Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (21)
  • добавить в избранное
    Добавить в закладки

Вакцины

Прочитали: 1448 Комментариев: 95 Рейтинг: 93

Антивирус – наиболее известное, но далеко не единственное средство защиты от вредоносных программ. Есть еще, например, вакцины (они же иммунизаторы).

Появились программы-вакцины достаточно давно – практически одновременно с антивирусами. Среди вредоносных программ тогда еще главенствовали вирусы, которые, как известно, отличаются тем, что заражают свои кодом другие файлы. Вполне логично (с точки зрения пользователя), что перед инфицированием вирус должен проверить, не заражал ли он этот файл ранее.

Если так, то можно выявить данные, наличие которых проверяет вирус перед заражением, записать их в файл – и вуаля, защита от заражения гарантирована! Заметим: без использования антивируса.

Кстати!

Программа-полифаг Doctor Web

Эта программа предназначена прежде всего для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование Dr. Web для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублирования проверки практически не происходит, так как Aidstest и Dr.Web работают на разных наборах вирусов.

Программа Dr.Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от Aidstest программа Dr.Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая «вакцинное прикрытие». Это достигается благодаря наличию достаточно мощного эвристического анализатора.

http://www.univer.omsk.su/omsk/Edu/infpro/1/13/virys2.html

Но гладко было на бумаге. Защитные программы-вакцины должны изменять файл, а это приводит к целому ряду неисправимых проблем:

  • Вирусов много. Нет, не так: ОЧЕНЬ МНОГО. Если записать все характерные признаки всех вирусов в защищаемый файл, получится монстр. Причем, скорее всего, мертвый.

    В настоящее время антивирусные программы-вакцины широко не применяют, так как в прошлые годы некоторыми некорректно работающими вакцинами был нанесен ущерб многим пользователям.

    http://www.psciences.net/main/sciences/computer_sciences/articles/antivirusy.html

  • Даже если удастся записать все вакцины в файл (и постоянно добавлять их с каждым новым вирусом), то представьте, что к размеру исполняемых файлов (а их много) добавляется размер сигнатур вирусов, – и оцените, насколько должен возрасти объем занимаемого ими места (а скорее всего, и потребление оперативной памяти). Это в «древние» времена исполняемые файлы исчислялись десятками, а сейчас – тысячами.

  • Многие жалуются на то, что антивирус потребляет ресурсы. А теперь представьте, что с каждым обновлением (скажем, раз в час) во ВСЕ заражаемые файлы системы начинает прописываться вакцина. Вот это будут настоящие «тормоза»!

  • Современные файлы зачастую имеют цифровую подпись, гарантирующую целостность программы. Запись вакцины изменяет файл, и тот становится неподписанным. Помимо прочего это означает, что антивирусы не смогут доверять подписям программ и начнут их проверять, что также вызовет рост потребления ресурсов.

  • Измененный (а по сути поврежденный) файл вряд ли может обновляться корректно кроме как при помощи полной замены. Это, кстати, потребует после каждого обновления заново прописывать вакцины, а значит, программа-вакцина должна отслеживать изменения защищенных ею файлов. Следовательно, нужен драйвер перехвата файловых операций и драйвер самозащиты.

  • Создание вакцин требует существенно больших трудозатрат аналитиков антивирусных компаний. Если для создания сигнатур требуется только найти тело вируса, то для вакцины нужно разобрать алгоритм действия вируса и понять, на что он реагирует, анализируя заражаемый файл.

Ну и последний гвоздь в крышку гроба: а кто сказал, что вирус должен проверять заражаемые файлы? Если он будет знать о вакцинации, то станет записывать свой код безо всякой проверки.

И это только то, что лежит на поверхности, – вполне возможно, что мы перечислили далеко не все проблемы программ вакцинирования.

Для защиты от троянских программ тоже есть вакцины. Но теперь это – характерные файлы или метки, размещаемые в определенных местах системы. Недостатки вакцинации аналогичны описанным выше.

27 июня исследователь Амит Серпер (Amit Serper) опубликовал твит, утверждающий, что найден «стопроцентный» способ предотвращения шифрования файлов вымогателем Petya. Инструкции о том, как это сделать, разместило множество интернет-ресурсов. Компания «Доктор Веб» выступает с опровержением этой информации.

В опубликованных статьях говорится, что существует способ предотвратить срабатывание на компьютере троянца Trojan.Encoder.12544, создав в папке C:\Windows файл perfc. Некоторые даже предлагают командные файлы, делающие это за пользователя, например: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Компания «Доктор Веб» утверждает, что этот способ борьбы с троянцем Trojan.Encoder.12544, также известным под именами Petya, Petya. A, ExPetya и WannaCry-2, неэффективен по следующим причинам:

  1. Файл, с помощью которого Trojan.Encoder.12544 осуществляет контроль повторного запуска, зависит от имени файла троянца. Стоит злоумышленникам переименовать вредоносный файл, и наличие в папке C:\Windows файла perfc уже не спасет компьютер от заражения.
  2. Троянец осуществляет проверку наличия файла perfc, только если у него достаточно для этого привилегий в операционной системе.

https://news.drweb.ru/show?i=11355&lng=ru

То есть даже при наличии вакцины троянец будет запускаться!

#Dr.Web #Windows #антивирус #безопасность #вирус #вредоносное_ПО #терминология #технологии #цифровая_подпись

Dr.Web рекомендует

Когда известные вирусы исчислялись десятками, вакцины могли от них защитить. Но надо признать, что их время прошло. Не стоит доверять свою безопасность теням из прошлого.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: