Установленный на компьютере антивирус не делает систему защищенной на 100%. Современные технологии позволяют хакерам легко модифицировать известный вирус до такой степени, что антивирусное ПО перестает его распознавать. Антивирусные компании бьются с этой проблемой, разрабатывая так называемые эмуляторы, которые позволяют определять неизвестные программе вирусы. Какой из представленных на рынке антивирусов лучше справляется с этой задачей, выяснял Денис Зенкин.
Форматированные жесткие диски, потерянные результаты многих лет работы, украденные пароли к «аське», опустошенный банковский счет… Каких только напастей ни придумают современные вирусописатели, чтобы принять участие в перераспределении материальных благ или просто ради удовлетворения геростратовой мании величия. По данным международного исследовательского центра Computer Economics, в 2006 году ущерб мировой экономики от действий вредоносных программ достиг $13,3 млрд. Действительно, чем больше мы зависим от компьютеров и сетей, тем большее значение приобретает защита от непрошеных гостей из компьютерного андерграунда.
За примером далеко ходить не нужно. Один из самых «выдающихся» вирусов прошедшего года, сетевой червь Storm Worm (также известный как Zhelatin), не раз заставил удивиться даже видавших виды вирусологов. Сотни модификаций этой вредоносной программы демонстрировали редкую изобретательность в выборе поведения, методов самоорганизации, путей распространения и хитростей для а пользователей. «Неизвестные авторы реализовали здесь практически все достижения вирусописательской мысли последних лет, многие из которых ранее существовали лишь в концептуальном виде»,— комментирует Александр Гостев, ведущий вирусный аналитик «Лаборатории Касперского». В арсенале этого червя можно встретить смелые по сокрытию присутствия, ухищрения для затруднения обнаружения антивирусами, технологии самоорганизации при помощи создания распределенных сетей зараженных компьютеров и их взаимодействия. Для своего распространения Storm Worm использовал не только традиционные способы, такие как электронная почта и интернет-пейджеры, но и набирающие популярность сервисы эпохи Web 2.0. Копии червя, замаскированные в том числе и под файлы, можно было встретить в блогах, форумах, новостных лентах и социальных сетях.
Главная проблема заключалась в том, что практически каждая модификация Storm Worm требовала тщательного анализа и выпуска нового противоядия — обновления антивирусной базы данных. В этой базе хранятся все «отпечатки» известных вредоносных программ. Если в проверяемом файле находится такой «отпечаток», то антивирус сигнализирует о заражении и пытается восстановить данные. Разумеется, анализ и выпуск обновления требовали времени, в течение которого пользователи были беззащитны.
Создается впечатление, что буйству вирусов нет предела — антивирусные компании теряют контроль над ситуацией. В действительности для подобных упаднических настроений нет ни малейшего повода. Несмотря на то что классическое противостояние оружия и брони предполагает временное преимущество первого, современная антивирусная индустрия все чаще опровергает такое представление. Экспертов не первое десятилетие беспокоит вопрос создания проактивной технологии, способной защищать от еще не созданных вирусов. Иными словами, закрывать потенциальную брешь еще до того, как злоумышленники попытаются ее использовать. Однако за это время так и не появилась идея, которая могла хотя бы отделено претендовать на звание панацеи. Некоторые технологии оказались достаточно эффективными, но требовали от пользователя недюжинных знаний и потому не получили широкого распространения. Другие помогали только от какого-то определенного типа вредоносных программ. Третьи пали под напором изобретательности вирусописателей, научившихся их обманывать. И все же антивирусы существенно продвинулись: практически все «хулиганские» вирусы сегодня «ловятся» проактивными методами, то есть без выпуска обновлений. Правда, это проблему не решает: за пределами досягаемости остаются самые опасные представители компьютерной «фауны» — вирусы, созданные профессиональными компьютерными преступниками. А именно эти вирусы охотятся за нашими банковскими счетами и секретами.
В сонме перспективных проактивных технологий, способных защитить даже от самых хитрых вирусов, сегодня центральное место занимает антивирусный эмулятор. Хотя этот метод был изобретен еще в 1992 году в России Евгением Касперским, похоже, его время настало только сейчас. Главный недостаток технологии состоит в ее ресурсоемкости: для анализа работы файла в защищенном адресном пространстве компьютера требуется высокая производительность и большой объем памяти. Выполнение этих условий стало возможным только сейчас: современные процессоры достаточно мощны.
