Методы обнаружения и удаления компьютерных вирусов. Профилактические меры защиты
Известны следующие методы обнаружения вирусов:
- сканирование;
- обнаружение изменений;
- эвристический анализ;
- использование резидентных сторожей;
- вакцинирование программ;
- аппаратно-программная защита от вирусов.
1 Сканирование – это один из самых старых и простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру.
Недостатки:
- Умение определять только уже известные вирусы
- Не способность противостоять проникновению вирусов и прпятствооать их вредительским действиям
- Неспособность обнаружить полиморфные и стелс-вирусы.
Самой известной программой-сканером в России является Aidstest Дмитрия Лозинского.
2 Метод обнаружения изменений - базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.
Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролироваться также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.
Достоинство - является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов (обнаруживают даже «стелс»-вирусы). Например, программа-ревизор Adinf , разработанная Д. Ю Мостовым
Недостаток - программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными (например, обнаружения заражения макровирусами).
3 Эвристический анализ - как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.
Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.
Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.
4 В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл.
Существенным недостатком данного метода является значительный процент ложных тревог , что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.
5 Вакцинация программ. Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.
Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.
Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.
В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом.
6 Постоянный мониторинг. Программы-мониторы имеют одно коренное отличие от других антивирусов. Дело в том, что они работают резидентно, то есть постоянно загружены в память компьютера. В задачу монитора входит проверка всех уязвимых файлов, к которым обращается любое приложение операционной системы.
В принципе, это самый удобный для пользователя вариант. И действительно, не нужно постоянно помнить о необходимости проверки новых файлов. Не нужно терять время в ожидании, пока сканер проверит все файлы на жестком диске. Программы-мониторы работают постоянно и незаметно для пользователя. Хотя, с другой стороны, любое резидентное приложение, тем более такое "активное", требует дополнительных затрат системных ресурсов. Поэтому на старых слабых компьютерах антивирусные мониторы могут стать причиной замедленной работы ПК. Второй важный плюс постоянного мониторинга помимо удобства для пользователей - это надежность. И действительно, этот метод, в отличие от остальных, позволяет определить и обезвредить вирус еще до того, как он приступил к своей разрушительной деятельности.
Монитор "перехватывает" обращения операционной системы к файлам и сначала проверяет их. При этом используются оба описанных выше метода - поиск известных сигнатур и эвристический анализ. Если в результате проверки монитор обнаруживает вирус, то доступ к файлу блокируется, а пользователю выдается специальное сообщение с предложением выбрать необходимое действие (попытаться вылечить файл, удалить его, поместить в специальную папку и т. п.). Ну а если объект "чист", то монитор ничего не делает, а приложение, обращавшееся к нему, продолжает свою работу.
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
· Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
· Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре
Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:
· Удалить инфицированный файл.
· Заблокировать доступ к инфицированному файлу.
· Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
· Попытаться восстановить файл, удалив сам вирус из тела файла.
· В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: Проактивная защита , Поведенческий блокиратор , Host Intrusion Prevention System (HIPS) . В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe"n"Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
Метод обнаружения при помощи эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.
Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например, не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.
Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.
Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам незаражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.
Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы необнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.
Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.
Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.
Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.
Инструкция
О присутствии вируса свидетельствовать могут в первую очередь явные признаки. К примеру, на экране всплывают сообщения или открываются незапрашиваемые интернет-страницы. С явными проявлениями наличия вируса можно столкнуться, если на компьютере поселилась троянская программа.
К тому же о том, что ПК заражен, догадаться можно по скрытым признакам. То есть вирусы сами по себе неприметны, а узнать об их присутствии сможете, если заглянете в реестр.
Кроме того, есть и косвенные признаки присутствия вредоносного программного обеспечения. К этой категории «симптомов» отнести можно внезапное зависание работающей программы, появление на экране сообщения о неизвестной ошибке и прочие проявления.
Чтобы отыскать вирус без антивируса, нажмите комбинацию клавиш Shift+Ctrl+Esc или Alt+Ctrl+Delete: на экране запустится диспетчер задач (в нем четыре колонки). Посмотрите содержимое первой колонки – «Имя обзора»: здесь увидите информацию о протекающих подозрительных или неподозрительных процессах. У каждого пользователя ПК свой набор основных процессов, поэтому удостоверьтесь, что среди дополнительных операций нет сомнительных.
Нередко вирусы попадают в автозапуск. Чтобы отыскать автоматически запускаемые файлы, откройте меню «Пуска», затем кликните по вкладке «Все программы» и выберите пункт «Автозагрузка». Отыскать вредоносные программы также можно при помощи софта Ccleaner или Auslogics.
Откройте системную утилиту msconfig.exe: для этого нажмите «Пуск», после чего кликните по вкладке «Выполнить», а затем напишите название открываемого приложения. Там также есть вкладка «Службы», в которой находятся те системные компоненты, которые запускается при включении персонального компьютера. В этом списке находиться могут и вредоносные программы.
Обратите внимание
С вирусами шутки плохи: обязательно установите антивирус.
Прежде чем удалить файл, убедитесь в том, что он действительно сомнительный.
Связанная статья
Источники:
- Признаки заражения компьютера вирусами
- как удалить вирус без антивируса
Вам знакомо загораживающее весь экран синее окно с просьбой отправить СМС, чтобы разблокировать компьютер? А мучительная работа в Интернет, когда вы ничего не закачиваете, а счетчик трафика мотает мегабайты каких-то данных? Или, может быть, один за другим перестают запускаться exe-файлы? Если да, вам необходимо срочно устранить вирус!
Инструкция
Если даже папка не может удалиться, попробуйте изменить один любой в нее названии. Щелкните правой кнопкой мыши по значку папки и выберите в контекстном меню пункт «Переименовать», затем введите новое измененное имя. После этого попробуйте вновь удалить папку.
Если вы проделали операции, описанные выше, но папка так и не удалилась, воспользуйтесь бесплатной утилитой Unlocker. Эта программа позволяет обрабатывать заблокированные для пользователя файлы и папки. После установки Unlocker, щелкните по папке, которую следует удалить, правой кнопкой мыши, выберите пункт “Unlocker”. В диалоге программы вы увидите список системных процессов, который препятствует удалению папки. Завершите эти процессы, а затем удалите файл.
Unlocker способен удалять файлы и папки, которые используются другим приложением, а также доступ к которым закрыт или запрещен. Unlocker также работает в случаях, когда диск переполнен или защищен от записи, когда файл используется другой программой, и когда нарушается совместное использование директории.
Компьютерный вирус – программа, которая наносит вред компьютеру. Он может выполнять различные действия без разрешения пользователя. В том числе блокировать работу той или иной программы или полностью операционной системы. Избавляться от вирусов нужно как можно быстрее.
Вам понадобится
- -антивирус;
- -лечащие бесплатные утилиты;
- -программа procexp;
- -LiveCD;
- -жесткий диск с установленной ОС.
Инструкция
Если не блокирует работу с компьютером, запустите установленный антивирус. Установите сканирование всех жестких дисков. В том числе съемных или . Если вирус будет найден, программа предложит вылечить его, отправить в карантин или удалить. Если вы уверены, что такую программу вы не устанавливали на компьютер, выберите функцию удалить.
Там вы увидите файл hosts. Откройте его с помощью блокнота. Удалите все, что будет идти после строчки 127.0.0.1 localhost. Сохраните изменения. Потом перезагрузите компьютер. Вирус будет удален. После этого на всякий случай проверьте компьютер любым антивирусом.
Если посредине рабочего стола находится баннер, который не дает вам работать, нужно войти в компьютер в безопасном режиме. Потом запустите любой антивирус или лечащую утилиту. Удалите все найденные вирусы и запустите компьютер в обычном режиме.
Если баннер закрывает не весь рабочий стол, его можно удалить и вручную. Установите программу procexp. Запустите ее. Передвиньте так, чтобы было видно все запущенные процессы. Найдите вирус. Как правило, он выделяется ярким цветом. Найдите папку, где он находится.
Зайдите в эту папку. Сделайте все невидимые папки видимыми. Удалите вирус и почистите корзину. Такой вариант подходит только для обычной загрузки операционной системы. Если вы зашли в безопасном режиме, вирус будет неактивен. И, соответственно, видеть его вы не будете.
Если нет возможности выполнить ни одно действие, нужно запустить операционную систему с другого диска. Запустите ОС с LiveCD. Запустите полную проверку на вирусы антивирусом или лечащей утилитой. Удалите вирус.
Подключите другой жесткий диск с установленной операционной системой. Запустите ОС с него. Просканируйте все жесткие диски с помощью антивируса или лечащей утилиты. Удалите вирус.
Видео по теме
Обратите внимание
Как только вы поняли, что на компьютере находится вирус, отключите его от локальной сети, если она есть.
Полезный совет
Не останавливайте действие антивируса до тех пор, пока не завершится полное сканирование всех дисков.
Источники:
- Как избавиться от вирусов без антивирусных программ
Если вы очень долгий период пользовались компьютером без антивирусной программы, но потом все же решили установить антивирус, велика вероятность того, что в компьютере уже есть вирусы, которые нужно удалить. Даже если у вас была установлена антивирусная программа, время от времени нужно сканировать систему на наличие вирусов и, в случае их обнаружения, удалять. Отсутствие вирусов на компьютере делает работу системы стабильной и гарантирует безопасность ваших личных файлов.
Вам понадобится
- Персональный компьютер, антивирусная программа ESET NOD32
Инструкция
Дальнейшие инструкции по удалению вирусов будут приводиться на примере антивирусной программы ESET NOD32. Вы можете скачать данный антивирус с официального сайта компании ESET. Доступна полностью бесплатная тривиальная со сроком бесплатного использования один месяц.
После установки NOD32 значок программы появится на панели задач операционной системы. Вам необходимо войти в меню программы. Для этого дважды нажмите мышкой по значку программы. В появившемся меню выберите компонент «Сканирование ПК», а в следующем окне - параметр «Выборочное сканирование».
Дальше нужно выбрать объекты сканирования. В качестве объектов сканирования отметьте все разделы жесткого диска, оперативную память и даже виртуальные приводы компьютера (если они есть). Теперь обратите внимание на окна: «Профиль сканирования». Рядом находится стрелочка. Нажмите на нее. Откроется список профилей сканирования. Выберите «Глубокое сканирование». После того, как все параметры проверки компьютера будут установлены, нажмите «Сканировать».
Дождитесь завершения операции сканирования. Затем откроется журнал, в котором будут результаты сканирования. Там и будет список найденных вирусов. Напротив типа вируса будет стрелочка, нажатием по которой вы откроете список возможных действий. Из списка действий выберите «Удалить». Затем снизу окна нажмите «Выполнить». После этого будет удален из компьютера. Таким способом вы можете удалить все найденные программой вирусы.
Если среди зараженных файлов был файл, который необходим для нормальной работы операционной системы, удалить вы его не сможете. После того, как вы выберите действие «Удалить», появится сообщение: «Удаление невозможно». Вирус будет помещен в карантин и изолирован. Находясь в карантине, он не будет распространяться и заражать другие файлы.
Видео по теме
Вирусы и вредоносные программы блокируют полноценную работу вашего персонального компьютера. Чтобы обезопасить ваш ПК, необходимо использовать антивирус. Но если у вас нет антивируса, то можно справиться и без него.
Инструкция
Если в оперативную систему вашего персонального компьютера попала вирусная программа Winlock, то с ней можно справиться, не прибегая к помощи антивирусного программного обеспечения. Воспользуйтесь функцией вашего компьютера «Восстановления системы». Если меню пуск доступно, то откройте «Пуск» - «Все программы» - «Стандартные» и выберите «Восстановление системы». Укажите точку «отката» (данная отметка устанавливается автоматически с определенным периодом, но можете установить ее самостоятельно) и нажмите «Далее». Начнется процесс «отката» системы на заданный период времени.
