Особенности «облачной» антивирусной технологии
Облачные технологии – это технология распределенной обработки данных, при которой совместно используемые компьютерные ресурсы, программное обеспечение и данные предоставляются пользователям по запросу как услуги через Интернет.
В отличие от традиционного сигнатурного анализа при использовании облачной антивирусной защиты процесс обмена информацией между ПК и сервером производителя антивирусной программы происходит постоянно. Все ПК подключены к удаленному серверу производителя антивирусной программы и образуют так называемое антивирусное облако. Антивирусное облако представляет собой инфраструктуру, которая используется для обработки сервером поступающей от пользователей ПК информации о подозрительных вредоносных программах с целью своевременно распознать новые, ранее неизвестные угрозы. Чем больше ПК подключено к системе, тем лучше работает облако: об одном и том же подозрительном объекте на сервер приходит информация от многих пользователей, и это стимулирует производителя антивирусной программы к разработке обновления антивирусных баз.
Облачный антивирус не требует от пользователя никаких лишних действий – пользователь ПК просто отправляет запрос по поводу подозрительной программы или ссылки. При подтверждении опасности все необходимые действия выполняются автоматически. Скорость выявления и блокирования угроз антивирусным облаком существенно превосходит традиционный антивирусный анализ. Если традиционное сигнатурное обновление требует нескольких часов, то при детектировании угроз антивирусным облаком речь идет о минутах. При этом, как показывает практика, вероятность ложного срабатывания минимум в 100 раз ниже, нежели при традиционном детектировании.
Собирая и обрабатывая поступающую информацию, антивирусная облачная защита работает как мощная экспертная система, непрерывно анализирующая вирусную активность. Данные, необходимые для блокирования атак, мгновенно передаются всем участникам облака, предотвращая масштабные вирусные эпидемии.
Высокая скорость реакции на новые угрозы и низкий уровень ложных срабатываний, обеспечиваемые облачными антивирусными технологиями, потенциально могут сделать их незаменимыми в антивирусной индустрии. Облачные технологии уже сейчас применяются в том или ином виде в антивирусных продуктах «Лаборатории Касперского», Symantec, Agnitum, ESET, Panda Security и ряда других компаний.
Виды антивирусных программ
Различают следующие виды антивирусных программ:
· программы-фаги (сканеры);
· программы-ревизоры (CRC-сканеры);
· программы-блокировщики;
· программы-иммунизаторы.
Программы-фаги (сканеры) используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем сканирования содержимого оперативной памяти и файлов и при обнаружении выдают соответствующее сообщение. Программы-фаги не только находят зараженные вирусами файлы, но и лечат их, то есть удаляют из файла тело программы- вируса, возвращая файлы в исходное состояние. В начале своей работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к лечению файлов. Среди фагов выделяют полифаги, то есть программы-фаги, предназначенные для поиска и уничтожения большого количества вирусов.
Программы-фаги можно разделить на две категории: универсальные и специализированные сканеры. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов. Специализированные сканеры, рассчитанные только на макровирусы, оказываются более удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
Программы-фаги делятся также на резидентные мониторы, производящие сканирование «налету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. Резидентные мониторы обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.
К достоинствам программ-фагов всех типов относится их универсальность. К недостаткам программ-фагов следует отнести относительно небольшую скорость поиска вирусов и относительно большие размеры антивирусных баз.
Наиболее известные из программ-фагов: Aidstest, Scan, Norton AntiVirus, Dr. Web. Учитывая, что постоянно появляются новые вирусы, программы-фаги быстро устаревают и требуется регулярное обновление версий.
Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Затем в базе данных антивируса сохраняются эти CRC- суммы, а также некоторая другая информация: длины файлов, даты их последней модификации и другие параметры. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Как правило, сравнение состояний производят сразу после загрузки операционной системы.
CRC-сканеры, использующие антистелс-алгоритмы, являются довольно мощным средством против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у CRC-сканеров имеется недостаток, заметно снижающий их эффективность. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии или распаковываемых из архива), поскольку в их базах данных отсутствует информация об этих файлах.
К числу CRC-сканеров относится широко распространенная в России программа Adinf (Advanced Diskinfoscope) и ревизор AVP Inspector. Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует собранную ранее информацию о файлах для их восстановления после поражения неизвестными вирусами. В состав ревизора AVP Inspector также входит лечащий модуль, способный удалять вирусы.
Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики – это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков, попытки программ остаться в памяти резидентно и т.п., то есть вызовы, которые характерны для вирусов в моменты их размножения.
При попытке какой-либо программы произвести указанные действия блокировщик посылает пользователю сообщение и предлагает запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что бывает особенно полезно в случаях, когда регулярно появляется давно известный вирус. Однако они не лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам блокировщиков можно отнести существование путей обхода их защиты и их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла).
Следует отметить, что созданы антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR жесткого диска.
Программы-иммунизаторы – это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Иммунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение. У таких иммунизаторов имеется один серьезный недостаток: они не могут обнаружить заражение стелс-вирусом. Поэтому этот тип иммунизаторов практически не используется в настоящее время.
Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Этот иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов. Однако подобные иммунизаторы могут в качестве полумеры вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.