E profilassi: prevenzione dell'infezione (modifica) dei file o del sistema operativo con un ohm dannoso.

Metodi di protezione dai virus[ | ]

Vengono utilizzati tre gruppi di metodi per proteggere dai virus:

1. Metodi basati su analisi del contenuto dei file (sia file di dati che file di comando). Questo gruppo include la scansione per le firme dei virus, nonché i controlli di integrità e la scansione per i comandi sospetti.
2. Metodi basati su monitoraggio del comportamento del programma durante l'esecuzione. Questi metodi consistono nel registrare tutti gli eventi che minacciano la sicurezza del sistema e si verificano durante l'effettiva esecuzione dell'oggetto testato o durante la sua emulazione software.
3. Metodi regolamento dell'ordine di lavoro con file e programmi. Questi metodi sono classificati come misure di sicurezza amministrative.

Metodo di scansione della firma (analisi della firma, metodo della firma) si basa sulla ricerca di file per una sequenza univoca di byte - firmespecifico per un particolare virus. Per ogni virus appena rilevato, gli specialisti del laboratorio antivirus eseguono un'analisi, sulla base della quale viene determinata la sua firma. Il nuovo frammento risultante viene inserito in uno speciale database delle firme antivirali, con il quale funziona il programma antivirus. Il vantaggio di questo metodo è una percentuale relativamente bassa di falsi positivi, e lo svantaggio principale è la fondamentale impossibilità di rilevare un nuovo virus nel sistema, per il quale non c'è firma nel database del programma antivirus, quindi è necessario un aggiornamento tempestivo del database delle firme.

Metodo di controllo dell'integrità si basa sul fatto che qualsiasi modifica inaspettata e irragionevole dei dati sul disco è un evento sospetto che richiede un'attenzione particolare del sistema antivirus. Il virus lascia necessariamente la prova della sua presenza (modifiche nei dati di file esistenti (soprattutto di sistema o eseguibili), comparsa di nuovi file eseguibili, ecc.). Il fatto del cambiamento dei dati - violazione dell'integrità - facilmente stabilito confrontando il checksum (digest) calcolato in anticipo per lo stato iniziale della macchina testata e il checksum (digest) dello stato attuale della macchina testata. Se non corrispondono, l'integrità viene violata e ci sono tutte le ragioni per eseguire un controllo aggiuntivo, ad esempio mediante la scansione delle firme dei virus. Questo metodo è più veloce del metodo di scansione delle firme, poiché il calcolo del checksum richiede meno calcoli rispetto al confronto byte per byte di nuovi frammenti; inoltre, consente di rilevare tracce dell'attività di eventuali virus, compresi quelli sconosciuti, per i quali il database non dispone ancora di firme.

Metodo di scansione per comandi sospetti (scansione euristica, metodo euristico) si basa sull'identificazione di un certo numero di comandi sospetti e (o) segni di nuove sequenze sospette (ad esempio, un comando per formattare un disco rigido o una funzione di incorporamento in un processo in esecuzione o eseguibile) in un file scansionato. Dopodiché, si presume la natura dannosa del file e vengono intraprese ulteriori azioni per controllarlo. Questo metodo ha buone prestazioni, ma molto spesso non è in grado di rilevare nuovi virus.

Metodo di monitoraggio del comportamento del programma fondamentalmente diverso dai metodi per la scansione del contenuto dei file menzionati in precedenza. Questo metodo si basa sull'analisi del comportamento dei programmi in esecuzione, paragonabile alla cattura di un criminale "per mano" sulla scena del crimine. Gli strumenti antivirus di questo tipo richiedono spesso la partecipazione attiva dell'utente al fine di prendere decisioni in risposta a numerosi avvisi di sistema, una parte significativa dei quali potrebbe successivamente rivelarsi falsi allarmi. La frequenza dei falsi positivi (sospetto di un virus per un file innocuo o mancante di un file dannoso) quando viene superata una certa soglia rende questo metodo inefficace e l'utente può smettere di rispondere agli avvisi o scegliere una strategia ottimistica (consentire a tutte le azioni di essere eseguite da tutti i programmi in esecuzione o disabilitare questa funzione dello strumento antivirus). Quando si utilizzano sistemi antivirus che analizzano il comportamento dei programmi, c'è sempre il rischio di eseguire comandi di virus che potrebbero danneggiare il computer o la rete protetti. Per eliminare questa lacuna, è stato successivamente sviluppato un metodo di emulazione (imitazione) che consente di eseguire il programma in prova in un ambiente (virtuale) creato artificialmente, spesso chiamato sandbox, senza il pericolo di danneggiare l'ambiente delle informazioni. L'uso di metodi di analisi del comportamento del software ha dimostrato la loro elevata efficienza nel rilevare programmi dannosi sia noti che sconosciuti.

Pseudo-antivirus [ | ]

Nel 2009 è iniziata la diffusione attiva di falsi anti-virus [ ] - software che non è un antivirus (cioè non ha una reale funzionalità per contrastare i programmi dannosi), ma che si presenta come tale. In effetti, gli pseudo-antivirus possono essere sia programmi per ingannare gli utenti che realizzare profitti sotto forma di pagamenti per "curare il sistema dai virus", o normali software dannosi.

Antivirus speciali[ | ]

Nel novembre 2014, l'organizzazione internazionale per i diritti umani Amnesty International ha rilasciato Detect, un programma antivirus progettato per rilevare malware distribuito dalle agenzie governative per spiare attivisti civili e oppositori politici. L'antivirus, secondo i creatori, esegue una scansione più approfondita del disco rigido rispetto agli antivirus convenzionali.

L'efficacia dell'antivirus[ | ]

La società di analisi Imperva, nell'ambito della Hacker Intelligence Initiative, ha pubblicato un interessante studio che mostra la scarsa efficienza della maggior parte degli antivirus in condizioni reali.

Sulla base dei risultati di vari test sintetici, gli antivirus mostrano un'efficienza media intorno al 97%, ma questi test vengono effettuati su database di centinaia di migliaia di campioni, la stragrande maggioranza dei quali (forse circa il 97%) non sono più utilizzati per gli attacchi.

La domanda è quanto siano efficaci gli antivirus contro le minacce più pressanti. Per rispondere a questa domanda, gli studenti della Imperva e dell'Università di Tel Aviv hanno ottenuto 82 campioni dell'ultimo malware sui forum clandestini russi e li hanno testati sul database VirusTotal, cioè contro 42 motori antivirus. Il risultato è stato disastroso.

1. L'efficacia degli antivirus contro il malware appena compilato è stata inferiore al 5%. Questo è un risultato abbastanza logico, poiché i creatori di virus li testano sempre sul database VirusTotal.
2. Ci vogliono fino a quattro settimane dalla comparsa di un virus all'inizio del suo riconoscimento da parte degli antivirus: questo è per gli antivirus "elite" e per il resto può richiedere fino a 9-12 mesi. Ad esempio, all'inizio dello studio il 9 febbraio 2012, è stato testato un nuovo campione di un falso programma di installazione di Google Chrome. Dopo la fine dello studio il 17 novembre 2012, solo 23 antivirus su 42 lo hanno rilevato.
3. Gli antivirus con il più alto tasso di rilevamento di malware hanno anche un alto tasso di falsi positivi.
4. Sebbene lo studio difficilmente possa essere definito obiettivo, poiché il campione di malware era troppo piccolo, si può presumere che gli antivirus siano completamente inappropriati contro le recenti minacce informatiche.

Classificazioni antivirus[ | ]

I programmi antivirus sono suddivisi per esecuzione (mezzi di blocco) in:

• software;
• software e hardware.

In base al posizionamento nella RAM, ci sono:

• residenti (iniziano il loro lavoro all'avvio del sistema operativo, sono costantemente nella memoria del computer e scansionano automaticamente i file);
• non residente (lanciato su richiesta dell'utente o secondo la pianificazione per lui stabilita).

Per tipo (metodo) di protezione contro i virus si distinguono:

In conformità con l'atto giuridico normativo della FSTEC della Russia "Requisiti nel campo della regolamentazione tecnica per i prodotti utilizzati per proteggere le informazioni che costituiscono segreti di stato o altre informazioni ad accesso limitato protette in conformità con la legislazione della Federazione Russa (requisiti per la protezione antivirus)" (approvato . con ordinanza dell'FSTEC della Russia del 20 marzo 2012 n. 28), si distinguono i seguenti tipi di protezione antivirus:

• tipo "A" - strumenti di protezione antivirus (componenti di strumenti di protezione antivirus) destinati all'amministrazione centralizzata di strumenti di protezione antivirus installati su componenti del sistema informativo (server, workstation);
• tipo "B" - mezzi di protezione antivirus (componenti dei mezzi di protezione antivirus) destinati all'uso sui server del sistema di informazione;
• tipo "B" - mezzi di protezione antivirus (componenti dei mezzi di protezione antivirus) destinati all'uso nelle postazioni di lavoro automatizzate dei sistemi di informazione;
• tipo "G" - mezzi di protezione antivirus (componenti dei mezzi di protezione antivirus) destinati all'uso in postazioni di lavoro autonome.

Gli strumenti di protezione antivirus di tipo "A" non vengono utilizzati nei sistemi di informazione da soli e devono essere utilizzati solo in combinazione con strumenti di protezione antivirus di tipo "B" e (o) "C".

Programma antivirus su Wikimedia Commons

Contrastare i programmi antivirus

Poiché l'obiettivo dei criminali informatici è quello di iniettare codice dannoso nei computer delle vittime, non solo devono forzare l'utente a eseguire un file infetto o ad accedere al sistema attraverso alcune vulnerabilità, ma anche a sgattaiolare oltre il filtro antivirus installato. Pertanto, non sorprende che i criminali informatici stiano deliberatamente prendendo di mira i programmi antivirus. Le tecniche che usano sono molto diverse, ma le più comuni sono le seguenti:

Pacchetto e crittografia del codice. La maggior parte (se non la maggior parte) dei worm e dei trojan di oggi sono confezionati o crittografati in qualche modo. Inoltre, il sottosuolo del computer crea utilità appositamente progettate per il confezionamento e la crittografia. Ad esempio, assolutamente tutti i file trovati su Internet elaborati dalle utilità CryptExe, Exeref, PolyCrypt e alcuni altri si sono rivelati dannosi.

Per rilevare tali worm e trojan, i programmi antivirus devono aggiungere nuovi metodi di decompressione e decrittografia o aggiungere firme a ciascun campione del programma dannoso, il che riduce la qualità del rilevamento, poiché non sempre tutti i possibili campioni di codice modificato finiscono nelle mani di un'azienda antivirus.

Mutazione del codice. Diluizione del codice Trojan con istruzioni spazzatura. Di conseguenza, la funzionalità del cavallo di Troia viene preservata, ma il suo "aspetto" cambia in modo significativo. Di tanto in tanto, ci sono casi in cui la mutazione del codice si verifica in tempo reale, con ogni download di un programma Trojan da un sito Web infetto. Quelli. tutti o una parte significativa dei campioni di Trojan che raggiungono i computer da un tale sito sono diversi. Un esempio di questa tecnologia è il worm di posta elettronica Warezov, diverse versioni del quale hanno causato gravi epidemie nella seconda metà del 2006.

Nascondere la tua presenza. Le cosiddette "tecnologie rootkit" sono comunemente utilizzate nei trojan. Viene eseguita l'intercettazione e la sostituzione delle funzioni di sistema, a causa delle quali il file infetto non è visibile né tramite il sistema operativo standard né tramite programmi antivirus. A volte i rami del registro in cui è registrata una copia del Trojan e altre aree di sistema del computer sono nascoste. Queste tecnologie vengono utilizzate attivamente, ad esempio, dal trojan backdoor HacDef.

Arresto dell'antivirus e del sistema per la ricezione degli aggiornamenti ai database antivirus (aggiornamenti). Molti trojan e worm di rete intraprendono azioni speciali contro i programmi antivirus: li cercano nell'elenco delle applicazioni attive e cercano di interrompere il loro lavoro, corrompono i database antivirus, bloccano gli aggiornamenti, ecc. I programmi antivirus devono proteggersi in modo adeguato: monitorare l'integrità dei database, nascondere i loro processi ai trojan, ecc.

Nascondere il codice sui siti web. Gli indirizzi delle pagine web contenenti file Trojan prima o poi vengono conosciuti dalle società antivirus. Naturalmente, tali pagine sono sottoposte allo stretto controllo degli analisti antivirus: il contenuto della pagina viene scaricato periodicamente, le nuove versioni di Trojan vengono aggiunte agli aggiornamenti antivirus. Per contrastare ciò, la pagina Web viene modificata in modo speciale: se la richiesta proviene dall'indirizzo di una società antivirus, viene scaricato un file non Trojan al posto del Trojan.

Numero di attacco. Generazione e distribuzione su Internet di un gran numero di nuove versioni di Trojan in un breve periodo di tempo. Di conseguenza, le aziende antivirus sono inondate di nuovi campioni, la cui analisi richiede tempo, il che offre al codice dannoso un'ulteriore possibilità di penetrare con successo nei computer.

Questi e altri metodi vengono utilizzati dal sottosuolo del computer per contrastare i programmi antivirus. Allo stesso tempo, l'attività dei criminali informatici cresce di anno in anno, e ora possiamo parlare di una vera e propria "corsa tecnologica" che si è svolta tra l'industria antivirus e l'industria virale. Allo stesso tempo, cresce il numero di singoli hacker e gruppi criminali, così come la loro professionalità. Tutto questo insieme aumenta in modo significativo la complessità e la quantità di lavoro richiesta dalle aziende antivirus per sviluppare strumenti di protezione adeguati.

4. Classificazione dei programmi scolastici

La necessità di creare una classificazione degli oggetti rilevati dagli antivirus è nata contemporaneamente alla comparsa del primo programma antivirus. Nonostante il fatto che a quel tempo c'erano pochi virus, dovevano comunque essere in qualche modo distinti l'uno dall'altro per nome.

I pionieri del settore antivirus, di regola, utilizzavano la classificazione più semplice, costituita dal nome univoco del virus e dalla dimensione del file rilevato. Tuttavia, la confusione è iniziata a causa del fatto che lo stesso virus in diversi programmi antivirus poteva essere denominato in modo diverso.

I primi tentativi di snellire il processo di classificazione risalgono agli inizi degli anni '90 del secolo scorso, nell'ambito dell'alleanza di specialisti antivirus CARO (Computer AntiVirus Researcher's Organization). L'alleanza creò il documento "CARO malware naming scheme", che per qualche periodo divenne standard industriale.

Ma nel tempo, il rapido sviluppo di malware, l'emergere di nuove piattaforme e la crescita di società di antivirus hanno portato al fatto che questo schema ha effettivamente cessato di essere utilizzato (vedi, ad esempio, l'articolo di Wesselin Bonchev "Current Status of the CARO Malware Naming Scheme"). Un motivo ancora più importante per l'abbandono sono state le differenze significative nelle tecnologie di rilevamento di ciascuna azienda antivirus e, di conseguenza, l'impossibilità di unificare i risultati della scansione da parte di diversi programmi antivirus.

Periodicamente vengono effettuati tentativi per sviluppare una nuova classificazione generale degli oggetti rilevati dai programmi antivirus, tuttavia, per la maggior parte, rimangono senza successo. L'ultimo progetto significativo di questo tipo è stata la creazione dell'organizzazione CME (Common Malware Enumeration), che assegna un unico identificatore univoco agli stessi oggetti rilevati.

Il sistema di rilevamento utilizzato da Kaspersky Lab è uno dei più utilizzati nel settore ed è servito come base per le classificazioni di alcune altre società antivirus. Attualmente, la classificazione di Kaspersky Lab include l'intero volume di oggetti dannosi o potenzialmente indesiderati rilevati da Kaspersky Anti-Virus e si basa sulla divisione degli oggetti in base al tipo di azioni che eseguono sul computer dell'utente.

Poiché l'obiettivo dei criminali informatici è quello di iniettare codice dannoso nei computer delle vittime, devono non solo costringere l'utente ad avviare un file infetto o ad accedere al sistema attraverso alcune vulnerabilità, ma anche a sgattaiolare oltre il filtro antivirus installato. Pertanto, i criminali informatici stanno combattendo intenzionalmente i programmi antivirus. Le tecniche che usano sono molto diverse, ma le più comuni sono le seguenti.

Pacchetto e crittografia del codice. La maggior parte (se non la maggior parte) dei worm e dei trojan di oggi sono confezionati o crittografati in qualche modo. Inoltre, le utilità di pacchettizzazione e crittografia sono create appositamente per questo. Per rilevare tali worm e trojan, i programmi antivirus devono aggiungere nuovi metodi di decompressione e decrittografia o firme per ogni campione del malware, il che riduce la qualità del rilevamento, poiché non sempre tutti i possibili campioni di codice modificato finiscono nelle mani di un'azienda antivirus.

Mutazione del codice - diluizione del codice Trojan con istruzioni "garbage". Di conseguenza, la funzionalità del cavallo di Troia viene preservata, ma il suo "aspetto" viene notevolmente modificato. Di tanto in tanto, ci sono casi in cui la mutazione del codice si verifica in tempo reale, ogni volta che un Trojan viene scaricato da un sito Web infetto. Cioè, tutti o una parte significativa degli esempi di programmi Trojan che raggiungono i computer da un tale sito sono diversi.

Nascondere la tua presenza - così chiamato tecnologia rootkit, comunemente usato nei trojan. In questo caso, viene eseguita l'intercettazione e la sostituzione delle funzioni di sistema, a seguito della quale il file infetto non è visibile né tramite il sistema operativo standard né tramite programmi antivirus. A volte sono nascosti anche i rami del registro, in cui è registrata una copia del programma Trojan, e altre aree di sistema del computer.

Arresto del programma antivirus e del sistema per la ricezione degli aggiornamenti ai database antivirus. Molti Trojan e worm di rete intraprendono azioni speciali contro i programmi antivirus: li cercano nell'elenco delle applicazioni attive e tentano di interrompere il loro lavoro, "rovinano" i database antivirus, bloccano gli aggiornamenti, ecc. I programmi antivirus devono proteggersi in modi appropriati: monitorare l'integrità dei database, "nascondere" i loro processi ai trojan, ecc.

