Антивирусное программное обеспечение (сокращенно AV-ПО ), также известное как антивредоносное ПО , представляет собой компьютерную программу, используемую для предотвращения, обнаружения и удаления вредоносных программ .
Антивирусное программное обеспечение изначально было разработано для обнаружения и удаления компьютерных вирусов , отсюда и название. Однако с распространением других вредоносных программ антивирусное программное обеспечение начало защищать от других компьютерных угроз. Некоторые продукты также включают защиту от вредоносных URL-адресов , спама и фишинга . [1]
Первый известный компьютерный вирус появился в 1971 году и был назван « вирусом Creeper ». [2] Этот компьютерный вирус заразил мэйнфреймы PDP-10 корпорации Digital Equipment Corporation ( DEC ) под управлением операционной системы TENEX . [3] [4]
Вирус Creeper в конечном итоге был удален программой, созданной Рэем Томлинсоном и известной как « The Reaper ». [5] Некоторые люди считают «The Reaper» первым антивирусным программным обеспечением, когда-либо написанным — возможно, это так, но важно отметить, что Reaper на самом деле сам по себе был вирусом, специально разработанным для удаления вируса Creeper. [5] [6]
За вирусом Creeper последовало несколько других вирусов. Первым известным вирусом, появившимся «в дикой природе», был « Elk Cloner » в 1981 году, который заразил компьютеры Apple II . [7] [8] [9]
В 1983 году термин «компьютерный вирус» был придуман Фредом Коэном в одной из первых опубликованных академических работ о компьютерных вирусах . [10] Коэн использовал термин «компьютерный вирус» для описания программ, которые: «воздействуют на другие компьютерные программы, изменяя их таким образом, чтобы включать в себя (возможно, эволюционировавшую) копию себя». [11] (обратите внимание, что более позднее определение компьютерного вируса было дано венгерским исследователем безопасности Петером Сёром : «код, который рекурсивно воспроизводит возможно эволюционировавшую копию себя» ). [12] [13]
Первый компьютерный вирус , совместимый с IBM PC "in wild", и одна из первых действительно широко распространенных инфекций, была " Brain " в 1986 году. С тех пор количество вирусов росло экспоненциально. [14] [15] Большинство компьютерных вирусов, написанных в начале и середине 1980-х годов, были ограничены самовоспроизведением и не имели специальной процедуры повреждения, встроенной в код. Это изменилось, когда все больше и больше программистов познакомились с программированием компьютерных вирусов и создали вирусы, которые манипулировали или даже уничтожали данные на зараженных компьютерах. [16]
До того, как подключение к Интернету стало широко распространенным, компьютерные вирусы обычно распространялись через зараженные дискеты . Антивирусное программное обеспечение стало использоваться, но обновлялось сравнительно редко. В то время антивирусные программы по сути должны были проверять исполняемые файлы и загрузочные секторы дискет и жестких дисков. Однако, когда использование Интернета стало обычным явлением, вирусы начали распространяться в сети. [17]
Существуют конкурирующие претензии на новатора первого антивирусного продукта. Возможно, первое публично задокументированное удаление "дикого" компьютерного вируса ("Vienna virus") было выполнено Берндом Фиксом в 1987 году. [18] [19]
В 1987 году Андреас Люнинг и Кай Фигге, основавшие G Data Software в 1985 году, выпустили свой первый антивирусный продукт для платформы Atari ST . [20] В 1987 году также был выпущен Ultimate Virus Killer (UVK) . [21] Это был фактический стандартный антивирус для Atari ST и Atari Falcon , последняя версия которого (версия 9.0) была выпущена в апреле 2004 года. [ нужна цитата ] В 1987 году в США Джон Макафи основал компанию McAfee и в конце того же года выпустил первую версию VirusScan . [22] Также в 1987 году (в Чехословакии ) Петер Пашко, Рудольф Грубы и Мирослав Трнка создали первую версию антивируса NOD . [23] [24]
В 1987 году Фред Коэн писал, что не существует алгоритма, который мог бы идеально обнаружить все возможные компьютерные вирусы . [25]
Наконец, в конце 1987 года были выпущены первые две эвристические антивирусные утилиты: Flushot Plus Росса Гринберга [26] [27] [28] и Anti4us Эрвина Лантинга. [29] В своей книге издательства O'Reilly « Вредоносный мобильный код: защита от вирусов для Windows » Роджер Граймс описал Flushot Plus как «первую комплексную программу для борьбы с вредоносным мобильным кодом (MMC)». [30]
Однако тип эвристики, используемый ранними антивирусными движками, полностью отличался от тех, которые используются сегодня. Первым продуктом с эвристическим движком, напоминающим современные, был F-PROT в 1991 году. [31] Ранние эвристические движки были основаны на разделении двоичного файла на различные разделы: раздел данных, раздел кода (в легитимном двоичном файле он обычно всегда начинается с одного и того же места). Действительно, первоначальные вирусы реорганизовали макет разделов или переопределяли начальную часть раздела, чтобы перейти в самый конец файла, где находился вредоносный код, — возвращаясь только для возобновления выполнения исходного кода. Это был очень специфический шаблон, не использовавшийся в то время ни одним легитимным программным обеспечением, который представлял собой элегантную эвристику для обнаружения подозрительного кода. Позже были добавлены другие виды более продвинутых эвристик, такие как подозрительные имена разделов, неправильный размер заголовка, регулярные выражения и частичное сопоставление шаблонов в памяти.
В 1988 году рост антивирусных компаний продолжился. В Германии Тьярк Ауэрбах основал Avira ( в то время H+BEDV ) и выпустил первую версию AntiVir ( в то время названную «Luke Filewalker» ). В Болгарии Веселин Бончев выпустил свою первую бесплатную антивирусную программу (позже он присоединился к FRISK Software ). Также Франс Вельдман выпустил первую версию ThunderByte Antivirus , также известную как TBAV (он продал свою компанию Norman Safeground в 1998 году). В Чехословакии Павел Баудиш и Эдуард Кучера основали Avast Software (в то время ALWIL Software ) и выпустили свою первую версию антивируса avast!. В июне 1988 года в Южной Корее Ан Чхоль-Су выпустил свое первое антивирусное программное обеспечение под названием V1 (позже он основал AhnLab в 1995 году). Наконец, осенью 1988 года в Соединенном Королевстве Алан Соломон основал S&S International и создал свой Dr. Solomon's Anti-Virus Toolkit (хотя он запустил его в коммерческую эксплуатацию только в 1991 году — в 1998 году компания Соломона была приобретена McAfee , тогда известной как Network Associates Inc.). В ноябре 1988 года профессор Панамериканского университета в Мехико по имени Алехандро Э. Каррилес зарегистрировал авторские права на первое антивирусное программное обеспечение в Мексике под названием «Byte Matabichos» (Byte Bugkiller), чтобы помочь решить проблему свирепого заражения вирусами среди студентов. [32]
Также в 1988 году в сети BITNET / EARN был запущен список рассылки под названием VIRUS-L [33] , где обсуждались новые вирусы и возможности их обнаружения и устранения. В этот список рассылки входили: Алан Соломон, Юджин Касперский ( Kaspersky Lab ), Фридрик Скуласон ( FRISK Software ), Джон Макафи ( McAfee ), Луис Корронс ( Panda Security ), Микко Хюппёнен ( F-Secure ), Петер Сёр , Тьярк Ауэрбах ( Avira ) и Веселин Бончев ( FRISK Software ). [33]
В 1989 году в Исландии Фридрик Скуласон создал первую версию F-PROT Anti-Virus (он основал FRISK Software только в 1993 году). Тем временем в Соединенных Штатах Symantec (основанная Гэри Хендриксом в 1982 году) выпустила свой первый антивирус Symantec для Macintosh (SAM). [34] [35] SAM 2.0, выпущенный в марте 1990 года, включал технологию, позволяющую пользователям легко обновлять SAM для перехвата и устранения новых вирусов, включая многие из тех, которые не существовали на момент выпуска программы. [36]
В конце 1980-х годов в Великобритании Ян Хруска и Питер Ламмер основали фирму по безопасности Sophos и начали производить свои первые антивирусные и шифровальные продукты. В тот же период в Венгрии была основана компания VirusBuster (и впоследствии включена в состав Sophos [37] ).
