470 likes | 573 Views
Procedury destrukcyjne: struktura i charakterystyka oprogramowania antywirusowego. Damian Dźwigaj. Wirus.
E N D
Procedury destrukcyjne: struktura i charakterystyka oprogramowania antywirusowego. Damian Dźwigaj
Wirus • Wirus komputerowy to program komputerowy posiadający zdolność replikacji, tak jak prawdziwy wirus - stąd jego nazwa. Wirus do swojego działania potrzebuje i wykorzystuje system operacyjny, aplikacje oraz zachowanie użytkownika komputera. Wirusa komputerowego zalicza się do złośliwego oprogramowania. • Wirus komputerowy przenosi się poprzez pliki, co wymaga obecności systemu plików, lub przez bezpośredni zapis w wybranym sektorze bądź jednostce alokacji zewnętrznego nośnika danych np. dysku twardego, dyskietki lub pendriva'a. Proces replikacji wirusa komputerowego polega na odpowiedniej modyfikacji zawartości pliku, sektora lub jednostki alokacji. Tak zmodyfikowany nośnik danych nazywa się nosicielem wirusa komputerowego, analogicznie do prawdziwego nosiciela wirusa.
Historia • Historia oprogramowania antywirusowowego. • Prawdopodobnie pierwsze publicznie udokumentowane usuwanie wirusów komputerowych w środowisku naturalnym zostało przeprowadzone przez Bernt Fix w 1987 roku.ClamTk 4,08 skaner antywirusowy uruchomiony na Ubuntu 9.04 • Przed Internetem wirusy były zazwyczaj rozpowszechniane przez zainfekowane dyskietki. Oprogramowanie antywirusowe weszło do użytku, ale było aktualizowane stosunkowo rzadko. Jednakże, jak korzystanie z Internetu stało się bardziej powszechne, początkowo za pomocą modemów, wirusy rozprzestrzeniały się za pośrednictwem Internetu.
Ochrona antywirusowa • „ochrona antywirusowa” polega na zwalczaniu, usuwaniu i zabezpieczaniu się przed szkodliwymi programami komputerowymi nazywanymi wirusami. Program antywirusowy (antywirus) – program komputerowy, którego celem jest wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami.
Cechy programów antywirusowych • Możliwość uaktualniania bazy wzorców • Możliwość automatycznej aktualizacji „silnika” • Skanowanie pamięci, dysków, przesyłek pocztowych i całego ruchu HTTP • Ciągła (rezydentna) praca • Możliwość zarządzania oprogramowaniem w sieci korporacyjnej • Pomoc producenta w sytuacjach krytycznych
Funckje automatyczna i ręczna aktualizacja baz sygnatur wirusów i oprogramowania, harmonogram zadań, skanowanie na żądanie wybranych napędów, katalogów i plików, raporty i statystyki z działania programu, włączanie i wyłączanie oraz konfiguracja monitora antywirusowego, włączanie i wyłączanie oraz konfiguracja zasad filtrowania poczty elektronicznej, włączanie i wyłączanie oraz konfiguracja zasad filtrowania zawartości stron internetowych, pomoc do programu - może być off-line (jej źródła znajdują się na komputerze użytkownika) i on-line (dostępna w sieci Internet). konfiguracja dodatkowych usług świadczonych przez producenta, przesyłanie informacji lub podejrzanego pliku do laboratorium producenta. System administracyjny antywirusa
Moduły programów antywirusowych - skanery • Skanery-to najstarszy i najprostszy sposób ochrony antywirusowej. Ich działanie polega na wyszukiwaniu określonej sekwencji bajtów w ciągu danych. W większości wirusów można wyróżnić unikalną sekwencję bajtów, tzw. sygnaturę, dzięki której możliwe jest odnalezienie wirusa w pamięci lub w zarażonej ofierze. Skuteczność skanera antywirusowego zależy od tego, jak bardzo charakterystyczna jest dana sekwencja. Najlepiej, jeżeli wirus zawiera w sobie jakiś bardzo specyficzny napis lub ciąg bajtów. Wraz z pojawieniem się wirusów polimorficznych znaczenie skanerów trochę zmalało, jednak nadal jest to najważniejsza metoda walki z wirusami. Wirusy polimorficzne są trudne do wykrycia, gdyż ich różne próbki nie wyglądają tak samo. Często dwie próbki danego wirusa nie mają ze sobą nic wspólnego. Polimorfizm może być osiągnięty poprzez zakodowanie ciała wirusa. W przypadku tych wirusów również używa się skanera, choć dopiero w późniejszej fazie wykrywania. • Skaner poczty elektronicznej • Skaner poczty elektronicznej jest częścią programu antywirusowego, umożliwia sprawdzanie poczty przychodzącej i wychodzącej.
