Antivirový software - Antivirus software

ClamTk , open source antivirus založený na antivirovém enginu ClamAV , původně vyvinutý Tomaszem Kojmem v roce 2001

Antivirový software nebo antivirový software (zkráceně AV software ), také známý jako anti-malware , je počítačový program používaný k prevenci, detekci a odstraňování malwaru .

Antivirový software byl původně vyvinut pro detekci a odstranění počítačových virů , odtud název. S rozšířením dalšího malwaru však antivirový software začal chránit před jinými počítačovými hrozbami. Moderní antivirový software může zejména chránit uživatele před škodlivými objekty pomocníků prohlížeče (BHO), únosci prohlížečů , ransomware , keyloggery , zadní vrátka , rootkity , trojské koně , červy , škodlivé LSP , dialery , podvodné nástroje , adware a spyware . Některé produkty také zahrnují ochranu před jinými počítačovými hrozbami , jako jsou infikované a škodlivé adresy URL , spam , podvodné a phishingové útoky, online identita (soukromí), online bankovní útoky, techniky sociálního inženýrství , pokročilá trvalá hrozba (APT) a útoky DDoS na botnet .

Dějiny

Období 1949–1980 (dny před antivirem)

Přestože kořeny počítačového viru sahají až do roku 1949, kdy maďarský vědec John von Neumann publikoval „Teorii samoreprodukčních automatů“ , první známý počítačový virus se objevil v roce 1971 a byl nazván „ Creeper virus “. Tento počítačový virus infikoval sálové počítače PDP-10 společnosti Digital Equipment Corporation ( DEC ) PDP-10 s operačním systémem TENEX .

Virus Creeper byl nakonec odstraněn programem vytvořeným Rayem Tomlinsonem a známým jako „ The Reaper “. Někteří lidé považují „The Reaper“ za první antivirový software, který byl kdy napsán - může tomu tak být, ale je důležité si uvědomit, že Reaper byl vlastně samotný virus, který byl speciálně navržen tak, aby odstranil virus Creeper.

Po viru Creeper následovalo několik dalších virů. První známý, který se objevil „ve volné přírodě“, byl „ Elk Cloner “ v roce 1981, který nakazil počítače Apple II .

V roce 1983 vytvořil termín „počítačový virus“ Fred Cohen v jedné z vůbec prvních publikovaných akademických prací o počítačových virech . Cohen použil termín „počítačový virus“ k popisu programů, které: „ovlivňují jiné počítačové programy tím, že je upravují tak, aby zahrnovaly (možná vyvinutou) kopii sebe sama“. (všimněte si, že novější a přesnější definici počítačového viru poskytl maďarský výzkumník bezpečnosti Péter Szőr : „kód, který rekurzivně replikuje možná vyvinutou kopii sebe sama“ ).

První počítačový virus kompatibilní s IBM PC „ve volné přírodě“ a jedna z prvních skutečně rozšířených infekcí byl „ Brain “ v roce 1986. Od té doby počet virů exponenciálně rostl. Většina počítačových virů napsaných na začátku a v polovině 80. let byla omezena na vlastní reprodukci a v kódu nebyla zabudována žádná specifická rutina poškození. To se změnilo, když se stále více programátorů seznamovalo s programováním počítačových virů a vytvářelo viry, které manipulovaly nebo dokonce ničily data na infikovaných počítačích.

Než bylo připojení k internetu rozšířené, byly počítačové viry obvykle šířeny infikovanými disketami . Antivirový software se začal používat, ale byl aktualizován poměrně zřídka. Během této doby museli virové kontroly v podstatě kontrolovat spustitelné soubory a spouštěcí sektory disket a pevných disků. Jak se však používání internetu stalo běžným, viry se začaly šířit online.

1980-1990 období (počátky)

Na inovátora prvního antivirového produktu existují konkurenční nároky. Pravděpodobně první veřejně dokumentované odstranění počítačového viru „ve volné přírodě“ (tj. „Vídeňského viru“) provedla společnost Bernd Fix v roce 1987.

V roce 1987 vydali Andreas Lüning a Kai Figge, kteří v roce 1985 založili G Data Software , svůj první antivirový produkt pro platformu Atari ST . V roce 1987 byl také vydán Ultimate Virus Killer (UVK) . Toto byl de facto průmyslový standardní zabiják virů pro Atari ST a Atari Falcon , jehož poslední verze (verze 9.0) byla vydána v dubnu 2004. V roce 1987 ve Spojených státech John McAfee založil společnost McAfee (byla součástí Intel Security ) a na konci téhož roku vydal první verzi VirusScan . Také v roce 1987 (v Československu ) vytvořili Peter Paško, Rudolf Hrubý a Miroslav Trnka první verzi NOD antiviru.

V roce 1987 Fred Cohen napsal, že neexistuje žádný algoritmus, který by dokázal dokonale detekovat všechny možné počítačové viry .

Nakonec byly na konci roku 1987 vydány první dva heuristické antivirové nástroje: Flushot Plus od Rosse Greenberga a Anti4us od Erwina Lantinga . Roger Grimes ve své knize O'Reilly s názvem Malicious Mobile Code: Virus Protection for Windows popsal Flushot Plus jako „první holistický program pro boj se škodlivým mobilním kódem (MMC)“.

Typ heuristiky používaný ranými AV motory byl však zcela odlišný od těch, které se používají dnes. První produkt s heuristickým motorem podobným moderním byl F-PROT v roce 1991. Rané heuristické motory byly založeny na rozdělení binárního souboru na různé sekce: datová sekce, sekce kódu (v legitimní binární verzi obvykle začíná vždy ze stejného místa) . Počáteční viry skutečně přeorganizovaly rozložení sekcí nebo přepsaly počáteční část sekce, aby přeskočily na úplný konec souboru, kde se nacházel škodlivý kód-pouze se vraceli zpět k obnovení provádění původního kódu. Jednalo se o velmi specifický vzorec, který v té době nepoužíval žádný legitimní software, což představovalo elegantní heuristiku k zachycení podezřelého kódu. Později byly přidány další druhy pokročilejší heuristiky, například podezřelé názvy sekcí, nesprávná velikost záhlaví, regulární výrazy a shoda částečných vzorů v paměti.

V roce 1988 pokračoval růst antivirových společností. V Německu založil Tjark Auerbach Aviru ( v té době H+BEDV ) a vydal první verzi AntiVir ( v té době pojmenovanou „Luke Filewalker“ ). V Bulharsku vydal Vesselin Bontchev svůj první freeware antivirový program (později nastoupil do FRISK Software ). Také Frans Veldman vydal první verzi ThunderByte Antivirus , také známý jako TBAV (prodal svou společnost Norman Safeground v roce 1998). V Československu , Pavel Baudiš a Eduard Kučera začali avast! (v té době ALWIL Software ) a vydali svou první verzi avast! antivirus. V červnu 1988, v Jižní Koreji , Ahn Cheol-Soo vydala svůj první antivirový software s názvem V1 (založil AhnLab později v roce 1995). Nakonec na podzim 1988 ve Velké Británii Alan Solomon založil společnost S&S International a vytvořil svoji sadu antivirových nástrojů Dr. Solomona (ačkoli ji komerčně spustil až v roce 1991-v roce 1998 získala společnost Solomon společnost McAfee ). V listopadu 1988 profesor na Panamerické univerzitě v Mexico City pojmenoval Alejandro E. Carriles pod autorským právem první antivirový software v Mexiku pod názvem „Byte Matabichos“ (Byte Bugkiller), aby pomohl vyřešit nekontrolované šíření virů mezi studenty.

Také v roce 1988 byl v síti BITNET / EARN spuštěn seznam adresátů s názvem VIRUS-L, kde byly diskutovány nové viry a možnosti detekce a eliminace virů. Někteří členové tohoto seznamu adresátů byli: Alan Solomon, Eugene Kaspersky ( Kaspersky Lab ), Friðrik Skúlason ( FRISK Software ), John McAfee ( McAfee ), Luis Corrons ( Panda Security ), Mikko Hyppönen ( F-Secure ), Péter Szőr , Tjark Auerbach ( Avira ) a Vesselin Bontchev (FRISK Software ).

V roce 1989, v Islandu , Fridrik Skúlason vytvořil první verzi F-PROT Anti-Virus (založil Frisk Software pouze v roce 1993). Mezitím ve Spojených státech společnost Symantec (založená Gary Hendrixem v roce 1982) uvedla na trh svůj první antivirus Symantec pro Macintosh (SAM). SAM 2.0, vydaný v březnu 1990, obsahuje technologii, která uživatelům umožňuje snadno aktualizovat SAM tak, aby zachytil a eliminoval nové viry, včetně mnoha, které v době vydání programu neexistovaly.

Na konci osmdesátých let ve Velké Británii založili Jan Hruska a Peter Lammer bezpečnostní firmu Sophos a začali vyrábět své první antivirové a šifrovací produkty. Ve stejném období byl v Maďarsku založen také VirusBuster (který nedávno začlenil Sophos ).

Období 1990–2000 (vznik antivirového průmyslu)

V roce 1990 ve Španělsku založil Mikel Urizarbarrena Panda Security ( v té době Panda Software ). V Maďarsku vydal bezpečnostní výzkumník Péter Szőr první verzi antiviru Pasteur . V Itálii vytvořil Gianfranco Tonello první verzi antiviru VirIT eXplorer a o rok později založil TG Soft .

