Донецкий техникум промышленной автоматики

Три помилки, пов'язаних з антивірусами: сигнатури, віруси і лікування

  1. Помилка перша: сигнатури - це щось застаріле
  2. Помилка друга: віруси - це будь-які шкідливі програми
  3. Помилка третя: антивірус не вміє лікувати
  4. висновок

Ми багато і часто розповідаємо про правила поведінки (а може, навіть і виживання) в Інтернеті, та й в цифровому світі в цілому. Дуже сподіваємося, що робимо це все не дарма, - що люди вчаться і потім вчать своїх близьких. Це правда дуже важливо. Ми багато і часто розповідаємо про правила поведінки (а може, навіть і виживання) в Інтернеті, та й в цифровому світі в цілому

Однак у всіх цих оповіданнях зустрічається чимало специфічних термінів, які хтось може не знати або розуміти невірно. Сьогодні ми поговоримо про три найбільш поширені помилки, пов'язаних з антивірусами, і спробуємо пояснити, чому ми називаємо певні речі так, а не інакше.

Помилка перша: сигнатури - це щось застаріле

Так історично склалося, що антивірусні бази в розмові і навіть статтях часто називають сигнатурами. Насправді ж класичні сигнатури, мабуть, жоден антивірус не використовує вже років 20.

Проблема виникла через те, що з самого початку - а це вісімдесяті роки - поняття «сигнатури» не було визначено чітко. Наприклад, окремої статті про них в «Вікіпедії» немає навіть зараз, а в статті про шкідливі програми поняття «сигнатури» використовується без визначення - як щось всім відоме.

Давайте ж це визначення дамо. Класична вірусна сигнатура - це безперервна послідовність байтів, характерна для тієї чи іншої шкідливої ​​програми. Тобто вона міститься в цьому шкідливому файлі і не міститься в чистих файлах.

Тобто вона міститься в цьому шкідливому файлі і не міститься в чистих файлах

Наприклад, характерна послідовність байтів може бути такий

Проблема в тому, що сьогодні за допомогою таких класичних сигнатур визначити шкідливий файл досить проблематично - їх творці використовують різні техніки для того, щоб заплутати сліди. Тому сучасні антивіруси використовують значно більш просунуті методи. І хоча в антивірусних базах примітивних записів як і раніше багато (більше половини), але є ще й дуже багато розумних записів.

Все це продовжують по-старому називати сигнатурами. І якби ж то просто називали - в общем-то, нічого страшного. Але ця назва часто використовується принизливо: мовляв, сигнатури - застарілі технології. А насправді в цих «застарілих сигнатури» часом яке-небудь «розбиття простору виконуваних файлів на кластери в результаті роботи нейронної мережі», яке ніхто і слова-то є не може описати.

В ідеалі варто було б відмовитися від використання самого терміна «сигнатура» в сенсі «будь-який запис в антивірусній базі». Але аж надто міцно це слово увійшло в побут, та й альтернативного терміна поки не придумали, так що все продовжують за звичкою користуватися ним.

Тому важливо мати на увазі, що саме по собі слово «сигнатура» насправді не говорить нічого про просунутості або примітивності.

Антивірусна запис - це запис, а що стоїть за нею технологія може бути як класичної, простенької, так і суперсучасної і навороченій, націленої на детектування найзаплутаніших і високотехнологічних шкідливих файлів або навіть цілих сімейств шкідливий.

Помилка друга: віруси - це будь-які шкідливі програми

Ви напевно відзначали, що вірусні аналітики нашої компанії уникають вживання слова «вірус», вважаючи за краще йому дивні слова на кшталт «шкідливий» або «зловредів», а між собою часто говорять «малваре». Робимо ми це зовсім не з марновірства або професійного пафосу.

Справа в тому, що «Virus» - це цілком конкретна різновид шкідливий, що відрізняється дуже специфічною поведінкою: це зловредів, який заражає собою інші, чисті файли. Вірусні аналітики також використовують для цього типу шкідливих програм термін «інфектори».

Інфектори в вірусної лабораторії користуються особливим статусом. По-перше, їх трохи складніше розпізнати - на вигляд файл чистий, а насправді в ньому інфекція. По-друге, вони вимагають особливого підходу: майже завжди для них потрібна спеціальна процедура лікування і, як правило, ще й особлива процедура детектування. Тому інфекторамі займаються люди, які спеціалізуються саме на цьому типі загроз.

Тому інфекторамі займаються люди, які спеціалізуються саме на цьому типі загроз

Класифікація шкідливих програм

І ось для того, щоб не плутати «вірус» в обивательському розумінні з цілком певною категорією зловредів, вірусні аналітики, в тому числі і в розмові з пресою, вживають слова «шкідливий» або «зловредів», коли мова йде про шкідливі програми в цілому .

І якщо вже ми заговорили про правильні термінах, то ось ще кілька. «Черв'як» - це шкідливий, здатний до самостійного розповсюдження за межі одного пристрою. А «малваре» (malware), якщо слідувати точної класифікації, не включає в себе «Адвар» (adware) - грубе рекламне ПО - і «рісквару» (riskware) - легальне ПЗ, яке може завдати шкоди користувачеві, якщо встановлено не ним, а зловмисниками.

Помилка третя: антивірус не вміє лікувати

Мені зустрічалося таке оману, ніби антивірус сканує і детектирует, а якщо щось знайде, то потім треба завантажувати спеціальну лікує утиліту і використовувати вже її. Окремі утиліти для особливо популярних зловредів у нас дійсно є - наприклад, спеціалізовані утиліти, що дозволяють безкоштовно розшифрувати файли, зашифровані вимагачами. Але і антивірус справляється з лікуванням нітрохи не гірше. А в переважній більшості випадків - навіть краще, за рахунок драйверів в системі та інших технологій, які в утиліта не запхнеш.

Лікування полягає в наступному. В 1% випадків, коли користувачеві антивіруса «пощастило» натрапити саме на вірус - інфектор (причому, швидше за все, ще до установки антивіруса, інакше б зловредів просто не запустився), антивірус дійсно буде перебирати всі заражені файли на комп'ютері і виробляти процедуру дезінфекції - відновлювати оригінал. До речі, те ж саме антивірус буде робити, якщо буде потрібно розшифрувати файли, зашифровані здирником-шифрувальником - зловредів класу Trojan-Ransom.

А в інших 99% випадків, коли зловредів нічого не інфікує, а просто робить (або збирається робити) свою чорну справу, лікування дійсно полягає в банальному видаленні файлу зловреда. Просто тому, що зараження інших файлів немає, так що і лікувати їх не потрібно. Знищуємо файл - і система здорова.

Знищуємо файл - і система здорова

У більшості випадків лікування як таке не потрібно, достатньо просто видалити шкідливий файл

Але тут є один виняток - якщо зловредів вже працює в системі (а не просто лежить на диску), то антивірус переходить в стан «Лікування активного зараження», щоб все зробити надійно і до кінця, без рецидивів. Ось тут можна прочитати повний опис даної лікарської процедури .

До речі, ситуація така виникає зазвичай з двох причин:

  1. Антивірус встановлюють на вже заражене пристрій: «Заразився? Пора подумати і про захист ».
  2. Антивірус не зміг визначити загрозу на диску до запуску, тому запуск дозволив, але позначив програму як підозрілу і перейшов до активної моніторингу які вона виконувала дій. Якщо дії програми дійсно «неправильні», то вона буде визначена як шкідлива. У цьому випадку, до речі, антивірус при лікуванні також здійснить відкат всіх вироблених зловредів дій (він же їх не дарма моніторив і запам'ятовував): наприклад, відновлення з резервної копії-на-льоту зашифрованих файлів користувача, якщо мова йде про шифрувальником або інфекторе.

висновок

На сьогодні все. Сподіваюся, тепер ви:

  1. Будете розуміти, що «сигнатурами» в наш час прийнято називати будь-які антивірусні бази, в тому числі і самі високотехнологічні, а сигнатури в класичному розумінні вже не використовуються в антивірусної індустрії.
  2. Краще розумієте, хто є хто в світі шкідливих програм.
  3. Нарешті розумієте, що лікування пристрої, комп'ютера або смартфона, від зараження - це штатна обов'язок антивіруса. А ще - що ні в якому разі не варто виключати компонент «Моніторинг активності».