Что такое база сигнатур
Сигнатуры вирусов — важное понятие в компьютерной защите
На этот раз поговорим о том, что такое сигнатуры вирусов. Эта информация поможет вам узнать больше о том, как маскируется вредительское ПО. И насколько эффективно с ним борются антивирусы.
Сигнатура: объяснение и виды
Латинское слово «signature» переводится на русский язык как «указывать». В нашем случае указываются характерные признаки вируса, по которым защитные программы могут обнаружить их на вашем компьютере.
Сигнатуры вирусов бывают двух типов:
Процесс создания
Сигнатура вируса — это результат кропотливого анализа разработчиков антивирусов. Причем он не может быть полностью автоматизирован.
Так что программисты вручную выявляют исключительные свойства того или иного вируса. Ведь важно, чтобы они не пересекались с поведением или синтаксисом обычных программ во избежание ложных срабатываний антивирусов.
Эффективность сигнатур
Учитывая то, как создаются сигнатуры, обнаружение вредоносного софта по ним является одним из самых эффективных способов. Но чтобы он соответствовал этому званию, необходимо своевременно обновлять защитное ПО, когда его базы устарели (обычно в антивирусах функция обновления работает автоматически). Ведь с каждым разом разработчики добавляют новые сигнатуры.
Также выявление вирусов по сигнатурам обладает такими преимуществами:
Все же бывают случаи ложных тревог. Шифровальщики вирусов тоже работают не покладая рук, чтобы незаметно проникать в наши компьютеры. Так что хорошо, когда антивирусы используют в работе еще метод. Он называется эвристическим анализом (тоже учитывает характеристики вирусов) и проактивной защиты (предотвращает их попадание).
Вот, собственно, вся информация, которую стоит знать обычному пользователю о том, что такое сигнатуры вирусов.
Но если вы увлеклись чтением, моего блога, то для вас найдется еще множество интересных и полезных статей.
Три заблуждения, связанных с антивирусами: сигнатуры, вирусы и лечение
Поговорим о нескольких понятиях, которые зачастую понимаются ошибочно: какие бывают сигнатуры, что на самом деле такое вирусы и как работает лечение системы антивирусом.
Мы много и часто рассказываем о правилах поведения (а может, даже и выживания) в Интернете, да и в цифровом мире в целом. Очень надеемся, что делаем это все не зря, — что люди учатся и потом учат своих близких. Это правда очень важно.
Однако во всех этих рассказах встречается немало специфических терминов, которые кто-то может не знать или понимать неверно. Сегодня мы поговорим о трех самых распространенных заблуждениях, связанных с антивирусами, и попробуем объяснить, почему мы называем определенные вещи так, а не иначе.
Заблуждение первое: сигнатуры — это что-то устаревшее
Так исторически сложилось, что антивирусные базы в разговоре и даже статьях часто называют сигнатурами. В действительности же классические сигнатуры, пожалуй, ни один антивирус не использует уже лет 20.
Проблема возникла из-за того, что с самого начала — а это восьмидесятые годы — понятие «сигнатуры» не было определено четко. Например, отдельной статьи про них в «Википедии» нет даже сейчас, а в статье про вредоносные программы понятие «сигнатуры» используется без определения — как нечто всем известное.
Давайте же это определение дадим. Классическая вирусная сигнатура — это непрерывная последовательность байтов, характерная для той или иной вредоносной программы. То есть она содержится в этом вредоносном файле и не содержится в чистых файлах.
Например, характерная последовательность байтов может быть такой
Проблема в том, что сегодня с помощью таких классических сигнатур определить вредоносный файл достаточно проблематично — их создатели используют различные техники для того, чтобы запутать следы. Поэтому современные антивирусы используют значительно более продвинутые методы. И хотя в антивирусных базах примитивных записей по-прежнему много (больше половины), но есть еще и очень много умных записей.
