<
  • Главная
Статьи

Беззубі антивіруси або як руйнувалася сталь

«Беззубі» антивіруси, нездатні видалити з системи шкідливі програми і коректно відновити працездатність системи після зараження, фактично стали нормою. Антивірусні компанії навперебій розповідають про нові технології запобігання зараженню, при цьому пропусків не стає менше. Дозволивши від шкідливого коду запуститися в системі, антивіруси стають просто непотрібними. Як і чому склалася така ситуація і піде мова в даній статті.

У боротьбі броні і снаряда перевага завжди на боці останнього. Атакуючий придумує все нові способи пробити броню, у відповідь на які розробляються нові варіанти броні. Рівне те ж саме відбувається і в комп'ютерній безпеці. Перевага і ініціатива апріорі на боці атакуючого. Вірусописьменники придумують все нові методи протидії виявленню і видаленню шкідливого коду.

І жоден антивірус не здатний гарантувати 100% захист комп'ютера, це визнають самі виробники. Тому, завжди залишатимуться ризики зараження системи навіть з сучасної антивірусним захистом на борту.

Пропущена і встановилася в системі шкідлива програма може тривалий час не виявлятися встановленим антивірусом. Користувач ж буде відчувати помилкове відчуття захищеності - його антивірус не сигналізує про якусь небезпеку, в той час як його комп'ютер буде частиною бот-мережі, і з нього будуть збиратися конфіденційні дані.

На практиці маса випадків, коли шкідлива програма виявляється антивірусом, але видалити її він не в змозі. Це змушує користувача звертатися в технічну підтримку або ж самостійно усувати зараження за допомогою додаткових утиліт, часто - сторонніх виробників. У щоденній роботі сервісу «Допоможіть» на VirusInfo.Info ми постійно стикаємося з ситуацією, коли користувач скаржиться на аномалії в системі, в той час як його антивірус мовчить. У більшості випадків виявляється, що система заражена, але антивірус нічого не бачив. Як же це виходить?

Справа в тому, що в сучасних реаліях виробники антивірусних програм в більшості своїй зосереджені на запобіганні зараження, а завдання лікування активного зараження (коли шкідлива програма встановилася в системі) не перебуває серед пріоритетних, що викликає подив.

Ситуація виглядає ще більш дивною, якщо подивитися на неї в контексті минулих 20 років. На початку 90-х років, ще до початку епохи Microsoft Windows, лікування було, мабуть, першорядним завданням антивіруса. Сканерів в режимі реального часу просто не існувало, а завданням антивіруса було знайти віруси, знищити, при цьому коректно вилікувавши заражені файли. Найбільшу популярність в нашій країні мали тоді ревізор диска ADinf з модулем ADinf Cure Module, який дозволяв в переважній більшості випадків (майже 100%) відновити пошкоджені вірусами файли. Також був популярний сканер-полифаг від Dr.Web, що йшов в комплекті з ADinf в рамках пакету DSAV.

Малюнок 1. Екран програми ADinf Cure Module

Прекрасно лікувати зараження вмів і AntiViral Toolkit Pro (згодом Антивірус Касперського). Тобто перші антивіруси можна назвати, скоріше, атакуючими, ніж захисниками.

У 90-ті роки антивірус, нездатний лікувати, розглядався б як пустушка. Антивіруси самі володіли зброєю, результатом їх роботи було виявлення і видалення / лікування інфікованих об'єктів.

Минув час, змінилися ландшафт і природа загроз. Здібності в лікуванні файлів або системи в цілому стали губитися в гонці захисту від експоненціально зростаючої кількості нових зразків шкідливих програм. Наприклад, проведений нами в 2008 році тест антивірусів на виявлення поліморфних вірусів показав, що є проблеми навіть на стадії виявлення вірусів, не кажучи вже про коректне лікування уражених ними файлів. Як же йдуть справи з лікуванням системи, може бути, виробники зосередили зусилля на цій проблемі?

Anti-Malware.ru проводить тести на лікування активного зараження з 2007 року. Минулого тижня ми опублікували результати, вже шостого за рахунком тесту на лікування . Ми бачимо, що середній рівень здібностей лікування складних шкідливих програм по індустрії залишається приблизно на одному рівні (41% - в 2010 році, 44% - в 2011 році, 38% - в 2012 році). Але ось кількість антивірусів, які вміють повноцінно лікувати, лякаюче скоротилося. У 2012 році бар'єр у 40% вдалося подолати тільки 4 з 15 протестованих антивірусів.

Зміни в положенні лідерів по здатності лікувати заразу мінімальні. У ТОПі протягом декількох років впевнено себе почуваю тільки антивірус Касперського і Dr.Web. Norton і Avast поступово здають позиції. Серйозно додав лише Bitdefender, дуже сподіваюся, що це не випадково.

Малюнок 2. Динаміка зміни можливостей антивірусів з лікування активного зараження

Динаміка зміни можливостей антивірусів з лікування активного зараження

Особлива ситуація склалася з троянами-вимагачами (Trojan.Winlock) і шифрувальники (Trojan.Encoder). Ці класи шкідливих програм, потрапивши в систему, просто виходять за звичні рамки. Зробити що-небудь з ними штатними засобами антивірусної програми неможливо, потрібні спеціальні засоби відновлення, утиліти, коди розблокування і ключі шифрування. Але навіть в цьому випадку ніякої гарантії немає, ось яскравий приклад .

Так що ж змінилося? Чому поступово лікування перестало приділятися належна увага?

Чіткої відповіді на це питання немає. Не думаю, що у великих антивірусних компаній світового класу є проблеми зі створенням працюють процедур лікування для 15-20 сімейств складних шкідливих програм з руткіт-маскуванням. Хтось виправдовує свою бездіяльність наявністю спеціальних утиліт лікування, про які з користувачів мало хто знає (просто так їх використовувати мало хто буде). Хтось заробляє на своїх же клієнтів, пропонуючи платний сервіс лікування за суми, що перевищують вартість річної передплати.

На жаль, бути «беззубим» в області лікування стає майже нормою для антивірусної індустрії. Пропуск шкідливої ​​програми в поточних умовах призводить до проблем відновлення системи штатними засобами.

Можливо, ми на порозі ситуації, коли антивірусне лікування просто перестає працювати, і вся надія тільки на «антибіотики» у вигляді спеціальних утиліт або ручне видалення? Це питання залишається відкритим. У всякому разі, на даному етапі розвитку захисних засобів спостерігається сильний крен в сторону методів запобігання попаданню шкідливого коду на комп'ютер користувача.

Але, незважаючи на все різноманіття механізмів і їх спільне застосування - сигнатурних, поведінкових, репутаційних, - безперервний потік запитів на лікування в службах підтримки антивірусних виробників і на спеціалізованих форумах показує, що проблема лікування залишається, як і раніше, гострою.

Як же це виходить?
Як же йдуть справи з лікуванням системи, може бути, виробники зосередили зусилля на цій проблемі?
Так що ж змінилося?
Чому поступово лікування перестало приділятися належна увага?
Можливо, ми на порозі ситуації, коли антивірусне лікування просто перестає працювати, і вся надія тільки на «антибіотики» у вигляді спеціальних утиліт або ручне видалення?


Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью