защиту дисков, электронной почты и сетевых протоколов и соединений. Системы защиты должны постоянно отслеживать новые вирусы (антивирусные программы должны регулярно обновляться, чтобы отражать новые вирусные нападения).

Вредоносное программное обеспечение может попадать на компьютер различными путями, и для борьбы с ним на каждом потенциально уязвимом участке используются специализированные программы: антивирусы, брандмауэры, модули защиты от шпионских программ, модули для защиты от спама в почтовых программах и т.п.

В настоящее время заслуженной популярностью пользуются комплексные решения, объединяющие в себе все методы защиты против большинства вредоносных программ. Такого рода комплексы еще называют "сьютами" (от англ. suite – набор, комплект).

К наиболее известным программам отечественного и зарубежного производства для полной защиты компьютера следует отнести: Norton AntiVirus Internet Security, Panda Antivirus Internet Security, Trend Micro Enterprise Protection Strategy, McAfee Active Virus Defense, Sophos Anti-Virus, NOD 32, а также наиболее популярные отечественные средства защиты – полифаг Doctor Web и антивирусный комплекс "Доктор Касперский".

Как работают современные антивирусные программы и какие методы используют злоумышленники для борьбы с ними? Об этом — сегодняшняя статья.

Как антивирусные компании пополняют базы?

Как образцы вредоносов попадают в вирусные лаборатории? Каналов поступления новых семплов у антивирусных компаний традиционно несколько. Прежде всего, это онлайн-сервисы вроде VirusTotal, то есть серверы, на которых любой анонимный пользователь может проверить детектирование произвольного файла сразу десятком самых популярных антивирусных движков. Каждый загруженный образец вне зависимости от результатов проверки автоматически отправляется вендорам для более детального исследования.

Очевидно, что с подобных ресурсов в вирусные лаборатории прилетает огромный поток мусора, включая совершенно безобидные текстовые файлы и картинки, поэтому на входе он фильтруется специально обученными роботами и только после этого передается по конвейеру дальше. Этими же сервисами успешно пользуются небольшие компании, желающие сэкономить на содержании собственных вирусных лабораторий. Они тупо копируют в свои базы чужие детекты, из-за чего регулярно испытывают эпические фейлы, когда какой-нибудь вендор в шутку или по недоразумению поставит вердикт infected на тот или иной компонент такого антивируса, после чего тот радостно переносит в карантин собственную библиотеку и с грохотом валится, вызывая баттхерт у пользователей и истерический хохот у конкурентов.

После того как семпл попадает в вирусную лабораторию, он сортируется по типу файла и исследуется автоматическими средствами аналитики, которые могут установить вердикт по формальным или техническим признакам — например, по упаковщику. И только если роботам раскусить вредоноса не удалось, он передается вирусным аналитикам для проведения инструментального или ручного анализа.

Анатомия антивируса

Антивирусные программы различных производителей включают в себя разное число компонентов, и даже более того, одна и та же компания может выпускать несколько версий антивируса, включающих определенный набор модулей и ориентированных на различные сегменты рынка. Например, некоторые антивирусы располагают компонентом родительского контроля, позволяющего ограничивать доступ несовершеннолетних пользователей компьютера к сайтам определенных категорий или регулировать время их работы в системе, а некоторые — нет. Так или иначе, обычно современные антивирусные приложения обладают следующим набором функциональных модулей:

