14/10/2016

Podstawowe pojęcia związane z antywirusami: wirusy, sygnatury i leczenie

Informacje Produkty

Wciąż przypominamy o tym, jak należy się zachowywać — a nawet jak przetrwać — w świecie cyfrowym. Mamy nadzieję, że nauka nie idzie w las i że bierzecie sobie te porady do serca, a później dzielicie się nimi ze znajomymi i rodziną. Bo to są naprawdę ważne sprawy.

antivirus-delusions-featured

Czasami zastanawiamy się, czy powszechnie stosowane przez nas terminy i wyrażenia są także takie oczywiste i dla Was. Aby nie było wątpliwości, dzisiaj przypomnimy trzy podstawowe terminy związane z antywirusami.

  1. Sygnatury

Bazy antywirusowe zawierają tak zwane sygnatury. Jednak klasyczne sygnatury nie są używane już od jakichś 20 lat.

Na samym początku, czyli w latach 80., sygnatury jako koncepcja nie zostały jednoznacznie zdefiniowane. Nawet teraz nie poświęcono im ani jednej strony w Wikipedii. Co prawda termin ten występuje we wpisie na temat złośliwego oprogramowania, jednak nie jest wyjaśniony — tak jakby były one na tyle powszechnie znane, że nie trzeba tu nic tłumaczyć.

A zatem: napiszmy wreszcie, co to są te sygnatury! Sygnatura wirusa to ciągła sekwencja bajtów, która jest charakterystyczna dla określonej próbki szkodliwego programu. Oznacza to, że jest ona umieszczona w szkodliwym programie lub zainfekowanym pliku, lecz nie znajduje się w plikach czystych (które nie zostały zarażone).

malanov-1

Charakterystyczna sekwencja bajtów

Dzisiaj sygnatury nie wystarczają, aby wykryć szkodliwe pliki. Twórcy szkodliwych programów zaciemniają je, używając różnych technik maskujących ich sztuczki. To dlatego nowoczesne antywirusy muszą korzystać z bardziej zaawansowanych metod wykrywania. Bazy antywirusowe zawierają sygnatury (jest ich ponad połowa wszystkich wpisów), lecz oprócz nich znajdują się tam także bardziej skomplikowane wpisy.

Jednak z przyzwyczajenia każdy nazywa te wpisy „sygnaturami”. Nic w tym złego, dopóki pamiętamy, że termin ten jest skrótem dla całej gamy technik, które składają się na znacznie potężniejszy arsenał.

Najlepiej by było, gdybyśmy przestali używać słowa sygnatura w odniesieniu do każdego wpisu w antywirusowej bazie danych, lecz jest on tak powszechnie stosowany — a przy tym nie istnieje dokładniejsze określenie — że chyba nic się tu nie zrobi.

Wpis w antywirusowej bazie danych nie jest niczym nadzwyczajnym. Stojąca za nim technologia może być zarówno klasyczną sygnaturą, jak i czymś znacznie bardziej wyszukanym, innowacyjnym i angażującym najbardziej zaawansowany szkodliwy program.

  1. Wirusy

Jak być może wiesz, nasi analitycy unikają używania słowa wirusy, używając w zamian określenia szkodliwe oprogramowaniezagrożenie itp. Chodzi o to, że wirus to określony rodzaj szkodliwego programu, który wykazuje się szczególnym zachowaniem: infekuje czyste pliki. W rozmowach między sobą analitycy mówią o infektorach.

Infektory cieszą się w laboratorium szczególnym miejscem. Po pierwsze, trudno je wykryć — w skrócie można powiedzieć, że zainfekowany plik wygląda na czysty. Po drugie, infektory wymagają specjalnego traktowania: niemal wszystkie z nich wymagają stosowania określonych procedur wykrywania i leczenia. To dlatego zajmują się nimi eksperci, którzy się w tym specjalizują.

malanov-2

Szkodliwy program, sklasyfikowany

Zatem, aby uniknąć zamieszania, gdy mowa o zagrożeniach ogólnie, analitycy używają bezpiecznych terminów – takich jak „szkodliwy program” czy „malware”.

Teraz przejdziemy do kilku innych określeń, które mogą być przydatne. Robak to rodzaj szkodliwego programu, który może się powielać i przedostać się z urządzenia, które zainfekował, na inne. Od strony technicznej wygląda to tak, że szkodliwy program (malware) nie zawiera programu zawierającego nachalne reklamy (adware) ani legalnego programu, który może wyrządzić szkodę w systemie, jeśli zostanie zainstalowany przez cyberprzestępcę (riskware).

  1. Leczenie

Na koniec chcę napisać o czymś, z czym się często spotykam, a co — mam nadzieję — nie jest nieporozumieniem: spotykam się ze stwierdzeniami, że antywirus może jedynie skanować i wykrywać szkodliwe programy, lecz aby wyleczyć infekcję, użytkownik musi pobrać specjalne narzędzie. Tak naprawdę specjalne narzędzia istnieją dla konkretnych rodzajów szkodliwych programów: na przykład programy odszyfrowujące pliki zainfekowane programem żądającym okupu. Antywirus może poradzić sobie sam — i czasami jest to lepsza opcja, bo posiada on dostęp do sterowników systemu i innych technologii, których nie można umieścić w takim narzędziu.

Na czym polega usuwanie szkodliwego programu? W maleńkim procencie przypadków komputer jest zarażany infektorem (zazwyczaj przed zainstalowaniem programu zabezpieczającego, bo infektory rzadko przedostają się przez zabezpieczenia antywirusowe), który zamienia pliki, a następnie antywirus bada zainfekowane pliki i usuwa z nich szkodliwy kod, przywracając je do pierwotnego stanu. Taka sama procedura jest wykonywana, gdy wymagane jest odszyfrowanie plików zajętych przez programy żądające okupu, wykrywanych jako Trojan-Ransom.

Jeśli chodzi o całą resztę — w zdecydowanej większości, być może nawet w 99% przypadków, szkodliwy program jest wykrywany, zanim zdoła zainfekować jakieś pliki, a sam proces polega na zwykłym usunięciu szkodnika. Jeśli uszkodzeniu nie uległy żadne pliki, nie ma konieczności wykonywania przywracania.

Jest tutaj jeden wyjątek: jeśli szkodliwy program nie jest infektorem – na przykład jeśli jest programem żądającym okupu za zablokowane pliki – i jest aktywny w systemie, antywirus przełącza się w tryb leczenia, aby mieć pewność, że zagrożenie zostało całkowicie wyeliminowane i nie powróci. Więcej informacji na temat tego procesu znajduje się tutaj.

Takie wyjątki zazwyczaj zdarzają się w jednej z dwóch sytuacji:

  1. Program antywirusowy został zainstalowany na zainfekowanym już komputerze. Tak, czasami chodzi o złą kolejność — najpierw dochodzi do infekcji, a potem przychodzi refleksja, że trzeba jednak zadbać o ochronę.
  2. Antywirus oznaczy coś jako „podejrzane”, a nie „szkodliwe” i zaczyna uważnie monitorować aktywność danego obiektu. Gdy dany program zaczyna wykazywać szkodliwą aktywność, antywirus cofa jego wszystkie działania (pod uwagę brany jest okres monitorowania). Na przykład antywirus może przywrócić zaszyfrowane pliki z kopii zapasowej, jeśli komputer został zainfekowany programem typu ransomware lub infektorem.

Wnioski

To wszystko na dzisiaj. Mam nadzieję, że teraz:

  1. wiesz już, czym są „sygnatury” wpisy w antywirusowej bazie danych, także te najbardziej zaawansowane,
  2. lepiej orientujesz się w różnych rodzajach szkodliwego oprogramowania,
  3. rozumiesz, że proces leczenia komputera lub urządzenia leży w kompetencjach programu antywirusowego — i wiesz, dlaczego nie warto wyłączać modułu „Kontrola systemu” na komputerze, bo analizuje on zachowanie podejrzanych plików.