В 1990 году в Испании Микель Уризарбаррена основал Panda Security ( в то время Panda Software ). [38] В Венгрии исследователь безопасности Петер Сёр выпустил первую версию антивируса Pasteur . В Италии Джанфранко Тонелло создал первую версию антивируса VirIT eXplorer, а затем год спустя основал TG Soft. [39]
В 1990 году была основана Computer Antivirus Research Organization ( CARO ). В 1991 году CARO выпустила «Схему именования вирусов» , первоначально написанную Фридриком Скуласоном и Весселином Бончевым. [40] Хотя эта схема именования сейчас устарела, она остается единственным существующим стандартом, который большинство компаний и исследователей компьютерной безопасности когда-либо пытались принять. Членами CARO являются: Алан Соломон, Костин Райу, Дмитрий Грязнов, Евгений Касперский , Фридрик Скуласон , Игорь Муттик , Микко Хюппёнен , Мортон Свиммер, Ник Фицджеральд, Паджетт Петерсон , Питер Ферри, Ригард Цвиненберг и Весселин Бончев. [41] [42]
В 1991 году в США Symantec выпустила первую версию Norton AntiVirus . В том же году в Чехии Ян Грицбах и Томаш Хофер основали AVG Technologies ( в то время Grisoft ), хотя первую версию своего Anti-Virus Guard (AVG) они выпустили только в 1992 году. С другой стороны, в Финляндии F -Secure (основанная в 1988 году Петри Алласом и Ристо Сииласмаа — под названием Data Fellows) выпустила первую версию своего антивирусного продукта. F-Secure утверждает, что является первой антивирусной фирмой, которая установила свое присутствие во Всемирной паутине. [43]
В 1991 году был основан Европейский институт исследований компьютерных антивирусов (EICAR) для дальнейшего исследования антивирусов и улучшения разработки антивирусного программного обеспечения. [44] [45]
В 1992 году в России Игорь Данилов выпустил первую версию SpiderWeb , которая впоследствии стала Dr.Web . [46]
В 1994 году AV-TEST сообщил, что в их базе данных имеется 28 613 уникальных образцов вредоносного ПО (на основе MD5). [47]
Со временем были основаны и другие компании. В 1996 году в Румынии была основана компания Bitdefender , выпустившая первую версию Anti-Virus eXpert (AVX). [ 48] В 1997 году в России Евгений Касперский и Наталья Касперская совместно основали фирму по безопасности «Лаборатория Касперского» . [49]
В 1996 году появился первый «дикий» вирус Linux , известный как « Staog » . [50]
В 1999 году компания AV-TEST сообщила, что в ее базе данных имеется 98 428 уникальных образцов вредоносного ПО (на основе MD5). [47]
В 2000 году Райнер Линк и Говард Фухс запустили первый антивирусный движок с открытым исходным кодом, названный OpenAntivirus Project . [51]
В 2001 году Томаш Койм выпустил первую версию ClamAV , первого антивирусного движка с открытым исходным кодом, который был коммерциализирован. В 2007 году ClamAV был куплен Sourcefire , [52] который, в свою очередь, был приобретен Cisco Systems в 2013 году. [53]
В 2002 году в Великобритании Мортен Лунд и Тайс Сёндергаард стали соучредителями антивирусной фирмы BullGuard. [54]
В 2005 году AV-TEST сообщил, что в их базе данных имеется 333 425 уникальных образцов вредоносного ПО (на основе MD5). [47]
В 2007 году AV-TEST сообщил о количестве 5 490 960 новых уникальных образцов вредоносного ПО (на основе MD5) только за этот год. [47] В 2012 и 2013 годах антивирусные компании сообщили о количестве новых образцов вредоносного ПО от 300 000 до более 500 000 в день. [55] [56]
С течением лет антивирусному программному обеспечению стало необходимо использовать несколько различных стратегий (например, специальную защиту электронной почты и сети или низкоуровневые модули) и алгоритмов обнаружения, а также проверять все большее количество разнообразных файлов, а не только исполняемые, по нескольким причинам:
В 2005 году F-Secure стала первой компанией в сфере безопасности, разработавшей технологию защиты от руткитов под названием BlackLight .