• антивирусный сканер — утилита, выполняющая поиск вредоносных программ на дисках и в памяти устройства по запросу пользователя или по расписанию;
• резидентный монитор — компонент, выполняющий отслеживание состояния системы в режиме реального времени и блокирующий попытки загрузки или запуска вредоносных программ на защищаемом компьютере;
• брандмауэр (файрвол) — компонент, выполняющий мониторинг текущего соединения, включая анализ входящего и исходящего трафика, а также проверяющий исходный адрес и адрес назначения в каждом передаваемом с компьютера и поступающем на компьютер пакете информации — данные, поступающие из внешней среды на защищенный брандмауэром компьютер без предварительного запроса, отслеживаются и фильтруются. С функциональной точки зрения брандмауэр выступает в роли своеобразного фильтра, контролирующего поток передаваемой между локальным компьютером и интернетом информации, защитного барьера между компьютером и всем остальным информационным пространством;
• веб-антивирус — компонент, предотвращающий доступ пользователя к опасным ресурсам, распространяющим вредоносное ПО, фишинговым и мошенническим сайтам с использованием специальной базы данных адресов или системы рейтингов;
• почтовый антивирус — приложение, выполняющее проверку на безопасность вложений в сообщения электронной почты и (или) пересылаемых по электронной почте ссылок;
• модуль антируткит — модуль, предназначенный для борьбы с руткитами (вредоносными программами, обладающими способностью скрывать свое присутствие в инфицированной системе);
• модуль превентивной защиты — компонент, обеспечивающий целостность жизненно важных для работоспособности системы данных и предотвращающий опасные действия программ;
• модуль обновления — компонент, обеспечивающий своевременное обновление других модулей антивируса и вирусных баз;
• карантин — централизованное защищенное хранилище, в которое помещаются подозрительные (в некоторых случаях — определенно инфицированные) файлы и приложения до того, как по ним будет вынесен окончательный вердикт.

В зависимости от версии и назначения антивирусной программы, она может включать в себя и другие функциональные модули, например компоненты для централизованного администрирования, удаленного управления.

Современные антивирусные программы используют несколько методик обнаружения вредоносных программ в различных их сочетаниях. Основная из них — это сигнатурное детектирование угроз.

Сигнатуры собираются в блок данных, называемый вирусными базами. Вирусные базы антивирусных программ периодически обновляются, чтобы добавить в них сигнатуры новых угроз, исследованных за истекшее с момента последнего обновления время.

Антивирусная программа исследует хранящиеся на дисках (или загружаемые из интернета) файлы и сравнивает результаты исследования с сигнатурами, записанными в антивирусной базе. В случае совпадения такой файл считается вредоносным. Данная методика сама по себе имеет значительный изъян: злоумышленнику достаточно изменить структуру файла на несколько байтов, и его сигнатура изменится. До тех пор пока новый образец вредоноса не попадет в вирусную лабораторию и его сигнатура не будет добавлена в базы, антивирус не сможет распознать и ликвидировать данную угрозу.

Во избежание такой путаницы — что считать технологией самозащиты, а что нет — мы рассмотрим только наиболее популярные и очевидные способы самозащиты вредоносных программ. В первую очередь к таковым относятся разные способы модификации и упаковки кода, самосокрытия в системе и нарушения функционирования систем антивирусной защиты.

Пространство классификации

В этой системе координат разместим виды самозащиты вредоносных программ. Следует помнить, что приведенная диаграмма — не более чем игрушечное наглядное пособие, позволяющее сориентироваться в технологиях самозащиты вредоносных программ. Эта модель — субъективное построение автора, основанное, однако, на тщательном анализе поведения вредоносных программ.

Рис. 1. Пространство технологий самозащиты

Тот или иной способ самозащиты вредоносной программы решает одну или сразу несколько задач. Вот основные из них:

В данной статье я рассматриваю только вредоносные программы для операционной системы Windows (и предшествовавшей ей DOS) — ввиду малой популярности и, как следствие, слабо выраженных тенденций развития вредоносных программ для других платформ. Все тенденции, рассматриваемые в статье по отношению к исполняемым (EXE, DLL, SYS) вредоносным файлам, с некоторым округлением относятся также к макро- и скрипт-вирусам, поэтому я не буду упоминать последние отдельно.

Истоки: полиморфизм, обфускация и шифрование

Полиморфизм, обфускацию и шифрование имеет смысл рассматривать вместе, поскольку они решают одни и те же задачи, разве что в разных пропорциях. Изначально у модификации кода вредоносной программы было две цели: затруднение файлового детектирования и затруднение анализа кода специалистом.

Тут необходимо пояснить, почему модификация кода является средством противодействия файловому детектированию, и как это детектирование работает.

