Время шло, совершенствовались вирусы, а вместе с ними и антивирусы. То, что каждый пользователь Сети сегодня называет антивирусом, разительно отличается от своих прародителей – как по функционалу, так и по «разуму». Ведь для борьбы с современными вирусами необходимо проявлять недюжинную смекалку – они умеют здорово маскироваться под различные системные процессы, а значит, практически беспрепятственно (при отсутствии систем цифровой защиты) вредить зараженным системам.
Современным антивирусным программам свойственны следующие методы работы.
– Метод сканирования сигнатур – антивирус выискивает уникальную последовательность битов во вредоносном программном коде, которые уже загружены в базу данных самого антивируса. Такие базы данных называют также базой известных сигнатур – это список характерных отличий того или иного кода, несущего вред программному обеспечению, установленному на компьютер пользователя. Положительным качеством такого метода является возможность анализа битов исполнения и выявления «по кускам» похожего программного кода в других видах вирусов. То есть если антивирус «не понимает», что за вредоносный программный код, он может анализировать его не только целиком, но и по кускам, выявляя похожие фрагменты в сигнатурах других загруженных вирусов. Как правило, если полного сходства программных фрагментов антивирус не видит, он выдает сообщение о потенциальном вирусе – по аналогии с тем сусликом, которого не видно, а он есть. Из недостатков такого метода можно выделить лишь то, что определяется лишь зловредное ПО из списка, заранее загруженного в базы антивируса, – свежие вирусы, сигнатур которых в базе нет, этому антивирусу видны не будут.
– Метод контроля целостности заключается в сканировании всех файлов на жестких дисках и создании некоего «цифрового слепка» данных в системе. То есть антивирус будет реагировать на внезапное изменение того или иного файла, каждое действие с которым он будет считать подозрительным. Такой метод контроля ценен тем, что антивирус составляет себе эталонный слепок файла при первом сканировании (грубо говоря, создает базу хеш-кодов по каждому файлу) и при следующих сканированиях системы будет сличать эти данные с текущими. Это позволяет обнаруживать даже «спящие» вирусы, но не всегда позволяет бороться с уже активными в системе. Еще одним положительным качеством этого метода является возможность вычисления доселе неизвестных вирусов (которых еще нет в базе сигнатур на момент выявления) и хотя бы демонстрации пользователю их наличия (очень актуально при невозможности «вылечить» зараженный файл в автоматическом режиме).
– Метод сканирования подозрительных команд позволяет оперативно работать непосредственно с программным кодом вируса. При обнаружении подозрительного списка команд в программном коде антивирус будет блокировать использование зараженного файла или программы до момента определения «злонамеренности» вируса. Да, этот метод обеспечивает довольно высокий уровень безопасности в системе, однако не позволяет работать с не загруженными в базу сигнатур вирусами. Именно поэтому алгоритм сканирования подозрительных команд (иначе «эвристический анализ») не используют как основной метод сканирования ни в одном из известных антивирусных приложений.
– Метод отслеживания поведения программ в наши дни является одним из самых надежных методов выявления подозрительной активности в среде уже запущенных приложений. Этот метод позволяет выявлять запросы, выполнение которых не свойственно тому или иному процессу (а их поведение изначально заложено в базы данных антивирусов). Выявляя такой процесс, антивирус «берет его под пристальное наблюдение», а значит, старается отсечь подозрительные запросы в реальном времени. Если запросы повторяются или меняются методы запросов к системным файлам, антивирус помечает приложение, вызвавшее запуск этого процесса, подозрительным и уведомляет пользователя о вирусной активности.
Производители современного антивирусного ПО, повышая шансы на успех, часто закладывают в алгоритм действий своего детища все четыре основных метода работы. Однако даже комбинация всех методов не дает полных гарантий по защите данных – согласно исследованиям аналитической компании Imperva, все современные антивирусы подчиняются следующей статистике.
1. Эффективность любого антивируса против ранее не выявленной угрозы составляет не более 5 %. Это вполне понятно – антивирус не понимает, что перед ним и как с ним бороться, а в большинстве случаев с не загруженным в базы списком сигнатур так и происходит.
2. От появления нового вируса до занесения его в базы известных сигнатур может пройти довольно длительное время – от одного до десяти месяцев. Связано это в первую очередь с долгим процессом анализа выявленного вируса – его поведение, цели атаки и возможные пути обхода встроенных систем защиты должны быть изучены для повышения уровня безопасности в будущем.
3. Чем больше сигнатур загружено в базы антивируса, тем выше процент ложных срабатываний. Это связано с быстрой эволюцией вирусов и различного программного обеспечения для компьютеров. А еще нужно помнить, что очень часто злоумышленники маскируют действия вирусов под системные процессы, которые не всегда подчиняются сканированию антивирусов.
