Файл: Исследование проблем борьбы с вирусами и антивирусные программы (Понятие и классификация антивирусных программ).pdf

Множественные тестирования показали, что данный комплекс программ для защиты компьютера не уступает платным аналогам и даже превосходит их, поэтому можно по праву сказать, что данный софт – это лучший бесплатный защитник нового года.

2.2.Основные проблемы антивирусной индустрии и пути их решения

С какими же проблемами может столкнуться антивирусная индустрия, за исключением обычного маркетингового противоборства? Есть вирусы — и есть антивирусы, которые их ловят. И на первый взгляд, антивирус давно стал обычным потребительским товаром, который практически ничем не отличается от конкурирующих продуктов и который покупают либо за более красивый дизайн, либо потому, что данный продукт был удачно разрекламирован, либо по какой-либо еще совсем не технической причине. Т.е. антивирус вроде как давно должен стать тем самым «commodity», продуктом массового потребления, вроде стиральных порошков, зубных щеток или автомобилей.

К сожалению это совсем не так, и часто выбор антивирусного решения основывается не на его дизайне, цене или удачной рекламе, а на технических характеристиках, которые сильно отличаются в различных антивирусных продуктах. Пользователи чаще всего сосредоточены не на тех антивирусных программах, которые защищают от определенного типа вируса или кибератаки, а выбирают такие антивирусы, которые предлагают общий уровень защиты от всех вирусов.

Антивирус должен защищать от всех видов вредоносных программ, и чем он лучше это делает, тем спокойнее живет его пользователь и дольше и крепче спит системный администратор. И тот, кто не понимает этого в теории, очень скоро столкнется с практическими последствиями.

Без хорошей антивирусной программы, кто-то может начать красть деньги с банковского счета пользователя, или компьютер может начать набирать номера телефонов бес согласия пользователя, оставляя пользователю задаваться вопросом, почему исходящий трафик увеличивается с каждым днем все больше и больше.

Предположим, если антивирусный продукт X ловит, предположим, 50% всех вирусов, циркулирующих в настоящее время в Интернете, продукт Y — 90%, а продукт Z — 99,9%, то нетрудно подсчитать вероятность того, в каком случае в результате N атак компьютер останется целым и неинфицированным или, наоборот, в нем поселится какая-нибудь очередная зараза. Если компьютер был атакован 10 раз, то вероятность «провала» для продукта X практически гарантирована (99,9%), для Y более чем вероятна (65%), а для Z опасность бесконечно мала — всего 1%.

К сожалению, далеко не все антивирусные программы, которые можно увидеть на полках магазинов или купить в сети, предлагают защиту, близкую к 100%.

Большинство продуктов не способны гарантировать даже 90%-ный уровень защиты! Это и является главной проблемой перед антивирусной индустрии сегодня.

Проблема № 1.

Количество и разнообразие вредоносных программ увеличивается из года в год. В результате многие антивирусные компании просто не в состоянии справиться с натиском, и проигрывают в вирусной «гонке вооружений», а пользователи, которые выбрали данный антивирусный продукт, оказываются, защищены далеко не от всех вирусов. Увы, продукты далеко не всех антивирусных компаний можно назвать действительно антивирусными.

При этом лет пять или десять назад можно было сказать, что защищаться от всех новых вирусов и троянских программ не надо — ведь большинство из них так никогда и не попадали в компьютеры пользователей, поскольку были написаны подростками-хулиганами с целью показывания своих навыков либо просто из любопытства, и нужно было защищать только от тех немногих вирусов, которые все же добрались до компьютеров-жертв. Сейчас же это не так. Более 75% вредоносных программ, то есть их подавляющее большинство сейчас создаются из криминального компьютерного подполья с целью заражения необходимого количества компьютеров в сети Интернет, а количество новых вирусов и троянских программ в настоящее время растет на несколько сотен ежедневно (так, в Лабораторию Касперского ежедневно попадают 200-300 новых образцов).

Многие антивирусные компании просто не в состоянии угнаться за ростом количества и разнообразия вредоносных программ.

Данные вирусные образцы поставляются в лабораторию из нескольких источников: от автоматических «липучек» (honeypots — специально разработанных комплексов сбора вредоносных файлов в сети), от зараженных пользователей, от администраторов локальных сетей, от интернет-провайдеров и от других антивирусных компаний. Несмотря на маркетинговую рубку на отведенном рыночном пространстве (как это происходит на всех без исключения рынках), антивирусные компании сотрудничают друг с другом. При обнаружении нового опасного быстро распространяющегося червя антивирусные компании практически моментально оповещают своих коллег-конкурентов и высылают образец (штамм) вируса. И большинство антивирусных компаний обмениваются образцами вируса, по крайней мере, раз в месяц. Также идет обмен информацией в специализированных конференциях, закрытых от посторонних глаз. Это можно назвать профессиональной этикой, но никакого информационного отчуждения в антивирусной среде нет (за исключением компаний-изгоев, запятнавших свою репутацию неэтичными поступками).

Давайте предположим, что новый вирус или троян обнаружен в сети или на зараженном компьютере. Что это означает? А ровно то, что вероятность подцепить данного паразита далеко не нулевая, и не исключено, что в сети уже десятки, сотни, а может, и тысячи уже зараженных пользователей. А если новый паразит является сетевым червем, то счет жертв может достигнуть и миллионы. Поэтому антивирусным компаниям необходимо моментально выпускать обновления своих антивирусных баз. Это приводит нас ко второй проблеме, с которой сталкивается антивирусная индустрия.

Проблема № 2.

Сегодня вредоносные программы распространяются так быстро, что заставляет антивирусные компании выпускать защитные обновления как можно чаще — чтобы свести к минимуму количество пользователей, которые потенциально могут быть подвержены заражению. К сожалению многие антивирусные компании не могут сделать этого и пользователи, которые получили обновления от этих компаний уже на практике заражены.

Однако предположим, что злобный вирус, несмотря на все установленные защиты, пробрался в систему и поселился в ней, а установленный не очень бдительный страж-антивирус не обнаруживает каких-либо подозрительных действий (или антивирус у ленивого пользователя, не спешащего скачать и установить очередные обновления антивирусных баз). Рано или поздно апдейты доставляются, и вирус обнаружен — но не побежден. Чтобы избавиться от вируса раз и навсегда, зараженные файлы должны быть полностью удалены. «Осторожно» является ключевым словом здесь и в этом кроется очередная проблема антивирусных программ.

Проблема № 3.

Третья проблема, с которой сталкиваются антивирусная индустрия –это удаление вредоносного кода обнаруженного на зараженном компьютере. Часто вирусы и троянские программы сделаны таким образом, что позволяют им скрывать факт своего присутствия в системе, и/или встраиваются в нее настолько глубоко, что удаление данного паразита становится сложной задачей. Увы, некоторые антивирусные программы не могут удалить вредоносный код и восстановить данные, которые были изменены вирусом, не вызывая дополнительных проблем.

Далее, любое программное обеспечение потребляет ресурсы компьютера. Антивирусы — не исключение. Чтобы защитить компьютер, антивирусная программа должна выполнить определенные действия: открывать файлы, читать из них информацию, раскрывать архивы для их проверки и т.п. И чем тщательнее проверяются файлы, тем больше требуется ресурсов от компьютера. В результате появляется проблема баланса: полноценная защита или скорость работы.

Проблема № 4.

Целесообразность потребления ресурсов. Увы, данная проблема нерешаема — как показывает практика, все «скорострельные» антивирусы очень сильно «дырявы» и пропускают вирусы и троянские программы, как дуршлаг воду. Тем не менее, обратное тоже неверно: далеко не все антивирусы которые работают медленно, не всегда обеспечивают эффективную защиту.

Для того чтобы сканировать файлы «на лету» и обеспечить постоянную защиту компьютера, антивирусным программам приходится достаточно глубоко проникать в ядро системы, причем проникать приходится в одни и те же зоны. С технической точки зрения, антивирусы должны устанавливать перехватчики системных событий глубоко внутри защищаемой системы и передавать результаты своей работы антивирусному «движку» для проверки перехваченных файлов, сетевых пакетов и других потенциально опасных объектов.

