Чому помиляються антивіруси

1. Раніше дерева були вище і пиво смачніше ...
2. Наші дні
3. святе місце пустим не буває
4. Комунізм чомусь все одно не настав
5. евристичні технології
6. Питання довіри до розробника
7. Довіряй але перевіряй
8. А що кажуть інші антивіруси?
9. Антивіруси проти систем захисту програм
10. Як сказати розробнику антивіруса, що файл не заражений вірусом?
11. підсумок

Чому на зовні нешкідливі програми лаються антивіруси? Чи варто довіряти на 100% антивірусних програм? Як визначаються нові шкідливі програми? Що робити, якщо відбуваються помилкові спрацьовування антивіруса? На ці та інші питання ви знайдете відповідь у цій статті.

1. Раніше дерева були вище і пиво смачніше ...
2. Наші дні
3. святе місце пустим не буває
4. Комунізм чомусь все одно не настав
5. евристичні технології
6. Питання довіри до розробника
7. Довіряй але перевіряй
8. А що кажуть інші антивіруси?
9. Антивіруси проти систем захисту програм
10. Як сказати розробнику антивіруса, що файл не заражений вірусом?
11. підсумок

Раніше дерева були вище і пиво смачніше ...

Перш за все, варто поставити запитання, що ж, власне, таке - комп'ютерний вірус? Це звичайна комп'ютерна програма, здатна до самовідтворення. Тобто, вміє поширювати і запускати свої копії. Ніякої містики. До слова, вірус зовсім необов'язково повинен приносити якусь шкоду. Він може просто поширюватися і не видаляти або красти важливі дані, або блокувати роботу комп'ютера.

Колись, коли наймасовішою операційною системою була DOS, комп'ютерні мережі існували, але не були так сильно розвинені, як зараз, проблема комп'ютерних вірусів існувала, але вирішувалася досить просто.

Потрібно було завантажити з "чистою" дискети (це означало, що завантажувальний сектор диска не містив BOOT-вірусів) і запустити який-небудь антивірусний сканер: AidsTest або Dr.WEB. І після цього запускати сканування або лікування. Зазвичай, програма-сканер працювала досить швидко навіть на малопотужних комп'ютерах і, як правило, при наявності вірусів навіть "лікувала" програму, яка була інфікована шкідливим кодом.

У той час різноманітних вірусів було таке жахливе кількість, як зараз, так і технології впровадження були, хоча і вельми витонченими, але нечисленними. Потрібно також сказати, що кваліфікація авторів вірусів була набагато вище, що давало більш-менш якісний код без грубих помилок. Відповідно, і автори антивірусів могли написати алгоритми "лікування" інфікованих EXE і COM-програм, які могли коректно видалити код з програми-донора, дозволивши їй коректно працювати після виправлення.

Взагалі кажучи, можна було обійтися і без антивіруса зовсім, якщо строго дотримуватися певних правил і мати резервні копії важливих даних. Це правило справедливо і зараз, проте слідувати йому стає все складніше.

Бурхливий розвиток IT-технологій дало найпотужніше розвиток і технологій комп'ютерних вірусів. Отже, що ж відбувається зараз?

Наші дні

Зараз основне джерело вірусів - це Інтернет. Важко уявити собі комп'ютер без підключення до Інтернету. Відповідно, способів проникнення у вірусів тепер набагато більше. Раніше це була звичайна дискета, з якої досить було запустити будь-яку інфіковану програму, щоб заразити свій комп'ютер, тепер же це ціла купа джерел: електронна пошта, лінки в програмах обміну миттєвими повідомленнями, посилання на інтернет-сайтах, офісні документи, автозагрузочние віруси на флеш накопичувачів та інша-прочая ...

З огляду на велику поширеність IT-технологій рівень загальної комп'ютерної грамотності користувачів падає. І падає з кожним роком. З одного боку, офісні програми стають зрозумілішими і доступнішими, а з іншого, технології роботи ускладнюються.

Звичайно, можна налаштувати операційну систему відповідним чином, працювати не під адміністратором, а під користувачем з обмеженими правами. Налаштувати правильним чином вбудований в Windows файрвол, дотримуватися певних правил при роботі і тоді можна не боятися вірусної загрози. Тому що найкращий антивірус - це мисляча користувач. Але, як правило - це утопія.
Виходить, що зробити зі звичайного користувача гуру технічної безпеки не представляється можливим.

З одного боку, чим користувачеві зручніше і простіше працювати - тим більше можливостей проникнення в комп'ютер шкідливого ПО. З іншого боку, перетворюючи комп'ютер у броньований дот, ми робимо нестерпним роботу звичайної людини, вимушеного постійно вводити паролі, натискати на різні кнопки в відкриваються віконцях системи захисту і т.п.

Апологети Linux можуть тут злорадно посміхнутися, мовляв, це в ваших Windows таке твориться, у нас же вірусів взагалі немає. Не хочу розводити холівари (Holy Wars), але можу заперечити:

1. Windows можна налаштувати правильним чином. Але тоді перестають працювати або працюють погано величезна кількість програм, які були розроблені для більш старих версій Windows. І ці програми працюють, так як Microsoft намагається витримувати сумісність з більшістю старого ПО.
2. Поширеність системи Windows в десятки, якщо не в сотні разів вище, ніж Linux. Відповідно, і шкідливого ПО для неї створюється найбільше. Тому що це масова операційна система. Писати комп'ютерний вірус, який уражає 2% комп'ютерів, сенсу не має.

святе місце пустим не буває

Ситуація з доступністю і незахищеністю наймасовішою операційної системи дала потужний поштовх виробникам антивірусного програмного забезпечення.

Це яскравий приклад того, що коштувати випуститихороший зручний продукт, але сподіватися на "авось" в питаннях безпеки і дати звичайному користувачеві відразу після установки системи необмежені права адміністратора, як комп'ютер буде "заражений" через 15 хвилин активного серфінгу по всесвітній павутині.

Зараз виробники антивірусів - це серйозні компанії з великим штатом фахівців. Тут не місце одинакам-ентузіастам. Оновлення для антивірусів виходять з частотою до декількох разів на добу, а самі антивіруси перетворилися в величезних монстрів.
Продаються хороші антивіруси, як гарячі пиріжки, тому що вони, по суті, виконують роботу адміністраторів, думають за користувачів і закривають всі можливі дірки в налаштуванні операційних систем.

Кількість вірусних сигнатур, які визначає хороший антивірус, обчислюється десятками тисяч. Тепер антивірус - це не просто програма, яка запускається на вимогу. Зараз це цілий комплекс: антивірусний монітор, який працює безперервно і знаходиться в пам'яті завантаженим постійно, сканер, мережевий брандмауер і багато чого ще.

Комунізм чомусь все одно не настав

Як же так? Адже розробкою антивірусів займаються величезні компанії з великим штатом співробітників. Витрачається купа грошей на нові технології. Оновлення виходять мало не кожну годину .. СТОП.

Що таке оновлення антивірусних баз?

Якщо говорити простою мовою - це нові способи визначення нових комп'ютерних вірусів. Тобто, злий і недобрий програміст Василь Пупкін взяв і написав новий вірус. І знайшов спосіб запустити його в Інтернет, заражаючи комп'ютери інших користувачів. Найцікавіше те, що цей вірус не знайде жоден, навіть самий крутий і дорогий антивірус!

Я пишу, звичайно, перебільшено, в реальності ситуація набагато складніше і є багато нюансів, про частину яких ще ми будемо говорити. Але суть залишається тією ж.

Абсолютно нові віруси погано визначають або не визначають взагалі все антивіруси

Тобто, ми отримуємо ситуацію: поширюється новий вірус, заражається кілька комп'ютерів, потім цей вірус через якийсь час потрапляє в руки вірусологів-дослідників. І тільки потім робиться чергова "латочка" до антивірусних баз. Бази оновлюються на комп'ютерах користувачів і - вуаля, антивірус "вже" ловить новий вірус. Але шкода вірус "вже" заподіяв.

Виходить, беручи гроші з людей за підписку на оновлення антивірусних баз, виробники антивірусного ПО потрапляють в незручну ситуацію. Так, своєчасне оновлення антивірусних сигнатур зменшує швидкість поширення нових шкідливих програм. Це добре.
Але нові віруси - є нові віруси. Вони спочатку поширюються, і тільки потім їх ловлять. Жоден антивірус не дасть гарантії захисту.

Таких гарантій просто не існує.

Ситуація патова, втім, розробники антивірусів її намагаються вирішувати.

евристичні технології

Суть цих технологій проста. Якщо створюється шкідлива програма, то вона, ймовірно, буде робити якісь певні дії, невластиві або мало властиві звичайній програмі, яка шкоди не приносить.

Значить, можна виявити деякі закономірності, і потім, аналізуючи нову програму, з якоюсь ймовірністю вирішити: так, ця програма - потенційний вірус.

Звучить дуже здорово. Антивірус може зловити абсолютно новий вірус, нічого не знаючи про його сигнатурі. В реальності ж все набагато гірше. Ключове слово в цій технології "ймовірність". Тобто, абсолютно точно сказати, що ця невідома програма - вірус, не може ніхто.
Більш того, часто на цілком звичайні програми антивіруси різних виробників лаються, мовляв, у вас гидоту завелася. "Ймовірно".

Користувачі ж, в силу природної ліні, недостатньою комп'ютерної грамотності, незнання основ англійської мови (потрібне підкреслити) - бачать тільки червону табличку антивіруса, в якій він сумнівається, що йому робити, і просить користувача прийняти (за нього!) Соломонове рішення. Відповідальність антивірус на себе брати не хоче. Хіба мало, а раптом - промах? (Ймовірність ж). І, не читаючи, відправляють програму на розстріл. Антивірус ж сказав, що це вірус! (а діалогових вікон ми не читаємо, ми "Ок" натискати навчені).

Підсумок - в кращому випадку, люди пишуть в службу підтримки розробників софту, що, мовляв, ваша програма заражена вірусом. Розробники божаться, що все прекрасно, і пишуть в служби підтримки антивірусів, доводячи, що їх програми не шкідливі. І так по нескінченному колу.

У гіршому випадку - софт просто видаляють, нескінченно довіряючи антивірусу.

Доходить до курйозів. ми розробляємо корпоративний месенджер MyChat для безпечного зв'язку співробітників різних компаній через Інтернет. Поширюємо його безкоштовну версію. Беремо нову версію і пакуємо головний виконуваний файл mcclient.exe відомим пакувальником UPX. Для економії розміру. Антивіруси негайно "божеволіють", кричачи і потенційно шкідливі програмному коді. Розпаковуємо назад - все прекрасно, все антивіруси мовчать, як риби.

Питання довіри до розробника

Погодьтеся, що встановлюючи для роботи будь-яку програму, ви не знаєте, що в ній всередині. Це може бути чат, текстовий редактор, музичний програвач. Що завгодно. І, починаючи працювати з програмою, людина вважає, що це просто програма, яка виконує покладені на неї функції.

Однак, програмісти, які писали цю програму, могли вкласти в неї не тільки корисні функції, але і шкідливі. Будь-які. Функції для крадіжки особистих даних, знищення важливих документів, отримання паролів і так далі, наскільки вистачить фантазії.
Формально - так. Насправді - звичайно немає. Чому? Та тому що якщо буде зафіксований факт деструктивних дій або крадіжки особистих даних - довіру до розробника програми у людей пропаде. Його програму видалять і про даний інцидент дізнається весь світ. Благо, Інтернет поширений дуже сильно.

Підсумок - зіпсована репутація, проблеми з судом, відсутність продажів, банкрутство. Такий результат подій не потрібен жодному розробнику ПО. Відповідно, ні за яких умов, розробник комерційного програмного забезпечення не буде вбудовувати в свою програму шкідливий код. Це просто нерозумно і безглуздо.

Довіряй але перевіряй

Отже, ми віримо розробнику програми, що в його софт не вбудований шкідливий код. Качаємо інсталятор з сайту і встановлюємо у себе. Як перевірити, що у нас саме цей дистрибутив, який поширює розробник? Що в процесі закачування не відбулося підміни, що у нас на комп'ютері після закачування активний вірус не увійшов в дистрибутив?

Для цього існує поняття контрольної суми, наприклад, MD5. Досить порахувати контрольну суму отриманого файлу і порівняти її з тією, яка вказана на сайті розробника. Якщо ці рядки збігаються - то так, у нас саме той дистрибутив, який знаходиться у розробника програми.

Якщо в дистрибутиві змінився хоча б один байт - контрольна сума буде інша.

Отже, якщо у вас є хоч найменші сумніви з приводу ідентичності дистрибутивів - порівняйте контрольні суми, це кращий спосіб.

А що кажуть інші антивіруси?

Як правило, на комп'ютері якщо і встановлений антивірус, то тільки один. Самі ж установники антивірусів чесно попереджають про неможливість "спільного життя" з іншими антивірусами одночасно.

Виходить, що перевірити програму можна одним, двома антивірусами, які є "під рукою". Але, за теорією ймовірності, якщо антивірусів більше - шанс визначити вірус теж вище.

На щастя, встановлювати і купувати все відомі антивіруси немає потреби. Будь-який файл можна перевірити через Інтернет, використовуючи безкоштовний сервіс www.virustotal.com Сайт перевіряє будь-які файли великою кількістю антивірусів, використовуючи найостанніші оновлення сигнатурних баз.

До слова, ми самі регулярно перевіряємо за допомогою цього сервісу дистрибутиви MyChat перед випуском, щоб побачити, чи є помилкові спрацьовування будь-яких антивірусів чи ні, щоб бути готовими до можливих питань користувачів заздалегідь.

Крім самого звіту безлічі антивірусів, що надається сервісом, будуть корисні також контрольні суми файлів, що перевіряються (MD5 в тому числі).

Отже, якщо у вас стоїть антивірус і "лається" на файл, як підозрілий, то, перевіривши файл ще десятком найпопулярніших антивірусів, можна отримати, як мінімум інформацію до роздумів. Помилки евристичних аналізаторів антивірусних програм, як вже писалося вище, ніхто не відміняв.

Антивіруси проти систем захисту програм

Зі зломом програм склалася дуже складна ситуація. З одного боку, якщо програму не захищати - її просто не будуть купувати. Зламають і викладуть на величезній кількості сайтів для вільного скачування. Розробник не отримає з цього ні копійки, відповідно, велика кількість часу, зусиль і коштів буде витрачено даремно. Програма не принесе прибутку. Причому, що цікаво, питання ціни тут не варто зовсім. Не важливо, скільки коштує програма, крякери як правило, це не дуже цікавить. Для нього важливіша факт злому. Питання нанесення шкоди безпосередньо розробнику цієї людини, як правило, теж не хвилює.

Отже, програми все ж необхідно захищати. І чим складнішою і витонченої буде система захисту, тим складніше і довше її буде зламувати.

Звичайно, ідеального захисту, як і ідеального антивіруса, немає, і бути не може. Але, як правило, треба прагнути до того, щоб зусилля, витрачені на злом програми, обходилися дорожче, ніж покупка. Тобто - "дешевше купити, ніж зламати".

Системи захисту програм від зломщиків завжди розвиваються пліч-о-пліч з антивірусами і вірусами. Так вже історично склалося, що для аналізу програм використовуються отладчики. Вірусам небажано виявляти свою присутність, тому вони намагаються всіляко ховатися і користуються всім арсеналом антіотладочних прийомів. Займаються шифруванням свого коду, щоб максимально ускладнити життя вірусологів і так далі. Тими ж методами користуються і системи захисту - тільки вони вже захищаються немає від вірусологів, а від зломщиків програм.

Однак, якщо вірусолог отладчиком аналізує потенційний вірус - він робить добру справу. А якщо тим же отладчиком користується крякери, щоб обійти захист програми - він злодій.

В ідеалі, якщо система захисту досить хороша, аналіз її отладчиком стає неможливий. І тут ми отримуємо ситуацію, коли антивірус, не в силах здолати систему захисту, просто детектирует розробника цього захисту і пише, скажімо "ThemidaPacked". І все. Вмиваємо руки. Формально, там може бути і корисний і шкідливий код, але антивірус цього визначити не може. Тобто, встає знову питання довіри до розробника програми.

Слід враховувати, що пакувати навороченій системою захисту шкідливий софт також не має сенсу. Просто тому, що це будуть, як мінімум, викинуті на вітер гроші. І чималі. Упаковану програму розробник захисту визначить дуже просто, по тій же контрольної сумі, яка унікальна для кожної копії системи захисту.

І розробник програми, який вирішить захистити таким чином свій шкідливий код, отримає, до всіх іншому фінансових втрат, ще й втрату ліцензії на систему захисту.

А значить, захищати комерційне програмне забезпечення серйозної системою захисту, щоб ніхто не дізнався, що всередині є вірус - безглуздо.

Як сказати розробнику антивіруса, що файл не заражений вірусом?

Якщо ви впевнені, що в використовуваної вами програмі немає шкідливого коду, ви можете самі сповістити про це розробників антивірусного програмного забезпечення, щоб вони змогли випустити оперативне оновлення антивірусних баз, в якому не буде помилкового спрацьовування. До слова, вони самі зацікавлені в зменшенні відсотка невірних визначень потенційних вірусів. Ось список адрес, за якими можна відправити файл і повідомити, що він чистий або відбувається помилкове спрацьовування того чи іншого антивіруса:

Якщо у вас є ще адреси виробників антивірусного ПЗ або якісь з перерахованих вище адрес недійсні - будь ласка, напишіть на Цей e-mail адреса захищена від спам-ботів, для його перегляду у Вас повинен бути включений Javascript, ми постараємося виправити це.

підсумок

Отже, узагальнивши вищесказане в світлі комерційного програмного забезпечення, варто сказати, що:

1. Використовуйте останні версії програмного забезпечення.
2. Не слід видаляти потрібну програму тільки через те, що евристик антивіруса вирішив, що там може бути вірус. Увімкніть голову і проаналізуйте ситуацію.
3. Якщо ви впевнені, що в програмному забезпеченні немає вірусів, але антивірус вперто не бажає цього визнавати, поставте програму в виключення. Благо, практично всі антивіруси дозволяють це робити.
4. Ну і, нарешті, напишіть компанії-розробнику антивіруса про факт помилкового спрацьовування. Вкажіть всі подробиці, прикладіть копії екранів. Цим ви не тільки допоможете собі особисто, але, можливо, і іншим людям, у яких той же антивірус, точно так же помилково вважав потрібну програму - шкідливою.