Все это продолжают по старинке называть сигнатурами. И ладно бы просто называли — в общем-то, ничего страшного. Но это название зачастую используется уничижительно: мол, сигнатуры — устаревшие технологии. А на самом деле в этих «устаревших сигнатурах» порой какое-нибудь «разбиение пространства исполняемых файлов на кластеры в результате работы нейронной сети», которое никто и словами-то доступно не может описать.
В идеале стоило бы отказаться от использования самого термина «сигнатура» в смысле «любая запись в антивирусной базе». Но уж слишком прочно это слово вошло в обиход, да и альтернативного термина пока не придумали, так что все продолжают по привычке пользоваться им.
Поэтому важно иметь в виду, что само по себе слово «сигнатура» на самом деле не говорит ничего о продвинутости или примитивности.
Антивирусная запись — это запись, а стоящая за ней технология может быть как классической, простенькой, так и суперсовременной и навороченной, нацеленной на детектирование самых запутанных и высокотехнологичных вредоносных файлов или даже целых семейств вредоносов.
Заблуждение второе: вирусы — это любые вредоносные программы
Вы наверняка отмечали, что вирусные аналитики нашей компании избегают употребления слова «вирус», предпочитая ему странноватые слова вроде «вредонос» или «зловред», а между собой часто говорят «малвара». Делаем мы это вовсе не из суеверия или профессионального пафоса.
Дело в том, что «Virus» — это вполне конкретная разновидность вредоноса, отличающегося очень специфическим поведением: это зловред, который заражает собой другие, чистые файлы. Вирусные аналитики также используют для этого типа вредоносных программ термин «инфекторы».
Инфекторы в вирусной лаборатории пользуются особым статусом. Во-первых, их чуть сложнее распознать — с виду файл чистый, а на самом деле в нем инфекция. Во-вторых, они требуют особого подхода: почти всегда для них нужна специальная процедура лечения и, как правило, еще и особая процедура детектирования. Поэтому инфекторами занимаются люди, специализирующиеся именно на этом типе угроз.
Классификация вредоносных программ
И вот для того, чтобы не путать «вирус» в обывательском смысле с вполне определенной категорией зловредов, вирусные аналитики, в том числе и в разговоре с прессой, употребляют слова «вредонос» или «зловред», когда речь идет о вредоносных программах в целом.
И раз уж мы заговорили о правильных терминах, то вот еще несколько. «Червь» — это вредонос, способный к самостоятельному распространению за пределы одного устройства. А «малвара» (malware), если следовать точной классификации, не включает в себя «адвару» (adware) — грубое рекламное ПО — и «рисквару» (riskware) — легальное ПО, которое может нанести вред пользователю, если установлено не им, а злоумышленниками.
Заблуждение третье: антивирус не умеет лечить
Мне встречалось такое заблуждение, будто антивирус сканирует и детектирует, а если что-то найдет, то потом надо скачивать специальную лечащую утилиту и использовать уже ее. Отдельные утилиты для особо популярных зловредов у нас действительно есть — например, специализированные утилиты, позволяющие бесплатно расшифровать файлы, зашифрованные вымогателями. Но и антивирус справляется с лечением ничуть не хуже. А в подавляющем большинстве случаев — даже лучше, за счет драйверов в системе и других технологий, которые в утилиту не запихнешь.
Лечение заключается в следующем. В 1% случаев, когда пользователю антивируса «посчастливилось» натолкнуться именно на вирус — инфектор (причем, скорее всего, еще до установки антивируса, иначе бы зловред просто не запустился), антивирус действительно будет перебирать все зараженные файлы на компьютере и производить процедуру дезинфекции — восстанавливать оригинал. Кстати, то же самое антивирус будет делать, если потребуется расшифровать файлы, зашифрованные вымогателем-шифровальщиком — зловредом класса Trojan-Ransom.
А в остальных 99% случаев, когда зловред ничего не инфицирует, а просто делает (или собирается делать) свое черное дело, лечение действительно состоит в банальном удалении файла зловреда. Просто потому, что заражения других файлов нет, так что и лечить их не требуется. Уничтожаем файл — и система здорова.