До последних лет работа антивирусов была основана исключительно на анализе кода файла. При этом более ранний сигнатурный способ детектирования опирался на поиск жестко заданных последовательностей байт, зачастую по фиксированному смещению от начала файла, в бинарном коде вредоносной программы. Появившийся несколько позже эвристический способ детектирования также работал с кодом файла, но опирался уже на более свободный, вероятностный поиск характерных для вредоносной программы последовательностей байт. Очевидно, что вредоносная программа легко обойдет такую защиту, если каждая ее копия будет представлять собой новый набор байт.

Именно эту задачу и решают полиморфизм и метаморфизм, суть которых, без углубления в технические детали, заключается в том, что при создании своей копии вредоносная программа полностью мутирует на уровне набора байт, из которого она состоит. При этом ее функционал остается неизменным. Шифрование и обфускация сами по себе в первую очередь нацелены на затруднение анализа кода, но, реализованные определенным образом, оказываются разновидностями полиморфизма — как, например, шифрование каждой копии вируса уникальным ключом в Cascade. Обфускация сама по себе лишь затрудняет анализ, но, используемая по-новому в каждой копии вредоносной программы, препятствует сигнатурному детектированию. Хотелось бы подчеркнуть: нельзя сказать, что одна из вышеперечисленных техник сама по себе является эффективнее других с точки зрения самозащиты вредоносной программы. Скорее, эффективность техники зависит от конкретных обстоятельств и способа ее реализации.

Относительно широкое распространение полиморфизм получил только в эпоху DOS-вирусов, заражающих файлы. Этому есть причины. Написание полиморфного кода — задача исключительно ресурсоемкая и оправдывается только в тех случаях, когда вредоносная программа самостоятельно размножается: при этом каждый новый ее экземпляр представляет собой более или менее уникальный набор байт. Для большинства современных троянцев, не имеющих функции саморазмножения, это не актуально. Поэтому, когда закончилась эпоха DOS-вирусов, полиморфизм стал встречаться во вредоносных программах не слишком часто и использовался скорее для самоутверждения вирусописателя, чем в качестве полезной (с точки зрения задач вредоносной программы) функции.

Рис. 2. Полиморфный код P2P-Worm.Win32.Polip

Напротив, обфускация, равно как и иные способы модификации кода, в большей степени решающие задачу затруднения его анализа, а не задачу затруднения детектирования, именно благодаря этому не теряет своей актуальности.

Рис. 3. Диаграмма обфусцированного кода Trojan-Dropper.Win32.Small.ue

С тех пор как поведенческие методы детектирования начали вытеснять сигнатурные, приемы модификации кода все меньше способны препятствовать обнаружению вредоносных программ. Поэтому полиморфизм и смежные с ним технологии сегодня непопулярны и остаются лишь средством затруднения анализа кода.

Stealth-вирусы

Пакеры

Побочный — и полезный с точки зрения самозащиты вредоносной программы — эффект от использования пакеров заключается в некотором затруднении детектирования вредоносной программы файловыми методами.

Дело в том, что, разрабатывая новую модификацию вредоносной программы, ее автор обычно меняет несколько строк кода, оставляя его костяк нетронутым. В скомпилированном файле при этом меняются байты на определенном отрезке, и если сигнатура антивируса не состояла именно из этого отрезка, то вредоносная программа будет по-прежнему детектироваться. Обработка программы упаковщиком решает эту проблему, поскольку изменение даже одного байта в исходном исполняемом файле приводит к совершенно новому набору байт в файле упакованном.

Рис. 4. Визуальное отличие между упакованным и неупакованным кодом

Пакеры активно используются и по сей день. Их многообразие и изощренность растет. Многие современные упаковщики, помимо сжатия исходного файла, снабжают его дополнительными функциями самозащиты, нацеленными на затруднение распаковки файла и его анализа при помощи отладчика.

