Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (57)
  • добавить в избранное
    Добавить в закладки

Мульти-пульти прошлый век

Прочитали: 21506 Комментариев: 55 Рейтинг: 77

28 августа 2020

#drweb

Владимир Маковский «Не пущу!» 1892 год

Вы наверняка не раз видели сайты, где советуют отключить SpIDer Gate или Родительский контроль в Dr.Web.Web Security Space – чтобы можно было без проблем зайти туда, куда наш антивирус не пускает.

На некоторых сайтах, на случай если пользователь сомневается, так ли уже неправ Dr.Web, советуют сначала убедиться, что тревога ложная. Для этого предлагают перед скачиванием прогнать файл через один из мультисканеров. Например, VirusTotal. Но такие советчики не учитывают все аспекты такого отнюдь не простого занятия как антивирусная защита.

Что такое мультисканер? Это сайт (сервис), на который можно послать файл для проверки его сразу множеством антивирусов. Самый известный, но не единственный – VirusTotal (кстати, в программе цифрового развития России заложена задача создания подобного сервиса). Можно послать не файл, а его контрольную сумму. В этом случае сервис выдаст ответ, если ранее файл с такой контрольной суммой уже проверялся.

Легальные мультисканеры передают новые вредоносные файлы производителям средств защиты, а нелегальные, конечно, этого не делают.

Как работает мультисканер? Полученный файл передается запущенному антивирусу, тот его проверяет и выдает вердикт. Но проверяет лишь на предмет того, известен ли этот файл вирусным базам, не запуская. Таким образом, даже типичный шифровальщик, если он не внесен в сигнатуры баз и не определяется эвристиком, будет признан невредоносным (кстати, об эвристиках: тот же WannaCry мы блокировали нашим эвристиком, который, на минуточку, совершенствуем с 1994 (!) года).

Вердикт мультисканера – это лишь проверка того, знаком ли файл антивирусам. Не более. Гарантии «чистоты» файла такой сервис не даст.

Но по порядку.

  1. Мультисканеры используют и вирусописатели – перед тем как выпустить новый вирус в дикую природу. Они прогоняют новый образец через все популярные антивирусы. А значит, какое-то время ни один антивирус гарантированно не будет определять новую заразу.
  2. Это сканирование – только по вирусным базам. Но кто сейчас всерьёз полагается на базы? Пока в них вирусные аналитики добавят новую запись, мир окажется на грани катастрофы, случись еще один WannaCry. В дополнение к вирусным базам антивирусы давно уже развивают технологии определения вредоносности по поведению – после запуска файлов. В частности – технологии превентивной защиты.
  3. Упаковщики. Файл может быть упакован неизвестным сканеру упаковщиком (своего рода архиватором), и тогда антивирус не сможет выделить собственно вредоносный объект и сравнить его со своими сигнатурами. Что это значит на практике? Перепакованный несколько раз или упакованный еще не известным всем антивирусам упаковщиком вирус гарантированно не будет определяться мультисканером – или частью используемых им антивирусов. Мы, кстати, обладаем технологией обнаружения вредоносных объектов в файлах, упакованных неизвестным форматом.
  4. Конфиденциальность. Допустим, вы получили по почте странное письмо, якобы от вашего начальника, но что-то в нем вас смущает. Вы хотите его проверить и отправляете в мультисканер. Окажется, что файл действительно чистый, вот только вы отправили его неизвестно кому. Некоторые мультисканеры, если ни один антивирус не определяют файл как вредоносный, автоматически шлют его на более подробное исследование в вирусные лаборатории — и это правильно. Но вам надо, чтобы ваш секретный корпоративный документ разошелся по многим мировым компаниям и мог быть потенциально использован во вред вашему работодателю?

И напоследок байка. Несколько лет назад один известный антивирусный вендор, чтобы доказать, что другие менее известные антивирусные вендоры крадут (!) у него детекты, отправил на VirusTotal файл Калькулятора из ОС Windows, упаковав его несколько раз и пометив как вирус. Спустя несколько минут еще ряд вендоров тоже стали считать файл Mircosoft вирусом.

Байка не о том, какое зло мультисканер, но чтобы было ясно: на него полностью полагаться нельзя. Сканеры остались в прошлом веке. В веке нынешнем они уже не спасают – в отличие от комплекса технологий Dr.Web.

Времена меняются

#Dr.Web #антивирусная_проверка #признаки_заражения #технологии

Антивирусная правДА! рекомендует

Если антивирус не позволяет скачать или запустить файл, остерегитесь даже пытаться.

Если предупреждает, что на сайт заходить не надо, прислушайтесь. У него есть повод бить тревогу.

Для вас же стараемся!

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: