Антивирус

Материал из Lurkmore
(перенаправлено с «Firewall»)
Перейти к навигации Перейти к поиску

К вашему сведению!

В этой статье мы описываем само явление антивирусов, а не составляем списки холиваров. Ваше мнение о фичах Касперского, Нода и прочих здесь никому не интересно, поэтому все правки с упоминанием тем для холивара будут откачены, а их авторы — расстреляны на месте из реактивного говномета, for great justice!

I see what you did there.

Информация в данной статье приведена по состоянию на середину-конец нулевых. Возможно, она уже безнадёжно устарела и заинтересует только слоупоков.

Download now!

Антивирус — программа, делающая вид, что ищет вирусы, трояны, червиё и прочую заразу в иммунодефицитной среде Microsoft® Windows®, но в реальности не делает ничего, замедляя работу девайса, на который установлена, в отдельных случаях вызывая сбои работающих программ. Пытается защищать от угроз, которых нет в антивирусных базах, но хреново умеет это делать. Используется и на серверных nix-системах, но гораздо реже и для более специфических целей. Выступает как средство для выколачивания денег из организаций, которыми руководят быдлоадмины, неспособные настроить информационную систему компании для защиты от вирусов и всяческих недалёких личностей.

Ликбез

Первые вирусы писались мозговитыми затейниками (в те далёкие времена их звали хакерами, в благороднейшем из смыслов) из инженерных институтов. Естественно, писались они исключительно во имя добра, ради лулзов и отработки некоторых математических и логических моделей.

Суть первых вирусов сводилась к нестандартному использованию логических схем компьютера и инициированию сбоев и смятения в его тонкоорганизованной электронной душе. О массовом заражении компьютеров и речи не шло — не было массовой компьютеризации. В дальнейшем вирусы писались опять же ради лулзов, передавались через дискеты и прочие носители, но до массовости опять же не доходило.

С появлением сетей, а позже и интернетов, работы у вирусописателей прибавилось, да и лулзы начали всё больше походить на профит. Коды стали сложнее, появились способности к самоизменению (полиморфизму).

Сейчас вредоносное ПО пишется всё больше для извлечения профита: зомби-сети (ботнеты) для рассылки спама и DDoS-атак, инструменты для кражи конфиденциальной информации с целью выкупа или продажи конкурентам, вывод оборудования конкурента из строя и т. п.

Разумеется, к тому моменту как количество активных вирусов в цифровом пространстве начало стремительно возрастать, некоторые вирусописатели начали задумываться о противодействии вирусным атакам и извлечении профита.

Создание антивируса

  • Берём свой самый лучший вирус;
  • Отрезаем от него вредоносную составляющую, опционально пришиваем полезную составляющую, анально огораживаем;
  • Прикручиваем к нему базу данных с описанием других вирусов;
  • Рисуем к нему интерфейс, логотип и называем его «Антивирус»
  • Продаём. Требуем бабло каждые n дней;
  • ??????
  • PROFIT

Теперь можно заколачивать бабло не только на вирусах, но и на продаже противоядий от них. Всё гениальное просто.

Принципы работы антивируса

Для обнаружения вредоносного кода в софте, макросах, интернетах антивирусы используют такие методы как:

  • Сигнатурный метод обнаружения — бесполезная в нынешних реалиях вундервафля. Вирус отлавливается, изучается, для него создается противоядие, результаты заносятся в реестр вирусов и в базу сигнатур. Сигнатуры скачиваются пользователями с очередным обновлением.
Плюсы:
  • Надёжность метода. Новые вирусы разбирают на куски довольно быстро. Во время эпидемий это важно.
  • Быстродействие. Но скорее простота алгоритма проверки, нежели скорость.
Минусы:
  • На каждый морф вируса нужна новая сигнатура. Базы растут с ужасающей скоростью, а скорость проверки при большой базе падает. Начинаются танцы, с тем чтобы оптимизировать сигнатуры и одной сигнатурой покрывать целое семейство вирусов, а это приводит к написанию эвристики. А эвристика приводит к ложным срабатываниям. Круг замкнулся.
  • Для того чтобы проанализировать вирус, нужно для начала его обнаружить. Да-да, та самая кнопочка «отправить на проверку», которая в том или ином виде есть в каждом диалоге обнаружения подозрительных файлов на компьютере пользователя. Хотя, конечно, на пользователей антивирусные компании особо не полагаются, а ищут вирусы в интернетах сами. Знающий человек вам скажет — те вирусы, что присылают пользователи, составляют 1% от общего «веса» антивирусной базы. В то время как основную массу вирусов антивирусные вендоры получают из облака, по обмену друг от друга и с платной части virustotal.com.
  • Эвристический метод обнаружения — метод анализа поведения. Рекламируется как эффективное средство для обнаружения новых угроз, но в реальности вероятность обнаружения нового вредоносного ПО очень низкая или нулевая, если его пишет профессиональный вирусмейкер. Эвристический анализатор висит в памяти и отслеживает все действия системы. Если в порядке действий наблюдается нехорошая тенденция, то объект, ее вызвавший, помечается как подозрительный и анально огораживается до выяснения обстоятельств. Так обнаруживается некоторая часть новых вирусов и чуть больше половины полезного софта. Стоит заметить, что после выхода x64 версий Windows систем, ситуация изменилась: антивирус может мониторить лишь ничтожную часть действий ОС, ту что MS разрешил. Технология patchguard с одной стороны несколько усложнила жизнь малвари, а с другой — закрыла кислород антивирусам на перехват всех системных событий. Оставили возможность следить только за файлами, процессами и реестром.
Плюсы:
  • Реагирование на угрозы, не занесённые в базу сигнатур.
  • Относительно высокая эффективность против не очень опытных вирусмейкеров.
  • Устойчивость к новым штаммам.
Минусы:
  • Ложные срабатывания. Под условия поиска попадают почти все кряки и кейгены, кошерные кейлоггеры, программы удалённого администрирования (понятно, что без интернета они не могут работать) и т. п., даже если они иногда уже были дезинфицированы. Тут следует заметить, что эвристический анализ чаще всего срабатывает на упаковщике кода, ужимающего экзешник (kkrunchy, например) и обфускаторы. Зачем же жать программу в 20 строчек? Нет, не для того, чтобы туда влезла музычка! Код пакуется для того, чтобы школьник, не имеющий никакого представления о программировании, воскликнул: «Эй, да в эти 20 килобайт никогда не поместится ни один троян, и уж тем более руткит! Видно же, что всё занимает картинка и музычка! Ещё непонятно, как влезло!»
  • Страдает быстродействие. Пережёвывание всего, что происходит в памяти компьютера, помимо фоновой работы самого сканера файлов и висящих в памяти драйверов антивируса, жевания входящего трафика и полдюжины дополнительных свистоперделок вроде контроля целостности приложений, тормозит работу независимо от мощности комплектующих.
  • Брандмауэр — он же фаерволл. Интересная вундервафля, контролирующая сетевую активность. Проверяет все UDP, TCP и прочую муть. Контролирует входящие и исходящие соединения.
    Входящие соединения: например, ваша любимая программа-сервер ожидает подключений извне и ждет, когда её хакнут через открытый порт. Если порт открыт, это ещё не значит, что программу-сервер смогут хакнуть, нужен подходящий эксплоит.
    Исходящие соединения — то, чем пользуются почти все программы. Они начинают соединяться первыми, потом начинают принимать и отдавать пакеты данных (байты). Что они там передают — известно только черту и создателю программульки. Если же запретить сие безобразие фаерволлом, то программы начнут «плакать» и писать, что интернета больше нет. Поэтому приходится разрешать, и ваши персональные данные могут быть нагло спизжены. Чтобы было не так обидно, можно в фаерволле разрешать отправлять пакет данных только на определенный IP — любой программы, которая лезет обновляться только на свой сайт. Если персональные данные и спиздят, то их спиздит не кто угодно, а известный издатель.
    В общем, программы хотят устанавливать и входящие, и исходящие соединения. Хотят они много, поэтому фаерволл много чего разрешает, а потому с настройками по умолчанию малополезен. В качестве основного минуса прописываем дурную привычку обращивать ПК «сосульками» (со временем замедлять работу).
  • Проактивная защита — частный случай неправильного подхода к эвристике. «Легальный» вредоносный вирус, который перехватывает вызовы системных функций, мониторит обращение запущенных процессов к файловой системе, реестру, может нарушать нормальную работу ОС и выдавать окошки, мешающие работать. Способен выебать мозг пользователя в интерактивном режиме (когда юзер вершит суд над программой). В отличие от простого вируса, вымогает деньги за продление подписки. Вредоносные и невредоносные программы часто выполняют одни и те же действия, неопытному пользователю приходится разрешать почти всё или всё, дабы игрушка или любая другая хрень запустилась, в противном случае при запретах обычно всё накрывается к чертовой матери. К сожалению, проактивная защита только подозревает, что в этой программе страшный и ужасный троян, и без суда и следствия может приговорить её к расстрелу (если в настройках стоят запреты, либо в интерактивном режиме юзер запрещает что-либо).
  • Облачные технологии. В последнее время антивирусы пытаются надавать пиздюлей вирусописателям и переходят на новые методы защиты. Количество вирусов свирепо растет. При таком темпе нынешние методы будут казаться детской забавой.
    Работают технологии так. Какой-то файл появляется в инете, его запускают ламеры на своих компах, и вирус попадает в облако. Там записывается, сколько долбоёбов запустили этот файл. Чем больше ламеров запустят файл, тем быстрее остановят эпидемию. Облако собирает информацию — что происходит на компах ламеров — чем больше подозрительной активности, тем выше вероятность, что началась эпидемия трояна или червя. Другие ламеры узнают, что файл запускали столько-то людей и появился он тогда-то. Если файл появился в облаке вчера, то ламеру стоит задуматься — а надо ли рисковать и запускать это?
  • Номенклатура вирусов у антивирусов. Каждая антивирусная лаборатория имеет свою номенклатуру вирусов (классификацию). По этой причине каждый антивирус выносит свой приговор файлу — может навредить, наверно навредит, точно не навредит. Fun в том, что один и тот же файл антивирусы могут обозвать совершенно разными обидными прозвищами — трояном, червем, бэкдором, рекламной программой, вредоносной, потенциально опасной или безопасной. Например, есть червь, который кочует с компа на флэшку (и наоборот) и файлы превращает в ярлыки. Но некоторые вирлабы называют его трояном.
    У некоторых антивирусов есть дурная привычка называть всё подряд вредоносным ПО, трояном — даже безобидные кряки, кейгены и трейнеры. Многие вирлабы просто воруют детекты у других вирлабов, не проверяя, а не ошибся ли предыдущий оратор.
    Вредоносное ПО — это такая программа, которая либо точно навредит, либо навредит, если сумеет. Например, троян-шифровальщик точно навредит, если вы по пьяни забыли сделать бэкап своих ценных файлов, или если троян нашел уязвимость в HIPS, или загрузил драйвер, работающий в режиме ядра (руткит) и стал хозяином в системе, и рассказывает байки антивирусу, что никаких угроз нет (в ядре у руткита и антивируса равные права). А если вы не храните информацию, которая принесет пользу злому хакеру, или настроенный HIPS смог героически защитить важные файлы, то троян-шпион соснет хуйцов и не спиздит ваши персональные данные.
    У антивирусов тоже разногласия по этому поводу — навредит ли троян или обломается? Поэтому некоторые для перестраховки называют этот файл вредоносным ПО (троян, вирус, червь).
    Потенциально опасное ПО — это Hacktool, Riskware, not-a-virus, Tool, Adware, Hoax и т. д. Это ПО, которое может причинить вред при неправильном использовании. У антивирусов же разногласия бывают часто. Половина антивирусов клянется, что эта программа навредит, другая половина — что эта программа может навредить при определенных обстоятельствах.
    Невредоносное ПО — это программы, которые якобы безопасны. Не причиняют видимый вред хомячкам, но на самом деле могут иметь недокументированные возможности. Некоторые антивирусы любят повыпендриваться и писать, что эта программа подозрительна, или с трояном. Большинство других антивирусов при этом молчит, как рыба.

Avast!

Dr.Web

Avira

На славу постарались немцы, хотя и пересмотрели, судя по всему, фильмов про наемных киллеров. Как платная версия не стоит внимания. До поры была малоизвестна, на данный момент набирает популярность среди опытных юзверей.

Плюсы: не грузит систему, после установки ничего не просит и ничем не нагружает, неплохо локализована на русском. Минусы: с наемником не договориться, врагам — только пулю в лоб, лечить — а это как? — не удалять — вы что рехнулись? Ежедневная реклама, которая может вылезти во время игры и вызвать анальную боль у домашнего сундука. Самостоятельные ежедневные обновления вызывают баттхерт у обладателей мобайл-интернета с трафиком.

Касперский

Qihoo 360 Antivirus

Китай тоже не отстаёт от своих конкурентов и в 2009 году выходит на рынок со своим чудом 360 Total Security (позже переименовали). Ну как на рынок… Прога-то бесплатная…

Радует простотой интерфейса, маленькими системными требованиями, возможностями удалить Malware, пытающийся спиздить твой аккаунт (ИЧСХ, до этого лаборатория Касперского и Др. Веб не додумались, CureIt гарантирует это!), и даже чистить системный мусор! При этом ввиду отсутствия лишних свистоперделок не тормозит систему и самое себя. Один минус — у этого его QVM II много ложных срабатываний, но ведь ты знаешь, когда можно быть уверенным в том, что загружаешь/устанавливаешь, а когда лучше поостеречься, правда, пионер?

До поры до времени не имел мультиязычности, и пользователю оставалось «радоваться» китайскому интерфейсу, но где-то в 2013‒2014 Qihoo поняли, что надо развиваться дальше Народной Республики, и создали WorldWide-версию со всеми языками, даже рюським!

В 2012 году вышли версии под Вёдра и Яблоки. Сюрприз, на китайском. Опять же спасла WW-версия. Может чистить оперативку и очищать мусор системы, уметь тасккиллер и даже находить смартфон по картам! Ламерьё утверждает: «Одна беда: на Linux это чудо так и не портировали…»

NOD32

Norton Antivirus

Компьютерные вирусы — это такой же миф, как сказки о крокодилах, живущих в канализации Нью-Йорка.

Питер Нортон, 1988 г.

Norton Antivirus — антивирь от расово пиндосской фирмы Symantec. Сам Питер Нортон, написавший свой винрарный Коммандер, когда Женя и Игорёк ещё были студентотой, имеет весьма опосредованное отношение к антивирю (как, впрочем, и к Коммандеру). По крайней мере, большую популярность этот продукт получил после поглощения Peter Norton Computing Symantec'ом. Тем не менее, в своё время Norton был годным антивирусом, ещё в начале нулевых отлично работавшим на целеронах под Windows 98, которые Касперский намертво вешал. Затем антивирус где-то к 2005-й версии начал обрастать свистелками и перделками и постепенно скатился в сраное говно, по тормознутости заткнув практически всех конкурентов. Вдобавок, нынешние версии анально порабощают систему, и порой удаляется он исключительно вместе с виндой. Но вирусы ловит хорошо!

