8 апреля всем миром пишем Тотальный диктант с Dr.Web. Подробнее
  • добавить в избранное
    Добавить в закладки

На шаг впереди злоумышленников

Прочитали: 2289 Комментариев: 136 Рейтинг: 273

Система обучения путем наводящих вопросов, восходящая к Сократу, называлась «эвристикой» (греч. heurisko — отыскиваю, открываю). Так же называется наука, изучающая продуктивное творческое мышление. Этим же словом обозначают совокупность исследовательских методов, направленных на открытие, познание нового, ранее неизвестного.

Эвристический анализатор в антивирусе (в просторечии — эвристик) воспринимается как некое волшебное средство. Зачастую после рассказа о том, почему антивирусы пропускают вредоносные программы (а точнее — о том, почему они не могут этого не делать), следует вопрос: «А как же эвристики?». Попробуем разобраться.

Антивирус ловит вирусы с помощью сигнатур (которые антивирусные компании называют записями) в вирусных базах. Эвристик — это тоже записи, часть этих баз. Но записи эвристика содержат информацию, характерную не для одного, а для целой группы вредоносных программ. Например, если такая программа создается (генерируется) с помощью генератора вирусов (специальной программы, создающей вредоносное ПО по запросу), то все «творения» такого генератора, вполне возможно, будут ловиться с помощью одной записи.

Отсюда следует вывод.

Эвристик не способен ловить то, о чем он не знает. Нет информации — нет и возможности опознать угрозу!

Он — не искусственный интеллект, а подобие фильтра, хитрого правила с определенными параметрами. Все, что не попадает под фильтр, — пропускается.

Как обойти эвристик? В теории — достаточно просто. Создаем новые и новые образцы вредоносных программ, отсылаем их на VirusTotal или покупаем и устанавливаем все популярные антивирусы, чтобы проверить троянцев на обнаружение самостоятельно. Как только вредоносная программа перестает обнаруживаться — начинаем внедрять ее пользователям.

Можно ли защититься? На стороне защиты играют два фактора: жадность и сложность.

Во-первых злоумышленники тоже не всегда понимают, на что именно способен антивирус. Да, среди них встречаются не только крутые хакеры, но и просто желающие подзаработать, практически ничего не делая. Отправляя свои образцы на VirusTotal, они думают, что он дает гарантированный ответ на вопрос, обнаружится ли новый вредоносный файл. На самом деле VirusTotal использует не все возможности антивируса — там проверка производится только на обнаружение с помощью записей вирусных баз. То есть по сути это именно проверка на возможности эвристика. Но антивирус — это давно уже не только вирусные базы (и эвристик в том числе) — он включает и проверку скриптов, и поведенческий анализатор, и многое другое.

Те, кто использует просто антивирус, действуют себе же во вред. Ибо в таких продуктах нет средств, дополняющих возможности ядра. А если в продукте нет поведенческого анализатора, то бороться с неизвестными угрозами он в принципе не способен, его создатели по сути эксплуатируют миф о том, что хороший антивирус может ловить 100% вредоносных программ. И создать вредоносные программы, обходящие такую защиту, крайне просто. Злоумышленникам даже не нужно ничего покупать — им достаточно возможностей VirusTotal.

#антивирусная_проверка #технологии_Dr.Web

Dr.Web рекомендует

Создать вредоносную программу, которая не будет обнаруживаться антивирусом (причем любым), — можно. Но и найти антивирус, противодействующий такому ПО (обходящему эвристики), — тоже реально!

Дело в том, что злоумышленники не просто хотят обойти антивирусы, а стремятся сделать это быстро — и мгновенно заработать. Если они понимают, что создать вредоносное ПО, которое не будет обнаруживаться конкретным антивирусом, — невыгодно, им проще искать жертв среди пользователей других антивирусов.

Преступникам создавать вредоносные программы, нацеленные на атаки пользователей Dr.Web, невыгодно, и вот почему.

  1. Технология Fly-Code позволяет обнаружить вирусы, упакованные даже неизвестными антивирусному ПО Dr.Web упаковщиками. Чтобы скрыть от антивируса файл, проще всего его перепаковать или зашифровать. Вирусописатели рассчитывают на то, что для обнаружения такого образца нужно добавить новую сигнатуру в базы. До этого момента пользователь остается без защиты, и вирус будет действовать без ограничений. Но только не в случае Dr.Web!
  2. Dr.Web HyperVisor обеспечивает перехват системных вызовов на минимально возможном уровне операционной системы. Неизвестная вредоносная программа не может «сесть» ниже нас, а значит, при появлении обновления будет уничтожена.
  3. Поведенческий анализатор Dr.Web контролирует систему не только снаружи, но и изнутри. Используемая в нем технология Dr.Web ShellGuard обнаруживает попытки внедрения эксплойтов в контролируемые процессы. Если традиционный поведенческий анализатор срабатывает после шифрования 5-10 файлов, то наличие Dr.Web ShellGuard не дает шифровальщику и такого шанса.
  4. Антиспам Dr.Web обнаруживает до 98% вложенных вредоносных файлов, и это только за счет действия технологий антиспама!
  5. ScriptHeuristic предотвращает исполнение любых вредоносных скриптов в браузере и PDF-документах, не нарушая при этом функциональности легитимных скриптов.

И не забываем, что, настроив Родительский/Офисный контроль и поведенческий анализатор (в том числе ограничения на работу процессов), можно существенно снизить вероятность заражения.

Получайте Dr.Web-ки, оценивая выпуск! (1 голос = 1 Dr.Web-ка)

Авторизуйтесь и получите 10 Dr.Web-ок за публикацию ссылки на выпуск в соцсети.

[MAIL.RU] [Twitter]

В связи с техническими ограничениями Вконтакте и Facebook, мы, к сожалению, не можем дать Dr.Web-ок. Но зато вы можете поделиться ссылкой на этот выпуск безвозмездно. Т.е. даром.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: