На шаг впереди злоумышленников
16 января 2017
Система обучения путем наводящих вопросов, восходящая к Сократу, называлась «эвристикой» (греч. heurisko — отыскиваю, открываю). Так же называется наука, изучающая продуктивное творческое мышление. Этим же словом обозначают совокупность исследовательских методов, направленных на открытие, познание нового, ранее неизвестного.
Эвристический анализатор в антивирусе (в просторечии — эвристик) воспринимается как некое волшебное средство. Зачастую после рассказа о том, почему антивирусы пропускают вредоносные программы (а точнее — о том, почему они не могут этого не делать), следует вопрос: «А как же эвристики?». Попробуем разобраться.
Антивирус ловит вирусы с помощью сигнатур (которые антивирусные компании называют записями) в вирусных базах. Эвристик — это тоже записи, часть этих баз. Но записи эвристика содержат информацию, характерную не для одного, а для целой группы вредоносных программ. Например, если такая программа создается (генерируется) с помощью генератора вирусов (специальной программы, создающей вредоносное ПО по запросу), то все «творения» такого генератора, вполне возможно, будут ловиться с помощью одной записи.
Отсюда следует вывод.
Эвристик не способен ловить то, о чем он не знает. Нет информации — нет и возможности опознать угрозу!
Он — не искусственный интеллект, а подобие фильтра, хитрого правила с определенными параметрами. Все, что не попадает под фильтр, — пропускается.
Как обойти эвристик? В теории — достаточно просто. Создаем новые и новые образцы вредоносных программ, отсылаем их на VirusTotal или покупаем и устанавливаем все популярные антивирусы, чтобы проверить троянцев на обнаружение самостоятельно. Как только вредоносная программа перестает обнаруживаться — начинаем внедрять ее пользователям.
Можно ли защититься? На стороне защиты играют два фактора: жадность и сложность.
Во-первых злоумышленники тоже не всегда понимают, на что именно способен антивирус. Да, среди них встречаются не только крутые хакеры, но и просто желающие подзаработать, практически ничего не делая. Отправляя свои образцы на VirusTotal, они думают, что он дает гарантированный ответ на вопрос, обнаружится ли новый вредоносный файл. На самом деле VirusTotal использует не все возможности антивируса — там проверка производится только на обнаружение с помощью записей вирусных баз. То есть по сути это именно проверка на возможности эвристика. Но антивирус — это давно уже не только вирусные базы (и эвристик в том числе) — он включает и проверку скриптов, и поведенческий анализатор, и многое другое.
Те, кто использует просто антивирус, действуют себе же во вред. Ибо в таких продуктах нет средств, дополняющих возможности ядра. А если в продукте нет поведенческого анализатора, то бороться с неизвестными угрозами он в принципе не способен, его создатели по сути эксплуатируют миф о том, что хороший антивирус может ловить 100% вредоносных программ. И создать вредоносные программы, обходящие такую защиту, крайне просто. Злоумышленникам даже не нужно ничего покупать — им достаточно возможностей VirusTotal.
#антивирусная_проверка #технологии_Dr.WebАнтивирусная правДА! рекомендует
Создать вредоносную программу, которая не будет обнаруживаться антивирусом (причем любым), — можно. Но и найти антивирус, противодействующий такому ПО (обходящему эвристики), — тоже реально!
Дело в том, что злоумышленники не просто хотят обойти антивирусы, а стремятся сделать это быстро — и мгновенно заработать. Если они понимают, что создать вредоносное ПО, которое не будет обнаруживаться конкретным антивирусом, — невыгодно, им проще искать жертв среди пользователей других антивирусов.
Преступникам создавать вредоносные программы, нацеленные на атаки пользователей Dr.Web, невыгодно, и вот почему.
- Технология Fly-Code позволяет обнаружить вирусы, упакованные даже неизвестными антивирусному ПО Dr.Web упаковщиками. Чтобы скрыть от антивируса файл, проще всего его перепаковать или зашифровать. Вирусописатели рассчитывают на то, что для обнаружения такого образца нужно добавить новую сигнатуру в базы. До этого момента пользователь остается без защиты, и вирус будет действовать без ограничений. Но только не в случае Dr.Web!
- Dr.Web HyperVisor обеспечивает перехват системных вызовов на минимально возможном уровне операционной системы. Неизвестная вредоносная программа не может «сесть» ниже нас, а значит, при появлении обновления будет уничтожена.
- Поведенческий анализатор Dr.Web контролирует систему не только снаружи, но и изнутри. Используемая в нем технология Dr.Web ShellGuard обнаруживает попытки внедрения эксплойтов в контролируемые процессы. Если традиционный поведенческий анализатор срабатывает после шифрования 5-10 файлов, то наличие Dr.Web ShellGuard не дает шифровальщику и такого шанса.
- Антиспам Dr.Web обнаруживает до 98% вложенных вредоносных файлов, и это только за счет действия технологий антиспама!
- ScriptHeuristic предотвращает исполнение любых вредоносных скриптов в браузере и PDF-документах, не нарушая при этом функциональности легитимных скриптов.
И не забываем, что, настроив Родительский/Офисный контроль и поведенческий анализатор (в том числе ограничения на работу процессов), можно существенно снизить вероятность заражения.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Filip_s
23:02:06 2021-01-26
Гульмира
15:21:25 2020-06-04
«Бдительность нужна везде и во всем»
И немного паранойи в придачу. Помогает. Почти всегда. ПОДДЕРЖИВАЮ СЛОВА
Sergey
17:53:32 2020-03-19
ka_s
17:42:21 2018-09-29
Денисенко Павел Андреевич
14:42:20 2018-07-26
vasvet
15:49:20 2018-04-01
alex-diesel
18:26:57 2018-03-28
Toma
18:09:19 2018-03-20
Natalya_2017
18:07:32 2017-03-30
Oleg
00:56:27 2017-01-24
IIICoDIII
22:32:45 2017-01-17
Неуёмный Обыватель
14:06:03 2017-01-17
-Наши котики вам натопчут!
-Мы топчем круглые сутки! Мурррр!
-Просто нажмите "Натоптать пароль".
Домен cat-password.ru свободен, равно как и во всех остальных зонах ;)
Вячeслaв
10:47:33 2017-01-17
djabax
07:14:17 2017-01-17
Неуёмный Обыватель
00:50:41 2017-01-17
Неуёмный Обыватель
00:44:38 2017-01-17
Дмитpий
23:56:31 2017-01-16
krant
23:43:28 2017-01-16
Спасибо.
Marsn77
22:41:03 2017-01-16
Б...а
22:20:44 2017-01-16
С...й
22:12:40 2017-01-16
Luger
21:47:08 2017-01-16
Геральт
21:43:25 2017-01-16
Б...а
21:41:14 2017-01-16
aleks_ku
21:32:32 2017-01-16
orw_mikle
21:28:55 2017-01-16
vla_va
21:16:31 2017-01-16
В...а
20:56:08 2017-01-16
Р...й
20:43:46 2017-01-16
1milS
20:16:53 2017-01-16
НинаК
19:38:36 2017-01-16
ek
19:35:14 2017-01-16
Mehatronik
19:05:28 2017-01-16
kva-kva
18:51:34 2017-01-16
mk.insta
18:36:21 2017-01-16
Шалтай Александр Болтай
18:12:40 2017-01-16
Шалтай Александр Болтай
18:07:16 2017-01-16
iAFC
17:37:05 2017-01-16
B0RIS
17:34:11 2017-01-16
Неуёмный Обыватель
17:01:23 2017-01-16
Может быть в этом случае злоумышленники даже будут заинтересованы в продвижении тех антивирусов, в обход которых они смогли проложить свои тропки. Чем мощнее ведутся речи на всяких левых форумах о крутизне антивируса (не на форумах самих вендоров), тем больше подозрение, что тут что-то нечисто.
stavkafon
16:58:04 2017-01-16
Вячeслaв
16:56:17 2017-01-16
Вячeслaв
16:55:17 2017-01-16
Вопрос только приемлимости этих рисков
При полной защите рисков меньше, но и естественно потребление ресурсов больше.
Еще один риск - окружающие. Скажем вы читаете только новости и вам полный антивирус не нужен (хотя конечно бывает). Но тут у ребенка/жены/мамы/подруги... все сломалось и планшет у вас отобрали. Твердо и уверенно, не слушая ваш лепет, дорогая, пять минут, сейчас антивирус скачается. Реальна ситуация? Как вы думаете - насколько изменились риски, если в руки планшет взял ребенок?
dyadya_Sasha
16:49:58 2017-01-16
Dr.Web Glamour Space Pro
Дату сменить и от заказов отбоя не будет. )) Се ля ви
dyadya_Sasha
16:45:14 2017-01-16
Тогда почему "...Те, кто использует просто антивирус, действуют себе же во вред..."
Правильнее "Большинство тех, кто использует просто антивирус, действуют себе же во вред" )))
Вот придрался))
hadach
16:42:32 2017-01-16
Andromeda
16:26:02 2017-01-16
Demon
16:24:40 2017-01-16
Dvakota
16:19:21 2017-01-16
Альфа
16:06:21 2017-01-16