Можно ли доверять антивирусам в эпоху постоянно развивающихся вирусов?
Распространено мнение, что без антивируса сегодня никуда, впрочем, так было всегда. Хакеры повсюду, они атакуют компьютеры, серверы, взламывают аккаунты почты и социальных сетей, воруют деньги с кредитных карточек и электронных кошельков. Поставь нормальный антивирус и будет тебе счастье, говорили они. Но так ли это на самом деле? Ведь вирусы тоже развиваются, причём быстрее антивирусов, потому что сначала появляется новый вирус, а затем разработчики антивирусов ищут лечение против него. Так можно ли доверять современным антивирусам?
Как антивирусы находят неизвестные вирусы
Известные вирусы обнаруживаются просто:
- В базу антивируса записывается сигнатура — отпечаток, метка для программного кода вируса
- В процессе сканирования файлов, ищется совпадение по всем сигнатурам
- Если совпадение найдено, то считается что файл заражён известным вирусом.
Несмотря на то, что вирусы появляются быстрее обновлений антивирусных программ, есть механизмы, позволяющие выявлять даже неизвестный вредоносный код — эвристический анализ. Работает эвристический анализ на основе предположения, что куски кода, отвечающие за вредоносные действия, почти не меняются со временем. Т.е., если новый вирус хочет изменить загрузочную запись на жёстком диске, то самый важный кусок программного кода будет узнаваем, потому что делает конкретное действие.
Таким образом, особое внимание уделяется программам, которые обращаются напрямую к файлам, минуя встроенные механизмы операционной системы, перехватывают управление над аппаратными и программными прерываниями или просто вносят изменения в запускаемые файлы ».exe». Именно поэтому существуют ложные срабатывания на нормальных файлах, когда программа для работы с жёстким диском хочет изменить загрузочную запись, а антивирус считает это злонамеренным действием.
Кажется всё, победа антивирусов? Но не всё так просто, вариантов написания кода так много, что за всеми не уследить. Но есть и другой механизм — поиск нежелательных приложений (PUP). В этом случае анализируется уже не программный код, а выполняемое действие. Например, если приложение пытается изменить домашнюю страницу браузера, то это расценивается как потенциально опасное действие, и, соответственно, само приложение потенциально опасно.
Здесь под наблюдением программы, которые устанавливают дополнительные DLL-библиотеки, плагины для браузеров, получают доступ к конфиденциальной информации или загружают баннеры с известных рекламных серверов. Обычно пользователь уведомляется о потенциальных последствиях и может согласиться использовать программу или дополнительно изучить её происхождение.
Каким функциям антивирусов точно можно доверять
С обнаружением тела вируса в заражённых файлах разобрались — новые вирусы будут детектироваться, но не все 100%. Степень и качество обнаружений полностью зависит от самого антивируса. Хороший и современный антивирус TotalAV с качественным эвристическим анализатором и защитой от интернет-угроз, отзывы о котором вы найдете по этой ссылке. Помимо обезвреживания от червей, троянов и руткитов, в антивирусе TotalAV есть также встроенный менеджер паролей.
Межсетевой экран, он же брандмауэр, фаервол — обеспечивает защиту от сетевых атак извне. Большинство антивирусов имеют встроенный бандмауэр, и именно он защищает компьютер от внешних атак хакеров и червей. Ведь чтобы заразиться вирусом, нужно его скачать и запустить. Хакер же может скопировать вирус на компьютер и исполнить его код через открытые сетевые уязвимости, от которых защищает брандмауэр. Межсетевой экран довольно надёжен, т.к. в этой области редко появляется что-то новое, здесь не нужно определять сигнатуры. Есть порт закрыт, то он закрыт и на этом точка!
Фишинг — это подмена официального сайта, например банка или социальной сети, на сайт-фальшифку. Сайт мошенников выглядит также, адрес сайта очень похож, но введя на нём пароль, он попадает в руки злоумышленников. Антивирусы с защитой от фишинга, такие как TotalAV, умеют предупреждать пользователя о таком сайте, но делают они это с помощью сравнения по базе данных. Если фишингового сайта нет в базе данных, то и защита не сработает. Но 100% защита обеспечивается с помощью менеджера паролей, т.к. он предлагает заполнить пароль только на том сайте, на котором он был сохранён. Когда адрес отличается хоть на одну букву, вы не увидите сохранённого пароля!
Однозначно не нужно доверять антивирусам-сканерам без защиты в режиме реального времени. Такой антивирус не имеет резидентного модуля, т.е. не следит за работающими процессами и за файловыми операциями, например Kaspersky Virus Removal Tool. Такие утилиты запускают раз в неделю или месяц для полного сканирования компьютера. Плюс такого подхода — это нулевое влияние на работу системы, отсутствие затормаживания, и всё.
Как теперь доверять антивирусам?
Конечно, антивирусные программы не дают 100% защиты от всех угроз, но так было всегда, и ситуация не ухудшилась со временем. Вирусы всегда развивались, а антивирусы бежали вслед. Можно сказать, что дистанция между ними даже сократилась в последние годы, по сравнению с тем, что было 10 лет назад. Полной защиты нет даже у государственных организаций высокой важности, ведь периодически появляются новости что кого-то взломали. Для хорошей защиты нужно соблюдать этикет сетевой безопасности и думать головой.
Полный текст статьи читайте на PCNEWS