Антивирусные программы являются важным инструментом для обеспечения безопасности в Интернете, но есть ли угрозы, которые даже они не могут обнаружить? Давайте узнаем.
Когда вы думаете, что зловред поразил ваш компьютер, решение может показаться довольно простым: запустить сканирование на вирусы и посмотреть, найдет ли антивирус что-нибудь в недрах ПК. Если AV ничего не улавливает, это должно означать, что вирусов гарантировано нет... Правильно?
К сожалению, не всё так просто. В то время как современные антивирусные программы стали очень эффективными в борьбе со зловредами, бывают случаи, когда вредоносное ПО может остаться незамеченным. Что же делать пользователю, если даже AV не справляется с хитроумными малварями?
Что такое вирусные записи?
Прежде чем начнем, нам нужно определиться с понятием «вирусные записи», а также понять почему они важны и зачем их обновлять.
Когда ваш антивирус ищет вредоносное ПО, ему нужна «инструкция» — руководство, в котором чётко написано: что является вирусом, а что нет. В этой инструкции должны быть заданы вирусные записи — определения вирусов, которые говорят AV, что плохо и нужно принять меры, а что хорошо — и можно пропустить. Антивирусные программы обычно получают обновления вирусных записей от разработчика на регулярной основе, чтобы антивирус знал все, даже недавно обнаруженные, вирусы и как они выглядят.
Вы можете представить себе эти вирусные записи как эквивалент криминальной картотеки. Вирусная запись говорит антивирусу, вот этот файл выглядит как преступник-воришка зловред, значит нужно включить защиту, изолировав его от системы в карантине. Таким образом, сила антивирусного ПО заключается в его постоянно обновляемых вирусных записях и в том, как эффективно он их использует для определения вредоносов.
Как зловред может уклониться от антивируса?
Поскольку вирусные записи очень важны для AV, злодеи-разработчики вредоносных программ стремятся найти способы уклониться от этих определений тем или иным методом. Итак, что же это за методы?
1. Вирусы могут прокрасться мимо AV из-за отсутствия у того «карточки» зловреда
Во-первых, если ваше антивирусное ПО не получает обновлений, оно не знает всех последних описаний вирусов. Это, в свою очередь, означает, что новые вирусы проскользнут мимо вашей защиты, не будучи пойманными.
Вот почему очень важно постоянно обновлять антивирус. Если он хочет загрузить новые вирусные записи, не запрещайте и не откладывайте это действие на другой день. Загрузите их как можно скорее и позвольте AV качественно делать свою работу.
Пользователи, отдавшие предпочтение Защитнику Windows, не должны забывать, что это AV получает новый «список» антивирусных записей через обновления системы. Поэтому для эффективной защиты ПК от вредоносов, системные обновления должны быть включены. Если по каким-то причинам вы отключили обновление Windows, для обеспечение безопасности вам необходимо установить стороннее антивирусное ПО
2. Эксплойтам нулевого дня вход свободный
Если вы аккуратный и внимательный пользователь, который тщательно следит за безопасностью своей системы и поддерживает антивирус в актуальном состоянии, вы не защищены на 100% от злонамеренной атаки. Потому что существуют вредоносы — эксплойты нулевого дня (0-day) — о которых ваше антивирусное ПО ещё ничего не знает. Сложно найти то, о чём еще не написано в вирусных записях, и о чём еще не подозревает разработчик AV.
Эксплойты нулевого дня распространяются по Сети в «нулевой день» с момента их выпуска. Термин описывает новую уязвимость в ПО, которую пытаются эксплуатировать злодеи, пока о ней не стало известно разработчикам ПО и те не выпустили «заплатку», закрывающую «дыру» в программе.
Если возвратиться к криминальному примеру, уязвимость нулевого дня похожа на преступника, который совершил преступление, но о нём еще не сообщили правоохранителям. В промежутке между совершением преступления и полицией, выдающей ордер на розыск, преступник может ходить, как обычный гражданин, не будучи ни опознанным, ни арестованным.
Аналогичным образом, совершенно новый вирус не имеет никаких записей в вирусной «картотеке», потому что антивирусные компании даже не подозревают о его существовании. И прежде чем он будет пойман, зловред может проскользнуть на ваш ПК.
Охотники за эксплойтами пытаются обнаружить такие зловреды в «дикой природе», чтобы как можно быстрее добавить определение в вирусные записи на AV, сведя на нет угрозу атаки нулевого дня.
3. Зловред запутывает следы
Если злодей-разработчик знает, что «приметы» его вредоносной программы известны антивирусу, который без труда идентифицирует его код, у него все ещё есть несколько «козырей» в рукаве, которыми он попытается «удивить» AV.