Moduł filtrowania zawartości poczty elektronicznej • Funkcja filtrowania zawartości poczty elektronicznej ma za zadanie wyeliminować niechciane wiadomości, określane jako spam. • W tym celu sprawdza zawartość pól : "Od„ , "Nadawca X„ , "Nadawca„ w nagłówku wiadomości. Jeżeli wartości tych pól znajdują się na liście znanych nadawców spamu(RBL), wiadomość zostaje odrzucona. • Kolejną metodą jest odrzucanie wiadomości w oparciu o adres IP nadawcy. • Inna metoda polega na analizie treści listu przy wykorzystaniu słownika spamu,w którym każde słowo ma statystyczną wagę odzwierciedlającą częstość występowania w spamie. Wyszukiwanie tych słów i sumowanie ich wskaźników pozwala uzyskać minimalny poziom błędnej klasyfikacji wiadomości jako spam.
Moduły programów antywirusowych - monitory • Monitory-to program antywirusowy zainstalowany jako TSR (ang. Terminate but StayResident) lub sterownik SYS, który – poprzez monitorowanie odpowiednich funkcji DOS i BIOS – pozwala na wykrywanie wszystkich wykonywanych za pomocą tych funkcji odwołań do dysków. To, czy monitor będzie działał prawidłowo zależy często od momentu, w którym przejął on kontrolę nad systemem (przed działaniem wirusa, czy już po) oraz od tego, jak głęboko wnika on w system operacyjny. Jak widać autorzy programów antywirusowych muszą korzystać z metod podobnych do tych, które stosują twórcy wirusów. Dużą wadą programów monitorujących jest to, że powodują one często fałszywe alarmy. Niekiedy zdarza się tak, że użytkownik po kolejnym potwierdzeniu jakiejś zwykłej operacji dyskowej staje się mniej uważny i nawet usuwa program antywirusowy z pamięci.
Moduły programów antywirusowych - szczepionki • Szczepionki- Są to programy skierowane przeciwko konkretnym wirusom. Na podstawie posiadanego czy wykrytego egzemplarza wirusa można, po odpowiedniej analizie jego kodu, zdefiniować tzw. sygnatury, na podstawie których wykrywa się kolejne kopie wirusa w systemie. Dokładna analiza kodu wirusa pozwala niekiedy odnaleźć w nim oryginalne wartości pewnych parametrów, które mogą posłużyć do wyleczenia plików. Większość z istniejących szczepionek to rozbudowane programy, które potrafią wykryć i usunąć kilka tysięcy określonych wirusów. Tylko w przypadkach nowych wirusów szczepionki nie są wcale efektywne.
Moduł aktualizacji • Moduł ten pozwala na pobieranie uaktualnień baz sygnatur wirusów. • Pobieranie najczęściej odbywa się metodą przyrostową, co oznacza, że bazy sygnatur wirusów na serwerze producenta porównywane są z bazą na komputerze klienta i ściągane są tylko brakujące definicje wirusów. Metoda ta pozwala zmniejszyć obciążenie łącza zarówno serwera z aktualizacjami, jak i łącza klienta. • Funkcja umożliwia również aktualizację plików programu/silnika antywirusowego. • Funkcja automatycznego pobierania aktualizacji, • opcja wyłączająca automatyczną aktualizację, • ręczne przeprowadzanie aktualizacji na życzenie, bądź ustalenie harmonogramu aktualizacji bez udziału użytkownika, • w przypadku jednego komputera możliwy jest tylko scenariusz aktualizacji bezpośredniej z serwera z uaktualnieniami do programu(nowe definicje wirusów, pliki programu). • WLAN-tak jak dla pojedynczego komputera lub pobieranie aktualizacji za pośrednictwem dedykowanego serwera do pobierania aktualizacji.
Moduł raportów i statystyk • Podaje raporty o incydentach, wykrytych wirusach oraz działaniu automatycznej ochrony. Ponadto generuje statystyki po zakończeniu skanowania na żądanie. • Statystyka generowana po zakończonym skanowaniu podaje ,co zostało przeskanowane i w jakiej ilości, oraz informację o obiektach zainfekowanych ,wyleczonych i którym zmieniono nazwy.
Moduły programów antywirusowych - autoweryfikacja • Programy autoweryfikujące- Programy te służą do sprawdzania czy dany program nie został w jakiś sposób zmieniony przez wirusa. Sprawdzanie to jest możliwe poprzez dodanie do wskazanego pliku określonego, krótkiego programu. Dodawany kod dopisuje się do pliku wykorzystując te same mechanizmy co wirusy, i pozwala on na autoweryfikację, czyli automatyczne sprawdzanie czy dany program nie został zmodyfikowany. Niestety, programy tego typu najczęściej nie są odporne na technikę ukrywania kodu wirusa stealth i w systemie zainfekowanym przez wirusa używającego tej techniki okażą się całkowicie nieefektywne.Programy zliczające sumy kontrolne-Działanie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla zadanego pliku lub plików. Zliczane sumy kontrolne są przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu. Jeżeli pliki te istniały już wcześniej, program antywirusowy wykorzystuje dane w nich zawarte aby porównać bieżąco wyliczoną sumę, z sumą poprzednio zachowaną w pliku. Istnieje szereg algorytmów do tworzenia sum kontrolnych dla plików. Ogromną wadą programów tego typu jest to, że pliki przechowujące obliczone sumy kontrolne nie są wcale chronione.
Moduły programów antywirusowych – zliczanie sum kontrolnych • Działanie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla żądanego pliku lub plików. Zliczane sumy kontrolne są przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu. Jeżeli pliki te istniały już wcześniej, program antywirusowy wykorzystuje dane w nich zawarte aby porównać bieżąco wyliczoną sumę, z sumą poprzednio zachowaną w pliku. • Istnieje szereg algorytmów do tworzenia sum kontrolnych dla plików. Ogromną wadą programów tego typu jest to, że pliki przechowujące obliczone sumy kontrolne nie są wcale chronione. Dzięki znajomości wielu algorytmów stosowanych przez programy antywirusowe, niektóre wirusy potrafią zarazić określony plik i obliczyć dla niego nową sumę kontrolną.
Moduły programów antywirusowych – blokery Są to jedyne programy, próbujące przeciwdziałać inwazji. Zasadą ich działania jest monitorowanie poczynań uruchamianych programów i w przypadku odkrycia "podejrzanych" operacji alarmowanie użytkownika i pozostawianie mu decyzji o dalszym działaniu. Jest to znakomita metoda, ale jak każda posiada oczywiście swoje wady. Jedną z nich jest przede wszystkim mała skuteczność, gdyż nowe wirusy bardzo często posiadają mechanizmy uniemożliwiające wyodrębnienie z nich operacji "podejrzanych". Kolejną wadą jest zajmowanie części zasobów komputera - pamięci operacyjnej oraz obciążanie w jakimś stopniu procesora.
Moduł kwarantanny • Zadaniem tego modułu jest -bezpieczne dla systemu -przechowywanie obiektów zainfekowanych lub podejrzanych o infekcję. Mechanizmy zaimplementowane w Module kwarantanny uniemożliwiają uruchomienie takiego pliku oraz blokują dostęp do niego wszystkim użytkownikom i programom poza programem antywirusowym.
Moduły programów antywirusowych – diagnostyka oraz leczenie • Programy diagnostyczno-leczące Ta grupa programów opiera się na poszukiwaniu na dysku i w pamięci znanych już wirusów i w przypadku wykrycia (na podstawie charakterystycznych algorytmów zawartych w plikach) - usuwaniu skutków infekcji. Są to programy najczęściej stosowane i chyba najbardziej przydatne w profilaktyce. Niestety są nieskuteczne w przypadku zainfekowania nieznanym wirusem bądź wtedy, gdy wirus zadziała natychmiast po zainfekowaniu komputera i dokona nieodwracalnych zniszczeń. Do programów tego typu zaliczamy, już chyba legendę programów antywirusowych - Mks_Vir-a, autorstwa Marka Sella Moduł naprawczy, to część programu antywirusowego odpowiedzialna za usunięcie złośliwego programu z pliku oraz przywrócenie go do stanu sprzed infekcji lub nieodwracalnego skasowania pliku.
Moduł filtrowania zawartości stron internetowych • sprawdzanie zawartości strony www pod kątem występowania na niej słów uznanych za niepożądane przez nas i w przypadku ich wystąpienia blokuje do niej dostęp. Możemy również wspomóc się listami "zakazanych" stron internetowych, prowadzonymi przez niezależne organizacje. Istnieje też opcja zabraniająca wyświetlania pewnych elementów strony, na przykład grafiki, bądź stron znajdujących się pod konkretnymi adresami • Wykorzystanie tej funkcji pozwala kontrolować wydajność pracowników, poprzez zablokowanie niewłaściwego wykorzystania Internetu. Możemy w ten sposób ograniczyć, na przykład dostęp do prywatnych kont e-mail dostępnych przez www, wirtualnych sklepów lub stron o treściach pornograficznych.
Pakiet bezpieczeństwa • Antywirus • Firewall • Ochrona tożsamości • Antyspam • Ochrona rodzicielska • Badanie reputacji (chmura) • Dodatkowe moduły
Który pakiet zabezpieczający uważasz za najlepszy? • Kaspersky Internet Security 2009 21,07% - 518 • ESET Smart Security 3.0 17,33% - 426 • ArcaVir 2009 System Protection 16,48% - 405 • nie stosuję pakietów zabezpieczających 11,88% - 292 • Norton Internet Security 2009 9,68% - 238 • AVG Internet Security 8.0 PL 5,00% - 123 • Panda Internet Security 2009 2,56% - 63 • BitDefender Internet Security 2009 2,32% - 57 • G DATA Internet Security 2009 1,91% - 47 • F-Secure Internet Security 2009 1,67% - 41 • McAfee Internet Security 2009 1,22% - 30 • Outpost Security Suite 2009 0,61% - 15 • Trend Micro Internet Security PRO 2009 0,33% - 8
NAJLEPSZE PAKIETY 11/2010 • Polska wersja językowa • Interfejs prosty i zaawansowany • Blokada na hasło • Antywirus • Zapora sieciowa • Ochrona tożsamości i prywatności • Sprawdzanie reputacji witryn internetowych • Kopie zapasowe online • Tryb gry (lub analogiczny) • Kontrola rodzicielska • Piaskownica • Norton Internet Security 2011 • Kaspersky Internet Security2011 • Panda Internet Security 2011 • BitDefender Internet Security 2011 • avast 5 Internet Security • G Data InternetSecurity 2011 • ESET Smart Security 4.2 • AVG Internet Security 2011
Najlepsze pakiety wg pcworld9/2010 • BitDefender Internet Security 2010. • Kaspersky Internet Security 2010 • Norton Internet Security na rok 2010.
Skanery antywirusowe online • niewielkie aplikacje uruchamiane z poziomu przeglądarki internetowej. • skanowanie plików na dysku w poszukiwaniu zagrożeń. (PCWorld 01/11) • Większość aplikacji współpracuje tylko z Internet Explorerem z włączoną obsługa ActiveX.
Kaspersky.com Skaner.mks.com.pl Bitdefinder.com Panda Cloud Antyvirus (www.cloudantyvirus.com) – „pierwszy w „chmurze” Housecall.trendmicro.com Security.symantec.com eset.pl/onlinescan Bezpłatne antywirusy online
Kaspersky • Kaspersky Anti-Virus (dawniej AntiViral Toolkit Pro) – program antywirusowy firmy Kaspersky Lab, zapewniający ochronę przed zagrożeniami płynącymi z sieci Internet (wirusy, robaki, konie trojańskie, adware, programy szpiegujące). Kaspersky Anti-Virus pracuje z systemami Windows 98/Me oraz Windows NT, 2000, XP, Vista, Windows 7 Cechy programu Kaspersky Anti-Virus: • skaner poczty elektronicznej (MailChecker) • ochrona przed wirusami skryptowymi • heurystyczny system wykrywania nieznanych zagrożeń • zapora chroniąca przed atakami z sieci • częsta automatyczna aktualizacja baz danych • Proaktywna ochrona w czasie rzeczywistym przed wirusami i programami typu spyware • Skanowanie stron internetowych i wiadomości e-mail w poszukiwaniu szkodliwego kodu • Całkowita ochrona Twojej tożsamości cyfrowej • Skanowanie systemu operacyjnego i aplikacji w poszukiwaniu słabych punktów • Gadżet pulpitu umożliwiający szybki dostęp do głównych funkcji i ustawień programu
AVG antywirus • System AVG 2011 wykorzystuje najnowsze technologie zapobiegania zagrożeniom. Metody wykrywania • Efektywność systemu AVG w wykrywaniu zainfekowanych plików i exploitów opiera się na wielowarstwowej ochronie. Pliki są wstępnie przetwarzane, a obszary uznane za niepotrzebne dla analizy antywirusowej zostają wykluczone ze skanowania, aby je przyspieszyć. • Wykrywanie oparte na sygnaturachTa technika dopasowuje pliki do znanych sygnatur wirusów, tj. sekwencji bajtów charakterystycznych dla danego wirusa. Następnie wykonywana jest szczegółowa analiza, aby móc dokładnie zidentyfikować infekcję. • Wykrywanie polimorficzneTo popularna metoda wykrywania znanych wirusów używana do rozpoznawania ich nowych wariantów. Wykrywanie polimorficzne wyszukuje sekwencje typowe dla określonych wirusów. Takie sekwencje zwykle nie zmieniają się w obrębie jednej rodziny wirusów w momencie powstania nowego wariantu, nawet jeśli jego zachowanie jest inne. Metoda ta jest szczególnie efektywna w przypadku wykrywania wirusów w makrach oraz skryptach. • Analiza heurystycznaTrzecia warstwa wykrywania wirusów to analiza heurystyczna, która bada zachowanie oprogramowania, aby określić, czy nie jest ono szkodliwe. Umożliwia to wykrywanie wirusów niedostępnych w wewnętrznej bazie danych. Wykorzystywane są dwie główne metody: • statyczna analiza heurystyczna wyszukuje podejrzane konstrukcje danych; • dynamiczna analiza heurystyczna emuluje kod w środowisku ochronnym wirtualnej maszyny wewnątrz systemu AVG. • Analiza behawioralnaCzwartą warstwę wykrywania wirusów stanowi analiza behawioralna. Ta technologia (oczekująca na przyznanie patentu) analizuje zachowanie oprogramowania podczas jego uruchamiania. Korzystając z różnorodnych wskaźników i zaawansowanych algorytmów, określa szkodliwe zachowanie plików i zapobiega ich uruchomieniu.
AVG • Zapora systemu AVG zapewnia ochronę przed szkodliwymi atakami, analizując komunikację na wszystkich portach sieciowych. Natychmiast blokuje wszystkie nieautoryzowane próby dostępu, a teraz dodatkowo zawiera funkcję inteligentnego zapobiegania atakom, aby domowe i firmowe sieci — zarówno przewodowe, jak i bezprzewodowe — były jeszcze bezpieczniejsze. Zapora systemu AVG chroni tak przed atakami przychodzącymi, jak i wychodzącymi, gdy szkodliwe oprogramowanie przejmuje kontrolę nad komputerem i próbuje wyrządzić szkody na pozostałych maszynach w sieci. • Technologia ProtectiveCloud W systemie AVG 2011 dostępna jest technologia ProtectiveCloud, która wykorzystuje kilka silników skanujących i wykrywanie behawioralne jednocześnie, aby identyfikować najnowsze, wcześniej nieznane zagrożenia. Po zidentyfikowaniu zagrożeń opracowywane są rozwiązania problemów, którymi niemal natychmiast aktualizowane są systemy AVG klientów na całym świecie.
Norton antivirus • Norton AntiVirus 2011 to szybka ochrona przed wirusami, programami typu spyware oraz innymi zagrożeniami. Program zapewnia bezpieczne korzystanie z poczty elektronicznej i rozmów internetowych oraz udostępnianie plików. Szybka ochrona w sieci - nie trzeba się już obawiać najnowszych zagrożeń. Automatyczne aktualizacje, łatwe w obsłudze funkcje i bezpłatne wsparcie techniczne w okresie subskrypcji. • Najważniejsze funkcje: System Norton Protection oferuje kilka nakładających się warstw ochrony, które współdziałają ze sobą w celu powstrzymywania wirusów, programów typu „spyware”, robaków internetowych oraz innych zagrożeń. • Usługa oceny reputacji Norton powstrzymuje nowe, niezidentyfikowane programy typu „crimeware” szybciej niż inne, mniej zaawansowane rozwiązania zabezpieczające. • Alerty o wydajności ostrzegają, gdy aplikacje spowalniają działanie komputera, tak aby można było wprowadzić zmiany w celu podniesienia wydajności. • Technologia Norton Insight identyfikuje i skanuje tylko zagrożone pliki, co przyspiesza wykonywanie tych operacji. • Funkcja DownloadInsight ostrzega o potencjalnych zagrożeniach w nowo pobranych plikach i aplikacjach przed ich zainstalowaniem lub uruchomieniem.
ESET NOD32 antivirus • ESET NOD32 Antivirus zapewnia pełną i nieprzerwaną ochronę komputera od momentu jego uruchomienia. Pracując w tle sprawdza wszystkie uruchamiane, otwierane czy zapisywane zbiory. W razie wykrycia wirusa czy innego wrogiego programu, natychmiast blokuje jego działanie i automatycznie usuwa. Dodatkowo, w razie potrzeby istnieje możliwość uruchomienia skanowania w poszukiwaniu wirusów wybranych zasobów komputera. • Najważniejsze funkcje: • Skuteczna ochrona • Sztuczna inteligencja • Niespotykana szybkość działania • Automatyczna aktualizacja • Kwarantanna • ThreatSense.Net
ESET NOD32 antivirus • Maksymalna szybkość skanowania • Dzięki nieustannemu doskonaleniu mechanizmów sztucznej inteligencji wersje 4 rozwiązań ESET utrzymują status najszybszych rozwiązań antywirusowych dostępnych na rynku i nie powodują spowolnienia systemu. • Kontrola nośników wymiennych • Możliwość zablokowania dostępu do portów USB i stacji dysków CD na stacjach roboczych w celu podniesienia poziomu bezpieczeństwa w firmie. Według najnowszych raportów firmy ESET zagrożenia przenoszone na nośnikach wymiennych są obecnie jednymi z najczęściej występujących. • Zdalny audyt stacji roboczych • Od wersji 4 rozwiązania ESET posiadają zintegrowane narzędzie do analizy systemu operacyjnego - SysInspector. Dzięki temu administrator ma możliwość przeprowadzania zdalnego audytu stacji roboczych z poziomu konsoli administratora poprzez jedno kliknięcie. W ten sposób administrator zyskuje narzędzie zbierające szczegółowe informacje na temat wszystkich działających procesów i usług na każdej stacji roboczej, zainstalowanych bibliotek, połączeń sieciowych z danej stacji, ważnych wpisów w rejestrze, zainstalowanych sterowników, listy zainstalowanych aplikacji itd. • Wsparcie dla CISCO NAC • Ochrona połączeń szyfrowanych • Wersje 4 rozwiązań ESET zapewniają również pełną ochronę komunikacji szyfrowanej poprzez skanowanie protokołów HTTPS oraz POP3S. • Zaawansowane skanowanie archiwów • Autoochrona
Nowe generacje antywirusów • Rezygnacja z przechowywania bazy sygnatur wirusów na komputerze użytkownika i przeniesienie jej do Internetu. • Producenci wykorzystują teraz model przetwarzania w chmurze (cloudcomputing) do wykrywania nowych zagrożeń. Rozwiązanie polega na tym, że w walce z malware'em biorą udział wszyscy użytkownicy danego oprogramowania. Czas nowej szczepionki spadł z godzin do sekund. • Łapanie wirusów w chmurze - pionierzy Panda Security (rok 2007) oraz McAfee (rok 2008). • Serwery online: – zbierają dane o nowych zagrożeniach użytkowników danego oprogramowania zabezpieczającego; – analizują, klasyfikują i przetwarzają próbki szkodliwych kodów, opracowując dla nich szczepionki; – wysyłają gotowe szczepionki lub aktualizacje baz sygnatur do poszczególnych klientów (komputerów użytkowników).
