Азбучные истины
Прописная, азбучная истина (трюизм) — общеизвестное, банальное знание о чем-либо.
Во многих сказках героя спасают от беды, но в оплату требуют отдать то, что есть у него дома и о чем он не знает. Вы спросите: какое это имеет отношение к антивирусу? Скоро поймете.
Как известно, антивирусное ядро – компонент антивируса, который опознает, но не ловит (см. выпуск «Антивирус – сложный организм») вредоносные файлы (а с недавних пор – и коды) с помощью:
- записей в вирусной базе (сигнатур);
- функций, хранящих в себе признаки найденных ранее вредоносных файлов;
- предположений об угрозах, которые могут появиться в будущем (эвристических технологий).
Таким образом, для опознания вредоносного файла антивирусным ядром нужно, чтобы он был предварительно исследован вирусным аналитиком или похож на ранее проанализированные образцы (и тогда его «поймает» эвристический анализатор).
Антивирусным компаниям требуется постоянно пополнять знания о новых вредоносных программах. Один из способов расширения вирусной коллекции Dr.Web — получение новых образцов от пострадавших в результате действия неизвестной антивирусу вредоносной программы. Те, кто посылает вендорам образцы вредоносных программ, делают это в том числе из желания помочь тем, кого пока не атаковали. Но есть одна и очень большая проблема.
Практика показывает, что большинство пользователей и системных администраторов не готовы к вирусному инциденту.
И мы даже не говорим о наличии (а чаще об отсутствии) в компаниях прописанных и соблюдаемых администраторами процедур при возникновении вирусозависимого компьютерного инцидента (ВКИ).
Уж сколько лет троянцам-шифровальщикам (см. выпуски рубрики «Закодировать все»)! Но до сих пор подавляющее большинство админов не знает, ЧТО нужно присылать в антивирусную лабораторию, чтобы обеспечить вирусным аналитикам возможность расшифровки. Например, сколько зашифрованных файлов нужно прислать на анализ и каким требованиям они должны соответствовать.
Грустно, но на анализ массово присылают… скриншоты с требованиями вымогателей!
Люди поступают так по незнанию, и упрекать их за это сложно, но, увы, эти скриншоты никак не помогут в наполнении вирусных баз.
А еще злоумышленники стараются замести следы — стирают логи (журналы действий), удаляют уже не нужные компоненты вредоносных программ из пораженной системы (например, дропперов). В результате на анализ могут попасть (и попадают) только активные части вредоносной программы, а не те, с помощью которых происходило заражение.
Почему это важно? Приведем пример. Антивирус для операционных систем Android работает с правами обычных программ и не имеет доступа к системным областям. Для доступа к ним устройство нужно «рутовать» (повышать права), что с точки зрения безопасности не есть хорошо (см. выпуск «Рыба гниет с головы — а смартфон с корня»). Но таковы правила игры, установленные разработчиками Android. Зная это, злоумышленники сразу после заражения стирают модули, осуществляющие его. А в нерутованной системе антивирус может предотвратить заражение, только имея данные об этих модулях.
Dr.Web рекомендует
Будьте готовы к вирусным заражениям заблаговременно!
- Заражение пока не известными вредоносными файлами в большинстве происходит в силу нарушения банальных правил безопасности — например, при наличии разрешенного доступа пользователей к файлам, программам и ресурсам, которые обычно им не требуются, или возможности запуска и установки (это разные вещи!) нового ПО.
- Храните отчеты в защищенном виде, используйте неудаляемые системы логирования.
- Контролируйте установку и удаление нового ПО.
- Чтобы вирусные аналитики «Доктор Веб» могли вам помочь в расшифровке, знайте, ЧТО нам нужно для анализа ситуации, предшествующей заражению.
PS. Ах да, о сказке. Отдать неведомое просит, конечно же, сотрудник техподдержки «Доктор Веб» у пользователя ☺.
Нам важно ваше мнение
10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Kvazar
09:44:09 2019-09-20
Денисенко Павел Андреевич
14:19:01 2018-08-04
ka_s
20:41:54 2018-07-10
Влад58028
08:29:52 2018-06-28
alex-diesel
18:27:07 2018-03-13
все на борьбу с безграмотностью, тупостью и ленью!!
Toma
17:23:02 2018-01-31
elektron57
19:14:43 2017-06-09
EvgenyZ
13:21:05 2017-04-21
Dmur
21:07:51 2017-04-14
Natalya_2017
13:45:35 2017-04-05
Айрат
21:14:37 2017-03-30
eaglebuk
21:52:23 2017-02-05
cruise
09:45:42 2017-02-05
Айрат
19:20:08 2017-01-23
Heisenberg
19:05:59 2017-01-18
Шалтай Александр Болтай
17:14:08 2017-01-13
Masha
17:13:31 2017-01-11
Татьяна
20:36:59 2017-01-08
Пaвeл
14:54:12 2016-12-23
tvmvt
21:23:54 2016-12-22
Дмитрий
13:01:24 2016-11-29
Azat.N
12:57:18 2016-11-06
kyha4
10:11:58 2016-10-07
Helen
12:21:09 2016-10-06
1milS
20:30:33 2016-08-23
m18151
05:38:21 2016-08-11
Самуил Христианин
15:41:37 2016-08-07
Sermut
22:08:21 2016-08-01
Lia00
17:05:42 2016-07-30
2018
20:50:42 2016-07-29
Неуёмный Обыватель
20:09:22 2016-07-29
Alex
12:30:48 2016-07-27
razgen
23:31:13 2016-07-25
Andromeda
23:23:56 2016-07-25
Б...а
22:43:43 2016-07-25
vla_va
22:40:34 2016-07-25
В...а
22:38:10 2016-07-25
Альфа
22:03:37 2016-07-25
Геральт
22:02:57 2016-07-25
НинаК
21:50:15 2016-07-25
Alex_1774
21:39:26 2016-07-25
ek
21:24:47 2016-07-25
kva-kva
21:10:46 2016-07-25
Dvakota
21:03:24 2016-07-25
mk.insta
20:58:46 2016-07-25
krasserr
20:29:21 2016-07-25
tosya
20:23:14 2016-07-25
anto-s
19:37:38 2016-07-25
vaki
19:21:43 2016-07-25
Сергей
19:21:10 2016-07-25