После данной операции вирус будет удален с вашего компьютера.
Если вирус заблокировал рабочий стол персонального компьютера, то можно запустить «Восстановление системы» через командную строку. Нажмите горячие клавиши Ctrl+Alt+Delete, чтобы вызвать Диспетчер задач. В появившемся диалоговом окне нажмите ссылку «Файл» - «Новая задача (Выполнить…)». Введите команду “cmd.exe”. Появится окно командной строки. Теперь необходимо вписать следующее: %systemroot%system32
estore
strui.exу и нажать “Enter”. Начнется автоматическое восстановление системы.
Метод сравнения с эталоном –самый простой метод, осуществляется путем последовательного сканирования файлов в поиске масок известных вирусов (некоторая постоянная последовательность кода, специфичная для этого конкретного вируса). Данный метод не эффективен для новых, шифрующихся и полиморфных вирусов.
Эвристический анализ - имея список действий характерных для вирусов (копирование в память, запись в сектора), проверяет программы, загрузочные сектора дисков, пытаясь обнаружить в них вредоносный код. Позволяет обнаруживать не известные ранее вирусы.
Антивирусный мониторинг- осуществляет мониторинг загружаемых и исполняемых программ и документов на выполнение потенциально опасных действий.
Метод обнаружения изменений – запоминая характеристики всех областей диска, которые потенциально могут подвергнуться нападению, периодически проверяет их, сигнализируя об изменениях.
Встраивание антивирусов в BIOS - позволяет контролировать все обращения к главной загрузочной записи жесткого диска.
Обзор антивирусных программ
Фаги (сканеры) – используют метод сравнения с эталоном, эвристического анализатора и др. Сканируют ОП, при нахождении вируса уничтожают его, а затем переходят к «лечению» файлов. Выделяют универсальные сканеры, рассчитанные на поиск и обезвреживание всех типов вирусов вне зависимости от ОС и специализированные – предназначенные для обезвреживания ограниченного числа вирусов и только одного класса (например, макровирусы). По нахождению в ОП делятся на резидентные (сканирование на «лету») и нерезидентные (сканирование по запросу). К достоинства данных программ можно отнести их универсальность, к недостаткам– небольшая скорость поиска вирусов, большие размеры вирусных баз.
Ревизоры (CRC -сканеры) - основаны на подсчете кодов циклического контроля для присутствующих на диске фалов/системных секторов и хранящихся в базе антивирусной программы. При несовпадении данных сканер сигнализирует, о том, что файл заражен или изменен. Однако ревизоры не могут определить вирусы в новых файлах.
Блокировщики – реализуют методантивирусного мониторинга, способность обнаруживать вирус на самой ранней стадии размножения. Недостатком данной программы является не способность уничтожить вирус и «назойливость»- постоянное предупреждение о любой попытке копирования исполняемого файла.
Иммунизаторы- предотвращают заражения файлов. Делятся на 2 класса:
Сообщающие о заражении. Программа записывается в конец файла и при запуске проверяет его на изменение. К недостатку данной программ можно отнести неспособность обнаруживать стелс-вирусы.
Блокирующие заражение каким-либо типом вируса. Происходит модификация файла или диска таким образом, что вирус воспринимает их зараженными и не внедряется. Однако данный иммунизатор защищает систему только от определенных вирусов.
Методы защиты в субд
К защите применительно в аспекте баз данных можно отнести следующие методы:
1. Механизмы аутентификации и идентификации;
2. Механизмы резервного копирования (технология архивации с помощью магнитных лент– достоинства дешево, но долго и зеркальных дисков- быстро но дорого)
3. Механизмы разграничения доступа в зависимости от уровня секретности.