V roce 1990 byla založena organizace Computer Antivirus Research Organisation ( CARO ). V roce 1991 společnost CARO vydala „Schéma pojmenování virů“ , které původně napsali Friðrik Skúlason a Vesselin Bontchev. Ačkoli je toto schéma pojmenování zastaralé, zůstává jediným existujícím standardem, který se většina společností a výzkumných pracovníků v oblasti počítačové bezpečnosti kdy pokusila přijmout. Členy CARO jsou: Alan Solomon, Costin Raiu, Dmitry Gryaznov, Eugene Kaspersky , Friðrik Skúlason , Igor Muttik , Mikko Hyppönen , Morton Swimmer, Nick FitzGerald, Padgett Peterson , Peter Ferrie, Righard Zwienenberg a Vesselin Bontchev.

V roce 1991 ve Spojených státech vydala společnost Symantec první verzi Norton AntiVirus . Ve stejném roce v České republice Jan Gritzbach a Tomáš Hofer založili AVG Technologies ( v té době Grisoft ), ačkoli první verzi svého Anti-Virus Guard (AVG) vydali až v roce 1992. Na druhou stranu v r. Finsko , F-Secure (založené v roce 1988 Petri Allasem a Risto Siilasmaa-s názvem Data Fellows) vydalo první verzi svého antivirového produktu. F-Secure prohlašuje, že je první antivirovou firmou, která si vytvořila přítomnost na World Wide Web.

V roce 1991 byl založen Evropský institut pro počítačový antivirový výzkum (EICAR) za účelem dalšího antivirového výzkumu a zlepšení vývoje antivirového softwaru.

V roce 1992 v Rusku Igor Danilov vydal první verzi SpiderWeb , která se později stala Dr. Web .

V roce 1994 společnost AV-TEST oznámila, že v jejich databázi bylo 28 613 unikátních vzorků malwaru (na základě MD5).

Postupem času byly založeny další společnosti. V roce 1996 v Rumunsku , Bitdefender byla založena a uvolněna první verze Anti-Virus expert (AVX). V roce 1997 v Rusku Eugene Kaspersky a Natalya Kaspersky spoluzaložili bezpečnostní firmu Kaspersky Lab .

V roce 1996 tam byl také první „ve volné přírodě“ linuxový virus, známý jako Staog .

V roce 1999 společnost AV-TEST oznámila, že v jejich databázi bylo 98 428 unikátních vzorků malwaru (na základě MD5).

Období 2000–2005

V roce 2000 spustili Rainer Link a Howard Fuhs první open source antivirový engine s názvem OpenAntivirus Project .

V roce 2001 vydal Tomasz Kojm první verzi ClamAV , prvního open source antivirového enginu, který byl komerčně dostupný . V roce 2007 koupil ClamAV společnost Sourcefire , kterou zase v roce 2013 získala společnost Cisco Systems .

V roce 2002 ve Velké Británii spoluzakládali Morten Lund a Theis Søndergaard antivirovou firmu BullGuard.

V roce 2005 společnost AV-TEST oznámila, že v jejich databázi bylo 333 425 unikátních vzorků malwaru (na základě MD5).

Období 2005–2014

V roce 2007 společnost AV-TEST oznámila počet 5 490 960 nových unikátních vzorků malwaru (na základě MD5) pouze za daný rok. V letech 2012 a 2013 hlásily antivirové firmy nový vzorek malwaru v rozmezí od 300 000 do více než 500 000 denně.

V průběhu let bylo pro antivirový software nutné používat několik různých strategií (např. Konkrétní ochranu e -mailu a sítě nebo moduly nízké úrovně) a detekční algoritmy a také kontrolovat stále větší množství souborů, nikoli pouze spustitelné soubory, a to z několika důvodů. :

  • Výkonná makra používaná v aplikacích textového procesoru , jako je Microsoft Word , představovala riziko. Spisovatelé virů by mohli použít makra k zápisu virů vložených do dokumentů. To znamenalo, že počítače mohou být nyní také ohroženy infekcí otevíráním dokumentů se skrytými připojenými makry.
  • Možnost vložení spustitelných objektů do jinak nespustitelných formátů souborů může otevření těchto souborů představovat riziko.
  • Pozdější e -mailové programy, zejména Microsoft Outlook Express a Outlook , byly citlivé na viry vložené do samotného těla e -mailu. Počítač uživatele může být nakažen pouhým otevřením nebo zobrazením náhledu zprávy.

V roce 2005 byla F-Secure první bezpečnostní firmou, která vyvinula technologii Anti-Rootkit s názvem BlackLight .

Protože je většina uživatelů obvykle nepřetržitě připojena k internetu, navrhl Jon Oberheide poprvé v roce 2008 cloudový antivirový design.

V únoru 2008 společnost McAfee Labs přidala do VirusScan pod názvem Artemis první cloudovou ochranu proti malwaru. Byl testován společností AV-Comparatives v únoru 2008 a oficiálně odhalen v srpnu 2008 v McAfee VirusScan .

Cloud AV vytvořil problémy pro srovnávací testování bezpečnostního softwaru-část definic AV byla mimo kontrolu testerů (na neustále aktualizovaných serverech společnosti AV), takže výsledky byly neopakovatelné. V důsledku toho organizace Anti-Malware Testing Standards Organization (AMTSO) začala pracovat na metodě testování cloudových produktů, která byla přijata 7. května 2009.

V roce 2011 společnost AVG představila podobnou cloudovou službu s názvem Protective Cloud Technology.

2014-současnost (vzestup nové generace)

Po vydání zprávy APT 1 z roku 2013 od společnosti Mandiant v tomto odvětví došlo k posunu k přístupům bez podpisu k problému schopnému detekovat a zmírňovat útoky nultého dne . Objevila se řada přístupů k řešení těchto nových forem hrozeb, včetně detekce chování, umělé inteligence, strojového učení a detonace cloudových souborů. Podle společnosti Gartner se očekává vzestup nových účastníků, jako jsou Carbon Black , Cylance a Crowdstrike , donutí zavedené subjekty EPP do nové fáze inovací a akvizic. Jedna metoda od Bromium zahrnuje mikro-virtualizaci k ochraně desktopů před spuštěním škodlivého kódu iniciovaným koncovým uživatelem. Další přístup společností SentinelOne a Carbon Black se zaměřuje na detekci chování vytvořením úplného kontextu kolem každé cesty provádění procesu v reálném čase, zatímco Cylance využívá model umělé inteligence založený na strojovém učení. Tyto přístupy bez podpisů byly stále častěji definovány médii a analytickými firmami jako antivirus „příští generace“ a jsou svědky rychlého přijetí na trh jako certifikované antivirové náhradní technologie firmami, jako jsou Coalfire a DirectDefense. V reakci na to odpověděli tradiční prodejci antivirových programů, jako jsou Trend Micro , Symantec a Sophos, začleněním nabídek „next-gen“ do svých portfolií, protože analytické firmy jako Forrester a Gartner označily tradiční antivirové programy založené na podpisech za „neúčinné“ a „zastaralé“.

Metody identifikace

Jedním z mála solidních teoretických výsledků při studiu počítačových virů je demonstrace Fredericka B. Cohena z roku 1987, že neexistuje žádný algoritmus, který by dokázal dokonale detekovat všechny možné viry. Použitím různých vrstev obrany však lze dosáhnout dobré míry detekce.

Existuje několik metod, které antivirové motory mohou použít k identifikaci malwaru:

  • Detekce sandboxu : konkrétní detekční technika založená na chování, která místo detekce behaviorálního otisku prstu za běhu spouští programy ve virtuálním prostředí a zaznamenává, jaké akce program provádí. V závislosti na zaznamenaných akcích může antivirový modul určit, zda je program škodlivý nebo ne. Pokud ne, pak je program spuštěn v reálném prostředí. I když se tato technika ukázala jako docela účinná, vzhledem k její těžkosti a pomalosti se v antivirových řešeních pro koncové uživatele používá jen zřídka.
  • Techniky dolování dat : jeden z nejnovějších přístupů používaných při detekci malwaru. Algoritmy dolování dat a strojového učení se používají k pokusu klasifikovat chování souboru (buď škodlivé nebo benigní) vzhledem k řadě funkcí souboru, které jsou extrahovány ze samotného souboru.

Detekce na základě podpisu

Tradiční antivirový software se při identifikaci malwaru spoléhá na podpisy.

V podstatě, když se malware dostane do rukou antivirové firmy, je analyzován výzkumníky malwaru nebo systémy dynamické analýzy. Poté, co je určeno, že se jedná o malware, se extrahuje řádný podpis souboru a přidá se do databáze podpisů antivirového softwaru.

Přestože přístup založený na podpisu může účinně obsahovat ohniska malwaru, autoři malwaru se pokusili zůstat o krok před takovým softwarem tím, že budou psát „ oligomorfní “, „ polymorfní “ a v poslední době „ metamorfní “ viry, které šifrují jejich části nebo jinak modifikovat se jako způsob maskování, aby neodpovídaly virovým podpisům ve slovníku.

Heuristika

Mnoho virů začíná jako jediná infekce a prostřednictvím mutace nebo zdokonalení jinými útočníky může přerůst v desítky mírně odlišných kmenů, nazývaných varianty. Obecná detekce se týká detekce a odstranění více hrozeb pomocí jediné definice viru.

Například trojský kůň Vundo má několik členů rodiny, v závislosti na klasifikaci dodavatele antivirového programu. Společnost Symantec klasifikuje členy rodiny Vundo do dvou odlišných kategorií, Trojan.Vundo a Trojan.Vundo.B .

I když může být výhodné identifikovat konkrétní virus, může být rychlejší detekovat rodinu virů prostřednictvím generického podpisu nebo prostřednictvím nepřesné shody se stávajícím podpisem. Výzkumníci virů nacházejí společné oblasti, které všechny viry v rodině sdílejí jedinečně, a mohou tak vytvořit jeden obecný podpis. Tyto podpisy často obsahují nesouvislý kód pomocí zástupných znaků, kde jsou rozdíly. Tyto zástupné znaky umožňují skeneru detekovat viry, i když jsou doplněny dalším nesmyslným kódem. O detekci, která používá tuto metodu, se říká „heuristická detekce“.

Detekce rootkitů

Antivirový software se může pokusit vyhledat rootkity. Rootkit je druh malware navržen tak, aby získal kontrolu nad administrativní úrovni po počítačového systému, aniž by byla odhalena. Rootkity mohou změnit způsob fungování operačního systému a v některých případech mohou zasahovat do antivirového programu a učinit jej neúčinným. Rootkity je také obtížné odstranit, v některých případech vyžaduje úplnou reinstalaci operačního systému.

Ochrana v reálném čase

Ochrana v reálném čase, skenování při přístupu, ochrana pozadí, rezidentní štít, automatická ochrana a další synonyma označují automatickou ochranu poskytovanou většinou antivirových, antispywarových a jiných programů proti malwaru. Monitoruje podezřelé aktivity počítačových systémů, jako jsou počítačové viry, spyware, adware a další škodlivé objekty. Ochrana v reálném čase detekuje hrozby v otevřených souborech a skenuje aplikace v reálném čase, když jsou nainstalovány v zařízení. Při vkládání disku CD, otevírání e -mailu, procházení webu nebo při otevření nebo spuštění souboru, který je již v počítači.

Problémy znepokojení

Neočekávané náklady na obnovu

Některé licenční smlouvy s koncovým uživatelem komerčního antivirového softwaru obsahují klauzuli, že předplatné bude automaticky obnoveno a kreditní karta kupujícího bude automaticky účtována v době obnovení bez výslovného schválení. McAfee například požaduje , aby se uživatelé odhlásili alespoň 60 dní před vypršením platnosti tohoto předplatného, ​​zatímco BitDefender zasílá oznámení o odhlášení 30 dní před obnovením. Norton AntiVirus také ve výchozím nastavení automaticky obnovuje předplatné.

Rogue bezpečnostní aplikace

Některé zjevné antivirové programy jsou ve skutečnosti malware maskovaný jako legitimní software, například WinFixer , MS Antivirus a Mac Defender .

Problémy způsobené falešně pozitivními výsledky

„Falešně pozitivní“ nebo „falešný poplach“ je, když antivirový software identifikuje soubor, který není škodlivý, jako malware. Když k tomu dojde, může to způsobit vážné problémy. Pokud je například antivirový program nakonfigurován tak, aby okamžitě odstraňoval nebo ukládal infikované soubory do karantény, což je běžné u antivirových aplikací Microsoft Windows , může falešný poplach v základním souboru způsobit, že operační systém Windows nebo některé aplikace budou nepoužitelné. Zotavení z takového poškození kritické softwarové infrastruktury přináší náklady na technickou podporu a podniky mohou být nuceny ukončit činnost, zatímco se provádějí nápravná opatření.

Příklady vážných falešných poplachů:

  • Květen 2007: Vadný virový podpis vydaný společností Symantec omylem odstranil základní soubory operačního systému a tisíce počítačů se nepodařilo spustit .
  • Květen 2007: spustitelný soubor požadavků Pegasus Mail na Windows byl falešně detekovat Norton AntiVirus jako trojského koně, a to se automaticky odstraní, brání Pegasus Mail spuštění. Norton AntiVirus falešně identifikoval tři verze Pegasus Mail jako malware a v takovém případě by odstranil instalační soubor Pegasus Mail. V reakci na to Pegasus Mail uvedl:

Na základě toho, že to společnost Norton/Symantec udělala pro každé z posledních tří vydání Pegasus Mail, můžeme tento produkt pouze odsoudit jako příliš chybný a v nejsilnějším smyslu doporučit, aby jej naši uživatelé přestali používat ve prospěch alternativních , méně chybné antivirové balíčky.

  • Duben 2010: McAfee VirusScan detekoval svchost.exe, normální binární soubor Windows, jako virus na počítačích se systémem Windows XP s aktualizací Service Pack 3, což způsobilo restartovací smyčku a ztrátu veškerého přístupu k síti.
  • Prosinec 2010: vadná aktualizace antivirové sady AVG poškodila 64bitové verze systému Windows 7 , což způsobilo, že nelze spustit, protože byla vytvořena nekonečná zaváděcí smyčka.
  • Říjen 2011: Microsoft Security Essentials (MSE) odstranil webový prohlížeč Google Chrome , soupeřící s vlastním Internet Explorerem společnosti Microsoft . MSE označilo Chrome jako bankovní trojan Zbot .
  • Září 2012: Antivirová sada společnosti Sophos identifikovala různé aktualizační mechanismy, včetně svého vlastního, jako malware. Pokud byl Sophos Antivirus nakonfigurován tak, aby automaticky odstraňoval detekované soubory, nemohl by se sám aktualizovat a k vyřešení problému vyžadoval ruční zásah.
  • Září 2017: Google Play Protect anti-virus začal identifikaci Motorola ‚s Moto G4 aplikace Bluetooth, jako malware, což s bezdrátovou technologií Bluetooth, aby se zdravotním postižením.

Problémy související se systémem a interoperabilitou

Souběžné spouštění (ochrana v reálném čase) více antivirových programů může snížit výkon a vytvářet konflikty. S využitím konceptu zvaného multiscanning však několik společností (včetně G Data Software a Microsoft ) vytvořilo aplikace, které mohou provozovat více motorů současně.

Někdy je nutné dočasně deaktivovat antivirovou ochranu při instalaci hlavních aktualizací, jako jsou Windows Service Pack nebo aktualizace ovladačů grafické karty. Aktivní antivirová ochrana může částečně nebo úplně zabránit instalaci velké aktualizace. Antivirový software může při instalaci upgradu operačního systému způsobovat problémy, např. Při upgradu na „novější“ verzi novější verze systému Windows-bez vymazání předchozí verze systému Windows. Společnost Microsoft doporučuje deaktivovat antivirový software, aby se předešlo konfliktům s instalačním procesem upgradu. Aktivní antivirový software může také narušovat proces aktualizace firmwaru .

Funkčnost několika počítačových programů může být omezena aktivním antivirovým softwarem. Například, TrueCrypt , je šifrování disku program uvádí na své stránce o řešení problémů, které antivirové programy mohou být v rozporu s TrueCrypt a způsobit jeho poruchu nebo pracovat velmi pomalu. Antivirový software může narušit výkon a stabilitu her běžících na platformě Steam .

Problémy s podporou existují také v oblasti součinnosti antivirových aplikací s běžnými řešeními, jako jsou produkty vzdáleného přístupu SSL VPN a řízení přístupu k síti . Tato technologická řešení často obsahují aplikace pro posuzování zásad, které vyžadují instalaci a spuštění aktuálního antiviru. Pokud antivirová aplikace není při hodnocení zásad rozpoznána, ať už proto, že antivirová aplikace byla aktualizována nebo protože není součástí knihovny pro hodnocení zásad, uživatel se nebude moci připojit.

Účinnost

Studie v prosinci 2007 ukázaly, že účinnost antivirového softwaru se v předchozím roce snížila, zejména proti neznámým útokům nebo útokům nultého dne . Počítač časopis c't zjištěno, že detekce sazby u těchto hrozeb klesl ze 40 na 50% v roce 2006 na 20-30% v roce 2007. V té době, jedinou výjimkou byl NOD32 antivirus, který řídil míru detekce 68% . Podle webové stránky ZeuS tracker je průměrná míra detekce u všech variant známého trojského koně ZeuS až 40%.

Problém je umocněn měnícím se záměrem autorů virů. Před několika lety bylo zřejmé, že byla přítomna virová infekce. V té době viry psali amatéři a vykazovaly destruktivní chování nebo vyskakovací okna . Moderní viry často píší profesionálové financovaní zločineckými organizacemi .

V roce 2008 Eva Chen , generální ředitelka společnosti Trend Micro , uvedla, že antivirový průmysl už léta překračuje účinnost svých produktů-a také uvádí zákazníky v omyl.

Nezávislé testování na všech hlavních antivirových programech trvale ukazuje, že žádný neposkytuje 100% detekci virů. Ty nejlepší poskytovaly detekci až 99,9% pro simulované situace v reálném světě, zatímco ty nejnižší poskytovaly 91,1% v testech provedených v srpnu 2013. Mnoho antivirových skenerů produkuje také falešně pozitivní výsledky a identifikuje benigní soubory jako malware.

Ačkoli se metody mohou lišit, mezi některé významné nezávislé agentury pro testování kvality patří AV-Comparatives , ICSA Labs , West Coast Labs, Virus Bulletin , AV-TEST a další členové organizace Anti-Malware Testing Standards Organization .

Nové viry

Antivirové programy nejsou vždy účinné proti novým virům, dokonce ani těm, které používají metody bez podpisu, které by měly detekovat nové viry. Důvodem je to, že návrháři virů testují své nové viry na hlavních antivirových aplikacích, aby se ujistili, že nejsou detekováni, než je vypustí do přírody.

Některé nové viry, zejména ransomware , používají polymorfní kód, aby se vyhnuli detekci virovými skenery. Jerome Segura, bezpečnostní analytik ParetoLogic, vysvětlil:

Je to něco, co jim často chybí, protože tento typ [ransomware viru] pochází ze stránek, které používají polymorfismus, což znamená, že v podstatě randomizují soubor, který vám pošlou, a velmi snadno se dostane ke známým antivirovým produktům. Viděl jsem, jak se lidé na vlastní kůži nakazí, mají všechna vyskakovací okna a přesto mají spuštěný antivirový software a nic nezjistí. Ve skutečnosti může být také docela těžké se toho zbavit a nikdy si nejste jisti, jestli to opravdu zmizelo. Když něco takového vidíme, obvykle doporučujeme přeinstalovat operační systém nebo přeinstalovat zálohy.

Proof of concept virus použil procesorová jednotka Graphics (GPU) k detekci vyhnout se od anti-virus software. Potenciální úspěch toho spočívá v obejití procesoru , aby bylo pro výzkumníky v oblasti bezpečnosti mnohem obtížnější analyzovat vnitřní fungování takového malwaru.

Rootkity

Detekce rootkitů je hlavní výzvou pro antivirové programy. Rootkity mají plný přístup pro správce k počítači a jsou pro uživatele neviditelné a skryté v seznamu běžících procesů ve správci úloh . Rootkity mohou upravovat vnitřní fungování operačního systému a zasahovat do antivirových programů.

Poškozené soubory

Pokud byl soubor napaden počítačovým virem, pokusí se antivirový software během dezinfekce odebrat kód viru ze souboru, ale soubor vždy nedokáže obnovit do nepoškozeného stavu. Za takových okolností lze poškozené soubory obnovit pouze ze stávajících záloh nebo stínových kopií (to platí také pro ransomware ); nainstalovaný poškozený software vyžaduje opětovnou instalaci (viz Kontrola systémových souborů ).

Firmware infekce

Jakýkoli zapisovatelný firmware v počítači může být infikován škodlivým kódem. To je hlavní problém, protože infikovaný BIOS může vyžadovat výměnu skutečného čipu BIOS, aby bylo zajištěno úplné odstranění škodlivého kódu. Antivirový software není účinný při ochraně firmwaru a BIOSu základní desky před infekcí. V roce 2014 bezpečnostní výzkumníci zjistili, že zařízení USB obsahují zapisovatelný firmware, který lze upravit škodlivým kódem (přezdívaným „ BadUSB “), což antivirový software nedokáže detekovat ani mu zabránit. Škodlivý kód může v počítači běžet nepozorovaně a dokonce může infikovat operační systém před jeho spuštěním.

Výkon a další nevýhody

Antivirový software má některé nevýhody, z nichž první může ovlivnit výkon počítače .

Nezkušení uživatelé mohou být navíc při používání počítače ukolébáni do falešného pocitu bezpečí, protože považují své počítače za nezranitelné a mohou mít problémy s porozuměním výzvám a rozhodnutím, která jim antivirový software předkládá. Nesprávné rozhodnutí může vést k narušení bezpečnosti. Pokud antivirový software využívá heuristickou detekci, musí být doladěn tak, aby se minimalizovala chybná identifikace neškodného softwaru jako škodlivého ( falešně pozitivní ).

Samotný antivirový software obvykle běží na vysoce důvěryhodné úrovni jádra operačního systému, aby mu umožnil přístup ke všem potenciálním škodlivým procesům a souborům, což vytváří potenciální cestu útoku . Americké národní bezpečnostní agentury (NSA) a britské vládní komunikační velitelství (GCHQ) zpravodajské agentury využívají antivirový software ke špehování uživatelů. Antivirový software má vysoce privilegovaný a důvěryhodný přístup k základnímu operačnímu systému, což z něj činí mnohem přitažlivější cíl pro vzdálené útoky. Antivirový software navíc „roky zaostává za bezpečnostními aplikacemi na straně klienta, jako jsou prohlížeče nebo čtečky dokumentů. To znamená, že Acrobat Reader, Microsoft Word nebo Google Chrome je těžší využívat než 90 procent antivirových produktů, které jsou k dispozici“, podle Joxeana Koreta, výzkumného pracovníka společnosti Coseinc, singapurského poradce pro informační bezpečnost.

Alternativní řešení

Skener virů Clam AV 0.95.2 z příkazového řádku, který spouští aktualizaci definice virového podpisu, skenuje soubor a identifikuje trojského koně .

Antivirový software běžící na jednotlivých počítačích je nejběžnější metodou ochrany před malwarem, ale není jediným řešením. Uživatelé mohou využívat i další řešení, včetně Unified Threat Management ( UTM ), hardwarových a síťových firewallů, cloudových antivirů a online skenerů.

Hardware a síťový firewall

Síťové brány firewall zabraňují přístupu neznámých programů a procesů do systému. Nejedná se však o antivirové systémy a nepokoušejí se nic identifikovat nebo odstranit. Mohou chránit před infekcí mimo chráněný počítač nebo síť a omezit aktivitu jakéhokoli škodlivého softwaru, který je k dispozici, blokováním příchozích nebo odchozích požadavků na určitých portech TCP/IP . Firewall je navržena tak, aby vypořádat s širšími systémovými hrozbám, které pocházejí ze síťových připojení do systému a není alternativou k systému ochrany virus.

Cloudový antivirus

Cloudový antivirus je technologie, která využívá software odlehčeného agenta na chráněném počítači a současně uvolňuje většinu analýzy dat do infrastruktury poskytovatele.

Jeden přístup k implementaci cloudového antiviru zahrnuje skenování podezřelých souborů pomocí více antivirových modulů. Tento přístup byl navržen ranou implementací cloudového antivirového konceptu s názvem CloudAV. CloudAV byl navržen tak, aby odesílal programy nebo dokumenty do síťového cloudu, kde se současně používá více antivirových a behaviorálních detekčních programů, aby se zlepšila míra detekce. Paralelního skenování souborů pomocí potenciálně nekompatibilních antivirových skenerů je dosaženo založením virtuálního stroje na detekční modul, a tím odstraněním všech možných problémů. CloudAV může také provádět „retrospektivní detekci“, kdy modul pro detekci cloudu znovu vyhledá všechny soubory v jeho historii přístupu k souborům, když je identifikována nová hrozba, čímž se zvýší rychlost detekce nové hrozby. A konečně, CloudAV je řešením pro efektivní skenování virů na zařízeních, která postrádají výpočetní výkon pro provádění samotných testů.

Mezi příklady cloudových antivirových produktů patří Panda Cloud Antivirus a Immunet . Comodo Group také vyrobila cloudový antivirus.

Online skenování

Někteří prodejci antivirů spravují webové stránky s možností online skenování celého počítače, pouze kritických oblastí, lokálních disků, složek nebo souborů. Pravidelné online skenování je dobré pro ty, kteří na svých počítačích používají antivirové aplikace, protože tyto aplikace často pomalu zachytávají hrozby. Jednou z prvních věcí, kterou škodlivý software při útoku provádí, je deaktivace stávajícího antivirového softwaru a někdy je jediným způsobem, jak se o útoku dozvědět, přechod na online zdroj, který není nainstalován v infikovaném počítači.

Specializované nástroje

Skener rkhunter příkazového řádku , stroj pro skenování rootkitů Linuxu běžících na Ubuntu .

K dispozici jsou nástroje pro odstranění virů, které pomáhají odstranit odolné infekce nebo určité typy infekcí. Mezi příklady patří Avast Free Anti-Malware , AVG Free Malware Removal Tools a Avira AntiVir Removal Tool . Je také třeba poznamenat, že někdy antivirový software může způsobit falešně pozitivní výsledek, což naznačuje infekci tam, kde není.

Záchranný disk, který je zaváděcí, například disk CD nebo USB, lze použít ke spuštění antivirového softwaru mimo nainstalovaný operační systém, aby se odstranily infekce, když jsou spící. Spouštěcí antivirový disk může být užitečný, pokud například nainstalovaný operační systém již není možné spustit nebo obsahuje malware, který odolává všem pokusům o odstranění nainstalovaným antivirovým softwarem. Mezi příklady některých z těchto zaváděcích disků patří Bitdefender Rescue CD , Kaspersky Rescue Disk 2018 a Windows Defender Offline (integrovaný do Windows 10 od Anniversary Update ). Většinu softwaru Rescue CD lze také nainstalovat na úložné zařízení USB, které lze spustit na novějších počítačích.

Použití a rizika

Podle průzkumu FBI velké podniky přicházejí o 12 milionů dolarů ročně v souvislosti s virovými incidenty. Průzkum společnosti Symantec v roce 2009 zjistil, že třetina malých a středních podniků v té době antivirovou ochranu nevyužívala, zatímco více než 80% domácích uživatelů mělo nainstalován nějaký druh antiviru. Podle sociologického průzkumu provedeného společností G Data Software v roce 2010 49% žen vůbec nepoužilo žádný antivirový program.

Viz také

Citace

Obecná bibliografie

  • Szor, Peter (2005). Umění výzkumu a obrany počítačových virů . Addison-Wesley. ISBN 978-0-321-30454-4.