Несигнатурный антивирус что это такое
Три заблуждения, связанных с антивирусами: сигнатуры, вирусы и лечение
Поговорим о нескольких понятиях, которые зачастую понимаются ошибочно: какие бывают сигнатуры, что на самом деле такое вирусы и как работает лечение системы антивирусом.
Мы много и часто рассказываем о правилах поведения (а может, даже и выживания) в Интернете, да и в цифровом мире в целом. Очень надеемся, что делаем это все не зря, — что люди учатся и потом учат своих близких. Это правда очень важно.
Однако во всех этих рассказах встречается немало специфических терминов, которые кто-то может не знать или понимать неверно. Сегодня мы поговорим о трех самых распространенных заблуждениях, связанных с антивирусами, и попробуем объяснить, почему мы называем определенные вещи так, а не иначе.
Заблуждение первое: сигнатуры — это что-то устаревшее
Так исторически сложилось, что антивирусные базы в разговоре и даже статьях часто называют сигнатурами. В действительности же классические сигнатуры, пожалуй, ни один антивирус не использует уже лет 20.
Проблема возникла из-за того, что с самого начала — а это восьмидесятые годы — понятие «сигнатуры» не было определено четко. Например, отдельной статьи про них в «Википедии» нет даже сейчас, а в статье про вредоносные программы понятие «сигнатуры» используется без определения — как нечто всем известное.
Давайте же это определение дадим. Классическая вирусная сигнатура — это непрерывная последовательность байтов, характерная для той или иной вредоносной программы. То есть она содержится в этом вредоносном файле и не содержится в чистых файлах.
Например, характерная последовательность байтов может быть такой
Проблема в том, что сегодня с помощью таких классических сигнатур определить вредоносный файл достаточно проблематично — их создатели используют различные техники для того, чтобы запутать следы. Поэтому современные антивирусы используют значительно более продвинутые методы. И хотя в антивирусных базах примитивных записей по-прежнему много (больше половины), но есть еще и очень много умных записей.
Все это продолжают по старинке называть сигнатурами. И ладно бы просто называли — в общем-то, ничего страшного. Но это название зачастую используется уничижительно: мол, сигнатуры — устаревшие технологии. А на самом деле в этих «устаревших сигнатурах» порой какое-нибудь «разбиение пространства исполняемых файлов на кластеры в результате работы нейронной сети», которое никто и словами-то доступно не может описать.
В идеале стоило бы отказаться от использования самого термина «сигнатура» в смысле «любая запись в антивирусной базе». Но уж слишком прочно это слово вошло в обиход, да и альтернативного термина пока не придумали, так что все продолжают по привычке пользоваться им.
Поэтому важно иметь в виду, что само по себе слово «сигнатура» на самом деле не говорит ничего о продвинутости или примитивности.
Антивирусная запись — это запись, а стоящая за ней технология может быть как классической, простенькой, так и суперсовременной и навороченной, нацеленной на детектирование самых запутанных и высокотехнологичных вредоносных файлов или даже целых семейств вредоносов.
Заблуждение второе: вирусы — это любые вредоносные программы
Вы наверняка отмечали, что вирусные аналитики нашей компании избегают употребления слова «вирус», предпочитая ему странноватые слова вроде «вредонос» или «зловред», а между собой часто говорят «малвара». Делаем мы это вовсе не из суеверия или профессионального пафоса.
Дело в том, что «Virus» — это вполне конкретная разновидность вредоноса, отличающегося очень специфическим поведением: это зловред, который заражает собой другие, чистые файлы. Вирусные аналитики также используют для этого типа вредоносных программ термин «инфекторы».
Инфекторы в вирусной лаборатории пользуются особым статусом. Во-первых, их чуть сложнее распознать — с виду файл чистый, а на самом деле в нем инфекция. Во-вторых, они требуют особого подхода: почти всегда для них нужна специальная процедура лечения и, как правило, еще и особая процедура детектирования. Поэтому инфекторами занимаются люди, специализирующиеся именно на этом типе угроз.
Классификация вредоносных программ
И вот для того, чтобы не путать «вирус» в обывательском смысле с вполне определенной категорией зловредов, вирусные аналитики, в том числе и в разговоре с прессой, употребляют слова «вредонос» или «зловред», когда речь идет о вредоносных программах в целом.
И раз уж мы заговорили о правильных терминах, то вот еще несколько. «Червь» — это вредонос, способный к самостоятельному распространению за пределы одного устройства. А «малвара» (malware), если следовать точной классификации, не включает в себя «адвару» (adware) — грубое рекламное ПО — и «рисквару» (riskware) — легальное ПО, которое может нанести вред пользователю, если установлено не им, а злоумышленниками.
Заблуждение третье: антивирус не умеет лечить
Мне встречалось такое заблуждение, будто антивирус сканирует и детектирует, а если что-то найдет, то потом надо скачивать специальную лечащую утилиту и использовать уже ее. Отдельные утилиты для особо популярных зловредов у нас действительно есть — например, специализированные утилиты, позволяющие бесплатно расшифровать файлы, зашифрованные вымогателями. Но и антивирус справляется с лечением ничуть не хуже. А в подавляющем большинстве случаев — даже лучше, за счет драйверов в системе и других технологий, которые в утилиту не запихнешь.
Лечение заключается в следующем. В 1% случаев, когда пользователю антивируса «посчастливилось» натолкнуться именно на вирус — инфектор (причем, скорее всего, еще до установки антивируса, иначе бы зловред просто не запустился), антивирус действительно будет перебирать все зараженные файлы на компьютере и производить процедуру дезинфекции — восстанавливать оригинал. Кстати, то же самое антивирус будет делать, если потребуется расшифровать файлы, зашифрованные вымогателем-шифровальщиком — зловредом класса Trojan-Ransom.
А в остальных 99% случаев, когда зловред ничего не инфицирует, а просто делает (или собирается делать) свое черное дело, лечение действительно состоит в банальном удалении файла зловреда. Просто потому, что заражения других файлов нет, так что и лечить их не требуется. Уничтожаем файл — и система здорова.
В большинстве случаев лечение как таковое не требуется, достаточно просто удалить вредоносный файл
Но тут есть одно исключение — если зловред уже работает в системе (а не просто лежит на диске), то антивирус переходит в состояние «Лечение активного заражения», чтобы все сделать надежно и до конца, без рецидивов. Вот здесь можно прочитать полное описание данной врачебной процедуры.
Кстати, ситуация такая возникает обычно по двум причинам:
Заключение
На сегодня все. Надеюсь, теперь вы:
Dr.Web KATANA Kills Active Threats And New Attacks* *Уничтожает активные угрозы и атаки 
Несигнатурный антивирус для превентивной защиты
Поможем с выбором продукта Dr.Web
Преимущества
Dr.Web KATANA — это целый комплекс антивирусных технологий Dr.Web нового поколения, предназначенный для защиты на опережение. Он оградит от тех угроз, которые еще не известны вашему антивирусу.
Готов к работе
Не требует никакой настройки и начинает эффективно действовать сразу после установки.
Гибкий
Набор предустановленных сценариев защиты и возможности тонкой настройки позволяют всесторонне контролировать процесс защиты, адаптируя его под нужды пользователя.
Автономный
Dr.Web KATANA защищает даже без доступа ПК к Интернету.
Универсальный
Защищает широчайший спектр ОС Windows — от Windows XP до Windows 10. Подробнее
Системные требования находятся в документации.
Все преимущества
Ежедневно на анализ в антивирусную лабораторию поступает несколько сотен тысяч образцов программ. В вирусную базу ежедневно добавляются десятки тысяч записей. Это – те угрозы, о которых вирусным аналитикам уже известно и для которых разработаны механизмы противодействия. Однако наибольшую выгоду преступникам приносят программы, еще не попавшие на анализ специалистам по информационной безопасности.
Dr.Web KATANA защищает от действий новейших, наиболее опасных сегодня вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами. Эти программы еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе на момент проникновения в систему. К ним относятся новейшие вымогатели-шифровальщики, инжекторы, троянцы-блокировщики, а также угрозы, использующие уязвимости «нулевого дня».
Dr.Web KATANA обеспечивает безопасность практически с момента запуска операционной системы — он начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!
Постоянное совершенствование вредоносных программ и рост их числа влекут за собой расширение функционала средств защиты, которые в ожидании атаки работают непрерывно. Это часто замедляет работу компьютера, вызывает недовольство пользователей, которые порой предпочитают отключить антивирусную защиту в угоду «быстродействию». Существенно усиливая защиту компьютера, Dr.Web KATANA практически не потребляет ресурсов системы.
Dr.Web KATANA пресекает действия активных вредоносных программ, не замедляя при этом работу компьютера.
Молниеносный — на лету анализирует поведение угроз и немедленно пресекает вредоносные сценарии и процессы, которые не успел распознать ваш антивирус.
Защита Dr.Web KATANA основана на несигнатурных методах поиска и нейтрализации вредоносных программ и облачных технологиях защиты. Продукт анализирует и контролирует все процессы системы, по характерному поведению выявляет вредоносные и блокирует их.
Традиционные поведенческие анализаторы основываются на правилах поведения легитимных программ, жестко прописанные в базе знаний. Такие правила известны и злоумышленникам. Dr.Web KATANA действует иначе – продукт анализирует поведение каждой запущенной программы «на лету» и молниеносно принимает необходимые меры по нейтрализации угрозы.
Обычные поведенческие анализаторы контролируют обращения вредоносных программ к различным ресурсам системы. Но что делать, если вредоносная программа, внедрившись в браузер, не обращается к системе, а просто модифицирует, например, окно взаимодействия с вашим банком?
Dr.Web KATANA отслеживает активность вредоносных программ внутри процессов — таким образом, попытки похищения конфиденциальной информации или перевода денег с вашего счета будут своевременно пресечены!
Когда нужны два антивируса — традиционный и несигнатурный?
Совместимость
Разработчиками Dr.Web KATANA подтверждена совместимость с продуктами TrendMicro, Symantec, Kaspersky, McAfee, ESET и др.
Профили защиты
Оптимальный
Установлен по умолчанию. В этом режиме защищены только те ветки реестра, которые используются вредоносными программами и которые можно заблокировать (запретить их изменение) — без значительной нагрузки на ресурсы компьютера.
Средний
При повышенной опасности заражения уровень защиты можно увеличить до Среднего.
Параноидальный
Для полного контроля доступа к критическим объектам Windows уровень защиты можно поднять до Параноидального. Этим обеспечивается дополнительная безопасность системы на случай действий вредоносного ПО, еще не известного вирусной базе Dr.Web. Но одновременно возрастает и риск возникновения конфликтов между запретами превентивной защиты и потребностями запущенных приложений.
Возможности
Функциональные возможности
Неуязвимых систем не существует!
Разработчики ПО стараются оперативно выпускать «заплаты» к известным уязвимостям. Например, компания Microsoft достаточно часто выпускает обновления безопасности. Но часть из них пользователи устанавливают с большим запозданием (или не устанавливают вовсе), что стимулирует злоумышленников как на поиск все новых уязвимостей, так и на использование уже известных, но не закрытых на стороне потенциальных жертв.
Сегодня одним из наиболее популярных способов проникновения вредоносных программы в систему стала установка под видом полезного ПО дополнительных приложений.
Алгоритм работы
Обновления
В отличие от традиционного антивируса Dr.Web KATANA не содержит базы антивирусных сигнатур и, соответственно, не нуждается в ее обновлении.
Антивирусные алгоритмы защиты Dr.Web KATANA реализованы в виде исполняемых файлов и программных библиотек. Время от времени эти алгоритмы совершенствуются, а обнаруженные в них ошибки исправляются, для чего выпускаются соответствующие обновления.
Анализируя потенциально опасные действия вредоносных программ, Dr.Web KATANA опирается не только на правила, хранящиеся на защищаемом компьютере, но и на данные репутационного облака Dr.Web Cloud (если оно включено), в котором собраны:
Dr.Web Katana
О программе
Что нового
Обновлен модуль защиты от эксплойтов Dr.Web Shellguard в продуктах Dr.Web KATANA 1.0, Dr.Web Enterprise Security Suite 11.0 и Dr.Web AV-Desk 10.1. Были устранены возможные конфликты, возникавшие с продуктами Microsoft Office.
Помимо этого, внесены внутренние изменения в модуль самозащиты Dr.Web Protection для Windows, которые коснутся пользователей Dr.Web KATANA 1.0.
Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.
Системные требования
Операционные системы:
Требования к оборудованию:
Полезные ссылки
Подробное описание
Dr.Web Katana защищает систему от компьютерных угроз с помощью несигнатурных методов: анализирует поведение процессов, использует облачные технологии обнаружения угроз и предустановленные правила.
Программа не конфликтует с антивирусами других разработчиков и может работать в паре с ними, чтобы усилить защиту компьютера.
Традиционные поведенческие анализаторы основываются на правилах поведения легитимных программ, жестко прописанные в базе знаний. Такие правила известны и злоумышленникам. Dr.Web Katana действует иначе – продукт анализирует поведение каждой запущенной программы «на лету», сверяясь с постоянно обновляемым репутационным облаком Dr.Web, и на основе актуальных знаний о том, как ведут себя вредоносные программы, делает вывод о ее опасности, после чего принимает необходимые меры по нейтрализации угрозы.
Основные преимущества Dr.Web Katana
Защита от новейших угроз
Легкий и незаметный
Защита в реальном времени «на лету»
Методы обнаружения Dr.Web Katana
Dr.Web Katana использует технологии блокировки вредоносных процессов на основе поведенческого анализа.
Технология поведенческого анализа Dr.Web Process Heuristic
Технология поведенческого анализа Dr.Web Process Heuristic защищает от новейших, наиболее опасных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами.
Dr.Web Process Heuristic контролирует любые попытки изменения системы:
Технология Dr.Web ShellGuard для защиты от эксплойтов
Технология Dr.Web ShellGuard, входящая в состав Dr.Web Process Heuristics, защищает компьютер от эксплойтов — вредоносных объектов, пытающихся использовать уязвимости с целью получения контроля над атакуемыми приложениями или операционной системой в целом.
Dr.Web ShellGuard защищает распространенные приложения, устанавливаемые на компьютеры под управлением Windows:
Облачная система обновления алгоритмов несигнатурной блокировки Dr.Web ShellGuard
Анализируя потенциально опасные действия, система защиты, благодаря технологии Dr.Web ShellGuard, опирается не только на прописанные правила, хранящиеся на компьютере, но и на знания облачного сервиса Dr.Web, в котором собираются:
Технологии несигнатурного детектирования
До миллиона потенциально вредоносных образцов поступает в сутки
в вирусную лабораторию «Доктор Веб».
Не всё пришедшее — вредоносные программы. Но все они должны быть обработаны нашими специалистами. Если добавлять знания о каждом новом троянце или вирусе сигнатурами — размер вирусной базы превысит все разумные размеры, и это будут знания только об известных вирусах. А их меньшинство!
Угроза заражения новейшим НЕИЗВЕСТНЫМ вирусом есть ВСЕГДА.
Технологически сложные и особо опасные вирусы, особенно созданные для извлечения коммерческой выгоды, вирусописатели проверяют на обнаружение по всем антивирусам перед тем, как выпустить такой вирус в «живую природу», чтобы вирус существовал незамеченным антивирусами как можно дольше. Поэтому всегда существует временная дельта между выпуском троянца злоумышленниками, попаданием его образца на анализ в вирусную лабораторию и изготовлением противоядия. До поступления образцов таких вирусов в лабораторию они не обнаруживаются ни одним антивирусом — если он использует только сигнатурные методы детектирования (например, бесплатные антивирусы).
Считается, что антивирус обязан обнаруживать
все вредоносные программы в момент их проникновения.
Только 30% вредоносного ПО обнаруживает сигнатурами современный антивирус.
Как Dr.Web обнаруживает еще 70% вредоносного ПО?
В продуктах Dr.Web для обнаружения и обезвреживания неизвестного вредоносного ПО применяется множество эффективных несигнатурных технологий, сочетание которых позволяет обнаруживать новейшие (неизвестные) угрозы до внесения записи в вирусную базу.
Эвристический анализатор
Обнаружение неизвестных вредоносных программ, на основании знаний (эвристики) об определенных особенностях (признаках) вирусов — как характерных именно для вирусного кода, так и, наоборот, крайне редко встречающихся в вирусах.
Эвристики обнаруживают только новые модификации ранее попавших на анализ вредоносных программ, с известным антивирусу поведением.
Технология Origins Tracing ™
Распознавание вирусов, еще не добавленных в вирусную базу Dr.Web, путем сканирования исполняемого файла, который рассматривается как некий образец, построенный характерным образом, и сравнения полученного образца с базой известных вредоносных программ.
Модуль эмуляции исполнения
Обнаружение полиморфных и сложношифрованных вирусов, когда непосредственное применение поиска по контрольным суммам невозможно либо крайне затруднено (из-за невозможности построения надежных сигнатур), путем имитации исполнения анализируемого кода эмулятором — программной моделью процессора (и отчасти компьютера и ОС).
Технология Fly-Code
Качественная проверка упакованных исполняемых объектов.
Распаковка любых (даже нестандартных) упаковщиков методом виртуализации исполнения файла.
Обнаружение вирусов, упакованных даже неизвестными антивирусному ПО Dr.Web упаковщиками.
Комплексный анализатор упакованных угроз
Значительное повышение уровня детектирования якобы «новых угроз» — известных вирусной базе Dr.Web, но скрытых под новыми упаковщиками.
Исключает необходимость добавления в вирусную базу все новых и новых записей об угрозах.
Технология Script Heuristic
Предотвращение исполнения любых вредоносных скриптов в браузере и PDF-документах без нарушения функциональности легитимных скриптов.
Защита от заражения неизвестными вирусами через веб-браузер.
Работа независимо от состояния вирусной базы Dr.Web совместно с любыми веб-браузерами.
Технология анализа структурной энтропии
Обнаружение неизвестных угроз по особенностям расположения участков кода в защищенных криптоупаковщиками проверяемых объектах.
Какой антивирус выбрать
Чего вы ждёте от антивирусной программы? Скорее всего, надёжной защиты от вирусов. Но как определить, надёжна ли программа? Иными словами, какой антивирус выбрать? Чтобы вы не ломали голову над этим вопросом, мы предлагаем вам простую схему, благодаря которой вы сможете найти для себя подходящий сервис.
Уточните принцип работы
Чтобы понять, подходит вам антивирус или нет, советуем обратить внимание на принцип работы того или иного продукта. Что мы имеем в виду? Речь идёт о двух типах антивирусных программ. У одних есть свои базы данных вирусов. С их помощью они и определяют вредоносные файлы и программы в вашей системе во время сканирования. Другие антивирусы (несигнатурные) не имеют баз данных. Они анализируют то, как ведут себя те или иные программы и на основании этой информации решают, относятся они к вирусам или нет.
У первого типа антивирусных программ есть ряд недостатков. В случае с базами данных вам придётся обновлять антивирус довольно часто. Если вы не сделаете этого, информация устареет, и программа просто не распознает “молодой” вирус, которого нет в её “чёрных списках”. Вот почему при длительном отсутствии интернета такие антивирусы не будут эффективно защищать вашу систему. Другим недостатком является тот факт, что даже при регулярном обновлении баз данных сервис не распознает только что появившийся вирус, поскольку его тоже нет в списке. Кроме того, объёмные базы могут занимать много места в вашей системе и замедлять её работу.
Несигнатурные антивирусы не имеют вышеперечисленных недостатков. Вот почему они эффективны даже при отсутствии интернета и при взаимодействии с новейшими вирусами. Тем не менее, такой тип антивирусов встречается реже, чем сервисы с базами данных. Так, к несигнатурным относятся Malware и один из продуктов Dr.Web — KATANA.
Найдите мобильные приложения
Если вы хотите защитить не только свой ПК, но и смартфон, обращайте внимание на то, какие мобильные приложения есть у антивирусов. Вас, в первую очередь, должно интересовать наличие клиента как такового, а также версии для нужной вам операционной системы (например, Android). Далеко не все провайдеры смогут предложить именно то, что вам необходимо.
