Антивирусное программное обеспечение (сокращенно AV-программное обеспечение ), также известное как антивирусное ПО , представляет собой компьютерную программу , используемую для предотвращения, обнаружения и удаления вредоносного ПО .
Антивирусное программное обеспечение изначально было разработано для обнаружения и удаления компьютерных вирусов , отсюда и название. Однако с распространением других вредоносных программ антивирусное программное обеспечение начало защищать от других компьютерных угроз. Некоторые продукты также включают защиту от вредоносных URL-адресов , спама и фишинга . [1]
Хотя корни компьютерного вируса уходят еще в 1949 год, когда венгерский ученый Джон фон Нейман опубликовал «Теорию самовоспроизводящихся автоматов» , [2] первый известный компьютерный вирус появился в 1971 году и получил название « Вирус Creeper». ". [3] Этот компьютерный вирус заразил мэйнфреймы PDP-10 компании Digital Equipment Corporation ( DEC ) под управлением операционной системы TENEX . [4] [5]
Вирус Creeper был в конечном итоге удален программой, созданной Рэем Томлинсоном и известной как « The Reaper ». [6] Некоторые люди считают «The Reaper» первым когда-либо написанным антивирусным программным обеспечением – возможно, это так, но важно отметить, что Reaper на самом деле сам был вирусом, специально разработанным для удаления вируса Creeper. [6] [7]
За вирусом Creeper последовало несколько других вирусов. Первым известным вирусом, появившимся «в дикой природе», был « Elk Cloner », появившийся в 1981 году и заразивший компьютеры Apple II . [8] [9] [10]
В 1983 году термин «компьютерный вирус» был придуман Фредом Коэном в одной из первых опубликованных научных статей о компьютерных вирусах . [11] Коэн использовал термин «компьютерный вирус» для описания программ, которые: «влияют на другие компьютерные программы, модифицируя их таким образом, что включают в себя (возможно, развитую) копию самой себя». [12] (обратите внимание, что более позднее определение компьютерного вируса было дано венгерским исследователем безопасности Петером Сёром : «код, который рекурсивно воспроизводит возможно развитую копию самого себя» ). [13] [14]
Первым «диким» компьютерным вирусом, совместимым с IBM PC , и одним из первых по-настоящему широко распространенных инфекций стал « Brain » в 1986 году. С тех пор количество вирусов росло в геометрической прогрессии. [15] [16] Большинство компьютерных вирусов, написанных в начале и середине 1980-х годов, были ограничены самовоспроизведением и не имели никаких конкретных процедур повреждения, встроенных в код. Ситуация изменилась, когда все больше и больше программистов стали знакомиться с программированием компьютерных вирусов и создавать вирусы, которые манипулируют или даже уничтожают данные на зараженных компьютерах. [17]
До того, как подключение к Интернету стало широко распространенным, компьютерные вирусы обычно распространялись через зараженные дискеты . Антивирусное программное обеспечение вошло в обиход, но обновлялось сравнительно нечасто. За это время антивирусным программам по сути приходилось проверять исполняемые файлы и загрузочные сектора дискет и жестких дисков. Однако по мере того, как использование Интернета стало обычным явлением, вирусы начали распространяться онлайн. [18]
Существуют конкурирующие претензии к новатору первого антивирусного продукта. Возможно, первое публично задокументированное удаление «дикого» компьютерного вируса (то есть «Венского вируса») было выполнено Берндом Фиксом в 1987 году. [19] [20]
В 1987 году Андреас Люнинг и Кай Фигге, основавшие G Data Software в 1985 году, выпустили свой первый антивирусный продукт для платформы Atari ST . [21] В 1987 году также был выпущен Ultimate Virus Killer (UVK) . [22] Это был де-факто стандартный убийца вирусов для Atari ST и Atari Falcon , последняя версия которого (версия 9.0) была выпущена в апреле 2004 года . [ нужна ссылка ] В 1987 году в США Джон Макафи основал компанией McAfee (входила в состав Intel Security [23] ) и в конце того же года выпустил первую версию VirusScan . [24] Также в 1987 году (в Чехословакии ) Петер Пашко, Рудольф Грубый и Мирослав Трнка создали первую версию антивируса NOD . [25] [26]
В 1987 году Фред Коэн написал, что не существует алгоритма, который мог бы идеально обнаружить все возможные компьютерные вирусы . [27]
Наконец, в конце 1987 года были выпущены первые две эвристические антивирусные утилиты: Flushot Plus Росса Гринберга [28] [29] [30] и Anti4us Эрвина Лантинга. [31] В своей книге О'Рейли « Вредоносный мобильный код: защита от вирусов для Windows » Роджер Граймс описал Flushot Plus как «первую комплексную программу для борьбы с вредоносным мобильным кодом (MMC)». [32]
Однако тип эвристики, используемый ранними AV-движками, полностью отличался от тех, которые используются сегодня. Первым продуктом с эвристическим движком, напоминающим современные, был F-PROT в 1991 году. [33] Ранние эвристические движки были основаны на разделении двоичного файла на различные разделы: раздел данных, раздел кода (в легитимном двоичном файле он обычно всегда начинается с то же место). Действительно, первоначальные вирусы реорганизовывали расположение разделов или переопределяли начальную часть раздела, чтобы перейти к самому концу файла, где находился вредоносный код, — возвращаясь только назад, чтобы возобновить выполнение исходного кода. Это был очень специфический шаблон, который в то время не использовался ни одним законным программным обеспечением и представлял собой элегантную эвристику для обнаружения подозрительного кода. Позже были добавлены другие виды более продвинутых эвристик, такие как подозрительные имена разделов, неправильный размер заголовка, регулярные выражения и частичное сопоставление шаблонов в памяти.
В 1988 году рост антивирусных компаний продолжился. В Германии Тьярк Ауэрбах основал Avira ( в то время H+BEDV ) и выпустил первую версию AntiVir ( в то время называвшуюся «Luke Filewalker» ). В Болгарии Веселин Бончев выпустил свою первую бесплатную антивирусную программу (позже он присоединился к FRISK Software ). Также Франс Вельдман выпустил первую версию ThunderByte Antivirus , также известную как TBAV (в 1998 году он продал свою компанию Norman Safeground ). В Чехословакии Павел Баудиш и Эдуард Кучера запустили avast! (в то время ALWIL Software ) и выпустили свою первую версию avast! антивирус. В июне 1988 года в Южной Корее Ан Чхоль Су выпустил свое первое антивирусное программное обеспечение под названием V1 (он основал AhnLab позже, в 1995 году). Наконец, осенью 1988 года в Великобритании Алан Соломон основал S&S International и создал свой Dr. Solomon's Anti-Virus Toolkit (правда, коммерчески он запустил его только в 1991 году — в 1998 году компания Соломона была приобретена McAfee ). В ноябре 1988 года профессор Панамериканского университета в Мехико по имени Алехандро Э. Каррилес приобрел авторские права на первое антивирусное программное обеспечение в Мексике под названием «Byte Matabichos» (Byte Bugkiller), чтобы помочь решить проблему безудержного заражения вирусами среди студентов. [34]
Также в 1988 году в сети BITNET / EARN был запущен список рассылки под названием VIRUS-L [35] , где обсуждались новые вирусы и возможности обнаружения и устранения вирусов. Некоторыми участниками этого списка рассылки были: Алан Соломон, Юджин Касперский ( Лаборатория Касперского ), Фридрик Скуласон ( FRISK Software ), Джон Макафи ( McAfee ), Луис Корронс ( Panda Security ), Микко Хиппёнен ( F-Secure ), Петер Сёр , Тьярк. Ауэрбах ( Avira ) и Веселин Бончев ( FRISK Software ). [35]
В 1989 году в Исландии Фридрих Скуласон создал первую версию антивируса F-PROT (он основал FRISK Software только в 1993 году). Тем временем в США компания Symantec (основанная Гэри Хендриксом в 1982 году) выпустила свой первый антивирус Symantec для Macintosh (SAM). [36] [37] SAM 2.0, выпущенный в марте 1990 года, включал технологию, позволяющую пользователям легко обновлять SAM для перехвата и устранения новых вирусов, в том числе многих, которые не существовали на момент выпуска программы. [38]
В конце 1980-х годов в Великобритании Ян Грушка и Питер Ламмер основали охранную фирму Sophos и начали производить свои первые антивирусные и шифровальные продукты. В тот же период в Венгрии была основана VirusBuster (которая недавно была зарегистрирована Sophos ).
В 1990 году в Испании Микель Уризарбаррена основал Panda Security ( в то время Panda Software ). [39] В Венгрии исследователь безопасности Петер Сёр выпустил первую версию антивируса Pasteur . В Италии Джанфранко Тонелло создал первую версию антивируса VirIT eXplorer, а год спустя основал TG Soft. [40]
В 1990 году была основана Организация компьютерных антивирусных исследований ( CARO ). В 1991 году CARO выпустила «Схему именования вирусов» , первоначально написанную Фридриком Скуласоном и Весселином Бончевым. [41] Хотя эта схема именования сейчас устарела, она остается единственным существующим стандартом, который когда-либо пытались принять большинство компаний и исследователей компьютерной безопасности. В состав CARO входят: Алан Соломон, Костин Райу, Дмитрий Грязнов, Юджин Касперский , Фридрик Скуласон , Игорь Муттик , Микко Хиппёнен, Мортон Свиммер, Ник Фитцджеральд, Пэджетт Петерсон , Питер Ферри, Рихард Цвиненберг и Веселин Бончев. [42] [43]
В 1991 году в США компания Symantec выпустила первую версию Norton AntiVirus . В том же году в Чехии Ян Грицбах и Томаш Хофер основали компанию AVG Technologies ( в то время Grisoft ), хотя первую версию своего Anti-Virus Guard (AVG) они выпустили только в 1992 году. С другой стороны, в Финляндская компания F-Secure (основанная в 1988 году Петри Алласом и Ристо Сииласмаа – под названием Data Fellows) выпустила первую версию своего антивирусного продукта . F-Secure утверждает, что является первой антивирусной фирмой, которая присутствует во всемирной паутине. [44]
В 1991 году был основан Европейский институт компьютерных антивирусных исследований (EICAR) для дальнейшего развития антивирусных исследований и улучшения разработки антивирусного программного обеспечения. [45] [46]
В 1992 году в России Игорь Данилов выпустил первую версию SpiderWeb , которая впоследствии стала Dr.Web . [47]
В 1994 году AV-TEST сообщила, что в их базе данных было 28 613 уникальных образцов вредоносного ПО (на основе MD5). [48]
Со временем были основаны и другие компании. В 1996 году в Румынии была основана компания Bitdefender и выпустила первую версию Anti-Virus eXpert (AVX). [49] В 1997 году в России Евгений Касперский и Наталья Касперская основали охранную фирму «Лаборатория Касперского» . [50]
В 1996 году появился также первый «дикий» вирус Linux , известный как « Staog » . [51]
В 1999 году компания AV-TEST сообщила, что в их базе данных было 98 428 уникальных образцов вредоносного ПО (на основе MD5). [48]
В 2000 году Райнер Линк и Говард Фус запустили первый антивирусный движок с открытым исходным кодом под названием OpenAntivirus Project . [52]
В 2001 году Томаш Койм выпустил первую версию ClamAV , первого в истории антивирусного ядра с открытым исходным кодом, вышедшего на рынок. В 2007 году ClamAV была куплена компанией Sourcefire , [53] которая, в свою очередь, была приобретена Cisco Systems в 2013 году. [54]
В 2002 году в Великобритании Мортен Лунд и Тайс Сёндергорд основали антивирусную компанию BullGuard. [55]
В 2005 году компания AV-TEST сообщила, что в их базе данных было 333 425 уникальных образцов вредоносного ПО (на основе MD5). [48]
В 2007 году компания AV-TEST сообщила о 5 490 960 новых уникальных образцах вредоносного ПО (на основе MD5) только за этот год. [48] В 2012 и 2013 годах антивирусные компании сообщали, что количество новых образцов вредоносного ПО варьируется от 300 000 до более 500 000 в день. [56] [57]
С годами антивирусному программному обеспечению стало необходимо использовать несколько различных стратегий (например, определенную защиту электронной почты и сети или модули низкого уровня) и алгоритмы обнаружения, а также проверять все большее количество файлов, а не только исполняемые файлы, по нескольким причинам. :
В 2005 году F-Secure стала первой охранной фирмой, разработавшей технологию защиты от руткитов под названием BlackLight .
Поскольку большинство пользователей обычно постоянно подключены к Интернету, Джон Оберхайде впервые предложил дизайн облачного антивируса в 2008 году. [61]
В феврале 2008 года McAfee Labs добавила в VirusScan первую в отрасли облачную функцию защиты от вредоносного ПО под названием Artemis. Он был протестирован AV-Comparatives в феврале 2008 года [62] и официально представлен в августе 2008 года в McAfee VirusScan . [63]
Cloud AV создавал проблемы при сравнительном тестировании защитного программного обеспечения — часть определений AV находилась вне контроля тестировщиков (на постоянно обновляемых серверах AV-компании), что делало результаты неповторяемыми. В результате Организация по стандартизации тестирования вредоносного ПО (AMTSO) начала работу над методом тестирования облачных продуктов, который был принят 7 мая 2009 года. [64]
В 2011 году AVG представила аналогичный облачный сервис под названием Protective Cloud Technology. [65]
После публикации отчета APT 1 от Mandiant в 2013 году в отрасли произошел сдвиг в сторону бессигнатурных подходов к проблеме, способных обнаруживать и смягчать атаки нулевого дня . [66] Появилось множество подходов к борьбе с этими новыми формами угроз, включая поведенческое обнаружение, искусственный интеллект, машинное обучение и детонацию файлов на основе облачных технологий. По мнению Gartner, ожидается, что появление новых участников, таких как Carbon Black , Cylance и Crowdstrike , вынудит действующих игроков EPP вступить в новый этап инноваций и приобретений. [67] Один из методов Bromium включает микровиртуализацию для защиты рабочих столов от выполнения вредоносного кода, инициированного конечным пользователем. Другой подход от SentinelOne и Carbon Black фокусируется на обнаружении поведения путем создания полного контекста вокруг каждого пути выполнения процесса в реальном времени [68] [69] , в то время как Cylance использует модель искусственного интеллекта, основанную на машинном обучении. [70] Эти бессигнатурные подходы все чаще определяются средствами массовой информации и аналитическими фирмами как антивирусы «следующего поколения» [71] и наблюдают быстрое внедрение на рынке в качестве сертифицированных технологий замены антивирусов такими фирмами, как Coalfire и DirectDefense. [72] В ответ традиционные поставщики антивирусов, такие как Trend Micro , [73] Symantec и Sophos [74] отреагировали включением в свои портфели предложений «следующего поколения», которые аналитические фирмы, такие как Forrester и Gartner , называют традиционными сигнатурными решениями. антивирус «неэффективный» и «устаревший». [75]
Начиная с Windows 8 , Windows включает собственную бесплатную антивирусную защиту под брендом Защитника Windows . Несмотря на плохие показатели обнаружения на первых порах, AV-Test теперь сертифицирует Defender как один из своих лучших продуктов. [76] [77] Хотя публично не известно, как включение антивирусного программного обеспечения в Windows повлияло на продажи антивирусов, поисковый трафик Google по антивирусам значительно снизился с 2010 года. [78]
С 2016 года в отрасли произошла заметная консолидация. Avast приобрела AVG в 2016 году за 1,3 миллиарда долларов. [79] Avira была приобретена владельцем Norton Gen Digital (тогда NortonLifeLock) в 2020 году за 360 миллионов долларов. [80] В 2021 году подразделение Avira компании Gen Digital приобрело BullGuard. [81] Бренд BullGuard был прекращен в 2022 году, а его клиенты были переведены на Norton. В 2022 году компания Gen Digital приобрела Avast, фактически объединив четыре крупных антивирусных бренда под одним владельцем. [82]
В 1987 году Фредерик Б. Коэн продемонстрировал, что алгоритм, который был бы способен обнаруживать все возможные вирусы, не может существовать (как и алгоритм, определяющий, останавливается ли данная программа или нет ). [27] Однако, используя различные уровни защиты, можно достичь хорошего уровня обнаружения.
Существует несколько методов, которые антивирусные ядра могут использовать для выявления вредоносного ПО:
Традиционное антивирусное программное обеспечение в значительной степени полагается на сигнатуры для идентификации вредоносного ПО. [100]
По сути, когда образец вредоносного ПО попадает в руки антивирусной фирмы, он анализируется исследователями вредоносного ПО или системами динамического анализа. Затем, как только будет определено, что это вредоносная программа, из файла извлекается правильная подпись и добавляется в базу данных сигнатур антивирусного программного обеспечения. [101]
Хотя подход на основе сигнатур может эффективно сдерживать вспышки вредоносных программ, авторы вредоносных программ пытались оставаться на шаг впереди таких программ, создавая « олигоморфные », « полиморфные » и, в последнее время, « метаморфные » вирусы, которые шифруют части себя или иным образом модифицируют себя как метод маскировки, чтобы не совпадать с сигнатурами вирусов в словаре. [102]
Многие вирусы зарождаются как одна инфекция и в результате мутаций или усовершенствований других злоумышленников могут вырасти в десятки немного отличающихся штаммов, называемых вариантами. Общее обнаружение означает обнаружение и удаление нескольких угроз с использованием одного определения вируса. [103]
Например, троян Vundo имеет несколько членов семейства в зависимости от классификации производителя антивируса. Symantec делит членов семейства Vundo на две отдельные категории: Trojan.Vundo и Trojan.Vundo.B . [104] [105]
Хотя идентификация конкретного вируса может быть выгодной, может быть быстрее обнаружить семейство вирусов с помощью общей сигнатуры или неточного совпадения с существующей сигнатурой. Исследователи вирусов находят общие области, которые являются уникальными для всех вирусов в семействе, и таким образом могут создать единую общую сигнатуру. Эти подписи часто содержат несмежный код с использованием подстановочных знаков в местах различий. Эти подстановочные знаки позволяют сканеру обнаруживать вирусы, даже если они дополнены дополнительным бессмысленным кодом. [106] Обнаружение, в котором используется этот метод, называется «эвристическим обнаружением».
Антивирусное программное обеспечение может попытаться выполнить сканирование на наличие руткитов. Руткит — это тип вредоносного ПО , предназначенный для получения административного контроля над компьютерной системой без обнаружения. Руткиты могут изменить работу операционной системы , а в некоторых случаях могут повлиять на работу антивирусной программы и сделать ее неэффективной. Руткиты также сложно удалить, в некоторых случаях требуется полная переустановка операционной системы. [107]
Защита в реальном времени, сканирование при доступе, фоновая защита, резидентный экран, автоматическая защита и другие синонимы относятся к автоматической защите, обеспечиваемой большинством антивирусных, антишпионских и других вредоносных программ. Он отслеживает компьютерные системы на предмет подозрительной активности, такой как компьютерные вирусы, шпионское ПО, рекламное ПО и другие вредоносные объекты. Защита в режиме реального времени обнаруживает угрозы в открытых файлах и сканирует приложения в режиме реального времени по мере их установки на устройство. [108] При вставке компакт-диска, открытии электронной почты или просмотре веб-страниц, а также при открытии или выполнении файла, уже находящегося на компьютере. [109]
Некоторые лицензионные соглашения с конечным пользователем коммерческого антивирусного программного обеспечения включают пункт о том, что подписка будет автоматически продлена, а с кредитной карты покупателя будет автоматически выставлен счет во время продления без явного разрешения. Например, McAfee требует, чтобы пользователи отказались от подписки как минимум за 60 дней до истечения срока действия текущей подписки [110] , в то время как Bitdefender отправляет уведомления об отказе от подписки за 30 дней до продления. [111] Norton AntiVirus также по умолчанию автоматически продлевает подписку. [112]
Некоторые очевидные антивирусные программы на самом деле являются вредоносными программами , маскирующимися под законное программное обеспечение, например WinFixer , MS Antivirus и Mac Defender . [113]
«Ложное срабатывание» или «ложная тревога» — это когда антивирусное программное обеспечение идентифицирует невредоносный файл как вредоносное ПО. Когда это происходит, это может вызвать серьезные проблемы. Например, если антивирусная программа настроена на немедленное удаление или помещение зараженных файлов в карантин, как это часто бывает в антивирусных приложениях Microsoft Windows , ложное срабатывание важного файла может сделать операционную систему Windows или некоторые приложения непригодными для использования. [114] Восстановление после такого ущерба критически важной программной инфраструктуре влечет за собой затраты на техническую поддержку, и предприятия могут быть вынуждены закрыться, пока не будут приняты меры по исправлению ситуации. [115] [116]
Примеры серьезных ложных срабатываний:
Учитывая, что Norton/Symantec делала это для каждого из трех последних выпусков Pegasus Mail, мы можем только осудить этот продукт как слишком несовершенный для использования и самым решительным образом рекомендовать нашим пользователям прекратить его использование в пользу альтернативных вариантов. , меньше глючных антивирусных пакетов. [118]
Одновременный запуск (защита в режиме реального времени) нескольких антивирусных программ может привести к снижению производительности и возникновению конфликтов. [127] Однако, используя концепцию, называемую мультисканированием , несколько компаний (в том числе G Data Software [128] и Microsoft [129] ) создали приложения, которые могут запускать несколько механизмов одновременно.