Поскольку большинство пользователей обычно подключены к Интернету на постоянной основе, Джон Оберхайд впервые предложил проект облачного антивируса в 2008 году. [60]
В феврале 2008 года McAfee Labs добавила первую в отрасли облачную функцию защиты от вредоносных программ в VirusScan под названием Artemis. Она была протестирована AV-Comparatives в феврале 2008 года [61] и официально представлена в августе 2008 года в McAfee VirusScan . [62]
Облачный AV создал проблемы для сравнительного тестирования программного обеспечения безопасности – часть определений AV находилась вне контроля тестировщиков (на постоянно обновляемых серверах AV-компаний), что делало результаты невоспроизводимыми. В результате Организация по стандартам тестирования антивирусных программ (AMTSO) начала работу над методом тестирования облачных продуктов, который был принят 7 мая 2009 года. [63]
В 2011 году компания AVG представила аналогичный облачный сервис под названием Protective Cloud Technology. [64]
После публикации отчета APT 1 от Mandiant в 2013 году в отрасли произошел сдвиг в сторону подходов к проблеме без сигнатур, способных обнаруживать и смягчать атаки нулевого дня . [65] Появилось множество подходов к решению этих новых форм угроз, включая поведенческое обнаружение, искусственный интеллект, машинное обучение и облачное обнаружение файлов. По данным Gartner, ожидается, что рост новых участников, таких как Carbon Black , Cylance и Crowdstrike, заставит действующих поставщиков защиты конечных точек перейти на новую фазу инноваций и приобретений. [66]
Один из методов от Bromium включает микровиртуализацию для защиты рабочих столов от выполнения вредоносного кода, инициированного конечным пользователем. Другой подход от SentinelOne и Carbon Black фокусируется на поведенческом обнаружении путем создания полного контекста вокруг каждого пути выполнения процесса в реальном времени, [67] [68] в то время как Cylance использует модель искусственного интеллекта, основанную на машинном обучении. [69]
Все чаще эти подходы без сигнатур определяются средствами массовой информации и аналитическими фирмами как антивирусы «следующего поколения» [70] и быстро внедряются на рынке в качестве сертифицированных технологий замены антивирусов такими фирмами, как Coalfire и DirectDefense. [71] В ответ на это традиционные поставщики антивирусов, такие как Trend Micro , [72] Symantec и Sophos [73], включили предложения «следующего поколения» в свои портфели, поскольку аналитические фирмы, такие как Forrester и Gartner, назвали традиционные антивирусы на основе сигнатур «неэффективными» и «устаревшими». [74]
Начиная с Windows 8 , Windows включает в себя собственную бесплатную антивирусную защиту под брендом Windows Defender . Несмотря на плохие показатели обнаружения в первые дни, AV-Test теперь сертифицирует Defender как один из своих лучших продуктов. [75] [76] Хотя публично неизвестно, как включение антивирусного программного обеспечения в Windows повлияло на продажи антивирусов, поисковый трафик Google по антивирусам значительно снизился с 2010 года. [77] В 2014 году Microsoft купила McAfee. [78]
С 2016 года в отрасли наблюдается значительная консолидация. Avast приобрела AVG в 2016 году за 1,3 миллиарда долларов. [79] Avira была приобретена владельцем Norton Gen Digital (тогда NortonLifeLock) в 2020 году за 360 миллионов долларов. [80] В 2021 году подразделение Avira компании Gen Digital приобрело BullGuard. [81] Бренд BullGuard был прекращен в 2022 году, и его клиенты были переведены на Norton. В 2022 году Gen Digital приобрела Avast, фактически консолидировав четыре основных бренда антивирусов под одним владельцем. [82]
В 1987 году Фредерик Б. Коэн продемонстрировал, что алгоритм, который мог бы обнаружить все возможные вирусы, не может существовать (как алгоритм, который определяет, останавливается ли заданная программа ). [25] Однако, используя различные уровни защиты, можно достичь хорошего уровня обнаружения.
Существует несколько методов, которые антивирусные системы могут использовать для выявления вредоносных программ:
Традиционное антивирусное программное обеспечение в значительной степени полагается на сигнатуры для выявления вредоносных программ. [100]
По сути, когда образец вредоносного ПО попадает в руки антивирусной компании, он анализируется исследователями вредоносного ПО или динамическими системами анализа. Затем, как только определяется, что это вредоносное ПО, из файла извлекается надлежащая сигнатура и добавляется в базу данных сигнатур антивирусного ПО. [101]
Хотя подход на основе сигнатур может эффективно сдерживать вспышки вредоносного ПО, авторы вредоносного ПО пытались оставаться на шаг впереди такого программного обеспечения, создавая « олигоморфные », « полиморфные » и, в последнее время, « метаморфные » вирусы, которые шифруют части себя или иным образом изменяют себя в качестве метода маскировки, чтобы не соответствовать сигнатурам вирусов в словаре. [102]
Многие вирусы начинаются как единичная инфекция и через мутацию или усовершенствования другими злоумышленниками могут вырасти в десятки немного отличающихся штаммов, называемых вариантами. Универсальное обнаружение относится к обнаружению и удалению нескольких угроз с использованием одного определения вируса. [103]
Например, троян Vundo имеет несколько членов семейства, в зависимости от классификации антивирусного производителя. Symantec классифицирует членов семейства Vundo на две отдельные категории: Trojan.Vundo и Trojan.Vundo.B . [104] [105]
Хотя может быть выгодно идентифицировать конкретный вирус, быстрее можно обнаружить семейство вирусов с помощью общей сигнатуры или с помощью неточного соответствия существующей сигнатуре. Исследователи вирусов находят общие области, которые все вирусы в семействе разделяют уникально, и таким образом могут создать единую общую сигнатуру. Эти сигнатуры часто содержат несмежный код, используя подстановочные знаки там, где находятся различия. Эти подстановочные знаки позволяют сканеру обнаруживать вирусы, даже если они дополнены дополнительным, бессмысленным кодом. [106] Обнаружение, использующее этот метод, называется «эвристическим обнаружением».
Антивирусное программное обеспечение может попытаться выполнить сканирование на наличие руткитов. Руткит — это тип вредоносного ПО , предназначенного для получения административного контроля над компьютерной системой без обнаружения. Руткиты могут изменить работу операционной системы , а в некоторых случаях могут вмешаться в работу антивирусной программы и сделать ее неэффективной. Руткиты также трудно удалить, в некоторых случаях требуется полная переустановка операционной системы. [107]
Защита в реальном времени, сканирование при доступе, фоновая защита, резидентный щит, автоматическая защита и другие синонимы относятся к автоматической защите, предоставляемой большинством антивирусных, антишпионских и других программ защиты от вредоносных программ. Это отслеживает компьютерные системы на предмет подозрительной активности, такой как компьютерные вирусы, шпионское ПО, рекламное ПО и другие вредоносные объекты. Защита в реальном времени обнаруживает угрозы в открытых файлах и сканирует приложения в реальном времени по мере их установки на устройство. [108] При вставке компакт-диска, открытии электронного письма или просмотре веб-страниц, или когда файл, уже имеющийся на компьютере, открывается или выполняется. [109]
Некоторые лицензионные соглашения с конечным пользователем коммерческого антивирусного программного обеспечения включают пункт о том, что подписка будет автоматически продлена, а с кредитной карты покупателя будет автоматически списана плата в момент продления без явного одобрения. Например, McAfee требует, чтобы пользователи отписывались по крайней мере за 60 дней до истечения срока действия текущей подписки [110] , в то время как Bitdefender отправляет уведомления о необходимости отписаться за 30 дней до продления. [111] Norton AntiVirus также автоматически продлевает подписки по умолчанию. [112]
Некоторые антивирусные программы на самом деле являются вредоносным ПО , маскирующимся под легальное программное обеспечение, например, WinFixer , MS Antivirus и Mac Defender . [113]
«Ложное срабатывание» или «ложная тревога» — это когда антивирусное программное обеспечение идентифицирует не вредоносный файл как вредоносное ПО. Когда это происходит, это может вызвать серьезные проблемы. Например, если антивирусная программа настроена на немедленное удаление или карантин зараженных файлов, как это часто бывает в антивирусных приложениях Microsoft Windows , ложное срабатывание в важном файле может сделать операционную систему Windows или некоторые приложения непригодными для использования. [114] Восстановление после такого повреждения критической программной инфраструктуры влечет за собой расходы на техническую поддержку, и предприятия могут быть вынуждены закрыться, пока не будут предприняты меры по исправлению ситуации. [115] [116]
Примеры серьезных ложноположительных результатов:
На основании того, что Norton/Symantec делали это для каждого из последних трех выпусков Pegasus Mail, мы можем только осудить этот продукт как слишком несовершенный для использования и самым настоятельным образом рекомендовать нашим пользователям прекратить его использование в пользу альтернативных, менее глючных антивирусных пакетов. [118]
Одновременный запуск (защита в реальном времени) нескольких антивирусных программ может снизить производительность и создать конфликты. [127] Однако, используя концепцию, называемую мультисканированием , несколько компаний (включая G Data Software [128] и Microsoft [129] ) создали приложения, которые могут запускать несколько движков одновременно.
Иногда необходимо временно отключить антивирусную защиту при установке крупных обновлений, таких как пакеты обновления Windows или обновление драйверов видеокарты. [130] Активная антивирусная защита может частично или полностью предотвратить установку крупного обновления. Антивирусное программное обеспечение может вызвать проблемы во время установки обновления операционной системы, например, при обновлении до новой версии Windows «на месте» — без удаления предыдущей версии Windows. Microsoft рекомендует отключать антивирусное программное обеспечение, чтобы избежать конфликтов с процессом установки обновления. [131] [132] [133] Активное антивирусное программное обеспечение также может мешать процессу обновления прошивки . [134]
Функциональность некоторых компьютерных программ может быть затруднена активным антивирусным программным обеспечением. Например, TrueCrypt , программа шифрования дисков, заявляет на своей странице устранения неполадок, что антивирусные программы могут конфликтовать с TrueCrypt и вызывать его сбои или очень медленную работу. [135] Антивирусное программное обеспечение может ухудшить производительность и стабильность игр, запущенных на платформе Steam . [136]
Проблемы поддержки также существуют вокруг взаимодействия антивирусных приложений с распространенными решениями, такими как удаленный доступ SSL VPN и продукты управления сетевым доступом . [137] Эти технологические решения часто имеют приложения оценки политики, которые требуют установки и запуска обновленного антивируса. Если антивирусное приложение не распознается оценкой политики, будь то потому, что антивирусное приложение было обновлено или потому, что оно не является частью библиотеки оценки политики, пользователь не сможет подключиться.
Исследования, проведенные в декабре 2007 года, показали, что эффективность антивирусного программного обеспечения снизилась в предыдущем году, особенно против неизвестных или атак нулевого дня . Компьютерный журнал c't обнаружил, что уровень обнаружения этих угроз упал с 40–50% в 2006 году до 20–30% в 2007 году. В то время единственным исключением был антивирус NOD32 , который показал уровень обнаружения 68%. [138] Согласно сайту -трекеру ZeuS , средний уровень обнаружения для всех вариантов известного трояна ZeuS составляет всего 40%. [139]
Проблема усугубляется изменением намерений авторов вирусов. Несколько лет назад было очевидно, когда присутствовало вирусное заражение. В то время вирусы писались любителями и демонстрировали деструктивное поведение или всплывающие окна . Современные вирусы часто пишутся профессионалами, финансируемыми преступными организациями . [140]
В 2008 году Ева Чен , генеральный директор Trend Micro , заявила, что антивирусная индустрия преувеличивала эффективность своих продуктов и таким образом вводила в заблуждение клиентов на протяжении многих лет. [141]
Независимое тестирование всех основных сканеров вирусов последовательно показывает, что ни один из них не обеспечивает 100% обнаружения вирусов. Лучшие из них обеспечивали 99,9% обнаружения для смоделированных реальных ситуаций, в то время как самые низкие обеспечивали 91,1% в тестах, проведенных в августе 2013 года. Многие сканеры вирусов также выдают ложные положительные результаты, идентифицируя безвредные файлы как вредоносные программы. [142]
Хотя методы могут различаться, некоторые известные независимые агентства по тестированию качества включают AV-Comparatives , ICSA Labs , SE Labs, West Coast Labs, Virus Bulletin , AV-TEST и других членов Организации по стандартам тестирования на вредоносное ПО . [143] [144]
Антивирусные программы не всегда эффективны против новых вирусов, даже те, которые используют не основанные на сигнатурах методы, которые должны обнаруживать новые вирусы. Причина этого в том, что разработчики вирусов тестируют свои новые вирусы на основных антивирусных приложениях, чтобы убедиться, что они не будут обнаружены, прежде чем выпустить их на свободу. [145]
Некоторые новые вирусы, особенно ransomware , используют полиморфный код , чтобы избежать обнаружения антивирусными сканерами. Джером Сегура, аналитик по безопасности ParetoLogic, объяснил: [146]
Это то, что они часто упускают из виду, потому что этот тип [вируса-вымогателя] исходит с сайтов, которые используют полиморфизм, что означает, что они в основном рандомизируют файл, который они вам отправляют, и он очень легко проходит через известные антивирусные продукты. Я видел, как люди заражались, у них были все всплывающие окна, и при этом у них работало антивирусное программное обеспечение, которое ничего не обнаруживало. На самом деле от него довольно трудно избавиться, и вы никогда не можете быть уверены, действительно ли он исчез. Когда мы видим что-то подобное, мы обычно советуем переустановить операционную систему или переустановить резервные копии. [146]
