Tehnologie

Care sunt metodele de detectie a virusilor informatici?

Care sunt metodele de detectie a virusilor informatici
39Views

Software-ul antivirus (abreviat software AV), cunoscut si ca anti-malware, este un program de calculator folosit pentru a preveni, detecta si elimina programele malware.

Software-ul antivirus a fost dezvoltat initial pentru a detecta si elimina virusii informatici, de unde si numele. Cu toate acestea, odata cu proliferarea altor programe malware, software-ul antivirus a inceput sa protejeze de alte amenintari informatice. In special, software-ul antivirus modern poate proteja utilizatorii de malware de browser (BHO), piratatoare de browser, ransomware, keylogger, backdoors, rootkit-uri, cai troieni, viermi, LSP-uri rau intentionate, dialer, instrumente de frauda, adware si spyware. Unele produse includ, de asemenea, protectie impotriva altor amenintari informatice, cum ar fi adrese URL infectate si rau intentionate, spam, inselatorie si atacuri de phishing, atacuri asupra identitatii online (confidentialitate), atacuri bancare online, tehnici de inginerie sociala, amenintari persistente avansate (APT) si atacuri DDoS botnet.

Metode de identificare

Unul dintre putinele rezultate teoretice solide in studiul virusilor informatici este demonstratia lui Frederick B. Cohen din 1987 ca nu exista un algoritm care sa poata detecta perfect toti virusii posibili. Cu toate acestea, folosind diferite straturi de aparare, se poate obtine o rata buna de detectare.

Exista mai multe metode pe care motoarele antivirus le pot folosi pentru a identifica programele malware:

  • Detectare Sandbox: o tehnica particulara de detectare bazata pe comportament care, in loc sa detecteze amprenta comportamentala in timpul rularii, executa programele intr-un mediu virtual, inregistrand ce actiuni efectueaza acestea. In functie de actiunile inregistrate, motorul antivirus poate determina daca programul este rau intentionat sau nu. Daca nu, atunci programul este executat in mediul real. Desi aceasta tehnica s-a dovedit a fi destul de eficienta, avand in vedere greutatea si incetineala ei, este rar folosita in solutiile antivirus pentru utilizatorii finali.
  • Tehnici de data mining: una dintre cele mai recente abordari aplicate in detectarea malware-ului. Algoritmii de extragere a datelor si de invatare automata sunt utilizati pentru a incerca sa clasifice comportamentul unui fisier (fie ca rau intentionat, fie ca fiind benign) avand in vedere o serie de caracteristici ale fisierului, care sunt extrase din fisierul insusi.
  • Detectare bazata pe semnatura

Software-ul antivirus traditional se bazeaza in mare masura pe semnaturi pentru a identifica programele malware.

In mod substantial, atunci cand un esantion de malware ajunge in mainile unei firme de antivirus, acesta este analizat de cercetatori de malware sau de sisteme de analiza dinamica. Apoi, odata ce se stabileste ca este un malware, o semnatura adecvata a fisierului este extrasa si adaugata la baza de date de semnaturi a software-ului antivirus.

Desi abordarea bazata pe semnaturi poate contine in mod eficient focarele de malware, autorii de malware au incercat sa ramana cu un pas inaintea unui astfel de software, scriind virusi „oligomorfi”, „polimorfi” si, mai recent, „metamorfici”, care cripteaza parti ale propriului cod sursa sau se modifica ca metoda de deghizare, astfel incat sa nu se potriveasca cu semnaturile virusilor din dictionar.

Euristica

Multi virusi incep ca o singura infectie si, fie prin mutatii, fie prin perfectionari de catre alti atacatori, pot creste in zeci de tulpini usor diferite, numite variante. Detectarea generica se refera la detectarea si eliminarea mai multor amenintari folosind o singura definitie de virus.

De exemplu, troianul Vundo are mai multi membri ai familiei, in functie de clasificarea furnizorului de antivirus. Symantec clasifica membrii familiei Vundo in doua categorii distincte, Trojan.Vundo si Trojan.Vundo.B.

Desi poate fi avantajos sa identifici un anumit virus, poate fi mai rapid sa detectezi o familie de virusi printr-o semnatura generica sau printr-o potrivire inexacta cu o semnatura existenta. Cercetatorii de virusi gasesc zone comune pe care toti virusii dintr-o familie le impartasesc in mod unic si pot crea astfel o singura semnatura generica.

Aceste semnaturi contin adesea cod non-contiguu, folosind caractere wildcard unde se afla diferentele. Aceste metacaractere permit scanerului sa detecteze virusi chiar daca acestia sunt completati cu cod suplimentar, fara sens. Detectia care utilizeaza aceasta metoda mai este denumita si „detectie euristica”.

Detectare rootkit

Software-ul antivirus poate incerca sa scaneze pentru rootkit-uri. Un rootkit este un tip de malware conceput pentru a obtine control la nivel administrativ asupra unui sistem informatic, fara a fi detectat. Rootkiturile pot schimba modul in care functioneaza sistemul de operare si, in unele cazuri, pot modifica programul antivirus si il pot face ineficient. Rootkit-urile sunt, de asemenea, greu de eliminat, in unele cazuri necesitand o reinstalare completa a sistemului de operare.

Protectie in timp real

Protectia in timp real, scanarea la acces, protectia de fundal, scutul rezident, autoprotectia si alte sinonime, se refera la protectia automata oferita de majoritatea programelor antivirus, anti-spyware si alte programe anti-malware. Aceasta monitorizeaza sistemele computerizate pentru activitati suspecte, cum ar fi virusi de computer, programe spyware, adware si alte obiecte rau intentionate.

Protectia in timp real detecteaza amenintarile din fisierele deschise si scaneaza aplicatiile in timp real pe masura ce sunt instalate/rulate pe dispozitiv. De asemenea, protectia in timp real incepe sa functioneze automat si atunci cand introduceti un CD sau un memory stick, deschideti un e-mail sau navigati pe web sau cand un fisier aflat deja pe computer este deschis sau executat.

Costuri neasteptate de reinnoire

Unele acorduri de licenta pentru utilizatorul final pentru software antivirus comercial includ o clauza conform careia abonamentul va fi reinnoit automat si cardul de credit al cumparatorului va fi facturat automat, la momentul reinnoirii, fara aprobare explicita. De exemplu, McAfee cere utilizatorilor sa se dezaboneze cu cel putin 60 de zile inainte de expirarea prezentului abonament, in timp ce BitDefender trimite notificari pentru a te dezabona cu 30 de zile inainte de reinnoire. Norton AntiVirus reinnoieste automat abonamentele in mod implicit.

Aplicatii de securitate dubioase

Unele programe antivirus aparent sunt, de fapt, malware mascandu-se ca software legitim, cum ar fi WinFixer, MS Antivirus si Mac Defender.

Probleme cauzate de fals pozitive

Un „fals pozitiv” sau „alarma falsa” se intampla atunci cand software-ul antivirus identifica un fisier non-malitios, ca fiind malware. Cand se intampla acest lucru, poate cauza probleme grave. De exemplu, daca un program antivirus este configurat pentru a sterge imediat sau a pune in carantina fisierele infectate, asa cum este obisnuit in aplicatiile antivirus Microsoft Windows, un fals pozitiv intr-un fisier esential poate face sistemul de operare Windows sau unele aplicatii inutilizabile. Recuperarea de la astfel de daune aduse infrastructurii software critice implica costuri de asistenta tehnica, iar intreprinderile pot fi fortate sa se inchida in timp ce se intreprind masuri de remediere.

Exemple de fals pozitive grave:

 

  • Mai 2007: o semnatura de virusi defectuoasa emisa de Symantec a eliminat din greseala fisierele esentiale ale sistemului de operare, lasand mii de computere in imposibilitatea de a porni.
  • Mai 2007: fisierul executabil cerut de Pegasus Mail pe Windows a fost detectat in mod fals de Norton AntiVirus ca fiind un troian si a fost eliminat automat, impiedicand rularea Pegasus Mail. Norton AntiVirus a identificat in mod fals trei versiuni de Pegasus Mail ca malware si a sters fisierul de instalare Pegasus Mail atunci cand se intampla acest lucru
  • Aprilie 2010: McAfee VirusScan a detectat svchost.exe, un binar Windows normal, ca virus pe masinile care ruleaza Windows XP cu Service Pack 3, provocand o bucla de repornire si pierderea intregului acces la retea.
  • Decembrie 2010: o actualizare defectuoasa a suitei antivirus AVG a deteriorat versiunile pe 64 de biti ale Windows 7, facandu-l incapabil sa porneasca, din cauza unei bucle de pornire nesfarsite create de acest fals pozitiv.
  • Octombrie 2011: Microsoft Security Essentials (MSE) a eliminat browserul web Google Chrome, rival cu propriul Internet Explorer al Microsoft. MSE a semnalat Chrome ca troian bancar Zbot.
  • Septembrie 2012: Suita antivirus Sophos a identificat diferite mecanisme de actualizare, inclusiv propriile sale mecanisme, ca malware. Daca era configurat pentru a sterge automat fisierele detectate, Sophos Antivirus nu se mai putea actualiza, fiind necesara interventia manuala pentru a remedia problema.

angry-hacker-woman-because-access-denied-while-trying-attack-government-firewall-programmer-wr

Probleme legate de sistem si interoperabilitate

Rularea (protectia in timp real a) mai multor programe antivirus in acelasi timp poate degrada performanta sistemului si poate crea conflicte. Cu toate acestea, folosind un concept numit multiscanare, mai multe companii (inclusiv G Data Software si Microsoft) au creat aplicatii care pot rula mai multe motoare simultan.

Uneori este necesar sa dezactivati temporar protectia impotriva virusilor atunci cand instalati actualizari majore, cum ar fi pachetele de servicii Windows sau actualizati driverele placii grafice. Protectia antivirus activa poate impiedica partial sau complet instalarea unei actualizari majore.

Software-ul antivirus poate cauza probleme in timpul instalarii unui upgrade major al sistemului de operare, de ex. atunci cand faceti upgrade la o versiune mai noua de Windows – fara a sterge versiunea anterioara de Windows. Microsoft recomanda ca software-ul antivirus sa fie dezactivat pentru a evita conflictele cu procesul de instalare a upgrade-ului. Software-ul antivirus activ poate interfera, de asemenea, cu un proces de actualizare a firmware-ului.

Functionalitatea catorva programe de calculator poate fi impiedicata de software-ul antivirus activ. De exemplu, TrueCrypt, un program de criptare a discului, afirma pe pagina sa de depanare ca programele antivirus pot intra in conflict cu TrueCrypt si pot cauza functionarea defectuoasa a acestuia sau functionarea foarte lenta. Software-ul antivirus poate afecta performanta si stabilitatea jocurilor care ruleaza pe platforma Steam.

Probleme de asistenta exista si in legatura cu interoperabilitatea aplicatiilor antivirus cu solutii comune, cum ar fi accesul la distanta VPN SSL si produsele de control al accesului la retea. Aceste solutii tehnologice au adesea aplicatii de evaluare a politicilor care necesita instalarea si rularea unui antivirus actualizat.

Eficacitatea

Studiile din Decembrie 2007 au aratat ca eficienta software-ului antivirus a scazut in anul precedent, in special impotriva atacurilor necunoscute, asa numitele atacuri “zero day”. S-a descoperit ca ratele de detectare a acestor amenintari au scazut de la 40-50% in 2006 la 20-30% in 2007. La acea vreme, singura exceptie era antivirusul NOD32, care a reusit o rata de detectie de 68% . Conform site-ului web de urmarire ZeuS, rata medie de detectare pentru toate variantele cunoscutului troian ZeuS era de pana la 40%.

Problema este amplificata de intentia in schimbare a autorilor de virusi. In urma cu cativa ani, era evident cand era prezenta o infectie cu virus. La acea vreme, virusii erau scrisi de amatori si prezentau un comportament distructiv sau ferestre pop-up. Virusii moderni sunt adesea creati de profesionisti, finantati de organizatii criminale.

In 2008, Eva Chen, CEO al Trend Micro, a declarat ca industria antivirus a exagerat cat de eficiente sunt produsele sale – si astfel ar induce in eroare clientii – de ani de zile.

Testarea independenta a tuturor scanerelor de virusi majore arata in mod constant ca niciuna nu ofera detectarea 100% a virusilor. Cele mai bune au furnizat pana la 99,9% detectie pentru situatii simulate din lumea reala. Multe scanere de virusi produc rezultate fals pozitive, identificand fisierele benigne drept malware.

Desi metodele pot diferi, unele agentii independente notabile de testare a calitatii includ AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST si alti membri ai Organizatiei pentru Standarde de Testare Anti-Malware.

Leave a Reply

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.