Иногда необходимо временно отключить защиту от вирусов при установке крупных обновлений, таких как пакеты обновления Windows, или обновлении драйверов видеокарты. [130] Активная антивирусная защита может частично или полностью предотвратить установку основного обновления. Антивирусное программное обеспечение может вызвать проблемы во время установки обновления операционной системы, например, при обновлении до более новой версии Windows «на месте» — без удаления предыдущей версии Windows. Microsoft рекомендует отключить антивирусное программное обеспечение, чтобы избежать конфликтов с процессом установки обновления. [131] [132] [133] Активное антивирусное программное обеспечение также может мешать процессу обновления встроенного ПО . [134]
Функциональность некоторых компьютерных программ может быть ограничена активным антивирусным программным обеспечением. Например, TrueCrypt , программа шифрования дисков, на своей странице устранения неполадок заявляет, что антивирусные программы могут конфликтовать с TrueCrypt и вызывать его сбои или работу очень медленно. [135] Антивирусное программное обеспечение может снизить производительность и стабильность игр, работающих на платформе Steam . [136]
Проблемы с поддержкой также существуют в связи с совместимостью антивирусных приложений с распространенными решениями, такими как удаленный доступ SSL VPN и продукты контроля доступа к сети . [137] Эти технологические решения часто включают в себя приложения для оценки политик, для которых требуется установка и запуск новейшего антивируса. Если антивирусное приложение не распознается оценкой политики, либо потому, что антивирусное приложение было обновлено, либо потому, что оно не является частью библиотеки оценки политики, пользователь не сможет подключиться.
Исследования, проведенные в декабре 2007 года, показали, что эффективность антивирусного программного обеспечения снизилась по сравнению с предыдущим годом, особенно против неизвестных атак или атак нулевого дня . Компьютерный журнал не смог обнаружить, что уровень обнаружения этих угроз упал с 40–50% в 2006 году до 20–30% в 2007 году. В то время единственным исключением был антивирус NOD32 , уровень обнаружения которого составлял 68%. . [138] По данным трекера ZeuS, средний уровень обнаружения всех вариантов известного трояна ZeuS составляет всего 40%. [139]
Проблема усугубляется изменением намерений авторов вирусов. Несколько лет назад было очевидно наличие вирусной инфекции. В то время вирусы писались любителями и демонстрировали деструктивное поведение или всплывающие окна . Современные вирусы зачастую пишутся профессионалами, финансируемыми преступными организациями . [140]
В 2008 году Ева Чен , генеральный директор Trend Micro , заявила, что антивирусная индустрия уже много лет преувеличивает эффективность своих продуктов и поэтому вводит клиентов в заблуждение. [141]
Независимое тестирование всех основных антивирусных сканеров неизменно показывает, что ни один из них не обеспечивает 100% обнаружение вирусов. Лучшие из них обеспечили уровень обнаружения до 99,9% для смоделированных реальных ситуаций, а самые низкие — 91,1% в тестах, проведенных в августе 2013 года. Многие антивирусные сканеры также дают ложноположительные результаты, определяя неопасные файлы как вредоносные программы. [142]
Хотя методы могут отличаться, некоторые известные независимые агентства по тестированию качества включают AV-Comparatives , ICSA Labs , SE Labs, West Coast Labs, Virus Bulletin , AV-TEST и других членов Организации по стандартизации тестирования на вредоносное ПО . [143] [144]
Антивирусные программы не всегда эффективны против новых вирусов, даже те, которые используют несигнатурные методы обнаружения новых вирусов. Причина этого в том, что разработчики вирусов тестируют свои новые вирусы на основных антивирусных приложениях, чтобы убедиться, что они не обнаружены, прежде чем выпустить их в открытый доступ. [145]
Некоторые новые вирусы, особенно программы-вымогатели , используют полиморфный код , чтобы избежать обнаружения антивирусными сканерами. Джером Сегура, аналитик по безопасности компании ParetoLogic, объяснил: [146]
Это то, что они часто упускают из виду, потому что этот тип [вируса-вымогателя] приходит с сайтов, использующих полиморфизм, что означает, что они в основном рандомизируют отправляемый вам файл, и он очень легко проходит через известные антивирусные продукты. Я лично видел, как люди заражались, у них появлялись всплывающие окна, но при этом у них работало антивирусное программное обеспечение, которое ничего не обнаруживало. На самом деле от него тоже может быть довольно сложно избавиться, и никогда не знаешь, действительно ли оно исчезло. Когда мы видим что-то подобное, обычно мы советуем переустановить операционную систему или переустановить резервные копии. [146]
Вирус, подтверждающий концепцию, использовал графический процессор (GPU), чтобы избежать обнаружения антивирусным программным обеспечением. Потенциальный успех этого подхода предполагает обход процессора , что значительно усложняет исследователям безопасности анализ внутренней работы такого вредоносного ПО. [147]
Обнаружение руткитов является серьезной проблемой для антивирусных программ. Руткиты имеют полный административный доступ к компьютеру, невидимы для пользователей и скрыты из списка запущенных процессов в диспетчере задач . Руткиты могут изменять внутреннюю работу операционной системы и вмешиваться в работу антивирусных программ. [148]
Если файл заражен компьютерным вирусом, антивирусная программа при лечении попытается удалить код вируса из файла, но не всегда сможет восстановить файл в неповрежденном состоянии. [149] [150] В таких обстоятельствах поврежденные файлы можно восстановить только из существующих резервных копий или теневых копий (это также справедливо для программ-вымогателей [151] ); установленное программное обеспечение, которое повреждено, требует переустановки [152] (однако см. «Проверка системных файлов» ).
Любая записываемая прошивка компьютера может быть заражена вредоносным кодом. [153] Это серьезная проблема, поскольку зараженный BIOS может потребовать замены фактического чипа BIOS, чтобы гарантировать полное удаление вредоносного кода. [154] Антивирусное программное обеспечение неэффективно защищает встроенное ПО и BIOS материнской платы от заражения. [155] В 2014 году исследователи безопасности обнаружили, что USB- устройства содержат записываемую прошивку, которую можно модифицировать с помощью вредоносного кода (получившего название « BadUSB »), который антивирусное программное обеспечение не может обнаружить или предотвратить. Вредоносный код может работать на компьютере незамеченным и даже заразить операционную систему до ее загрузки. [156] [157]
Антивирусное программное обеспечение имеет некоторые недостатки, в первую очередь то, что оно может влиять на производительность компьютера . [158]
Кроме того, неопытные пользователи могут испытывать ложное чувство безопасности при использовании компьютера, считая свои компьютеры неуязвимыми, и могут иметь проблемы с пониманием подсказок и решений, которые им предлагает антивирусное программное обеспечение. Неправильное решение может привести к нарушению безопасности. Если антивирусное программное обеспечение использует эвристическое обнаружение, его необходимо настроить, чтобы свести к минимуму ошибочное определение безвредного программного обеспечения как вредоносного ( ложное срабатывание ). [159]
Само антивирусное программное обеспечение обычно работает на уровне ядра операционной системы с высоким уровнем доверия , что позволяет ему получить доступ ко всем потенциально вредоносным процессам и файлам, создавая потенциальный путь атаки . [160] Спецслужбы Агентства национальной безопасности США (АНБ) и Штаба правительственной связи Великобритании (GCHQ) соответственно используют антивирусное программное обеспечение для слежки за пользователями. [161] Антивирусное программное обеспечение имеет высокопривилегированный и доверенный доступ к базовой операционной системе, что делает его гораздо более привлекательной целью для удаленных атак. [162] Кроме того, антивирусное программное обеспечение «на годы отстает от клиентских приложений, заботящихся о безопасности, таких как браузеры или программы для чтения документов. Это означает, что Acrobat Reader, Microsoft Word или Google Chrome труднее взломать, чем 90 процентов существующих антивирусных продуктов». там», — говорит Джоксиан Корет, исследователь Coseinc, сингапурской консалтинговой компании по информационной безопасности . [162]
Антивирусное программное обеспечение, работающее на отдельных компьютерах, является наиболее распространенным методом защиты от вредоносных программ, но не единственным решением. Пользователи также могут использовать другие решения, включая Unified Threat Management ( UTM ), аппаратные и сетевые межсетевые экраны, облачный антивирус и онлайн-сканеры.
Сетевые брандмауэры предотвращают доступ неизвестных программ и процессов к системе. Однако они не являются антивирусными системами и не пытаются что-либо идентифицировать или удалить. Они могут защитить от заражения извне защищаемого компьютера или сети , а также ограничить активность любого присутствующего вредоносного программного обеспечения, блокируя входящие или исходящие запросы на определенных портах TCP/IP . Брандмауэр предназначен для борьбы с более широкими системными угрозами , исходящими от сетевых подключений к системе, и не является альтернативой системе защиты от вирусов.
Облачный антивирус — это технология, которая использует легкое агентское программное обеспечение на защищаемом компьютере, перекладывая при этом большую часть анализа данных на инфраструктуру провайдера. [163]
Один из подходов к внедрению облачного антивируса включает сканирование подозрительных файлов с использованием нескольких антивирусных механизмов. Этот подход был предложен в ранней реализации концепции облачного антивируса под названием CloudAV. CloudAV был разработан для отправки программ или документов в сетевое облако , где одновременно используются несколько антивирусных и поведенческих программ обнаружения, чтобы повысить уровень обнаружения. Параллельное сканирование файлов с использованием потенциально несовместимых антивирусных сканеров достигается за счет создания виртуальной машины для каждого механизма обнаружения и, следовательно, устранения любых возможных проблем. CloudAV также может выполнять «ретроспективное обнаружение», при котором механизм облачного обнаружения повторно сканирует все файлы в своей истории доступа к файлам при обнаружении новой угрозы, тем самым повышая скорость обнаружения новых угроз. Наконец, CloudAV — это решение для эффективного сканирования вирусов на устройствах, которым не хватает вычислительной мощности для самостоятельного сканирования. [164]
Некоторыми примерами облачных антивирусных продуктов являются Panda Cloud Antivirus и Immunet . Comodo Group также выпустила облачный антивирус. [165] [166]
Некоторые поставщики антивирусов поддерживают веб-сайты с возможностью бесплатного онлайн-сканирования всего компьютера, только критических областей, локальных дисков, папок или файлов. Периодическое онлайн-сканирование — хорошая идея для тех, кто запускает на своих компьютерах антивирусные приложения, поскольку эти приложения часто медленно обнаруживают угрозы. Одним из первых действий вредоносного программного обеспечения при атаке является отключение любого существующего антивирусного программного обеспечения, и иногда единственный способ узнать об атаке — это обратиться к онлайн-ресурсу, который не установлен на зараженном компьютере. [167]
Доступны инструменты удаления вирусов, которые помогут удалить стойкие инфекции или инфекции определенного типа. Примеры включают средство удаления вредоносных программ для Windows , [168] Sophos Scan & Clean , [169] и средство удаления вирусов Касперского . [170] Также стоит отметить, что иногда антивирусное программное обеспечение может выдавать ложноположительный результат, указывая на заражение там, где его нет. [171]
Загрузочный аварийный диск, например компакт-диск или USB-накопитель, можно использовать для запуска антивирусного программного обеспечения вне установленной операционной системы с целью удаления инфекций, пока они неактивны. Загрузочный аварийный диск может быть полезен, например, если установленная операционная система больше не является загрузочной или содержит вредоносное ПО, которое сопротивляется всем попыткам удалить установленное антивирусное программное обеспечение. Примеры программного обеспечения, которое можно использовать на загрузочном аварийном диске, включают Trend Micro Rescue Disk , [172] Kaspersky Rescue Disk , [173] и Comodo Rescue Disk . [174] Большую часть программного обеспечения аварийного диска можно также установить на USB-накопитель, который можно загрузить на новых компьютерах.
Согласно опросу ФБР, крупные предприятия ежегодно теряют 12 миллионов долларов из-за вирусных инцидентов. [175] Опрос, проведенный Symantec в 2009 году, показал, что треть представителей малого и среднего бизнеса в то время не использовали антивирусную защиту, тогда как более 80% домашних пользователей имели какой-либо антивирус. [176] По данным социологического опроса, проведенного компанией G Data Software в 2010 году, 49% женщин вообще не пользовались антивирусными программами. [177]
{{citation}}
: CS1 maint: неподходящий URL ( ссылка )