Новые технологии против традиционных решений

Для детектирования вновь появляющихся вредных программ существуют разные технологии, дополняющие традиционные методы «сигнатурного поиска» уже известных вирусов (сравнение с вирусными «масками»). Наличие наиболее важных из них и их качество усиливают общий уровень безопасности, обеспечиваемый каждым конкретным продуктом. К таким технологиям относятся эвристические технологии распознавания вредного кода и поведенческие блокираторы — методы проактивной защиты.

У производителей антивирусных программ периодически возникает желание придумать какую-нибудь совершенно новую технологию, которая разом решит все перечисленные в предыдущей главе проблемы — разработать этакую супер-таблетку, которая будет защищать от всех компьютерных болезней раз и навсегда. Защищать «проактивно», т.е. быть в состоянии определить вирус и удалить его еще до момента его создания и появления в сети — и так со всеми вновь появляющимися вредоносными программами.

Увы — не получается. Универсальные средства годятся против тех напастей, которые действуют по каким-либо устоявшимся законам. Компьютерные вирусы же никаким законам не подчиняются, поскольку являются творением не природы, а изощренного хакерского ума. Т.е. законы, которым подчиняются вирусы, постоянно меняются в зависимости от целей и желаний компьютерного андеграунда.

Для примера рассмотрим поведенческий блокиратор как конкурент традиционным антивирусным решениям, основанным на вирусных сигнатурах. Это два разных, не исключающих друг друга подхода к проверке на вирусы. Сигнатура — это небольшой кусок вирусного кода, который прикладывается к файлам, и антивирус смотрит, подходит он или нет. Поведенческий блокиратор же следит за действиями программ при их запуске и прекращает работу программы в случае её подозрительных или явно вредоносных действий (для этого у них есть специальный набор правил). У обоих методов есть и достоинства, и недостатки.

Достоинства сигнатурных сканеров — гарантированный отлов тех «зверей», которых они «знают в лицо». Недостаток — пропуск тех, которые им пока неизвестны. Также к минусам можно отнести большой объем антивирусных баз и ресурсоемкость. Достоинство поведенческого блокиратора — детектирование даже неизвестных вредоносных программ. Недостаток — пропуск некоторых даже уже давно известных вариантов, ведь поведение современных вирусов и троянских программ настолько разнообразно, что покрыть их всех единым набором правил просто нереально. К тому же, беда поведенческих блокираторов — ложные срабатывания (детектирование вируса в чистом файле), поскольку иногда вполне легальные программы ведут себя «подозрительно». Т.е. поведенческий блокиратор будет гарантированно пропускать что-то вредное и периодически блокировать работу чего-то весьма полезного.

Есть у поведенческого блокиратора и другой (врожденный) недостаток, а именно — неспособность бороться с принципиально новыми вирусами. Представим себе, что некая компания X разработала поведенческий антивирус AVX, который ловит 100% современной компьютерной фауны. Что сделают хакеры? Правильно — придумают принципиально иной метод инфицирования системы, незаметный AVX. И антивирусу AVX срочно потребуются обновления поведенческих правил — обновления. Потом снова обновления, поскольку хакеры и вирусописатели не спят. Потом — еще и еще обновления. И в результате мы придем к тому же сигнатурному сканеру, только сигнатуры будут «поведенческими», а не «кусками кода».

Это справедливо также и в отношении другого проактивного метода защиты — эвристического анализатора, суть которого заключается в анализе предполагаемого поведения программы до её запуска и вынесении вердикта — подозрительная программа или нет. Как только подобные антивирусные технологии начинают мешать хакерам атаковать свои жертвы, так сразу появляются новые вирусные технологии, позволяющие «обходить» эвристические методы защиты. Как только продукт с «продвинутыми» эвристиками и поведенческим блокиратором становится достаточно популярным — тут же эти «продвинутые» технологии перестают работать.

Таким образом, вновь изобретенные проактивные технологии работают довольно короткое время. Если «хакерам-пионерам» потребуется несколько недель или месяцев для преодоления проактивной обороны, то для хакеров-профессионалов это работа на один-два дня или даже на несколько часов, а может, даже и минут. Следовательно, поведенческий блокиратор или эвристический анализатор, каким бы эффективным он ни был, требует постоянных доработок и, соответственно, обновлений. При этом следует учесть, что добавление новой записи в базы сигнатурного антивируса — дело нескольких минут, а доводка и тестирование проактивных методов защиты занимает гораздо более длительное время. В результате оказывается, что во многих случаях скорость появления обновления от сигнатурных антивирусов многократно превышает аналогичные решения от проактивных технологий. Это доказано практикой — эпидемиями новых почтовых и сетевых червей, принципиально новых шпионских «агентов» и прочего криминального софта.

Это, конечно, не означает, что проактивные методы защиты бесполезны, нет. Они прекрасно справляются со своей частью работы и могут остановить некоторое количество компьютерной фауны, разработанной не шибко умелыми хакерами-программистами. И по этой причине они могут являться достойными дополнениями к традиционным сигнатурным сканерам — однако полагаться на них целиком и полностью нельзя.