У Malware и ESET NOD32 есть мобильные приложения только для Android. Обладателям iOS придётся обращаться к таким провайдерам, как Kaspersky, Dr.Web и Avast. В более экстраординарных случаях, например, при наличии устройства BlackBerry, поможет только Dr.Web.
Оцените безопасность
Основная задача любой антивирусной программы — обеспечить защиту вашей операционной системы. Логично предположить, что провайдер, который так тесно связан со сферой безопасности, должен иметь безупречную репутацию. Вот почему мы рекомендуем вам побольше узнать о сервисах, которым вы хотите доверить свой компьютер.
Провайдер, который так тесно связан со сферой безопасности, должен иметь безупречную репутацию. Вот почему мы рекомендуем вам побольше узнать о сервисах, которым вы хотите доверить свой компьютер.
Во-первых, большую роль играет то, как провайдер взаимодействует со своими пользователями. Понять это можно по тем или иным функциям, которые предусматривает антивирус. Например, Касперский и Avast по умолчанию отправляют любые ваши файлы, показавшиеся им подозрительными, в облачный сервис провайдера. Иными словами, они могут получить содержимое вашего компьютера под предлогом вашей защиты. Если вы не предполагали такого тесного взаимодействия, вам лучше знать об этом заранее.
Во-вторых, на оценку безопасности может повлиять репутация самой компании-провайдера. Испортить её могут скандалы, связанные с утечкой информации. Так, например, “прославились” Kaspersky и Dr.Web. А ESET NOD32, хоть официально и не упускал пользовательские данные, всё же успешно взломал хакер. Доверять таким провайдерам, на наш взгляд, не так просто.
Сравните цены
Антивирусы отличаются и ценовой политикой. Вот почему ваш выбор будет зависеть от того, на какую сумму вы рассчитываете. Так, стоит обратить внимание не только на разницу в цене, но и на наличие бесплатной версии. Во втором случае речь идёт не только о полностью бесплатных тарифах, но и о пробных версиях платных.
Как правило, полностью бесплатные версии отличаются урезанным функционалом. Однако если вам достаточно минимальных возможностей или вы хотите сэкономить, ищите антивирусы, за которые не нужно платить. К ним относятся, например, Kaspersky, Avast и Malware.
Если же вы готовы расстаться с деньгами, но не знаете, какой из платных тарифов выбрать, советуем воспользоваться бесплатной тестовой версией. Обычно она действует в течение месяца, однако срок зависит от провайдера. Так, меньше всего времени вам дадут на то, чтобы попробовать Malware Premium для ПК. При этом, целых 3 месяца вы сможете пользоваться Dr.Web Security Space.
Напоследок: так какой антивирус выбрать?
Итак, на вопрос “Какой антивирус выбрать” помогут ответить такие критерии, как принцип работы, безопасность, мобильные приложения и цены. Обращайте на них внимание, и вы сможете выбрать именно тот сервис, который вам нужен. Подробнее об антивирусах читайте в наших обзорах. Также у нас вы можете сравнить и скачать их.
Вам также могут быть интересны эти статьи:
Плюсы и минусы ESET NOD32
Антивирусы компании «ESET» можно смело считать одними из самых старых представителей этих сервисов. Первый их продукт выпустили для MS-DOS, а NOD для Windows появился в 1998-м году. За более чем 20-тилетнюю историю сервис приобрёл репутацию качественного продукта, однако у него есть и недостатки. Например, к ним относится отсутствие бесплатной версии. Другие плюсы и минусы ESET NOD32 вы найдёте в этой статье.
Плюсы и минусы Dr.Web
Плюсы и минусы Avast
Компания «Avast» выпустила свой продукт в 1998-м году. Уже тогда сервис был далеко не первым на рынке, поэтому был вынужден выдерживать конкуренцию. Судя по всему, ему это успешно удалось, раз даже спустя более чем 10 лет он по-прежнему популярен среди пользователей. Однако складывается впечатление, что этому антивирусу практически нечем похвастаться. Так какие плюсы и минусы Avast стоит отметить?
- Нет лучше дружка чем родная матушка смысл пословицы
- смарт приставка для телевизора с wifi для чего нужна