Statystyki firmy panda securitywykorzystania modelu cloudcomputing • Każdego dnia na serwery tej firmy trafia ok. 50 tys. próbek plików, przy czym 35 tys. to nowe, niesklasyfikowane zagrożenia. Z tego 99,4% złośliwego oprogramowania jest analizowane automatycznie, natomiast pozostałe 0,6% trafia do oceny inżynierów. Obecnie baza danych zawiera około 26 min próbek złośliwego oprogramowania.
Wirusy w komórkach • „Cabir” – szkodnik działający pod Symbianem. Rozsiewa się przez Bluetooth, po włączeniu komórki (głównie Nokie). • SEXXXY i Gavno (2KB trojan). • Gavno i Camtimer rozsiewane Cabir’em przez Bluetootha.
Antywirus w LAN • Administracja programami na poszczególnych komputerach w sieci może odbywać się z jednego centralnego miejsca w sieci-serwera administracyjnego • Redukcja kosztów zarządzania oprogramowaniem antywirusowym • czynności administracyjne bez konieczności przerywania pracy użytkownikowi. • oprogramowanie instalowane na komputerach-klientach umożliwia użytkownikowi jedynie wybór skanowania na żądanie wybranych plików, folderów i dysków. Pozostałe możliwości programu są niedostępne; użytkownik otrzymuje tylko informacje o decyzji odnośnie do zainfekowanego pliku, jaką podjął administrator
Zainfekowany system: nieskuteczna kuracja Podczas gdy silniki skanujące są już na tyle dopracowane, że wykazują się wysoką skutecznością i rzadko wywołują fałszywe alarmy wciąż kuleje inny ważny aspekt działania antywirusów, czyli oczyszczanie zainfekowanego systemu. Żadnemu narzędziu nie udało się skutecznie usunąć z systemu wszystkich szkodników. Najskuteczniejszy był pakiet PC Tools (90%).
Porady • Używaj programu antywirusowego, • Uaktualniaj bazę wirusów, • Wykonuj regularnie pełne skanowanie • Unikaj otwierania/uruchamiania załączników poczty, • Uaktualniaj oprogramowanie, szczególnie system operacyjny • Wyłącz automatyczny podgląd listów
Konsekwencje ochrony • Moc komputera • Opóźniony start • Wolniejsze pobieranie plików
A na koniec… • Po prostu najlepsza metoda ustrzeżenia się przed wirusami która polega na sprawdzaniu nieznanych plików (programów, dokumentów) możliwie najnowszym programem antywirusowym (jeżeli to możliwe, to kilkoma rożnymi). Bardzo ważnym elementem działań zapobiegawczych jest także regularne tworzenie kopii awaryjnych, zawierających najważniejsze pliki, będące zwykle efektami mozolnej pracy. Choć niektórym osobom może się to wydać niepotrzebne, prędzej czy później kopie te okażą się niezbędne, i to nie tylko ze względu na wirusy. Nie ma bowiem chyba takiego użytkownika, któremu w pewnym momencie komputer nie odmówił posłuszeństwa. Pół biedy, gdy usterka jest trywialna, gorzej, gdy zostanie uszkodzona najważniejsza chyba, poza procesorem, część komputera: dysk twardy. W takiej sytuacji kopia awaryjna jest jedyną deską ratunku.