Сергей Яремчук

Борьба с злонамеренными программами является частью обязанностей администратора. Но, учитывая, что ежедневно обнаруживается около 50 новых вирусов и других подобных программ, это становится непростым делом.

Обнаружить попытку внедрения практически любой злонамеренной программы можно тремя способами: опираясь на базу знаний, пытаясь предугадать действия и контролируя работу и целостность системы.

Сегодня самым популярным является первый, самый простой в реализации вариант, заключающийся в том, что на основе известного вируса создается его описание (сигнатура), которое заносится в базу. Проблем здесь несколько. Неизвестные вирусы таким способом обнаружить невозможно, а занесение новой сигнатуры требует некоторого времени (по данным лаборатории Касперского, от 30 минут до полутора часов). Но очень часто пользователи игнорируют обновления. Некоторые обновляют антивирусную базу раз в неделю, другие раз месяц, не говоря о том, что на некоторых компьютерах часто антивирус вообще не установлен.

Изучая действия различных типов malware (термин malware произошел от слов malicious и software. Под malware понимают все программы, которые могут нанести какой-либо ущерб, включая вирусы, троянцы, сетевых и почтовых червей, а также рекламное (adware) и шпионское (spyware) программное обеспечение.) можно попытаться описать их при помощи правил. Если программа нарушит одно из правил, то ее можно считать подозрительной. У злоумышленника всегда будет возможность изучить работу такой системы защиты и вероятно найдется вариант, позволяющий ее обойти. К тому же под описание могут попасть и некоторые легальные программы, пользователь будет сбит с толку и может принять неверное решение, блокирующее работу легальной утилиты.

Немного другой подход реализуют различные механизмы, опирающиеся на регистрацию аномалий, но, к сожалению, сегодня это в большинстве своем лишь теоретические разработки.

В стороне стоят системы, задача которых ограничение деятельности не доверенных программ. Запуская программу в ограниченной среде «песочнице» (sandbox) они позволяют предохранить систему от подозрительных или неразрешенных действий. Хотя такой подход и позволяет обнаружить и остановить практически любую угрозу, тем не менее многим программам требуется доступ в системную область, возможность записи и изменения файлов. Распознать вредные действия подчас довольно сложно, поэтому всегда есть вероятность ошибки, как запрет легального действия, так и, наоборот, разрешение неправильного. Пользователю придется выбирать между максимальной защитой, а значит, постоянными запросами, либо меньшей защитой, с возможностью спокойно работать. Поэтому такие «песочницы» должны использоваться в паре с антивирусом.

Из всего сказанного можно сделать вывод, что всегда приходится выбирать между удобством и уровнем безопасности, а беззаботный или невнимательный пользователь может свести на нет все старания по защите сети.

В журнале уже рассказывалось о различных решениях, позволяющих защитить компьютер без использования антивируса CORE FORCE [2] и Prevx1 [3], сегодня познакомимся еще с одним из них.