Nascondere il codice sui siti web. Gli indirizzi delle pagine web contenenti file Trojan prima o poi vengono conosciuti dalle aziende antivirus. Naturalmente, tali pagine sono sottoposte al controllo attento degli analisti antivirus: il contenuto della pagina viene scaricato periodicamente, le nuove versioni dei trojan vengono aggiunte agli aggiornamenti antivirus. Per contrastare ciò, la pagina web viene modificata in modo speciale: se la richiesta proviene dall'indirizzo dell'azienda antivirus, al posto del Trojan viene scaricato un file non Trojan.

Numero di attacco - generazione e distribuzione su Internet di un gran numero di nuove versioni di Trojan in un breve periodo di tempo. Di conseguenza, le aziende antivirus vengono invase da nuovi campioni, che richiedono tempo per essere analizzati, il che offre al codice dannoso un'ulteriore possibilità di penetrare con successo nei computer.

Questi e altri metodi vengono utilizzati dagli hacker per contrastare i programmi antivirus. Allo stesso tempo, la loro attività cresce di anno in anno, e ora possiamo parlare di una vera e propria "corsa tecnologica" che si è svolta tra il settore antivirus e quello dei virus. Allo stesso tempo, cresce non solo il numero dei singoli hacker e dei gruppi criminali, ma anche la professionalità di questi ultimi. Tutto ciò aumenta notevolmente la complessità e la quantità di lavoro richiesta dalle aziende antivirus per sviluppare strumenti di protezione adeguati.

La parola "bot" è un'abbreviazione della parola "robot". Un bot è un pezzo di codice che esegue alcune funzionalità per il suo proprietario che ha creato questo codice. Bot (bot) sono un tipo di malware installato su migliaia di computer. Viene chiamato il computer su cui è installato il bot zombie(zombie). Il bot riceve i comandi dal suo master e costringe il computer infetto a eseguirli. Questi comandi possono inviare spam, virus o eseguire attacchi. L'aggressore preferisce eseguire tali azioni utilizzando i bot piuttosto che il proprio computer, poiché ciò gli consente di evitare il rilevamento e l'identificazione.

Viene chiamato l'aggregato di computer zombie compromessi dall'attaccante con i bot installati botnet (botnet). Per creare una botnet, gli hacker penetrano in migliaia di sistemi inviando codice dannoso in una moltitudine di modi diversi: come allegati di posta elettronica, attraverso siti Web compromessi, inviando collegamenti a siti dannosi incorporati nelle e-mail, ecc. Se installato correttamente sul computer dell'utente, il codice dannoso invia un messaggio all'aggressore che il sistema è stato compromesso ed è ora disponibile per l'attaccante che può utilizzarlo a piacimento. Ad esempio, può utilizzare la botnet creata per ospitarne una potente o affittarla agli spammer. La maggior parte dei computer inclusi nella botnet sono computer domestici di utenti ignari.

Il proprietario di questa botnet controlla i sistemi che ne fanno parte da remoto, solitamente utilizzando il protocollo IRC (Internet Relay Chat).

I passaggi di base per la creazione e l'utilizzo di botnet sono descritti di seguito:

1. L'hacker invia codice dannoso, che contiene il software del bot, alle potenziali vittime in vari modi.
2. Dopo l'installazione avvenuta con successo sul sistema della vittima, il bot stabilisce un contatto con il server di controllo della botnet, comunicando con esso tramite IRC o un apposito web server, secondo quanto indicato nel suo codice. Dopodiché, il server di gestione assume la gestione del nuovo bot.
3. Lo spammer paga l'hacker per l'utilizzo dei sistemi della sua botnet, l'hacker invia i comandi appropriati al server C&C e il server C&C, a sua volta, ordina a tutti i sistemi infetti nella botnet di inviare spam.

Gli spammer utilizzano questo metodo perché aumenta in modo significativo la probabilità che i loro messaggi raggiungano i destinatari, aggirando i loro filtri antispam. tali messaggi non verranno inviati da un indirizzo, che verrà rapidamente bloccato o aggiunto a tutte le blacklist, ma da molti indirizzi reali dei proprietari di computer compromessi.

Per creare una botnet, il suo futuro proprietario fa tutto da solo o paga gli hacker per sviluppare e distribuire malware per infettare i sistemi che diventeranno parte della sua botnet. E poi il proprietario della botnet sarà contattato e pagato da chi vuole parlarti dei suoi nuovi prodotti, così come da chi ha bisogno di attaccare i concorrenti, rubare dati personali o password degli utenti e molti altri.

Il software antivirus tradizionale utilizza le firme per rilevare il codice dannoso. Le firme sono "impronte digitali" di codice dannoso creato da un produttore di software antivirus. La firma è uno snippet di codice estratto dal virus stesso. Il programma antivirus esegue la scansione di file, e-mail e altri dati che passano attraverso determinati dati e li confronta con il proprio database delle firme antivirali. Se viene trovata una corrispondenza, il programma antivirus esegue un'azione preconfigurata, che può essere inviare il file infetto in quarantena, provare a "curare" il file (rimuovere il virus), visualizzare una finestra di avviso per l'utente e / o registrare l'evento su.

Rilevamento di codice dannoso basato sulle firme È un modo efficace per rilevare malware, ma ci sono ritardi nella risposta alle nuove minacce. Dopo il primo rilevamento di un virus, il fornitore dell'antivirus deve studiare il virus, sviluppare e testare nuove firme, rilasciare un aggiornamento al database delle firme e tutti gli utenti devono scaricare questo aggiornamento. Se il codice dannoso invia semplicemente le tue foto a tutti i tuoi amici, questo ritardo non è così critico. Tuttavia, se il malware assomiglia al worm Slammer, il danno derivante da questo ritardo può essere catastrofico.

NOTA... Il worm Slammer è apparso nel 2003. Ha sfruttato una vulnerabilità nel DBMS di Microsoft SQL Server 2000 che poteva consentire e causare una negazione del servizio. Secondo alcune stime, Slammer ha causato oltre 1 miliardo di dollari di danni.

Con la creazione quotidiana di nuovi malware, è difficile per i produttori di software antivirus tenere il passo. La tecnologia delle firme antivirali consente di rilevare i virus che sono già stati identificati e per i quali è stata creata una firma. Tuttavia, poiché gli autori di virus sono molto prolifici e molti virus possono modificare il loro codice, è molto importante che il software antivirus disponga di altri meccanismi per rilevare il codice dannoso.

Un altro metodo utilizzato da quasi tutti i software antivirus è il rilevamento basato su malware. analisi euristica (rilevamento euristico). Questo metodo analizza la struttura generale del codice dannoso, valuta le istruzioni e gli algoritmi eseguiti dal codice ed esamina i tipi di dati utilizzati dal programma dannoso. Pertanto, raccoglie una grande quantità di informazioni su un pezzo di codice e stima la probabilità che sia dannoso. Utilizza una sorta di "contatore di sospettosità", che aumenta quando il programma antivirus rileva nuove proprietà potenzialmente pericolose (sospette) al suo interno. Quando viene raggiunto un valore di soglia predeterminato, il codice viene considerato pericoloso e il programma antivirus avvia i meccanismi di protezione appropriati. Ciò consente al software antivirus di riconoscere malware sconosciuto e non solo di fare affidamento sulle firme.

Considera la seguente analogia. Ivan è un poliziotto, lavora per catturare i cattivi e rinchiuderli. Se Ivan utilizza il metodo della firma, confronta pile di fotografie con ogni persona che vede per strada. Quando vede una partita, cattura rapidamente il cattivo e lo mette nella sua macchina di pattuglia. Se intende utilizzare un metodo euristico, controlla l'attività sospetta. Ad esempio, se vede una persona con un passamontagna in piedi di fronte a una banca, stima la probabilità che si tratti di un rapinatore e non solo di un ragazzo congelato che chiede il resto dai clienti della banca.

NOTA... Anche le workstation senza disco sono vulnerabili ai virus, nonostante non dispongano di un disco rigido e di un sistema operativo completo. Possono essere infettati da virus che scaricano e vivono nella memoria. Tali sistemi possono essere riavviati da remoto (riavvio remoto) per cancellare la memoria e riportarla al suo stato originale, ad es. il virus vive per un breve periodo in un tale sistema.

Alcuni prodotti antivirus creano un ambiente artificiale chiamato macchina virtuale o sandbox e consentono l'esecuzione di parte del codice sospetto in un ambiente protetto. Questo dà al programma antivirus la capacità di vedere il codice in azione, che fornisce molte più informazioni per decidere se è dannoso o meno.

NOTA... A volte viene chiamata una macchina virtuale o sandbox buffer di emulazione (buffer di emulazione). Questo è lo stesso del segmento di memoria protetta, quindi anche se il codice si rivela dannoso, il sistema rimarrà comunque al sicuro.

Viene chiamata l'analisi delle informazioni su un pezzo di codice analisi statica se esegui un pezzo di codice in una macchina virtuale, questo viene chiamato analisi dinamica ... Entrambi questi metodi sono considerati metodi di rilevamento euristico.

Vaccinazione.Viene chiamato un altro approccio utilizzato da alcuni programmi antivirus vaccinazione(immunizzazione). I prodotti con questa funzionalità hanno modificato i file e le aree del disco in modo che appaiano come se fossero già infetti. In questo caso, il virus potrebbe decidere che il file (disco) è già infetto e non apporterà ulteriori modifiche, passando al file successivo.

