Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (161)
  • добавить в избранное
    Добавить в закладки

Азбучные истины

Прочитали: 5321 Комментариев: 63 Рейтинг: 302

25 июля 2016

Прописная, азбучная истина (трюизм) — общеизвестное, банальное знание о чем-либо.

Во многих сказках героя спасают от беды, но в оплату требуют отдать то, что есть у него дома и о чем он не знает. Вы спросите: какое это имеет отношение к антивирусу? Скоро поймете.

Как известно, антивирусное ядро – компонент антивируса, который опознает, но не ловит (см. выпуск «Антивирус – сложный организм») вредоносные файлы (а с недавних пор – и коды) с помощью:

  • записей в вирусной базе (сигнатур);
  • функций, хранящих в себе признаки найденных ранее вредоносных файлов;
  • предположений об угрозах, которые могут появиться в будущем (эвристических технологий).

Таким образом, для опознания вредоносного файла антивирусным ядром нужно, чтобы он был предварительно исследован вирусным аналитиком или похож на ранее проанализированные образцы (и тогда его «поймает» эвристический анализатор).

Антивирусным компаниям требуется постоянно пополнять знания о новых вредоносных программах. Один из способов расширения вирусной коллекции Dr.Web — получение новых образцов от пострадавших в результате действия неизвестной антивирусу вредоносной программы. Те, кто посылает вендорам образцы вредоносных программ, делают это в том числе из желания помочь тем, кого пока не атаковали. Но есть одна и очень большая проблема.

Практика показывает, что большинство пользователей и системных администраторов не готовы к вирусному инциденту.

И мы даже не говорим о наличии (а чаще об отсутствии) в компаниях прописанных и соблюдаемых администраторами процедур при возникновении вирусозависимого компьютерного инцидента (ВКИ).

Уж сколько лет троянцам-шифровальщикам (см. выпуски рубрики «Закодировать все»)! Но до сих пор подавляющее большинство админов не знает, ЧТО нужно присылать в антивирусную лабораторию, чтобы обеспечить вирусным аналитикам возможность расшифровки. Например, сколько зашифрованных файлов нужно прислать на анализ и каким требованиям они должны соответствовать.

Грустно, но на анализ массово присылают… скриншоты с требованиями вымогателей!

Люди поступают так по незнанию, и упрекать их за это сложно, но, увы, эти скриншоты никак не помогут в наполнении вирусных баз.

А еще злоумышленники стараются замести следы — стирают логи (журналы действий), удаляют уже не нужные компоненты вредоносных программ из пораженной системы (например, дропперов). В результате на анализ могут попасть (и попадают) только активные части вредоносной программы, а не те, с помощью которых происходило заражение.

Почему это важно? Приведем пример. Антивирус для операционных систем Android работает с правами обычных программ и не имеет доступа к системным областям. Для доступа к ним устройство нужно «рутовать» (повышать права), что с точки зрения безопасности не есть хорошо (см. выпуск «Рыба гниет с головы — а смартфон с корня»). Но таковы правила игры, установленные разработчиками Android. Зная это, злоумышленники сразу после заражения стирают модули, осуществляющие его. А в нерутованной системе антивирус может предотвратить заражение, только имея данные об этих модулях.

#антивирус #шифровальщик #безопасность

Антивирусная правДА! рекомендует

Будьте готовы к вирусным заражениям заблаговременно!

  • Заражение пока не известными вредоносными файлами в большинстве происходит в силу нарушения банальных правил безопасности — например, при наличии разрешенного доступа пользователей к файлам, программам и ресурсам, которые обычно им не требуются, или возможности запуска и установки (это разные вещи!) нового ПО.
  • Храните отчеты в защищенном виде, используйте неудаляемые системы логирования.
  • Контролируйте установку и удаление нового ПО.
  • Чтобы вирусные аналитики «Доктор Веб» могли вам помочь в расшифровке, знайте, ЧТО нам нужно для анализа ситуации, предшествующей заражению.

PS. Ах да, о сказке. Отдать неведомое просит, конечно же, сотрудник техподдержки «Доктор Веб» у пользователя ☺.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: