Вирусы и антивирусы: гонка вооружений - Антивирус Касперского - покупка, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию
Иван

Вирусы и антивирусы: гонка вооружений

Recommended Posts

Иван

Лаборатория Касперского публикуeт новую статью ведущего технического консультанта по безопасности Дэвида Эмма «Вирусы и антивирусы: гонка вооружений». Статья рассчитана на пользователей, интересующихся историей эволюции вредоносного ПО и параллельного развития антивирусных решений.

В статье рассмотрены этапы развития компьютерных угроз с конца 1980-х годов, когда появились первые вирусы для персональных компьютеров, до первого десятилетия XXI века, когда на на сцену вышли мобильные угрозы. Параллельно автор анализирует, как внедрение новых технологий позволяло антивирусным решениям эффективно реагировать на изменение вредоносного кода.

Первыми вредоносными программами для персональных компьютеров были загрузочные и файловые вирусы для DOS. К концу 1980-х годов к ним присоединились несколько червей, а также первые троянские программы. Для продления жизненного цикла вредоносного кода вирусописатели использовали различные технологии сокрытия его присутствия в системе, помогавшие избежать обнаружения антивирусными сканерами. Некоторые из этих технологий, в частности подавление вывода сообщений об ошибке и полиморфизм (позволяющий вредоносному коду меняться от заражения к заражению), используются вирусописателями по сей день.

Первые антивирусные решения были утилитами для обнаружения и удаления отдельных вирусов. Однако по мере роста числа вирусов стали появляться «антивирусные пакеты», в которые входил антивирусный сканер, проверявший диск по требованию на наличие известных на тот момент вирусов, и в некоторых случаях утилита для удаления вредоносных программ. К концу 1990 года число известных вирусов приблизилось к 300, и разработчики стали реализовывать в антивирусных решениях защиту в режиме реального времени, а также дополнять традиционный сигнатурный поиск вирусов эвристическим и поведенческим анализом, эмуляцией кода и другими новыми технологиями.

Появление в 1995 году макровирусов привело к значительным изменениям в вирусном «ландшафте», и в течение последующих четырех лет их положение оставалось доминирующим. Это были первые вредоносные программы, предназначенные не для заражения программ, а для заражения файлов данных. Их отличие от традиционных вирусов состояло также в том, что они не зависели от конкретной операционной системы или платформы. Это был поворотный этап в развитии вредоносного ПО: сообщество вирусописателей переключило свое внимание с исполняемого кода на данные. Создавать и изменять макровирусы было легче, чем «классический» вредоносный код, и это открыло возможности создания вредоносных программ для гораздо более широкой группы вирусописателей. Как следствие, численность вирусов подскочила с примерно 6000 в июне 1995 года до более чем 25 000 в декабре 1998 года.

Совершенствование компьютерных угроз и внедрение новых способов ведения бизнеса означало, что антивирусным продуктам также необходимо меняться. Стало понятно, что для обеспечения всесторонней защиты сетей предприятий необходимо дополнить решения для рабочих станций и файловых серверов защитой для шлюзов и почтовых серверов.

Появление в марте 1999 года вируса Melissa, который был способен к самостоятельному распространению без участия пользователя, послужило причиной существенных изменений характера вирусной угрозы. Теперь вирусам уже не нужно было ждать, пока ничего не подозревающий пользователь разошлет инфицированный файл. Наступила эра почтовых червей: захватывая систему электронной почты, вредоносные программы получали чрезвычайно эффективный механизм распространения и могли вызвать глобальную эпидемию за считанные дни или даже часы.

В 2001 году на вирусную сцену вернулись интернет-черви, которые зачастую распространяются, используя уязвимости в операционной системе и приложениях (и нередко сочетают этот подход с другими технологиями размножения, чтобы добиться максимальной эффективности). Они и доминировали среди вредоносных программ в последующие годы.

Антивирусные компании отреагировали на появление новых угроз, выпустив решения с расширенными возможностями. В состав этих решений входили персональные сетевые экраны, системы предотвращения вторжений (IPS) для защиты отдельных компьютеров (host-based) и сети в целом, системы контроля поведения приложений и, в некоторых решениях, функция отката, позволяющая отменить изменения, сделанные на компьютере-жертве вредоносной программой.

Обозначившаяся в 2003 году тенденция к падению числа глобальных вирусных эпидемий отражает изменения, произошедшие в мотивации вирусописателей: если первые вирусы создавались и распространялись с целью нанести как можно больший урон, то цель современных вредоносных программ – незаконное обогащение их авторов. Результатом этих изменений стало появление троянских программ, созданных «на заказ» для вторжения в конкретную систему и вредоносного ПО для кражи личных данных пользователей, в частности информации, позволяющей получить доступ к банковским счетам и учетным записям онлайн-игр. Применяются троянцы и для создания ботнетов – сетей, состоящих из зараженных компьютеров, используемых для рассылки спама или распространения вредоносного кода.

Не обошли вирусописатели своим вниманием и мобильные устройства, которые все чаще используются в деловой среде. После обнаружения в 2004 году первого червя для смартфонов новые вирусы, черви и троянские программы для мобильных устройств появлялись регулярно. За считанные годы угрозы для мобильных устройств прошли такой путь, на который вредоносным программам для персональных компьютеров потребовалось 20 лет.

В заключение автор делает вывод о том, что за прошедшие годы ситуация с угрозами кардинально изменилась, и эффективная защита нужна пользователям как никогда ранее. Антивирусные решения должны не только обеспечивать защиту примерно от каждой из 200 новых угроз, появляющихся каждый день, но и реализовывать технологии, способные отразить новые, еще неизвестные угрозы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×