Руткиты

В основе функционирования руткита лежит тот же принцип, что и в основе stealth-вирусов в DOS. Чаще всего встречаются руткиты, механизм работы которых основан на модификации цепочки системных вызовов и поэтому носит название Execution Path Modification. Такой руткит можно представить себе в качестве шпиона-перехватчика, находящегося в некоторой точке пути, по которому передаются команды или информация, и модифицирующего эти команды или информацию в целях их искажения или управления принимающей стороной незаметно для нее. Теоретически количество точек, в которых может разместиться перехватчик, не ограничено. На практике в настоящий момент в основном используются несколько видов перехвата функций пользовательских приложений (API) и перехвата системных функций ядра. Этот тип руткитов представлен, например, широко известными утилитами Vanquish и Hacker Defender и такими вредоносными программами, как Backdoor.Win32.Haxdoor, Email-Worm.Win32.Mailbot, некоторыми версиями Email-Worm.Win32.Bagle.

Рис. 5. Перехват функции ZwQueryDirectoryFile скрывает
файл драйвера в списке файлов

Другой распространенный тип руткитов — Direct Kernel Object Modification (DKOM) — можно представить как шпиона-инсайдера, который модифицирует информацию или команды непосредственно в их источнике. Это руткиты, изменяющие системные данные. Типичный представитель — утилита FU; соответствующие функции присутствуют и в троянце Gromozon (Trojan.Win32.Gromp).

Еще одна редкая технология, подпадающая под определение руткита лишь частично (но еще меньше соответствующая определениям других классов самозащиты, приведенным в данной статье), — технология использования бестелых файлов, когда вредоносные программы совершенно лишены тела на диске. На данный момент известны два представителя этой технологии: нашумевший в 2001 году Codered (Net-Worm.Win32.CodeRed), существовавший подобно призраку лишь в контексте MS IIS, и обнаруженный совсем недавно концептуальный троянец, хранящий свое тело в реестре.

Вектор современного руткит-движения направлен в сторону виртуализации и использования функций оборудования — обобщенно, в сторону все более глубокого внедрения в систему.

Борьба с антивирусами

Во все времена существовали вредоносные программы, защищающие себя достаточно активно. В качестве такой защиты может выступать:

Будущее: рефлексирующий вирус?

У диагностических технологий уже есть предшественник: некоторые вредоносные программы, если их запустить в виртуальной среде (VMWare, Virtual PC), немедленно убивают себя. Встраивая такой механизм самоуничтожения во вредоносную программу, ее автор препятствует ее анализу, иногда проводимому антивирусными специалистами именно в виртуальной среде.

Тенденции и прогнозы

С точки зрения перспектив и динамики развития, состояние рассмотренных выше направлений самозащиты таково:

1. Руткиты стремятся к эксплуатации функций оборудования и к виртуализации. Однако это направление еще не созрело и вряд ли станет существенным (применительно к массивному использованию данной технологии) в ближайшие годы.
2. Технология отказа от файла на диске: два известных концепта вполне позволяют ожидать развития темы в ближайшее время.
3. Использование технологий обфускации незначительно, но неизменно актуально.
4. Использование технологий обнаружения средств защиты и нарушения их функционирования — значительно и неизменно актуально.
5. Использование пакеров значительно и равномерно растет (как по количественным, так и по качественным показателям).
6. Использование технологий обнаружения отладчиков, эмуляторов, виртуальных машин, равно как и других технологий диагностики среды, должно развиваться, чтобы компенсировать массовый переход антивирусов к поведенческому анализу.

Рис.7. Примерное распределение технологий самозащиты
вредоносных программ на начало 2007 г.

Несложно заметить, что тенденции развития самозащиты вредоносных программ изменяются в соответствии с тенденциями развития самих вредоносных программ и защиты от них. В то время, когда большинство вредоносных программ заражали файлы, а в антивирусах использовалось только сигнатурное детектирование, актуальными были полиморфизм и защита кода. В настоящее время вредоносные программы в основном самостоятельны, а антивирусы — все более проактивны. Исходя из этого можно сделать прогноз, какие направления самозащиты вредоносных программ будут развиваться интенсивнее других:

1. Руткиты. Невидимость в системе всегда дает преимущества — даже если уже не спасает от детектирования. Наиболее вероятно появление новых типов бестелых вредоносных программ и, немного позже, использование технологий виртуализации.
2. Обфускация и шифрование. Затруднение анализа кода сохранит актуальность.
3. Противодействие средствам защиты, основанной на поведенческом анализе. Здесь можно ожидать появления каких-то новых технологий, поскольку те, что используются сейчас (целевое нападение на антивирусы), не являются эффективными. Возможно, это будут какие-то способы детектирования виртуальной среды или некое шифрование поведенческих паттернов.