Увы, иногда это просто невозможно – установить два перехватчика на необходимом уровне ядра операционной системы. В результате — несовместимость постоянно работающих антивирусных «мониторов»; второму антивирусу либо не удается перехватить системные события, либо пытается дублировать механизм перехвата, что приводит к краху системы. И в этом кроется следующая антивирусная проблема.

Проблема № 5.

Технологическая исключительность. Антивирусы не терпят наличия конкурирующих программ на одном и том же ПК. Установить два различных антивируса на один компьютер, чтобы обеспечить двойную защиту невозможно по техническим причинам, так как они просто не уживаются друг с другом.

Часто говорят, что антивирусные компании ведут себя как малыши в одной комнате, хватая игрушки друг друга, что несовместимость различных антивирусов на одном компьютере вызвана результатом недобросовестной конкуренции — специально разработанной для того, чтобы вытеснить с рынка других производителей. Однако, это не так. Никакой недобросовестной конкуренции, хочу отметить, в этом вопросе нет. Напротив, разработчики делают все возможное, чтобы не возникало конфликтов с другим популярным программным обеспечением (включая антивирусные).

Вот так, по моему мнению, и распределяются основные практические проблемы антивирусных программ.

Естественно, у производителей антивирусных программ время от времени возникает желание придумать какую-нибудь совершенно новую технологию, которая одним ударом решала бы все перечисленные выше проблемы — разработать своего рода универсальную панацею, которая будет защищать от всех компьютерных болезней раз и навсегда. Это проактивная защита позволит обнаружить вирус и удалить его еще до момента его создания и появления в сети — и это может быть применено ко всем появляющимся вредоносным угрозам.

К сожалению, это просто невозможно. Универсальные средства годятся против тех напастей, которые действуют по каким-либо устоявшимся законам.

Компьютерные вирусы же никаким законам не подчиняются, поскольку являются творением не природы, а изощренного хакерского ума. Т.е. законы, которым подчиняются вирусы, постоянно меняются в зависимости от целей и желаний компьютерного андеграунда.

Компьютерные вирусы никаким законам не подчиняются.

Давайте возьмем пример поведенческого блокиратора, который является конкурентом для традиционных антивирусных решений, основанный на вирусных сигнатурах. Это два совершенно разных, не исключающих друг друга подхода к сканированию вирусов. Сигнатура — представляет собой небольшой фрагмент кода, который можно сравнить с файлами, и антивирус проверяет являются ли они идентичными. Поведенческий блокиратор, с другой стороны, отслеживает за действиями программ при их запуске и прекращает работу программы в случае ее подозрительных или явно вредоносных действий (для этого у них есть специальный набор правил). Оба метода имеют свои преимущества и недостатки.

Одним из преимуществ сигнатурного сканера — гарантированный отлов тех паразитов, которых он «знает в лицо». Минус — не может обнаружить те вредоносные коды, с которыми прежде не сталкивался. Еще один потенциальный минус - это большой объем антивирусных баз и ресурсоемкость. Достоинство поведенческого блокиратора — обнаружение даже неизвестных вредоносных программ. Недостаток — возможны ложные срабатывания, ведь поведение современных вирусов и троянских программ настолько разнообразно, что покрыть их всех единым набором правил просто невозможно. Т.е. поведенческий блокиратор будет гарантированно пропускать что-то вредное и периодически блокировать работу чего-то весьма полезного.

Поведенческий блокиратор имеет также и другой недостаток, а именно — неспособность бороться с принципиально новыми вредоносными программами. Представим себе, что некая компания X разработала поведенческий антивирус AVX, который обнаруживает 100% текущих вирусов. Что же делают хакеры? Конечно — изобретают принципиально новые типы вредоносных программ. И антивирусу AVX срочно потребуются обновления поведенческих правил — апдейты. Потом снова апдейты, поскольку хакеры и вирусописатели не спят. Потом — еще и еще апдейты. И в результате мы придем к тому же сигнатурному сканеру, только сигнатуры будут «поведенческими», а не «кусками кода».