Вирусы и антивирусы: гонка вооружений - Антивирус Касперского - покупка, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию
Иван

Вирусы и антивирусы: гонка вооружений

Recommended Posts

Иван

Лаборатория Касперского публикуeт новую статью ведущего технического консультанта по безопасности Дэвида Эмма «Вирусы и антивирусы: гонка вооружений». Статья рассчитана на пользователей, интересующихся историей эволюции вредоносного ПО и параллельного развития антивирусных решений.

В статье рассмотрены этапы развития компьютерных угроз с конца 1980-х годов, когда появились первые вирусы для персональных компьютеров, до первого десятилетия XXI века, когда на на сцену вышли мобильные угрозы. Параллельно автор анализирует, как внедрение новых технологий позволяло антивирусным решениям эффективно реагировать на изменение вредоносного кода.

Первыми вредоносными программами для персональных компьютеров были загрузочные и файловые вирусы для DOS. К концу 1980-х годов к ним присоединились несколько червей, а также первые троянские программы. Для продления жизненного цикла вредоносного кода вирусописатели использовали различные технологии сокрытия его присутствия в системе, помогавшие избежать обнаружения антивирусными сканерами. Некоторые из этих технологий, в частности подавление вывода сообщений об ошибке и полиморфизм (позволяющий вредоносному коду меняться от заражения к заражению), используются вирусописателями по сей день.

Первые антивирусные решения были утилитами для обнаружения и удаления отдельных вирусов. Однако по мере роста числа вирусов стали появляться «антивирусные пакеты», в которые входил антивирусный сканер, проверявший диск по требованию на наличие известных на тот момент вирусов, и в некоторых случаях утилита для удаления вредоносных программ. К концу 1990 года число известных вирусов приблизилось к 300, и разработчики стали реализовывать в антивирусных решениях защиту в режиме реального времени, а также дополнять традиционный сигнатурный поиск вирусов эвристическим и поведенческим анализом, эмуляцией кода и другими новыми технологиями.

Появление в 1995 году макровирусов привело к значительным изменениям в вирусном «ландшафте», и в течение последующих четырех лет их положение оставалось доминирующим. Это были первые вредоносные программы, предназначенные не для заражения программ, а для заражения файлов данных. Их отличие от традиционных вирусов состояло также в том, что они не зависели от конкретной операционной системы или платформы. Это был поворотный этап в развитии вредоносного ПО: сообщество вирусописателей переключило свое внимание с исполняемого кода на данные. Создавать и изменять макровирусы было легче, чем «классический» вредоносный код, и это открыло возможности создания вредоносных программ для гораздо более широкой группы вирусописателей. Как следствие, численность вирусов подскочила с примерно 6000 в июне 1995 года до более чем 25 000 в декабре 1998 года.

Совершенствование компьютерных угроз и внедрение новых способов ведения бизнеса означало, что антивирусным продуктам также необходимо меняться. Стало понятно, что для обеспечения всесторонней защиты сетей предприятий необходимо дополнить решения для рабочих станций и файловых серверов защитой для шлюзов и почтовых серверов.

Появление в марте 1999 года вируса Melissa, который был способен к самостоятельному распространению без участия пользователя, послужило причиной существенных изменений характера вирусной угрозы. Теперь вирусам уже не нужно было ждать, пока ничего не подозревающий пользователь разошлет инфицированный файл. Наступила эра почтовых червей: захватывая систему электронной почты, вредоносные программы получали чрезвычайно эффективный механизм распространения и могли вызвать глобальную эпидемию за считанные дни или даже часы.

В 2001 году на вирусную сцену вернулись интернет-черви, которые зачастую распространяются, используя уязвимости в операционной системе и приложениях (и нередко сочетают этот подход с другими технологиями размножения, чтобы добиться максимальной эффективности). Они и доминировали среди вредоносных программ в последующие годы.

Антивирусные компании отреагировали на появление новых угроз, выпустив решения с расширенными возможностями. В состав этих решений входили персональные сетевые экраны, системы предотвращения вторжений (IPS) для защиты отдельных компьютеров (host-based) и сети в целом, системы контроля поведения приложений и, в некоторых решениях, функция отката, позволяющая отменить изменения, сделанные на компьютере-жертве вредоносной программой.

Обозначившаяся в 2003 году тенденция к падению числа глобальных вирусных эпидемий отражает изменения, произошедшие в мотивации вирусописателей: если первые вирусы создавались и распространялись с целью нанести как можно больший урон, то цель современных вредоносных программ – незаконное обогащение их авторов. Результатом этих изменений стало появление троянских программ, созданных «на заказ» для вторжения в конкретную систему и вредоносного ПО для кражи личных данных пользователей, в частности информации, позволяющей получить доступ к банковским счетам и учетным записям онлайн-игр. Применяются троянцы и для создания ботнетов – сетей, состоящих из зараженных компьютеров, используемых для рассылки спама или распространения вредоносного кода.

Не обошли вирусописатели своим вниманием и мобильные устройства, которые все чаще используются в деловой среде. После обнаружения в 2004 году первого червя для смартфонов новые вирусы, черви и троянские программы для мобильных устройств появлялись регулярно. За считанные годы угрозы для мобильных устройств прошли такой путь, на который вредоносным программам для персональных компьютеров потребовалось 20 лет.

В заключение автор делает вывод о том, что за прошедшие годы ситуация с угрозами кардинально изменилась, и эффективная защита нужна пользователям как никогда ранее. Антивирусные решения должны не только обеспечивать защиту примерно от каждой из 200 новых угроз, появляющихся каждый день, но и реализовывать технологии, способные отразить новые, еще неизвестные угрозы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • PR55.RP55
      Год от года фактически постоянно можно наблюдать ... такого рода записи C:\ProgramData\Google\Chrome\updater.exe PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE APPDATA\LOCAL\360EXTREMEBROWSER\CHROME C:\ProgramData\Google\Chrome\helper.exe Предлагаю все записи где фигурирует Chrome - добавить  к Категории: Chromium-based Да... это другое... Это, как правило имитация ( но имеющая отношение ) так какой смысл в отдельных записях, если всё это можно собрать в одной категории.  
    • PR55.RP55
      Добавить в меню команду: Удалить записи\сетевые адреса соответствующие поисковому запросу. * В списке может быть 10-20 записей\ссылок на левые сайты. Создавать критерии, не всегда нужно\выгодно... А отдавать команды по каждой ссылке большой расход времени и нервов.  
    • demkd
      Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается. ---------------------------------------------------------
       5.0.RC2
      ---------------------------------------------------------
       o При обнаружении внедренного потока в процессе в лог печатается точное
         время создания потока и ТОП 10 наиболее вероятных виновников.
         (!) Только для потоков не имеющих привязки к DLL.
         (!) Функция требует активного отслеживания процессов. (Твик #39)

       o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
         Теперь выбирается не логический номер монитора, а его порядковый номер,
         что позволяет избежать проблем при обновлении драйверов на видеокарту
         без закрытия окна удаленного рабочего стола.

       o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
         на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
         настройкам системы и системным утилитам.
         Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

       
    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
×