Эмулятор представляет собой оптимальный баланс эффективности и дружелюбности. С одной стороны, он способен ловить неизвестные вирусы, «отпечатки» которых отсутствуют в антивирусной базе данных. С другой, он не столь навязчив, как поведенческий блокиратор, не требует сложной настройки и дает минимальный уровень ложных тревог. Это и определяет повышенное внимание к технологии со стороны ведущих разработчиков антивирусов.
По данным компании Perimetrix, почти 100% пользователей установили и используют антивирусные программы. Независимый российский интернет-портал по информационной безопасности Antimalware.ru провел проверку эффективности встроенных эмуляторов. В тестировании участвовали семь наиболее популярных в России антивирусных программ: BitDefender Anti-Virus, Dr. Web, ESET Smart Security, Kaspersky Anti-Virus, McAfee VirusScan, Norton AntiVirus, Sophos Anti-Virus. Перед каждой из них была поставлена задача обнаружить 48 тестовых образцов, моделирующих поведение вредоносных программ с помощью эмулятора.
Тестирование продемонстрировало преимущество российских технологий. На пьедестал почета попали сразу два отечественных продукта — Kaspersky Anti-Virus и Dr. Web. Первый подтвердил свое реноме изобретателя технологии и доказал, что кому как не «отцу» эмулятора знать, как нужно правильно ловить вирусы. На втором месте неожиданно оказался румынский антивирус BitDefender, который помимо всего прочего отстал от лидера всего на 6%. Недалеко от группы лидеров оказался и популярный в России антивирус американской фирмы ESET. Бета-версия нового продукта компании под названием Smart Security продемонстрировала не самый выдающийся, но тоже неплохой результат. Американские McAfee и Norton в очередной раз доказали, что предпочитают продавать красивую упаковку и бренд, нежели защиту от вирусов. McAfee VirusScan смог поймать лишь 4% образцов, а Norton AntiVirus — и вовсе ни одного. Еще один из участников исследования, английский Sophos Anti-Virus, увы, также обнаружил полное отсутствие способности обнаруживать неизвестные вирусы при помощи антивирусного эмулятора.
Несмотря на торжество российских антивирусных технологий, еще рано говорить, что наконец-то изобретено универсальное против вредоносных программ. Представленные технологии являются скорее первыми попытками, нежели готовыми к массовому применению идеями. Максимальный результат далек от приемлемого уровня и требует серьезной работы по совершенствованию. Однако уже сейчас можно сказать, что в комбинации технологий защиты от вирусов появился перспективный элемент, способный упреждать появление новых вирусов и быть на шаг впереди компьютерного андерграунда.
Результаты сравнительного теста антивирусных эмуляторов
Антивирус Обнаружено
тестовых
образцов
%
Kaspersky Anti-Virus 7.0 23 48%
BitDefender Anti-Virus 10 20 42%
DrWeb 4.44 beta 12 25%
ESET Smart Security 9 19%
McAfee VirusScan 2007 2 4%
Sophos Anti-Virus 6.0 0 0%
Norton AntiVirus 2007 0 0%
Источник: Antimalware.ru.
Современные методы обнаружения вирусов
Сигнатурный метод — реактивная технология распознавания вирусов при помощи их «отпечатков». Каждый штамм анализируется вирусологом, который выделяет его ген, электронный «отпечаток», последовательность байтов и заносит в базу данных. При проверке файла антивирус ищет в нем этот ген и в случае обнаружения сообщает о заражении.
Преимущества: возможность «лечения», то есть восстановления зараженного файла.
Недостатки: требуется время для анализа и создания «отпечатка».
Поведенческий блокиратор — анализ поведения файла в масштабе реального времени. Антивирус следит за операциями каждой программы и сообщает пользователю о подозрительных действиях.
Преимущества: 100-процентная защита от всех типов вредоносных программ, в том числе тех, чьи «отпечатки» отсутствуют в антивирусной базе данных.
Недостатки: требуются глубокие специальные знания, сложная настройка.
Эвристический анализ — поиск в файлах потенциально опасных команд и их последовательностей.
Преимущества: возможность ловить как известные, так и неизвестные вирусы
Недостатки: недостаточная эффективность, ложные тревоги.
Эмулятор — эмуляция работы проверяемого файла в операционной системе. Антивирус создает для каждого файла защищенное пространство, запускает его и следит за его поведением. В случае обнаружения подозрительных действий сообщает о возможном заражении.
Преимущества: высокое качество распознавания вирусов, низкий уровень ложных срабатываний.
Недостатки: ресурсоемкость.
