Обновление сигнатур что это
Сигнатуры вирусов — важное понятие в компьютерной защите
На этот раз поговорим о том, что такое сигнатуры вирусов. Эта информация поможет вам узнать больше о том, как маскируется вредительское ПО. И насколько эффективно с ним борются антивирусы.
Сигнатура: объяснение и виды
Латинское слово «signature» переводится на русский язык как «указывать». В нашем случае указываются характерные признаки вируса, по которым защитные программы могут обнаружить их на вашем компьютере.
Сигнатуры вирусов бывают двух типов:
Процесс создания
Сигнатура вируса — это результат кропотливого анализа разработчиков антивирусов. Причем он не может быть полностью автоматизирован.
Так что программисты вручную выявляют исключительные свойства того или иного вируса. Ведь важно, чтобы они не пересекались с поведением или синтаксисом обычных программ во избежание ложных срабатываний антивирусов.
Эффективность сигнатур
Учитывая то, как создаются сигнатуры, обнаружение вредоносного софта по ним является одним из самых эффективных способов. Но чтобы он соответствовал этому званию, необходимо своевременно обновлять защитное ПО, когда его базы устарели (обычно в антивирусах функция обновления работает автоматически). Ведь с каждым разом разработчики добавляют новые сигнатуры.
Также выявление вирусов по сигнатурам обладает такими преимуществами:
Все же бывают случаи ложных тревог. Шифровальщики вирусов тоже работают не покладая рук, чтобы незаметно проникать в наши компьютеры. Так что хорошо, когда антивирусы используют в работе еще метод. Он называется эвристическим анализом (тоже учитывает характеристики вирусов) и проактивной защиты (предотвращает их попадание).
Вот, собственно, вся информация, которую стоит знать обычному пользователю о том, что такое сигнатуры вирусов.
Но если вы увлеклись чтением, моего блога, то для вас найдется еще множество интересных и полезных статей.
Антивирус Касперского 6.0 для Windows Workstations. Локальная установка и управление
Обновления сигнатур угроз и модулей приложения
Сигнатурные методы обнаружения вирусов являются наиболее точными и эффективными, однако, для поддержания этой эффективности, крайне необходимо наличие актуальных антивирусных баз. Поэтому обновление антивирусных баз является одной из самых критичных задач обеспечения антивирусной безопасности.
Учитывая частоту появления новых вирусов и высокую скорость их распространения, действительно эффективным сигнатурный метод становится только в случае оперативного выпуска сигнатур этих вирусов и доставки сигнатур на защищаемые компьютеры. Кроме сигнатур могут доставляться также измененные модули антивирусных продуктов: для исправления критических ошибок, для внедрения новых алгоритмов обнаружения и т.д. Именно этот процесс доставки и установки сигнатур и модулей называется обновлением.
Интервал между появлением нового вируса и доставкой на клиентские компьютеры сигнатуры этого вируса зависит от двух факторов:
В отношении реакции на появление новых вирусов Лаборатория Касперского является одним из лидеров в антивирусной индустрии, что выражается в ежечасном размещении на серверах компании обновлений сигнатур угроз.
Веб-Антивирус, Проактивная защита, Анти-Шпион, Анти-Спам и Система обнаружения вторжений также используют специальные базы при осуществлении функций защиты.
Лаборатория Касперского выпускает три набора сигнатур угроз (антивирусных баз):
Задачи обновления делятся на два типа:
Источник обновлений
Источником обновлений могут выступать:
Настроить параметры доступа к сетевым HTTP/FTP ресурсам можно, нажав кнопку Параметры LAN. По нажатию открывается окно Настройка параметров LAN, в котором предлагается указать режим доступа к FTP-ресурсам (пассивный либо активный), тайм-аут соединения (промежуток ожидания ответа на запрос к серверу), а также задать параметры настройки доступа к прокси-серверу.
Обновляемые компоненты
При выполнении задачи обновления, новая версия сигнатур может быть загружена с серверов Лаборатории Касперского или из локального каталога.
Откат обновления антивирусных баз
Откат обновления антивирусных баз необходим в двух случаях. Во-первых, если новые базы и обновления сканирующего ядра вызывают сбои в работе Антивируса Касперского или всей системы в целом. Во-вторых, если с новыми базами заведомо чистая программа обнаруживается как вирус.
Работа с инфицированными и подозрительными объектами
Во избежание заражения инфицированными и подозрительными объектами, все помещаемые на Карантин и в Резервное хранилище файлы шифруются и, таким образом, перестают быть запускаемыми, в таком же виде объекты отправляются на исследование в Лабораторию Касперского.
Три заблуждения, связанных с антивирусами: сигнатуры, вирусы и лечение
Поговорим о нескольких понятиях, которые зачастую понимаются ошибочно: какие бывают сигнатуры, что на самом деле такое вирусы и как работает лечение системы антивирусом.
Мы много и часто рассказываем о правилах поведения (а может, даже и выживания) в Интернете, да и в цифровом мире в целом. Очень надеемся, что делаем это все не зря, — что люди учатся и потом учат своих близких. Это правда очень важно.
Однако во всех этих рассказах встречается немало специфических терминов, которые кто-то может не знать или понимать неверно. Сегодня мы поговорим о трех самых распространенных заблуждениях, связанных с антивирусами, и попробуем объяснить, почему мы называем определенные вещи так, а не иначе.
Заблуждение первое: сигнатуры — это что-то устаревшее
Так исторически сложилось, что антивирусные базы в разговоре и даже статьях часто называют сигнатурами. В действительности же классические сигнатуры, пожалуй, ни один антивирус не использует уже лет 20.
Проблема возникла из-за того, что с самого начала — а это восьмидесятые годы — понятие «сигнатуры» не было определено четко. Например, отдельной статьи про них в «Википедии» нет даже сейчас, а в статье про вредоносные программы понятие «сигнатуры» используется без определения — как нечто всем известное.
Давайте же это определение дадим. Классическая вирусная сигнатура — это непрерывная последовательность байтов, характерная для той или иной вредоносной программы. То есть она содержится в этом вредоносном файле и не содержится в чистых файлах.
Например, характерная последовательность байтов может быть такой
Проблема в том, что сегодня с помощью таких классических сигнатур определить вредоносный файл достаточно проблематично — их создатели используют различные техники для того, чтобы запутать следы. Поэтому современные антивирусы используют значительно более продвинутые методы. И хотя в антивирусных базах примитивных записей по-прежнему много (больше половины), но есть еще и очень много умных записей.
Все это продолжают по старинке называть сигнатурами. И ладно бы просто называли — в общем-то, ничего страшного. Но это название зачастую используется уничижительно: мол, сигнатуры — устаревшие технологии. А на самом деле в этих «устаревших сигнатурах» порой какое-нибудь «разбиение пространства исполняемых файлов на кластеры в результате работы нейронной сети», которое никто и словами-то доступно не может описать.
В идеале стоило бы отказаться от использования самого термина «сигнатура» в смысле «любая запись в антивирусной базе». Но уж слишком прочно это слово вошло в обиход, да и альтернативного термина пока не придумали, так что все продолжают по привычке пользоваться им.
Поэтому важно иметь в виду, что само по себе слово «сигнатура» на самом деле не говорит ничего о продвинутости или примитивности.
Антивирусная запись — это запись, а стоящая за ней технология может быть как классической, простенькой, так и суперсовременной и навороченной, нацеленной на детектирование самых запутанных и высокотехнологичных вредоносных файлов или даже целых семейств вредоносов.
Заблуждение второе: вирусы — это любые вредоносные программы
Вы наверняка отмечали, что вирусные аналитики нашей компании избегают употребления слова «вирус», предпочитая ему странноватые слова вроде «вредонос» или «зловред», а между собой часто говорят «малвара». Делаем мы это вовсе не из суеверия или профессионального пафоса.
Дело в том, что «Virus» — это вполне конкретная разновидность вредоноса, отличающегося очень специфическим поведением: это зловред, который заражает собой другие, чистые файлы. Вирусные аналитики также используют для этого типа вредоносных программ термин «инфекторы».
Инфекторы в вирусной лаборатории пользуются особым статусом. Во-первых, их чуть сложнее распознать — с виду файл чистый, а на самом деле в нем инфекция. Во-вторых, они требуют особого подхода: почти всегда для них нужна специальная процедура лечения и, как правило, еще и особая процедура детектирования. Поэтому инфекторами занимаются люди, специализирующиеся именно на этом типе угроз.
Классификация вредоносных программ
И вот для того, чтобы не путать «вирус» в обывательском смысле с вполне определенной категорией зловредов, вирусные аналитики, в том числе и в разговоре с прессой, употребляют слова «вредонос» или «зловред», когда речь идет о вредоносных программах в целом.
И раз уж мы заговорили о правильных терминах, то вот еще несколько. «Червь» — это вредонос, способный к самостоятельному распространению за пределы одного устройства. А «малвара» (malware), если следовать точной классификации, не включает в себя «адвару» (adware) — грубое рекламное ПО — и «рисквару» (riskware) — легальное ПО, которое может нанести вред пользователю, если установлено не им, а злоумышленниками.
Заблуждение третье: антивирус не умеет лечить
Мне встречалось такое заблуждение, будто антивирус сканирует и детектирует, а если что-то найдет, то потом надо скачивать специальную лечащую утилиту и использовать уже ее. Отдельные утилиты для особо популярных зловредов у нас действительно есть — например, специализированные утилиты, позволяющие бесплатно расшифровать файлы, зашифрованные вымогателями. Но и антивирус справляется с лечением ничуть не хуже. А в подавляющем большинстве случаев — даже лучше, за счет драйверов в системе и других технологий, которые в утилиту не запихнешь.
Лечение заключается в следующем. В 1% случаев, когда пользователю антивируса «посчастливилось» натолкнуться именно на вирус — инфектор (причем, скорее всего, еще до установки антивируса, иначе бы зловред просто не запустился), антивирус действительно будет перебирать все зараженные файлы на компьютере и производить процедуру дезинфекции — восстанавливать оригинал. Кстати, то же самое антивирус будет делать, если потребуется расшифровать файлы, зашифрованные вымогателем-шифровальщиком — зловредом класса Trojan-Ransom.
