Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (44)
  • добавить в избранное
    Добавить в закладки

Не резидентом единым

Прочитали: 1041 Комментариев: 102 Рейтинг: 95

Недавно один из наших подписчиков в социальных сетях высказал такое мнение:

#drweb

К сожалению, этот подписчик – не единственный, кто так считает.

Подобная позиция основана на непонимании того, как именно распространяются и функционируют вредоносные программы, и как можно им противодействовать. Давайте разберемся в этих вопросах.

Все современные антивирусы являются резидентными, то есть постоянно работают в фоновом режиме, отслеживая изменения в системе и оперативно реагируя на угрозы. И это неспроста! Антивирус Dr.Web, например, получил резидентный модуль SpIDer Guard еще в далекие девяностые.

Такой постоянный контроль нужен не только для того, чтобы пользователю не приходилось вручную сканировать каждый открываемый файл, но и для защиты от новых вредоносных программ, не выявленных традиционными методами. Постоянно действующая Превентивная защита позволяет анализировать поведение приложений, контролировать доступ к критически важным системным файлам и при выявлении угрозы оперативно реагировать на нее.

Мы, конечно, очень гордимся нашей утилитой Dr.Web CureIt!, но важно понимать вот что: она является в первую очередь своеобразным лекарством, средством экстренного лечения, и зачастую применяется тогда, когда заражение уже произошло.

Давайте посмотрим, можно ли избежать заражения, используя для защиты лишь Dr.Web CureIt!. Допустим, вы с помощью нашей утилиты проверяете каждый скачиваемый или запускаемый файл. Спасет ли это от заражения? Нет, и на то есть ряд причин.

Причина первая. Вредоносная программа может быть модифицирована во избежание сигнатурного детектирования, и простое сканирование не позволит распознать угрозу. В случае использования резидентного антивируса в дело вступили бы другие механизмы выявления вредоносной активности – основанные, например, на поведенческом анализе.

Причина вторая. Вредоносные программы совершенно необязательно распространяются в виде файлов, с которыми необходимо осуществлять какие-либо действия. Они могут попасть на ваш компьютер и через уязвимость. Именно так работают сетевые черви. Помните WannaCry? Для заражения системы не нужно было запускать троянца на компьютере – он спокойно распространялся по сети сам, сканируя ее на предмет наличия уязвимых машин. Наш резидентный антивирус предотвратил заражение имеющих незакрытую уязвимость компьютеров клиентов Dr.Web.

Помимо сетевых червей можно выделить и вредоносные скрипты на интернет-сайтах, и многие другие механизмы доставки вредоносных программ на компьютер, работающие совершенно незаметно для пользователя.

«Допустим, — скажет пользователь, — но ведь при сканировании антивирусной утилитой эти угрозы будут выявлены и устранены!»

Да, но к тому времени эти вредоносные программы могут успеть много чего натворить. Ведь их работа, как правило, незаметна для пользователей. К тому же некоторые из них умеют заметать следы, удаляя уже отработавшие модули.

И хорошо если вы столкнетесь с простым скриптовым майнером, который лишь нагреет процессор вашего компьютера, пока вы гостите на зараженном сайте.

#drweb

А вот троянец-шифровальщик зашифрует тысячи нужных вам файлов за считанные секунды. И к тому моменту, как вы запустите антивирусную утилиту, время будет безнадежно упущено.

Точно так же обстоят дела и со стилерами. Скорее всего, вы найдете вредоносную программу в ходе сканирования, но к тому моменту ваши пароли уже будут продаваться на каком-нибудь форуме сетевых мошенников.

А что же Virustotal и другие подобные ресурсы? Virustotal – это, несомненно, полезный сервис. Но вредоносные программы не всегда реализованы в виде файла, они могут существовать в оперативной памяти, загрузочной области или в UEFI, а если файлы и имеются, то их самостоятельный поиск на зараженной машине может стать весьма нетривиальной задачей. А если у вас нет файла, что вы загрузите на Virustotal?

#антивирус #Dr.Web

Dr.Web рекомендует

В наши дни существует немало сервисов, позволяющих просканировать файл сразу десятками антивирусов. Ими пользуются как простые пользователи, так и ИБ-специалисты и даже злоумышленники, которым нужно удостовериться, что их троянец не будет обнаружен популярными средствами защиты. Но в реальной ситуации антивирус может остановить даже ту вредоносную программу, которая успешно переживет онлайн-сканирование, – благодаря эвристическим технологиям, поведенческому анализу и технологиям машинного обучения.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: