Не резидентом единым
juma, 19-oktabr, 2018
Недавно один из наших подписчиков в социальных сетях высказал такое мнение:
К сожалению, этот подписчик – не единственный, кто так считает.
Подобная позиция основана на непонимании того, как именно распространяются и функционируют вредоносные программы, и как можно им противодействовать. Давайте разберемся в этих вопросах.
Все современные антивирусы являются резидентными, то есть постоянно работают в фоновом режиме, отслеживая изменения в системе и оперативно реагируя на угрозы. И это неспроста! Антивирус Dr.Web, например, получил резидентный модуль SpIDer Guard еще в далекие девяностые.
Такой постоянный контроль нужен не только для того, чтобы пользователю не приходилось вручную сканировать каждый открываемый файл, но и для защиты от новых вредоносных программ, не выявленных традиционными методами. Постоянно действующая Превентивная защита позволяет анализировать поведение приложений, контролировать доступ к критически важным системным файлам и при выявлении угрозы оперативно реагировать на нее.
Мы, конечно, очень гордимся нашей утилитой Dr.Web CureIt!, но важно понимать вот что: она является в первую очередь своеобразным лекарством, средством экстренного лечения, и зачастую применяется тогда, когда заражение уже произошло.
Давайте посмотрим, можно ли избежать заражения, используя для защиты лишь Dr.Web CureIt!. Допустим, вы с помощью нашей утилиты проверяете каждый скачиваемый или запускаемый файл. Спасет ли это от заражения? Нет, и на то есть ряд причин.
Причина первая. Вредоносная программа может быть модифицирована во избежание сигнатурного детектирования, и простое сканирование не позволит распознать угрозу. В случае использования резидентного антивируса в дело вступили бы другие механизмы выявления вредоносной активности – основанные, например, на поведенческом анализе.
Причина вторая. Вредоносные программы совершенно необязательно распространяются в виде файлов, с которыми необходимо осуществлять какие-либо действия. Они могут попасть на ваш компьютер и через уязвимость. Именно так работают сетевые черви. Помните WannaCry? Для заражения системы не нужно было запускать троянца на компьютере – он спокойно распространялся по сети сам, сканируя ее на предмет наличия уязвимых машин. Наш резидентный антивирус предотвратил заражение имеющих незакрытую уязвимость компьютеров клиентов Dr.Web.
Помимо сетевых червей можно выделить и вредоносные скрипты на интернет-сайтах, и многие другие механизмы доставки вредоносных программ на компьютер, работающие совершенно незаметно для пользователя.
«Допустим, — скажет пользователь, — но ведь при сканировании антивирусной утилитой эти угрозы будут выявлены и устранены!»
Да, но к тому времени эти вредоносные программы могут успеть много чего натворить. Ведь их работа, как правило, незаметна для пользователей. К тому же некоторые из них умеют заметать следы, удаляя уже отработавшие модули.
И хорошо если вы столкнетесь с простым скриптовым майнером, который лишь нагреет процессор вашего компьютера, пока вы гостите на зараженном сайте.
А вот троянец-шифровальщик зашифрует тысячи нужных вам файлов за считанные секунды. И к тому моменту, как вы запустите антивирусную утилиту, время будет безнадежно упущено.
Точно так же обстоят дела и со стилерами. Скорее всего, вы найдете вредоносную программу в ходе сканирования, но к тому моменту ваши пароли уже будут продаваться на каком-нибудь форуме сетевых мошенников.
А что же Virustotal и другие подобные ресурсы? Virustotal – это, несомненно, полезный сервис. Но вредоносные программы не всегда реализованы в виде файла, они могут существовать в оперативной памяти, загрузочной области или в UEFI, а если файлы и имеются, то их самостоятельный поиск на зараженной машине может стать весьма нетривиальной задачей. А если у вас нет файла, что вы загрузите на Virustotal?
#антивирус #Dr.WebАнтивирусная правДА! рекомендует
В наши дни существует немало сервисов, позволяющих просканировать файл сразу десятками антивирусов. Ими пользуются как простые пользователи, так и ИБ-специалисты и даже злоумышленники, которым нужно удостовериться, что их троянец не будет обнаружен популярными средствами защиты. Но в реальной ситуации антивирус может остановить даже ту вредоносную программу, которая успешно переживет онлайн-сканирование, – благодаря эвристическим технологиям, поведенческому анализу и технологиям машинного обучения.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Aleks
23:37:49 2020-01-19
vechkis
18:58:17 2018-10-23
samkotov
11:25:48 2018-10-23
МЕДВЕДЬ
21:19:16 2018-10-22
stavkafon
00:43:34 2018-10-22
Неуёмный Обыватель
21:58:21 2018-10-20
Любитель пляжного футбола
21:00:43 2018-10-20
Любитель пляжного футбола
20:51:32 2018-10-20
IIICoDIII
19:37:07 2018-10-20
Неуёмный Обыватель
19:16:20 2018-10-20
Прежде, чем делать оценку чего-то, нужно хотя бы прочитать то, что собираешься оценивать. Но это вам последнее время дается всё больше с трудом. Естественно, к теме выпуска не имеет отношения, а имеет отношение к творческому порыву пользователя @Alexander, оставившего стихотворный комментарий.
Пaвeл
15:48:29 2018-10-20
Не ставьте антивирус
От антивируса лишь вред
Проверьтесь totalVirus
И деньги сохранишь свои
И силы не потратишь
На антивирус ты взгляни
Ну и за что ты платишь?
Но шифровальщик не читал
Советы от Данилы
Зашел, и все зашифровал
А где искать Данилу?
Пaвeл
15:19:10 2018-10-20
Д***л вообще отжигал в тот день в комментариях: ...Александр, как я и писал ниже вы меня не понимаете,снова настаиваете на прочтение ненужных статей и покупки антивирусов.Повторяюсь в третий раз толку от антивирусов нету и не будет,только трата денег,времени и нервов.Думаю пора закрыть нашу тему...
Его вряд ли можно переубедить.
@Вячeслaв, тем не менее у него было много оппонентов, это радует.
Пaвeл
14:30:03 2018-10-20
Сразу пришел на ум такой лозунг: "Когда работает Dr.Web CureIt! - все остальные антивирусы тихенько курят в сторонке!"
Пaвeл
14:01:08 2018-10-20
Вячeслaв
10:55:45 2018-10-20
А если серьезно, то если знают название компании - уже хорошо. Зачастую не знают, ни что купили, ни где купили. Зашли, купили, поставили, коробку выбросили (если была), через год все забылось
Alexander
09:45:51 2018-10-20
@Littlefish, (на 23:30:35 2018-10-19), поддерживаю Вас в стремлении чистоты и правильности языка. Слово "курлейт" мне тоже режет слух, но ведь кому-то оно может казаться благозвучным. Полагаю, что составное слово "CureIt" - это Cure (~ лечение; лекарство) и IT - аббревиатура (информационные технологии). Первая часть слова нам давно известна в звучании слова "курорт" (нем. Kurort) с таким же первичным содержанием. Вторая часть - уже привычная на слух "ай-ти". В совокупности, может быть, это может звучать как "Кур Ай Ти"? Наверняка, и правильно нам могут сказать только изобретатели этого продукта... :))
Cheshek
08:27:22 2018-10-20
achemolganskiy
06:02:45 2018-10-20
razgen
02:08:49 2018-10-20
razgen
01:53:07 2018-10-20
Вот уже и "борцы" за соответствие комментариев информационному проекту «Антивирусная правДА!» туда же, последнее время стали этим часто грешить.
Как говорится: "В чужом глазу соринку замечаешь, а в своем бревна не видишь)))
razgen
01:45:30 2018-10-20
razgen
01:22:05 2018-10-20
Честно говоря, лично я не замечаю даже лёгкого "подтормаживания". Не знаю, может быть это ощущается когда совсем слабое "железо", хотя и у меня по нынешним меркам, "железо" далеко не супер.
Неуёмный Обыватель
23:53:09 2018-10-19
Littlefish
23:32:51 2018-10-19
Littlefish
23:30:35 2018-10-19
Littlefish
23:19:14 2018-10-19
Неуёмный Обыватель
22:51:40 2018-10-19
Неуёмный Обыватель
22:48:37 2018-10-19
dyadya_Sasha
22:36:53 2018-10-19
Dvakota
22:35:25 2018-10-19
orw_mikle
22:33:04 2018-10-19
Геральт
22:26:16 2018-10-19
НинаК
21:33:33 2018-10-19
В...а
20:52:46 2018-10-19
Lenba
20:43:18 2018-10-19
Lia00
20:30:05 2018-10-19
I23
20:29:54 2018-10-19
Rider
20:29:45 2018-10-19
I46
20:20:46 2018-10-19
vla_va
20:19:43 2018-10-19
Sasha50
20:03:32 2018-10-19
tigra
20:00:06 2018-10-19
Sasha50
19:56:01 2018-10-19
tigra
19:53:27 2018-10-19
tigra
19:50:58 2018-10-19
Дмитрий
19:46:19 2018-10-19
Sasha50
19:34:24 2018-10-19
ka_s
19:33:43 2018-10-19
ek
19:27:05 2018-10-19
Andromeda
19:17:17 2018-10-19