А в остальных 99% случаев, когда зловред ничего не инфицирует, а просто делает (или собирается делать) свое черное дело, лечение действительно состоит в банальном удалении файла зловреда. Просто потому, что заражения других файлов нет, так что и лечить их не требуется. Уничтожаем файл — и система здорова.
В большинстве случаев лечение как таковое не требуется, достаточно просто удалить вредоносный файл
Но тут есть одно исключение — если зловред уже работает в системе (а не просто лежит на диске), то антивирус переходит в состояние «Лечение активного заражения», чтобы все сделать надежно и до конца, без рецидивов. Вот здесь можно прочитать полное описание данной врачебной процедуры.
Кстати, ситуация такая возникает обычно по двум причинам:
Заключение
На сегодня все. Надеюсь, теперь вы:
Обновление
Для обеспечения правильной загрузки обновлений необходимо корректно задать все параметры обновлений. Если используется файервол, программе должно быть разрешено обмениваться данными через Интернет (например, через HTTP-соединение).
Предупреждения об устаревшей базе данных сигнатур вирусов
• Автоматически задавать максимальный возраст базы данных / Максимальный возраст базы данных (в днях) : этот параметр позволяет задать максимальное время в днях, по истечении которого база данных сигнатур вирусов будет считаться устаревшей. По умолчанию установлено значение 7 дней.
Предположим, последней версии базы данных сигнатур вирусов присвоен номер 10646. Версии 10645 и 10643 хранятся в качестве снимков. Обратите внимание, что версия 10644 недоступна, поскольку, например, компьютер был выключен и более новая версия обновления стала доступна до того, как была загружена версия 10644. Если в поле Количество локально хранимых снимков установить значение 2 и нажать кнопку Откат, программа восстановит версию базы данных сигнатур вирусов под номером 10643 (включая модули программы). Это может занять некоторое время. Чтобы проверить, произведен ли откат к предыдущей версии, в главном окне ESET Mail Security откройте раздел Обновление.
Основная информация
Основная информацияТип обновления — выберите в раскрывающемся меню тип обновления, который нужно использовать.
• Регулярное обновление — задаваемый по умолчанию, такой тип обновления обеспечивает автоматическую загрузку файлов обновлений с сервера ESET с минимальным расходом сетевого трафика.
• Тестовое обновление — обновления, которые уже прошли полное внутреннее тестирование и в ближайшее время будут доступны всем пользователям. Преимущество их использования заключается в том, что у вас появляется доступ к новейшим методам обнаружения и исправлениям. Однако такие обновления иногда могут быть недостаточно стабильны и НЕ ДОЛЖНЫ использоваться на рабочих серверах и рабочих станциях, где необходимы максимальные работоспособность и стабильность.
• Отложенное обновление — позволяет загружать обновления со специальных серверов с задержкой в несколько часов (т. е. после того, как обновления будут протестированы в реальных средах и признаны стабильными).
Отключить оповещение об успешном обновлении — отключает уведомления на панели задач в правом нижнем углу экрана. Его удобно использовать, если какое-либо приложение или игра работает в полноэкранном режиме. Обратите внимание, что в режиме презентаций все уведомления отключены.
При использовании локального HTTP-сервера, который называется также зеркалом, сервер обновлений должен быть указан следующим образом:
http://имя_компьютера_или_его_IP-адрес:2221.
Если используется локальный HTTP-сервер с поддержкой SSL, сервер обновлений должен быть указан следующим образом:
https://имя_компьютера_или_его_IP-адрес:2221.
Если используется локальная общая папка, сервер обновлений должен быть указан следующим образом:
\\имя компьютера или его IP-адрес\общая папка
• Обновление с зеркала
Обновление базы данных сигнатур вирусов
Задача Обновление программы инициирует обновление базы данных сигнатур вирусов программы безопасности, установленной на клиентах. Это общая задача для всех программ во всех системах.
Здесь можно указать клиенты (отдельные компьютеры и целые группы), которые являются получателями этой задачи.
Выберите клиенты, нажмите кнопку ОК и перейдите в раздел «Триггер».
| • | Запланированный триггер — выполняет задание в указанное время. Вы можете запланировать задачу один раз, многократно или с использованием CRON-выражения. |
| • | Триггер присоединения к динамической группе : этот триггер выполняет задание, когда клиент присоединяется к динамической группе, выбранной в элементе интерфейса «Объект». Если выбраны статическая группа или отдельный клиент (клиенты), этот параметр недоступен. |
ПРИМЕЧАНИЕ. : Дополнительные сведения см. в главе Триггеры.
| • | Очистить кэш обновлений — этот параметр удаляет временные файлы обновлений в кэше клиента. Его можно использовать для исправления ошибок неудачных обновлений сигнатур вирусов. |
Все настраиваемые параметры отображаются здесь. Проверьте настройки. Если все правильно, нажмите кнопку «Готово». Задача создана и готова к использованию.