Il programma di vaccinazione, di regola, prende di mira un virus specifico, poiché ognuno di essi controlla il fatto dell'infezione in modo diverso e cerca dati (firme) diversi nel file (su disco). Tuttavia, il numero di virus e altri software dannosi è in costante crescita e il numero di file che devono essere protetti è in crescita, quindi questo approccio non è attualmente applicabile nella pratica nella maggior parte dei casi e i produttori di antivirus non lo utilizzano più.

Al giorno d'oggi, anche con tutti questi approcci sofisticati ed efficaci, non vi è alcuna garanzia al 100% che gli strumenti antivirus saranno efficaci perché gli autori di virus sono molto astuti. È un gioco costante del gatto e del topo che continua ogni giorno. L'industria antivirus sta trovando un nuovo modo per rilevare il malware e la prossima settimana gli autori di virus stanno cercando di capire come aggirare questo nuovo modo. Ciò costringe i fornitori di antivirus a migliorare costantemente l'intelligenza dei loro prodotti e gli utenti devono acquistare nuove versioni ogni anno.

Si chiama la fase successiva nell'evoluzione del software antivirus bloccanti comportamentali (blocco del comportamento). Il software antivirus basato sul comportamento consente effettivamente l'esecuzione di codice sospetto su un sistema operativo non protetto e monitora le sue interazioni con il sistema operativo per attività sospette. In particolare, il software antivirus monitora le seguenti attività:

• Scrittura su file caricati automaticamente all'avvio del sistema o nelle sezioni di esecuzione automatica nel registro di sistema
• Apertura, eliminazione o modifica di file
• Compresi script nelle e-mail per inviare codice eseguibile
• Connettiti a risorse di rete o cartelle condivise
• Modifica della logica del codice eseguibile
• Creazione o modifica di macro e script
• Formattazione del disco rigido o scrittura nel settore di avvio

Se un programma antivirus rileva alcune di queste azioni potenzialmente dannose, può forzare la chiusura del programma e informare l'utente al riguardo. La nuova generazione di bloccanti comportamentali analizza effettivamente la sequenza di tali azioni prima di decidere che il sistema è infetto (i bloccanti comportamentali di prima generazione sono stati attivati \u200b\u200bsemplicemente su singole azioni, il che ha portato a un gran numero di falsi positivi). Il moderno software antivirus può intercettare l'esecuzione di parti di codice pericolose e impedire loro di interagire con altri processi in esecuzione. Possono anche rilevare. Alcuni di questi programmi antivirus consentono di "ripristinare" il sistema allo stato in cui si trovava prima dell'infezione, "cancellando" tutte le modifiche apportate dal codice dannoso.

Sembrerebbe che i blocchi comportamentali possano risolvere completamente tutti i problemi associati al codice dannoso, ma hanno uno svantaggio, che richiede tale monitoraggio del codice dannoso in tempo reale, altrimenti il \u200b\u200bsistema può ancora essere infettato. Inoltre, il monitoraggio costante richiede molte risorse di sistema ...

NOTA... L'analisi euristica e il blocco basato sul comportamento sono considerati proattivi e possono rilevare nuovo malware, a volte chiamato attacchi zero-day. Il rilevamento del malware basato sulla firma non è in grado di rilevare nuovo malware.

La maggior parte dei programmi antivirus utilizza una combinazione di tutte queste tecnologie per fornire la massima protezione possibile. Le soluzioni anti-malware selezionate sono mostrate nella Figura 9-20.

Figura 9-20.I fornitori di software antivirus utilizzano metodi diversi per rilevare il codice dannoso

Siamo tutti molto stanchi delle e-mail che ci chiedono di comprare qualcosa di cui non abbiamo bisogno. Tali lettere sono chiamate spam (spam) sono messaggi di posta elettronica non richiesti. Lo spam non solo distrae i destinatari dalla loro attività, ma consuma anche una notevole larghezza di banda di rete e può anche essere una fonte di distribuzione di malware. Molte aziende utilizzano filtri antispam sui propri server di posta e gli utenti possono impostare regole di filtraggio antispam sui propri client di posta. Ma gli spammer, come gli autori di virus, inventano costantemente modi nuovi e intelligenti per aggirare i filtri antispam.

Riconoscere efficacemente lo spam è diventata una vera scienza. Viene chiamato uno dei metodi utilizzati Filtraggio bayesiano (Filtro bayesiano). Molti anni fa, un signore di nome Thomas Bayes (matematico) ha sviluppato un modo efficiente per prevedere la probabilità di un evento utilizzando la matematica. Il teorema di Bayes consente di determinare la probabilità che un evento si sia verificato in presenza di sole prove indirette (dati) che potrebbero essere imprecisi. Concettualmente, questo non è così difficile da capire. Se sbatti la testa tre volte contro un muro di mattoni e cadi ogni volta, puoi concludere che ulteriori tentativi porteranno agli stessi risultati dolorosi. È più interessante quando questa logica viene applicata ad azioni che contengono molte più variabili. Ad esempio, come funziona un filtro antispam che non consente alle lettere con un'offerta di acquistare il Viagra, ma non interferisce con la consegna della posta del tuo amico, che è molto interessato a questo farmaco e ti scrive messaggi sulle sue proprietà ed effetti sul corpo? Il filtro bayesiano applica la modellazione statistica alle parole che compongono i messaggi di posta elettronica. Sopra queste parole vengono eseguite formule matematiche che consentono di comprendere appieno la loro relazione reciproca. Il filtro bayesiano esegue un'analisi della frequenza di ogni parola e quindi valuta il messaggio nel suo insieme per determinare se si tratta di spam o meno.

Un filtro di questo tipo non cerca solo le parole "Viagra", "sesso", ecc., Ma controlla la frequenza con cui queste parole vengono utilizzate e in quale ordine per determinare se il messaggio è spam. Sfortunatamente, gli spammer sanno come funzionano questi filtri e manipolano le parole nella riga dell'oggetto e nel corpo del messaggio per cercare di ingannare il filtro antispam. Questo è il motivo per cui potresti ricevere messaggi di spam con errori di ortografia o parole che utilizzano caratteri anziché lettere. Gli spammer sono molto interessati a che tu riceva i loro messaggi perché ne ricavano molti soldi.

Proteggere le aziende da un'ampia gamma di diversi tipi di malware richiede più di un semplice software antivirus. Come per altri componenti, è necessario implementare e mantenere alcune salvaguardie e controlli amministrativi, fisici e tecnici aggiuntivi.

L'azienda dovrebbe avere una politica antivirus separata, oppure i problemi di protezione antivirus dovrebbero essere presi in considerazione in quella generale. Dovrebbero essere sviluppati i tipi di software antivirus e antispyware necessari per l'utilizzo in azienda, nonché i parametri di base della loro configurazione.

Nel programma devono essere fornite informazioni sugli attacchi di virus, sugli strumenti di protezione antivirus utilizzati e sul comportamento previsto dagli utenti. Ogni utente dovrebbe sapere cosa fare e dove andare se viene rilevato un virus sul proprio computer. Lo standard dovrebbe affrontare tutti i problemi relativi alle azioni dell'utente relative a codice dannoso, dovrebbe indicare cosa dovrebbe fare l'utente e cosa gli è vietato fare. In particolare, lo standard dovrebbe contenere le seguenti domande:

• Il software antivirus deve essere installato su ogni workstation, server, comunicatore, smartphone.
• Ciascuno di questi dispositivi deve avere un modo per aggiornare automaticamente le firme antivirus, che devono essere abilitate e configurate su ogni dispositivo.
• L'utente non dovrebbe essere in grado di disabilitare il software antivirus.
• Un processo di rimozione del virus dovrebbe essere sviluppato e pianificato in anticipo e una persona di contatto dovrebbe essere identificata e nominata nel caso in cui venga rilevato un codice dannoso.
• Tutte le unità esterne (unità USB, ecc.) Dovrebbero essere scansionate automaticamente.
• I file di backup dovrebbero essere scansionati.
• Ci dovrebbe essere una revisione annuale delle politiche e delle procedure antivirus.
• Il software antivirus utilizzato deve fornire protezione contro i virus di avvio.
• La scansione antivirus deve essere eseguita indipendentemente sul gateway e su ogni singolo dispositivo.
• La scansione antivirus dovrebbe essere eseguita automaticamente in base a una pianificazione. Non è necessario fare affidamento sugli utenti per avviare manualmente le scansioni.
• I sistemi critici devono essere protetti fisicamente in modo tale che l'installazione locale di software dannoso su di essi sia impossibile.

Poiché il software dannoso può causare danni per milioni di dollari (sotto forma di spese operative, perdita di produttività), molte aziende installano soluzioni antivirus in tutti i punti della rete. Uno scanner antivirus può essere integrato nel software del server di posta o. Un tale scanner antivirus controlla tutto il traffico in entrata per la presenza di codice dannoso al fine di rilevarlo e fermarlo in anticipo, anche prima che entri nella rete interna. I prodotti che implementano questa funzionalità possono eseguire la scansione del traffico SMTP, HTTP, FTP e possibilmente anche di altri protocolli. Ma è importante capire che un prodotto del genere monitora solo uno o due protocolli e non tutto il traffico in entrata. Questo è uno dei motivi per cui il software antivirus deve essere installato anche su ogni server e workstation.