В большинстве случаев лечение как таковое не требуется, достаточно просто удалить вредоносный файл
Но тут есть одно исключение — если зловред уже работает в системе (а не просто лежит на диске), то антивирус переходит в состояние «Лечение активного заражения», чтобы все сделать надежно и до конца, без рецидивов. Вот здесь можно прочитать полное описание данной врачебной процедуры.
Кстати, ситуация такая возникает обычно по двум причинам:
Заключение
На сегодня все. Надеюсь, теперь вы:
Какой выбрать антивирус?
Какой выбрать антивирус? Этот вопрос я слышу с завидной периодичностью. А интересен он тем, что дать на него однозначный ответ очень сложно.
Если взглянуть на специфику работы антивирусов, станет ясно, что она примерно одинакова у всех. Поэтому, первое, и самое важное, что хотелось бы написать на эту тему…
Важно, чтобы антивирус был. Его отсутствие, в любом случае, самый худший вариант
Это, конечно, в том случае, если мы говорим о компьютере под управлением Windows. Так как в Linux проблема вирусов стоит, прямо скажем, далеко не так остро.
Теперь вернемся к специфике работы антивирусов. Антивирусы работают, используя базу данных сигнатур (или определений). Что это такое? Эта специальная база данных, в которой хранятся примеры программного кода, характерного для каждого вируса. Эта база данных создается разработчиками каждого конкретного антивируса, и постоянно обновляется через интернет.
В ходе своей работы антивирус сканирует файлы компьютера, пытаясь обнаружить в них соответствие какому-либо примеру из базы данных сигнатур. Если соответствие найдено – антивирус сигнализирует о том, что обнаружена какая-то бяка, и предлагает её немедленно порешить.
Верно и обратное – если у вас на компьютере завелся вирус, которого пока нет в базе сигнатур, то и обнаружить его ваш антивирус не сможет.
Кстати, лирическое отступление. Ведь есть же еще эвристический анализ, не так ли? Производители антивирусов нам про него охотно рассказывают, вот только работает ли он? Почему, в таком случае, так распространена ситуация, когда антивирусы не могут найти «зловреда», которого нет в базе данных сигнатур? Вопросы в пространство. Пару лет назад к нам в институт приезжали товарищи из «Лаборатории Касперского» — провели интереснейший семинар, за что им большое спасибо. Однако, мои дотошные студенты в ходе этого семинара задали открыто вопрос о том, работает ли эвристика? Получили ответ «да», и продолжили докапываться, спросив, могут ли уважаемые работники «лаборатории» примерно назвать долю (в процентах) обнаруженных угроз, которая приходится на эвристику? И вот после этого доблестные ребята из «лаборатории» поспешно сменили тему =)
Отсюда сделаем второй важный вывод:
База сигнатур вашего антивируса должна регулярно обновляться. В противном случае он будет практически бесполезен
Базу данных сигнатур каждый из разработчиков создает самостоятельно, никакой координации между ними нет. Поэтому один вирус может попасть в базы данных различных антивирусов и в разное время, и под разными именами, а куда-то может не попасть вообще.
Отсюда сделаем следующий вывод:
Ни один антивирус не обеспечит стопроцентную защиту
Я не стал бы утверждать, что скорость обновления баз критически зависит от того, коммерческий антивирус или бесплатный. В сети существует очень интересный ресурс, занимающийся сравнением эффективности антивирусов — http://www.virusbtn.com. Как видите, многие наиболее известные платные и бесплатные решения дают у них сходные результаты. Отличие же их, как правило, заключается в наличие какого-либо дополнительного функционала, технической поддержки и т. п. И да, результаты их тестов там постоянно меняются. Какие-то продукты опускаются вниз, какие-то, наоборот, вдруг показывают выдающиеся результаты. Но в целом, какую-то тенденцию проследить сложно. Да, наиболее известные коммерческие решения более стабильно держатся наверху, однако нет-нет, да и окажется на первом месте что-то бесплатное, а платное, напротив, «уедет» вниз.
Так что же делать? Какой установить антивирус?
Для начала – определиться, готовы вы платить за антивирус или нет. Обратите внимание, что за коммерческий антивирус придется заплатить не один раз. Как правило, покупая его, вы получаете вместе с ним ключ, который обеспечивает вас обновлениями антивирусной базы на некоторое время (например, на год), после чего вам снова потребуется заплатить некоторую сумму.
Это принципиальный момент. Многие не хотят платить, но при этом ставят коммерческие антивирусы, напрочь забивая на обновления (как вы понимаете защиты от такого решения – почти ноль).
Когда решение принято – приступайте собственно к выбору антивируса. Можете поговорить со знакомыми, или посетить специализированные ресурсы. Единственное, от чего я еще порекомендовал бы воздержаться, так это от использования каких-либо малоизвестных продуктов.
Если у Вас Windows 8, обратите внимание на тот факт, что в ней уже есть встроенный антивирус.
Наиболее известные коммерческие антивирусы:
Наиболее популярные бесплатные антивирусы:
— Microsoft Security Essentials (работает только на лицензионных копиях Windows).
Ну и в заключении расскажу вам страшную историю. В одной редакции имелся редактор, который, в том числе, вел переписку с заграничными коллегами и партнерами – весьма активную. В связи с тем, что спам-фильтр используемого почтового сервера время от времени блокировал нужные ему письма «из-за бугра», все спам-фильтры были отключены. В день на ящик приходило около 1000 писем, разумеется, в основном – спам. Не редко в этом спаме оказывались вирусы и другая гадость. Компьютер у редактора был слабый, поэтому в один прекрасный момент он (редактор) взял, да и выключил в тихушку «Касперского», абы не тормозило. Без оного его машина продержалась несколько дней, и потом ей стало ну совсем худо… В общем, когда «Касперского» включили, он нашел в почтовой базе «аутлука» 7000 с гаком вирусов (!). Самое главное, что вирус, который, собственно говоря и вывел систему из строя (а признаком его активности была рассылка с зараженной машины спама), так и остался жив. Поэтому «Касперский» был удален и на его место водружен NOD32… Который нашел еще изрядное количество вирусов, но опять не тронул глвную «бяку». Потом пришел черед Avira, и история повторилась. А затем были Avast и DrWeb CureIt!, которые тоже нашли… Но основная зараза, рассылающая спам, так и осталась жива. Так что вопрос был решен сносом системы… К чему это я?
Вы можете услышать очень много мнений о том, что какой-то антивирус не находит ничего, а другой находит всё, и т. п. Однако, все это как правило – частные случаи. Какой антивирус выбрать – решать только вам, основываясь на ваших реалиях – насколько вы нуждаетесь в защите? Сколько готовы за нее платить и готовы ли? В конце концов, какой из антивирусов вам больше нравится? Какому разработчику вы доверяете больше? И т. п.
Я, конечно, понимаю — кто-то, возможно, ожидал увидеть здесь готовый ответ на вопрос, поставленный в начале статьи. Однако, его видимо, просто не существует. Мои размышления на эту тему, смею надеяться, покажутся вам полезными.
Если вас интересует мой выбор – могу сказать, что на основной рабочей машине у меня стоит Kaspersky Internet Security. На остальных вполне справляется и встроенный антивирус Windows 8.
Вирусы и как с ними бороться. Часть вторая
В первой части статьи Вирусы и как с ними бороться мы рассмотрели теоретические основы вирусостроения. Сегодня подбираемся ближе к практике.
Для чего нам нужен антивирус?
Каждый производитель выпускает антивирусы для различных платформ, например существуют версии того же самого AVP как для различных Windows платформ, так и для Unix/Linux систем, MacOS. Уже многие компании начали выпуск антивирусных пакетов для мобильных устройств на базе SymbianOS, PalmOS и клоны Windows CE (WM, Pocket, Smartphone и т.п.). Многие юзеры, конечно, и не подозревают о том, что уже существуют вирусы и под эти платформы, а некоторые уже знают о них, получив через Bluetooth вирус Duts для WM 2002/2003 или Cabir для Symbian.
Где взять антивирус
В процессе установки разные антивирусы могут предлагать различные попутные настройки с обязательно установленной кнопкой в положение Recommended. Если вы не особо разбираетесь в работе антивируса, то лучше так и оставьте. Далее возможна ситуация, когда антивирус просканирует ОЗУ вашего кремниевого друга и удалит все вирусы из нее, после этого поступит предложение просканировать весь жесткий диск на предмет вирусов, до перезагрузки (если в памяти были найдены вирусы), не советую пренебрегать этим предложением. После сканирования перезагружаемся и если до этого в системе антивирус установлен не был, то наблюдаем более низкую скорость загрузки ОС, потерю нескольких десятков мегабайт ОЗУ, а если машина совсем уж слабенькая, то может наблюдаться и замедление работы — но поверьте, оно того стоит.
Как работает антивирус?
Практически каждый антивирус состоит из нескольких модулей, а именно из сканера, монитора, брандмауэра и различных блоков, защищающих нас от спама, фишинга и тому подобных неприятностей.
Начнем по порядку: с того, какие типы обнаружения вирусов существуют, а их всего три, это сигнатурный, эвристический и проактивный.
Сигнатурный метод обнаружения вирусов
На рисунке видна сигнатура, которую я специально добавил в тело «диллки» из существующего вируса под названием Email-Worm.Win32.Happy (из легендарного вируса!), примерно так и работает антивирус, декомпилируя файл и ища в нем сигнатуры вирусов (на самом деле, конечно же, код длинней, но и на сохраненные изменения в этом файле моя «Панда» отреагировала незамедлительно).
Многих также интересовал вопрос, как же все таки тело вируса попадает в антивирусные лаборатории, и я постараюсь на него ответить. Ну, во-первых, у каждой компании есть специальный робот, который называется Honeypots (липучка), сканирующий Интернет в поисках вирусов посредством эвристического анализа и проактивных методов (о которых чуть ниже), также вирусы присылают «зараженные» пользователи, чей антивирус с помощью эвристического анализатора обнаружил вирус и поместил его в карантин (специальная директория, в которую помещается инфицированный файл до тех пор, пока антивирусная компания не выпустит сигнатуру с кодом этого вируса и антивирус не сможет «выкусить» этот участок вредоносного кода фагом, тем самым, вылечив файл, а до тех пор придется выкусить пользователю 🙂 Файлы из этой директории не могут быть запущены на выполнение).
В некоторых случаях сигнатуры новых вирусов отправляют друг другу и компании антивирусного ПО. Да-да, это не шутка. Несмотря на маркетинговую политику, такое происходит, это поведал один руководитель крупной российской антивирусной компании в онлайн-интервью. А вообще в антивирусные компании ежедневно поступают из всех помянутых источников 200-300 свеженьких образцов различных «зверушек», написанных как профи, так и не очень опытными вирусописателями, некоторым образцам так и не суждено заразить ни одной машины, а некоторым, таким как Win95.CIH (он же «Чернобыль»), Sasser, NetSky, MyDom удается произвести настоящий шум.
После того как сигнатуры на сервере антивирусной компании добавлены в базы, антивирус подключается к официальному серверу или к зеркалу (если этому не противоречит регламент) и скачивает новые сигнатуры, добавляя к уже существующим.
Иногда в неделю добавляется сигнатур объемом в 350-400 кб, и после того как сигнатуры добавлены, файлы, находившиеся в карантине, будут вылечены (т.е. если вирусы, которыми они заражены, найдутся в базе).
Также иногда возникает спор на тему того, что у одного антивируса в базе 75 000 известных вирусов, а у другого их аж 125 000, и последний, как правило, в глазах несведущих пользователей выглядит привлекательней. Но тут тоже есть рекламная хитрость, дело в том, что у одного вируса может быть несколько мутаций (небольшое изменение кода вследствие модификации вредоносного кода), так вот, некоторые компании считают группу мутаций одного вируса (которая может достигать десятка) одним вирусом, другие считают каждую мутацию отдельным вирусом. Сигнатурный метод очень хорош тем, что в случае, когда вирус известен антивирусной компании и его сигнатура занесена в базы, он будет найден наверняка, на все 100%.
Эвристический метод обнаружения вирусов
Слово «эвристика» происходит от греческого «отыскиваю, открываю», и построен этот метод, грубо говоря, на анализе проб и ошибок. На практике при работе антивируса эвристический анализатор распознает некоторые виды мутировавших вирусов, но зачастую такой метод порождает ложные срабатывания. Зато именно с помощью этого метода возможна некоторая защита от отсутствующих в базе вирусов, то есть подозрительный файл будет помещен в карантин, откуда будет передан антивирусной компании в момент следующего обновления. В компании его исследуют и добавят код в базу сигнатур, после чего этот файл, возможно, будет вылечен.
Один совет по поводу сотрудничества с антивирусными компаниями. Иногда антивирусная компания просит присылать обнаруженный вирус или инфицированный файл по почте с пометкой «вирус», но дело в том, что по дороге от почтового сервера к почтовому серверу файл подвергнется проверке и будет либо удален, либо дезинфицирован, поэтому следует его предварительно упаковать в архив с паролем и в тексте письма указать пароль.
Помните, что ни один антивирус не обнаружит вирус в запароленном архиве. Когда же вирус или инфицированный файл попадает в карантин, то он сразу шифруется и становится недоступным для всех приложений, кроме антивируса, и в лабораторию при следующем соединении с сервером он будет отправляться также в зашифрованном виде, но уже напрямую, минуя почтовые сервера. Ни один антивирусный монитор не даст вам сделать ни одного действия над зараженным файлом, а будет его блокировать (обычно на защищенных от записи носителях) или сразу лечить, поэтому нужно будет, отключив резидентный модуль (о нем ниже), заархивировать файл с паролем, а потом запустить резидента снова (вообще я все эксперименты с вирусами произвожу на виртуальной машине, что и вам советую).
Проактивный метод обнаружения вирусов (или поведенческий)
Этот метод обнаружения впервые появился в продукте «Антивирус Касперского 6.0» и произвел в некотором роде переворот в антивирусном ПО.
Но, конечно, и у этого метода есть как сильные стороны, так и слабые. Правила поведенческого анализатора выпускаются производителем в специальных базах (как и сигнатуры), и если, допустим, хакеры изучат поведение антивируса в той или иной ситуации, то они могут создать такое правило для своего вируса, которое будет вписываться в рамки «допустимости» антивирусного модуля проактивной защиты, и тем самым обманут его. Также стоит отметить, что те пользователи, которые работали с таким методом обнаружения вирусов, очень часто натыкались на «ложную тревогу», когда антивирус принимал совершенно безобидное приложение за шпиона или трояна.
Полифаги и фаги
Теперь давайте разберемся, как работает антивирус на практике и как вообще построен процесс работы антивируса. Для начала стоит напомнить, что современные антивирусы состоят из нескольких блоков (как уже упоминалось выше), а именно из монитора (резидентного модуля), сканера, фаервола (брандмауэра) и различных модулей по работе со спамом, фишингом, шпионами, адварами и тому подобной дрянью.
Также во время установки антивируса в систему он интегрируется в почтовые программы, такие как Outlook Express, Eudora, The Bat! и т.д.
Это очень важный аспект, поскольку во время получения почты нужно прямое сканирование трафика из протоколов POP3, SMTP, NNTP, IMAP и тому подобных, потому что многим типам червей, распространяющихся через эти протоколы, совершенно не нужно запуска, им главное попасть на ваш компьютер, дальше сработает механизм. Учтите это! Вам же не хочется, чтобы какой-нибудь червь с трояном отправили на все ваши адреса из почтовой программы ругательные письма. Представляете, что будет с вашим лицом через пару дней, когда до вас доберутся обиженные адресаты? 🙂
В отличие от монитора, сканер нужно запускать вручную, натравив антивирус либо на один файл из контекстного меню, либо через главное окно производить поверку выбранных объектов, целых дисков, отдельных папок.