Microsoft Security Essentials

Online

Вы почувствовали неладное после запуска кряка? Как-то комп стал притормаживать и вообще? Проверьте файл бесплатно онлайн сразу шестью десятками антивирусов.

Подобные сервисы также используются кулхацкерами для тестирования своих поделок на недетектируемость антивирусами. Однако тру-вирусописатели тестируют на закрытых сайтах, которые не отсылают сигнатурки в а/в компании.

Антивирь-срач

Хомячки готовы бесконечно доказывать крутость своего антивируса (особенно доставляет то, что большинство спорщиков, кроме своего, других пакетов собственно в глаза не видело). Срач давно вошел и прочно закрепился среди дисциплин специальной олимпиады. А так как объективной методики оценки антивируса до сих пор не придумали (результаты большинства синтетических тестов вроде VB100 показывают то, что хотели сказать спонсоры конкретного теста, и ничего больше), даже толстый тролль может росчерком пера вызвать многокилобайтный поток флуда.

На самом деле

В конечном итоге установка пользователем на домашний компьютер связки KAV/NOD32/Symantec/Dr.Web (нужное подчеркнуть) + Outpost Firewall (Norton Internet Security) являет собой лишь способ потешить своё ЧСВ, мол, вот какой я защищённый от внешних атак специалист.

Не стоит забывать еще о том, что антивирусы — это средство борьбы с неугодными программами. То есть, если по какой-то причине вы не понравились антивирусному вендору, весь ваш софт будет детектиться как малварный. За примерами ходить далеко не надо:

  1. Windows Defender блокирует NoCD не потому, что там вирус, а потому что разработчики игры попросили MS внести этот файл в базу. Также Windows Defender был использован как средство борьбы с одной софтварной компанией. Чем спровоцировал олимпиаду «кто первым сломает новую версию PatchGuard» и статьи по взлому.
  2. Антивирус навязывает вам способы писания программ и защиты их кода. Например, NOD, чтобы не заморачиваться с декриптовкой всевозможных пакеров и протекторов, просто заявил, что все, что упаковано, — все малварь. То есть шароварщики не имеют права использовать защиты, на которые у NOD’a нет анпакера, а писатели защит вообще сосут хуй — NOD блокирует даже закачки такого софта. Что об этом думают представители NOD’a, можно прочесть тут и тут

Антивирусы неиллюзорно доставляют тем, что рядовой юзер не понимает всего пиздеца происходящего. Представьте: у вас есть ОСь, хорошая и почти годная. И вот ОСь по каким-то причинам стала известной. Но операционка закрытая и исходников нет, поэтому вся забота о патчах ложится на владельцев исходного кода. Но ВНЕЗАПНО ваша скорость клепания патчей никого не устраивает, потому что дыры находятся быстрее, чем исправляются, и перед вами стоит выбор:

  • Расшарить исходники в паблик и сделать операционку бесплатной и свободной для всех, после чего комьюнити допилит код довольно быстро;
  • Нанять туеву хучу кодеров, которые ускорят выпуск патчей;
  • Понаблюдать 5 лет за происходящим пиздецом, после чего нанять бригаду кодеров, которые положат болт на патчи и начнут клепать собственный антивирус с высокими потерями в производительности.

Угадайте, какой радужный путь был выбран.

Как страшно жить

Как известно, настоящая компьютерная безопасность начинается с перерубленных проводов связи с внешним миром, закатывания компьютера в бетон и отправки его на орбиту. Всё остальное — полумеры, разве что переход в другое измерение спасёт гиганта мысли. Ну или установка x64 редакции XP/Vista/Win7, на которых имеется штатный kernel patch protection. Дополненная любым вшивым антивирусом, такая система окажется очень устойчивой.

См. также

Ссылки

Примечания

  1. Здесь пользователя поджидает веселье с русской кодировкой


w:Антивирус en.w:Antivirus

Loading comments...