Одминский блог

Антивирус не панацея

В последнее время неоднократно приходится сталкиваться с жалобами вроде, стоял антивирус, а компьютер заразился какой то бякой или увели пароли, аккаунты. Во всем виноват антивирус, который не словил зловреда. И начинаются поиски нового антивируса, а на гора выдается экспертное мнение – NOD, Kasper, DrWeb полное фуфло.

И ничего что по хорошему виноват не антивирус, а сам пользователь, так как антивирус никогда не был панацеей от взломов или эксплуатирования каких то уязвимостей системы.

Более того, существует такое понятие как уязвимость нулевого дня (Zero-day attack), когда эксплуатируется либо неизвестная, либо только что надейденная уязвимость, о которой еще не знают разработчики программного обеспечения, разработывавшие операционную систему или же антивирус, либо же еще не успевшие выпустить заплатку или обновление базы. Более того, написанный специально для вас червь или троян, который эксплуатирует известную уязвимость, также не будет выловлен антивирусом, так как его нет в базах антивируса, а остальные типы проверок либо пропустили, либо отключены.

У большинства современных антивирусов используется несколько методов обнаружения вирусов: наиболее древний и быстрый- сигнатурный, использующий метод поиска в коде фрагментов злонамеренного кода; эвристический, проверяющий код на модификации сигнатур и соответствие определенным шаблонам; и поведенческий- исследующий не типичное поведение программного кода, причем последний весьма специфичен и используется гораздо реже первых двух, так как чреват частыми ложными срабатываниями, так как любую программу в системе рассматривает как потенциально опасное ПО.

Также не редки случаи, когда вирусный код попадает в систему используя уязвимости системы, но при этом минуя ядро антивирусной программы, которая обнаруживает этот код уже в момент его запуска на целевой системе. Это так называемые случаи когда антивирус “проспал” вирусную атаку.

И собственно поэтому так необходимо, что бы в системе защиты компьютера присутствовал не только антивирус и фаервол, который включается во многие популярные internet edition версии антивирусов, но и система предотвращения вторжений IPS, перекрывающая существующие уязвимости, даже если на них не установлены заплатки и также следящая за подозрительной активностью программного кода, причем как на основе сигнатурного метода анализа, так и на основе анализа аномального поведения протокола и софта, что позволяет перекрывать не просто единичные, а целые классы атак.

Более того, хостовый IPS перекрывает большую часть возможных путей доставки зловредного кода на компьютер, тем самым уменьшая риск подцепить какую-нибудь заразу в интеренете или в процессе работы, анализируя запускаемые на компьютере процессы.

Из имеющихся в данный момент хостовых IPS, входящих в состав фаерволов, я предпочитаю использовать Comodo SS или Agnitum Outpost, хотя по больше части отдаю предпочтение все же камодовскому пакету, как хорошо себя зарекомендовавшему в опытной эксплуатации.

Помимо этого стоит использовать программное обеспечение по борьбе с malware и spyware, которые зачастую не определяются антивирусами, так как относятся к другому классу программ и используют иные способы работы, нежели вирусы, поэтому отсутствуют в сигнатурах и не распознаются другими методами детектирования. В работе я использую бесплатную версию Spybot – Search & Destroy, которая не смотря на то, что является бесплатным вариантом программы, тем не менее отлично справляется со своими задачами.

Если сюда еще добавить настройки бродилки, например установленный для FF плагин noscript, отключенный автозапуск переносных устройств, вовремя накатываемые заплатки, то пользователь более-менее может быть спокоен, тносительно возможностей заражения.

Хотя по прежнему лучшим фаерволом остается несколько миллиметров воздуха.

Теги: IT безопасность, вирусня