Антивирусная правДА!TM

29 октября 2021

С момента своего появления, вот уже более 30 лет, антивирусы применяют два принципиально разных подхода к выявлению угроз: сигнатурный и несигнатурный. Рассказываем сегодня про Dr.Web KATANA – несигнатурный антивирус для превентивной защиты от новейших активных угроз, целевых атак и попыток проникновения, в том числе через уязвимости «нулевого дня», которые еще не известны другим антивирусам.

Сигнатурный метод связан с выделением определенных признаков конкретной вредоносной программы — сигнатур — и обнаружением на защищаемом компьютере соответствующих им файлов или процессов. Самые первые антивирусы использовали именно сигнатурное определение вредоносных программ. Это было вполне оправданно, так как на рубеже 80-х и 90-х годов вирусов было сравнительно немного, а используемые операционные системы были преимущественно однозадачными — могли выполнять только одну задачу в единицу времени, что делало невозможным существование антивирусов в их современном понимании. Для проверки компьютера или дискеты требовалось каждый раз запускать сканирование носителя информации. Классическим представителем сигнатурного антивируса той эпохи является легендарный Aidstest авторства Дмитрия Николаевича Лозинского.

Однако в начале 90-х появились полиморфные вирусы. Такие вредоносные программы видоизменяли свой код при каждом новом заражении или исполнении, что делало их обнаружение сигнатурными методами неэффективным, а то и вовсе невозможным. Антивирус Dr.Web стал в нашей стране пионером в использовании несигнатурных методов выявления вредоносных программ за счет применения эмуляции кода и эвристического анализа.

В последующие три десятилетия несигнатурные методы активно развивались, а Dr.Web заслуженно занял место в когорте лидеров по реализации методик поведенческого анализа приложений и превентивной защиты компьютера от неизвестных угроз.

На сегодняшний день большинство антивирусных продуктов использует сочетание сигнатурных и несигнатурных методов обнаружения вредоносных программ. Это позволяет добиться высокого уровня защиты, но все же необходимо понимать, что ни один антивирус, каким бы хорошим он ни был, не обеспечит обнаружения абсолютно всех вредоносных программ, тем более когда речь идет о новых и неизвестных угрозах или ситуациях, когда антивирус работает в нестандартных для него условиях, — скажем, не может регулярно получать обновления баз сигнатур ввиду отсутствия доступа в интернет.

Логичным решением видится подстраховать антивирус… другим антивирусом. Антивирусные решения разных производителей используют разные методики детектирования вредоносных программ и базы сигнатур, а значит, шансы на успех повышаются. Вот только нашим читателям наверняка известно, что использование двух антивирусов в одной системе — не самая хорошая идея.

Во-первых, такой подход неизбежно вызовет конфликты двух антивирусных программ, каждая из которых может классифицировать действия другой в качестве вредоносной активности.

Во-вторых, два сигнатурных антивируса в одной системе неизбежно будут сверх меры нагружать машину за счет одновременного обращения к проверяемым файлам и суммарного потребления ресурсов.

Однажды мы подумали: а почему бы не сделать антивирус, который не будет конфликтовать с решениями других производителей, не станет потреблять много ресурсов, но при этом сможет существенно повысить безопасность системы за счет использования самых передовых несигнатурных инструментов, прошедших обкатку в Dr.Web Security Space? Так на свет появился Dr.Web KATANA – легкий несигнатурный антивирус, призванный стать незаменимым помощником вашего основного защитника.

Сценарии использования Dr.Web KATANA отличаются от таковых для традиционного антивируса. С его помощью вы не сможете просканировать флешку, и он не обратит внимание на файл с трояном, мертвым грузом лежащий в папке на рабочем столе. Но это ему и не требуется: цель «катаны» — выявление активных угроз путём анализа всех запущенных в системе процессов и обнаружения аномалий. А сканирование файлов — забота вашего основного защитного инструмента.

Пока файл с трояном просто лежит в папке, он представляет лишь потенциальную угрозу. А вот если пользователь решить запустить его, угроза перейдет в категорию активных. В этом случае Dr.Web KATANA немедленно отреагирует на попытки программы реализовать один из вредоносных сценариев и заблокирует их исполнение. Не менее оперативная реакция последует и на иного рода инциденты — например, вторжение сетевого червя, в том числе с использованием еще неизвестных уязвимостей ОС или прикладного софта, а также отклонение в функционировании легитимных процессов или их модификацию. Кроме того, Dr.Web KATANA защитит от несанкционированного изменения информации, будь то попытка зашифровать ваши файлы или исказить часть информации в буфере обмена или окне браузера.

Работа Dr.Web KATANA полностью автоматизирована и максимально незаметна. По сути, все, что требуется от пользователя, это просто установить антивирус. В процессе работы он сам заблокирует все обнаруженные угрозы и оповестит об этом. В то же время при необходимости вы можете тонко подстроить его исходя из ваших потребностей.

Ничто не мешает вам установить Dr.Web KATANA и в качестве единственного антивируса, но в большинстве случаев такое его применение неоправданно. Эффективная защита системы требует применения комплекса решений, одним из которых как раз и может стать Dr.Web KATANA. Согласитесь: помимо меча самураю нужны и доспехи.

Именно поэтому некорректно сравнивать Dr.Web KATANA с комплексными антивирусными продуктами. Давайте разовьем пример с трояном на вашем диске. Допустим, запущенный вами файл — это троян-загрузчик (Trojan Downloader). Это один из самых распространённых видов троянских программ. Обладая маленьким размером, он призван скачать, распаковать и активировать на компьютере необходимые вредоносные модули. Если эта сборка трояна-загрузчика уже попадала в поле зрения антивирусной компании, традиционный антивирус может определить его по сигнатурам, «катана» же будет ожидать от него дальнейших действий.

Представим, что загрузчик не может связаться со своим управляющим сервером и скачать вредоносные пакеты. Будут ли такие действия представлять угрозу? Потенциально — да, на практике — нет. Другое дело, если загрузчик успешно скачал необходимый ему модуль и пытается интегрировать его в систему, распаковать в системную папку, прописать в автозагрузку, запустить на исполнение или внедрить в системный процесс. Dr.Web KATANA без труда выявит и пресечет такую активность, обезвредив как вредоносные модули, так и сам загрузчик.

В апреле 2017 года компания MRG Effitas по заказу одного крупного вендора провела исследование эффективности антивирусов. Мы неоднократно писали о том, почему сознательно не участвуем в таких тестах и не видим пользы от них, но на этом конкретном исследовании стоит остановиться подробнее. Дело в том, что в сравнительный анализ корпоративных антивирусных решений для защиты рабочих мест его организаторами был включен не соответствующий этому классу Dr.Web Enterprise Security Suite, а Dr.Web KATANA.

Тестирование проводилось путем последовательного помещения различными способами вредоносного файла на тестовую машину и его запуска. Несмотря на то, что легкому антивирусу Dr.Web KATANA пришлось соревноваться с многофункциональными антивирусными комплексами, включающими множество различных инструментов и имеющих в своем распоряжении свежие базы вирусных сигнатур, он сумел выявить и обезвредить более половины вредоносных образцов. Смеем предположить, что оставшаяся часть не была обнаружена лишь по причине отсутствия активности тестовых образцов вредоносных программ – в исследовании отсутствуют данные о том, проверялись ли тестовые образцы на работоспособность на момент проведения конкретного тестирования.

А если Dr.Web KATANA способен на такое в одиночку, в нестандартных для него условиях работы, представьте, что он сделает в паре с вашим сигнатурным антивирусом!

#антивирус #антивирусная_проверка #вредоносное_ПО #превентивная_защита #тесты_антивирусов #технологии_Dr.Web