Заключение

* Полиморфизм — класс технологий, позволящих саморазмножающейся программе полностью или частично изменять внешний вид и/или структуру своего кода в процессе размножения.

* Обфускация — совокупность приемов запутывания исходного кода программы, имеющих целью максимально затруднить его чтение и анализ, но полностью сохранить функциональность. Технологии обфускации могут быть применены на уровне любого языка программирования – высокоуровневого, скриптового, ассемблера. Примеры простейшей обфускации: разбавление кода нейтральными (не изменяющими функционал программы) операторами; снижение его наглядности посредством использования чрезмерного количества безусловных (либо маскирующихся под условные безусловных) переходов.

Поговорим о нескольких понятиях, которые зачастую понимаются ошибочно: какие бывают сигнатуры, что на самом деле такое вирусы и как работает лечение системы антивирусом.

13 октября 2016

Мы много и часто рассказываем о правилах поведения (а может, даже и выживания) в Интернете, да и в цифровом мире в целом. Очень надеемся, что делаем это все не зря, — что люди учатся и потом учат своих близких. Это правда очень важно.

Однако во всех этих рассказах встречается немало специфических терминов, которые кто-то может не знать или понимать неверно. Сегодня мы поговорим о трех самых распространенных заблуждениях, связанных с антивирусами, и попробуем объяснить, почему мы называем определенные вещи так, а не иначе.

Так исторически сложилось, что антивирусные базы в разговоре и даже статьях часто называют сигнатурами. В действительности же классические сигнатуры, пожалуй, ни один антивирус не использует уже лет 20.

Давайте же это определение дадим. Классическая вирусная сигнатура — это непрерывная последовательность байтов, характерная для той или иной вредоносной программы. То есть она содержится в этом вредоносном файле и не содержится в чистых файлах.

Например, характерная последовательность байтов может быть такой

Проблема в том, что сегодня с помощью таких классических сигнатур определить вредоносный файл достаточно проблематично — их создатели используют различные техники для того, чтобы запутать следы. Поэтому современные антивирусы используют значительно более продвинутые методы. И хотя в антивирусных базах примитивных записей по-прежнему много (больше половины), но есть еще и очень много умных записей.

Антивирусная запись — это запись, а стоящая за ней технология может быть как классической, простенькой, так и суперсовременной и навороченной, нацеленной на детектирование самых запутанных и высокотехнологичных вредоносных файлов или даже целых семейств вредоносов.

Инфекторы в вирусной лаборатории пользуются особым статусом. Во-первых, их чуть сложнее распознать — с виду файл чистый, а на самом деле в нем инфекция. Во-вторых, они требуют особого подхода: почти всегда для них нужна специальная процедура лечения и, как правило, еще и особая процедура детектирования. Поэтому инфекторами занимаются люди, специализирующиеся именно на этом типе угроз.

Классификация вредоносных программ

Мне встречалось такое заблуждение, будто антивирус сканирует и детектирует, а если что-то найдет, то потом надо скачивать специальную лечащую утилиту и использовать уже ее. Отдельные утилиты для особо популярных зловредов у нас действительно есть — например, специализированные утилиты, позволяющие бесплатно расшифровать файлы, зашифрованные вымогателями. Но и антивирус справляется с лечением ничуть не хуже. А в подавляющем большинстве случаев — даже лучше, за счет драйверов в системе и других технологий, которые в утилиту не запихнешь.

А в остальных 99% случаев, когда зловред ничего не инфицирует, а просто делает (или собирается делать) свое черное дело, лечение действительно состоит в банальном удалении файла зловреда. Просто потому, что заражения других файлов нет, так что и лечить их не требуется. Уничтожаем файл — и система здорова.

В большинстве случаев лечение как таковое не требуется, достаточно просто удалить вредоносный файл

Кстати, ситуация такая возникает обычно по двум причинам:

На сегодня все. Надеюсь, теперь вы:

От локального к облачному. Безопасность стала проще

Вирусы как хобби: 1992 — 2004 гг.

В 1992 году было известно примерно о тысяче вирусов.
В 2004 — примерно о 100,000.

Вирусописатели еще не научились зарабатывать деньги. Иногда это просто хобби. Иногда — что-то близкое к хулиганству. Например, компьютер заразили для того, чтобы похитить чужой интернет-трафик. Иногда — просто для того, чтобы пошутить или доказать свое мастерство.

Антивирусные проверки выполняются на локальном компьютере. Антивирусы основаны на поиске совпадений. На компьютер скачивается база определений известных вредоносных программ (сигнатурная база). Каждый из объектов на компьютере сравнивается с этой базой. Если обнаружено совпадение, это означает, что компьютер заражен. Таким образом, антивирусные программы по умолчанию доверяют каждому из приложений. По крайней мере, до тех пор, пока не уверены в том, что приложение является вредоносным или заражено.

Эпоха “тормозов”: 2004 — 2010 гг.

Интернет изменил мир. К сети теперь постоянно подключено очень много людей — они пришли туда за общением и развлечениями. Бизнес уже сильно зависит от информационных технологий, так как он не может обойтись без средств автоматизации.

Вирусописатели уже научились извлекать финансовую выгоду из заражения компьютеров. Мошенничество, рассылка спама, похищение личной информации — все это стало приносить деньги.

Число вредоносных программ растет так быстро, что антивирусы не успевают обновлять сигнатурные базы для защиты от новых вредоносных программ. В 2010 г. было известно уже о 100,000,000 вредоносных программ. Антивирусные компании соревнуются между собой в том, как часто их продукты обновляют сигнатурную базу и сколько она содержит определений вирусов.

Антивирусы “тормозят”, то есть потребляют слишком много ресурсов компьютера. Одна из причин — в сигнатурной базе уже очень много определений вирусов, а для повышения точности обнаружения одновременно используется несколько технологий (эвристики, эмуляция, HIPS, поведенческие методы и т. д.).

Облачность: 2011 — настоящее время

Ежедневно антивирусные компании выявляют около 300,000 новых вредоносных программ.

Киберпреступность стала профессиональной. Вирусописатели используют разные способы обхода антивирусов. Один из способов — выигрыш во времени. Пока антивирус молчит по той причине, что вирусная лаборатория еще не узнала о новой вредоносной программе, злоумышленники успевают заразить компьютер и заработать на этом.

Облачные вычисления дополняют локальные проверки. Чтобы ускорить обнаружение вирусов и отказаться от некоторых локальных проверок, все чаще используются облачные технологии. Одна из таких технологий — репутационный метод обнаружения (whitelisting). Установленный на компьютере антивирус не только сам получает обновления, но и передает информацию о файлах в лабораторию. База антивирусной компании содержит данные о разных объектах — как о “плохих”, так и о “хороших”. Но теперь каждый объект имеет репутацию. Репутация отражает, насколько велика вероятность, что объект является вредоносным. Хотя антивирусные проверки осуществляются все еще локально, оценка репутации файлов происходит уже в облаке.

Появляется новый подход — облачное обнаружение. На локальном компьютере собирается информация. Она передается в облако, где анализируется с помощью экспертной системы, использующей методы Big Data. После того, как анализ в облаке закончен, на компьютер возвращается готовый вердикт — есть ли заражение, какой объект заражен и что с этим делать. Таким образом, на локальном компьютере больше не нужна полная информация обо всех угрозах и от части проверок можно отказаться.

Чтобы найти и вылечить заражения, которые пропустили антивирусы,
подключите компьютер к Cezurity Sensa с помощью сканера Cezurity