4.Криптографическая защита
Сигнатурный анализ
Этот метод обнаружения применяется в первую очередь. Он выполняется путем проверки содержимого анализируемого объекта на предмет наличия в нем сигнатур уже известных угроз. Сигнатурой называется непрерывная конечная последовательность байт, необходимая и достаточная для однозначной идентификации угрозы. При этом сравнение содержимого исследуемого объекта с сигнатурами производится не напрямую, а по их контрольным суммам, что позволяет значительно снизить размер записей в вирусных базах, сохранив при этом однозначность соответствия и, следовательно, корректность обнаружения угроз и лечения инфицированных объектов. Записи в вирусных базах Dr.Web составлены таким образом, что благодаря одной и той же записи можно обнаруживать целые классы или семейства угроз.
Origins Tracing™
Это уникальная технология Dr.Web , которая позволяет определить новые или модифицированные угрозы, использующие уже известные и описанные в вирусных базах механизмы заражения или вредоносное поведение. Она выполняется по окончании сигнатурного анализа и обеспечивает защиту пользователей, использующих антивирусные решения Dr.Web , от таких угроз, как троянская программа-вымогатель Trojan.Encoder.18 (также известная под названием «gpcode»). Кроме того, использование технологии Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора. К названиям угроз, обнаруженных при помощи Origins Tracing , добавляется постфикс .Origin.
Эмуляция исполнения
Метод эмуляции исполнения программного кода используется для обнаружения полиморфных и шифрованных вирусов, когда использование поиска по контрольным суммам сигнатур неприменимо или значительно усложнено из-за невозможности построения надежных сигнатур. Метод состоит в имитации исполнения анализируемого кода при помощи эмулятора – программной модели процессора и среды исполнения программ. Эмулятор оперирует с защищенной областью памяти (буфером эмуляции ). При этом инструкции не передаются на центральный процессор для реального исполнения. Если код, обрабатываемый эмулятором, инфицирован, то результатом его эмуляции станет восстановление исходного вредоносного кода, доступного для сигнатурного анализа.
Эвристический анализ
Работа эвристического анализатора основывается на наборе эвристик (предположений, статистическая значимость которых подтверждена опытным путем) о характерных признаках вредоносного и, наоборот, безопасного исполняемого кода. Каждый признак кода имеет определенный вес (т. е. число, показывающее важность и достоверность этого признака). Вес может быть как положительным, если признак указывает на наличие вредоносного поведения кода, так и отрицательным, если признак не свойственен компьютерным угрозам. На основании суммарного веса, характеризующего содержимое объекта, эвристический анализатор вычисляет вероятность содержания в нем неизвестного вредоносного объекта. Если эта вероятность превышает некоторое пороговое значение, то выдается заключение о том, что анализируемый объект является вредоносным.
Эвристический анализатор также использует технологию FLY-CODE™ – универсальный алгоритм распаковки файлов. Этот механизм позволяет строить эвристические предположения о наличии вредоносных объектов в объектах, сжатых программами упаковки (упаковщиками), причем не только известными разработчикам продукта Dr.Web , но и новыми, ранее не исследованными программами. При проверке упакованных объектов также используется технология анализа их структурной энтропии, которая позволяет обнаруживать угрозы по особенностям расположения участков их кода. Эта технология позволяет на основе одной записи вирусной базы произвести обнаружение набора различных угроз, упакованных одинаковым полиморфным упаковщиком.
Поскольку эвристический анализатор является системой проверки гипотез в условиях неопределенности, то он может допускать ошибки как первого (пропуск неизвестных угроз), так и второго рода (признание безопасной программы вредоносной). Поэтому объектам, отмеченным эвристическим анализатором как «вредоносные», присваивается статус «подозрительные».
Во время любой из проверок все компоненты антивирусных продуктов Dr.Web используют самую свежую информацию обо всех известных вредоносных программах. Сигнатуры угроз и информация об их признаках и моделях поведения обновляются и добавляются в вирусные базы сразу же, как только специалисты Антивирусной Лаборатории «Доктор Веб» обнаруживают новые угрозы, иногда – до нескольких раз в час. Даже если новейшая вредоносная программа проникает на компьютер, минуя резидентную защиту Dr.Web , то она будет обнаружена в списке процессов и нейтрализована после получения обновленных вирусных баз.