Таким образом, можно вынести заключение: антивирус – вещь хорошая, но для защиты от самых свежих цифровых угроз абсолютно не подходящая. Именно поэтому опытные сетевые администраторы в корпоративном секторе используют несколько способов защиты от вирусной активности одновременно. И если в случае с обычными бытовыми пользователями компьютеров уровня защиты современных антивирусных систем достаточно, то в корпоративном секторе на один антивирус уповать не стоит – слишком высокие ставки на сохранение данных в тайне от всех…
Как пример – свежайший, можно сказать, еще горячий кейс. Не так давно пользователи популярного мессенджера Telegram на территории РФ столкнулись с огромной волной спам-сообщений. Их было несколько типов – «установи программу и получи бонус», а также «пройди по ссылке и получи Telegram Premium бесплатно» и даже особым образом форматированные сообщения с кучей различных украшательств. При переходе по ссылкам, скачивании. apk-файла или открытии украшенного сообщения пользователи получали в свое распоряжение новомодный компьютерный вирус – stealer, главной задачей которого является кража пользовательских данных. То есть на самом деле телефон или компьютер пользователя поступал в распоряжение некоего анонимного злоумышленника.Спастись от этой напасти можно только одним способом: отключив автозагрузку файлов, сразу удалять все сообщения от незнакомых (да и от знакомых тоже) контактов.
Вообще в современном сетевом обществе есть еще одна серьезная проблема – маскировка вирусов при помощи криптографии. Она происходит отличным от стандартных троянов или малварей способом, как правило, это защищенный при помощи криптографии файл с самораспаковкой, начинающейся при совпадении определенных заданных параметров или при наличии уникального ключа (который передается пользователям заранее). Такие цепочки действий злоумышленников практически полностью исключают любые возможности обнаружения вирусной активности до момента активации самого вируса.
Сам же вирус устроен таким образом, чтобы блокировать действия антивирусов, а также он может прописаться не только в среду операционной системы, но и в подпрограммы компьютера, например, в UEFI (или биос) или другой физический модуль (в этом случае может спасти только перепрошивка модуля, и то не в каждом случае, иначе разблокировать не получится). В таком случае ни одно антивирусное ПО не сможет обнаружить зловредной активности или аномалии потребления интернет-трафика – эти области запрещено сканировать любому представителю антивирусов, используемых в наше время.
Большей опасностью размножения таких вирусов я считаю «расплодившиеся» в последнее время «агентства защиты вирусов» – кучки доморощенных специалистов, которые за некую денежку могут «закриптовать» или спрятать все что угодно от глаз антивирусов. Нередко к ним обращаются хакеры, в том числе и профессионалы – последние чисто для заметания следов. А применяют они широко распространенные программы под названием «крипторы» или делают все это вручную. Эти программы умеют создавать уникальный криптографический код для защиты содержимого файла или архива. Чтобы запустить процесс декриптовки (расшифровки и запуска файла с вирусом), созданной при помощи крипторов, нужно просто попытаться открыть файл, но это только при использовании самого простого способа криптографии.
А вот сложные модели программ-криптографов могут вместо банальной распаковки файлов запустить несколько различных процессов: изменение точки входа для зловредной программы, виртуализацию некоторых системных процессов, морфинг заложенного вируса с уже существующими программами, обфускацию кода и даже защиту памяти от проверки антивирусом. Все эти уловки, как правило, применяются с единственной целью – обмануть установленный на компьютере антивирус, чтобы дать вирусу возможность проникнуть в систему и начать действовать.
Следовательно, спастись от такого типа вирусного заражения можно, но очень сложно – придется буквально вручную проверять каждый из загружаемых файлов, а также сравнивать контрольные суммы. Все это нудно и долго, но интернет-безопасность того стоит – вам ведь не хочется потерять доступ ко всем учетным записям или своим собственным данным, сохраненным на локальном ПК?
От себя хочу порекомендовать обращать внимание пользователей на программы с защитой сетевого трафика – уровень безопасности, обеспечиваемый такими версиями антивирусов, будет несколько выше, чем у базовых версий. Обусловлено это тем, что версии Internet Security часто сканируют не только загружаемые файлы, но и весь сетевой трафик, предлагая оптимальную защиту как от вирусной активности, так и от фишинговых атак, попыток установки шпионского и откровенно «мусорного» ПО и даже своебразных «троянских коней». Нет, я ни в коем случае не хочу преуменьшить значение базовых версий ПО для поиска вирусов, но помните, что цифровой мир – это своеобразный организм и не пропускать в его недра заразу намного выгоднее и безопаснее, чем лечить заражение. Однако я настоятельно рекомендую при работе в Сети пользоваться не только антивирусом; чуть ниже я расскажу про оптимальную комбинацию программ по защите конфиденциальности в Сети, а пока давайте перейдем к следующей не менее интересной теме.