Вирус доказательства концепции использовал графический процессор (GPU), чтобы избежать обнаружения антивирусным программным обеспечением. Потенциальный успех этого заключается в обходе центрального процессора , чтобы сделать его намного более сложным для исследователей безопасности, чтобы проанализировать внутреннюю работу такого вредоносного ПО. [147]
Обнаружение руткитов является серьезной проблемой для антивирусных программ. Руткиты имеют полный административный доступ к компьютеру и невидимы для пользователей и скрыты в списке запущенных процессов в диспетчере задач . Руткиты могут изменять внутреннюю работу операционной системы и вмешиваться в антивирусные программы. [148]
Если файл был заражен компьютерным вирусом, антивирусное программное обеспечение попытается удалить код вируса из файла во время лечения, но оно не всегда может восстановить файл до неповрежденного состояния. [149] [150] В таких обстоятельствах поврежденные файлы можно восстановить только из существующих резервных копий или теневых копий (это также относится к программам-вымогателям [151] ); установленное программное обеспечение, которое повреждено, требует переустановки [152] (однако см. Проверка системных файлов ).
Любая записываемая прошивка на компьютере может быть заражена вредоносным кодом. [153] Это серьезная проблема, так как зараженный BIOS может потребовать замены фактического чипа BIOS, чтобы гарантировать полное удаление вредоносного кода. [154] Антивирусное программное обеспечение неэффективно для защиты прошивки и BIOS материнской платы от заражения. [155] В 2014 году исследователи безопасности обнаружили, что USB- устройства содержат записываемую прошивку, которая может быть изменена вредоносным кодом (названным « BadUSB »), который антивирусное программное обеспечение не может обнаружить или предотвратить. Вредоносный код может работать на компьютере незамеченным и даже может заразить операционную систему до ее загрузки. [156] [157]
Антивирусное программное обеспечение имеет некоторые недостатки, первый из которых заключается в том, что оно может повлиять на производительность компьютера . [158]
Более того, неопытные пользователи могут быть убаюканы ложным чувством безопасности при использовании компьютера, считая свои компьютеры неуязвимыми, и могут иметь проблемы с пониманием подсказок и решений, которые им предоставляет антивирусное программное обеспечение. Неправильное решение может привести к нарушению безопасности. Если антивирусное программное обеспечение использует эвристическое обнаружение, оно должно быть настроено так, чтобы свести к минимуму ошибочную идентификацию безвредного программного обеспечения как вредоносного ( ложное срабатывание ). [159]
Само антивирусное программное обеспечение обычно работает на высокодоверенном уровне ядра операционной системы , чтобы предоставить ему доступ ко всем потенциально вредоносным процессам и файлам, создавая потенциальный путь для атаки . [160] Агентство национальной безопасности США (АНБ) и разведывательные агентства Центра правительственных коммуникаций Великобритании (GCHQ) соответственно используют антивирусное программное обеспечение для слежки за пользователями. [161] Антивирусное программное обеспечение имеет высокопривилегированный и доверенный доступ к базовой операционной системе, что делает его гораздо более привлекательной целью для удаленных атак. [162] Кроме того, антивирусное программное обеспечение «на годы отстает от клиентских приложений, заботящихся о безопасности, таких как браузеры или программы для чтения документов. Это означает, что Acrobat Reader, Microsoft Word или Google Chrome сложнее взломать, чем 90 процентов антивирусных продуктов», по словам Джоксеана Корета, исследователя из Coseinc, сингапурской консалтинговой компании по информационной безопасности . [162]
Антивирусное программное обеспечение, работающее на отдельных компьютерах, является наиболее распространенным методом защиты от вредоносных программ, но это не единственное решение. Другие решения также могут быть использованы пользователями, включая Unified Threat Management ( UTM ), аппаратные и сетевые брандмауэры, облачные антивирусы и онлайн-сканеры.