Одним из таких «тузов» является уловка под названием «запутывание» или обфускация кода. Это когда разработчик вредоносного ПО ловко скрывает свой вредоносный код, чтобы антивирус не обнаружил его. Например, они могут развернуть программу, которая автоматически шифрует и расшифровывает злодейские скрипты, или изменить код самого вредоноса, чтобы он выглядел по-другому каждый раз, когда он заражает кого-то.
Постоянно меняясь, зловред старается «запутать следы», и, сохранив свою функциональность, затруднить анализ кода защитным ПО. Такая тактика поведения держит антивирус постоянно «в тонусе». AV ищет конкретную «сигнатуру», которая идентифицирует конкретный штамм вредоносного ПО. Но если у злодея-разработчика получится запутать код, когда идентификация зловреда по имеющимся образцам не возможна, он может уклониться от антивирусного сканирования и просочиться на ПК.
4. Вредоносное ПО... без вредоносного кода
Самый опасный вид вредоносного ПО - это тот, который на самом деле таковым не является вообще. Это может быть программа, которая выступает в качестве плацдарма для будущих вирусных инфекций и атак, но сама она выглядит совершенно невинно.
Например, злоумышленник может создать программу, которая может загружать файлы с удаленного сервера. Возможно, разработчик объясняет это как службу обновления или способ для пользователя загрузить больше «полезных» функций для своей программы.
Сама программа не содержит вредоносного кода, поэтому антивирус позволяет ей работать в системе. Однако злоумышленник может использовать удаленное подключение к серверу, чтобы «протащить» вредоносное ПО через бэкдор на пользовательское устройство. И поскольку программа была безобидной с самого начала, есть большая вероятность, что ваш антивирус ничего не поймёт и позволит загружаться зловредам на ваш компьютер.
А как защититься от необнаруживаемых вирусов?
К счастью, несмотря на угрозы, которые представляют эти необнаруживаемые атаки, ещё не всё пропало и совсем уж бесконтрольного разгула зловредов можно не допустить. Абсолютно лучший и самый эффективный антивирус — это ваш здравый смысл. И если вы с ним в ладах, скорее всего, у вас получиться защитить систему и избежать вирусной атаки.
Если вы скачиваете файлы из легальных источников, не открываете подозрительные вложения в странно выглядящих электронных письмах и не «ходите» по незнакомым ссылкам, большую часть работы по защите системы и персональных данных вы уже сделали. Добавьте в свою линию защиты AV решение для полного спокойствия.
Однако не забывайте, что антивирусное ПО будет вашим полноценным помощником в деле компьютерной безопасности только в том случае, если вы позволите ему своевременно обновлять вирусные записи.
Важность ИИ в антивирусных программах
Вышеперечисленные эксплойты — это огромные проблемы, которые разработчикам антивирусов приходится решать ежедневно. Не смотря на обилие зловредов, все они имеют одну общую черту: они используют слабые места в модели определения вируса.
Прямо сейчас антивирусная программа не может самостоятельно определить, что такое вирус, а что нет, просто наблюдая за ним. Ей нужно обязательно показать «карточку», в которой будет дано описание зловреда. А уже вирусные записи помогут AV определить, что опасно для системы, а что нет. Однако достижения в области машинного обучения и ИИ изменят это в будущем.
Когда-нибудь пользовательские системы смогут выносить определение вирусам основываясь не на вирусные записи в «картотеке» программы, а на искин, который сможет по «внешнему виду» и поведению подозрительного ПО выносить вердикт: этого в изолятор, этому разрешение на работу.
Лучшая защита от атаки вредоносного ПО
Сейчас, читатель, у тебя возможно возникнет вопрос: а как такие скрытые и замаскированные угрозы до сих пор не сломали Интернет?
Да, хитроумные вредоносные скрипты несут в себе серьезные риски безопасности для пользовательских систем и серверных установок. Однако не стоит забывать, что и противостоят им в этой цифровой битве специалисты высоко класса, способные распутывать злодейские замыслы и предугадывать «тёмные» события.
И не забывайте: лучший способ избежать атаки вредоносных программ, особенно уклоняющихся от AV, — это выстроить защитную стратегию, при которой зловреды никогда не смогут попасть на ваш компьютер. А это в первую очередь, если вы будете сохранять бдительность и не станете жертвой огромного количества угроз в Интернете. Во-вторую, если вы не будете пренебрегать установкой AV на свой ПК и обновлением его вирусных записей.
Собственно, в этом и заключается ответ на главный вопрос, почему Интернет до сих пор еще не сломали: защищая себя и свой ПК, каждый пользователь становится защитником Сети в целом.