Сетевые брандмауэры предотвращают доступ неизвестных программ и процессов к системе. Однако они не являются антивирусными системами и не пытаются что-либо идентифицировать или удалить. Они могут защищать от заражения извне защищенного компьютера или сети и ограничивать активность любого вредоносного программного обеспечения, которое присутствует, блокируя входящие или исходящие запросы на определенных портах TCP/IP . Брандмауэр предназначен для борьбы с более широкими системными угрозами, которые исходят от сетевых подключений к системе, и не является альтернативой системе защиты от вирусов.
Облачный антивирус — это технология, которая использует легковесное программное обеспечение-агент на защищаемом компьютере, перекладывая большую часть анализа данных на инфраструктуру провайдера. [163]
Один из подходов к внедрению облачного антивируса включает сканирование подозрительных файлов с использованием нескольких антивирусных движков. Этот подход был предложен ранней реализацией концепции облачного антивируса под названием CloudAV. CloudAV был разработан для отправки программ или документов в сетевое облако , где одновременно используются несколько антивирусных и поведенческих программ обнаружения для повышения уровня обнаружения. Параллельное сканирование файлов с использованием потенциально несовместимых антивирусных сканеров достигается путем создания виртуальной машины для каждого движка обнаружения и, следовательно, устранения любых возможных проблем. CloudAV также может выполнять «ретроспективное обнаружение», при котором облачный движок обнаружения повторно сканирует все файлы в своей истории доступа к файлам при обнаружении новой угрозы, тем самым повышая скорость обнаружения новых угроз. Наконец, CloudAV является решением для эффективного сканирования на вирусы на устройствах, которым не хватает вычислительной мощности для выполнения самого сканирования. [164]
Примерами облачных антивирусных продуктов являются Panda Cloud Antivirus и Immunet . Comodo Group также выпустила облачный антивирус. [165] [166]
Некоторые поставщики антивирусов поддерживают веб-сайты с возможностью бесплатного онлайн-сканирования всего компьютера, только критических областей, локальных дисков, папок или файлов. Периодическое онлайн-сканирование — хорошая идея для тех, кто запускает антивирусные приложения на своих компьютерах, поскольку эти приложения часто медленно обнаруживают угрозы. Одно из первых действий вредоносного ПО при атаке — отключение любого существующего антивирусного ПО, и иногда единственный способ узнать об атаке — обратиться к онлайн-ресурсу, который не установлен на зараженном компьютере. [167]
Существуют инструменты для удаления вирусов, которые помогают удалить стойкие инфекции или определенный тип инфекции. Примерами являются Windows Malicious Software Removal Tool , [168] Kaspersky Virus Removal Tool , [169] и Sophos Scan & Clean . [170] Также стоит отметить, что иногда антивирусное программное обеспечение может выдавать ложноположительный результат, указывая на инфекцию там, где ее нет. [171]
Загрузочный диск аварийного восстановления, такой как CD или USB-накопитель, может использоваться для запуска антивирусного программного обеспечения вне установленной операционной системы, чтобы удалить инфекции, пока они неактивны. Загрузочный диск аварийного восстановления может быть полезен, когда, например, установленная операционная система больше не загружается или содержит вредоносное ПО, которое сопротивляется всем попыткам быть удаленным установленным антивирусным программным обеспечением. Примерами программного обеспечения, которое может использоваться на загрузочном диске аварийного восстановления, являются Kaspersky Rescue Disk , [172] Trend Micro Rescue Disk , [173] и Comodo Rescue Disk . [174]
Согласно исследованию ФБР, крупные компании ежегодно теряют 12 миллионов долларов из-за вирусных инцидентов. [175] Исследование, проведенное Symantec в 2009 году, показало, что треть предприятий малого и среднего бизнеса в то время не использовали антивирусную защиту, в то время как более 80% домашних пользователей имели установленный антивирус. [176] Согласно социологическому опросу, проведенному G Data Software в 2010 году, 49% женщин вообще не использовали антивирусную программу. [177]
{{citation}}
: CS1 maint: неподходящий URL ( ссылка )