Transcript Procedury destrukcyjne: struktura i charakterystyka oprogramowania

Procedury destrukcyjne: struktura i
charakterystyka oprogramowania
antywirusowego.
Damian Dźwigaj
Wirus
• Wirus komputerowy to program komputerowy posiadający zdolność replikacji, tak jak
prawdziwy wirus - stąd jego nazwa. Wirus do swojego działania potrzebuje i wykorzystuje
system operacyjny, aplikacje oraz zachowanie użytkownika komputera. Wirusa
komputerowego zalicza się do złośliwego oprogramowania.
• Wirus komputerowy przenosi się poprzez pliki, co wymaga obecności systemu plików, lub
przez bezpośredni zapis w wybranym sektorze bądź jednostce alokacji zewnętrznego nośnika
danych np. dysku twardego, dyskietki lub pendriva'a. Proces replikacji wirusa komputerowego
polega na odpowiedniej modyfikacji zawartości pliku, sektora lub jednostki alokacji. Tak
zmodyfikowany nośnik danych nazywa się nosicielem wirusa komputerowego, analogicznie do
prawdziwego nosiciela wirusa.
HISTORIA
• Historia oprogramowania antywirusowowego.
•
Prawdopodobnie pierwsze publicznie udokumentowane usuwanie wirusów
komputerowych w środowisku naturalnym zostało przeprowadzone przez Bernt Fix w
1987 roku.
ClamTk 4,08 skaner antywirusowy uruchomiony na Ubuntu 9.04
•
Przed Internetem wirusy były zazwyczaj rozpowszechniane przez zainfekowane dyskietki.
Oprogramowanie antywirusowe weszło do użytku, ale było aktualizowane stosunkowo
rzadko. Jednakże, jak korzystanie z Internetu stało się bardziej powszechne, początkowo
za pomocą modemów, wirusy rozprzestrzeniały się za pośrednictwem Internetu.
Ochrona antywirusowa
•
„ochrona antywirusowa” polega na zwalczaniu, usuwaniu i zabezpieczaniu się przed
szkodliwymi programami komputerowymi nazywanymi wirusami.
Program antywirusowy (antywirus) – program komputerowy, którego celem jest
wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Współcześnie najczęściej jest to
pakiet programów chroniących komputer przed różnego typu zagrożeniami.
Cechy programów antywirusowych
•
Możliwość uaktualniania bazy wzorców
•
Możliwość automatycznej aktualizacji „silnika”
•
Skanowanie pamięci, dysków, przesyłek pocztowych i całego ruchu HTTP
•
Ciągła (rezydentna) praca
•
Możliwość zarządzania oprogramowaniem w sieci korporacyjnej
•
Pomoc producenta w sytuacjach krytycznych
System
administracyjny antywirusa
Funckje
•
•
•
automatyczna i ręczna aktualizacja baz
sygnatur wirusów i oprogramowania,
harmonogram zadań,
skanowanie na żądanie wybranych napędów,
katalogów i plików,
•
raporty i statystyki z działania programu,
•
włączanie i wyłączanie oraz konfiguracja
monitora antywirusowego,
•
włączanie i wyłączanie oraz konfiguracja
zasad filtrowania poczty elektronicznej,
•
włączanie i wyłączanie oraz konfiguracja
zasad filtrowania zawartości stron
internetowych,
•
pomoc do programu - może być off-line (jej
źródła znajdują się na komputerze
użytkownika) i on-line (dostępna w sieci
Internet).
•
konfiguracja dodatkowych usług
świadczonych przez producenta,
•
przesyłanie informacji lub podejrzanego pliku
do laboratorium producenta.
Moduły programów antywirusowych - skanery
•
Skanery - to najstarszy i najprostszy sposób ochrony antywirusowej. Ich działanie polega
na wyszukiwaniu określonej sekwencji bajtów w ciągu danych. W większości wirusów
można wyróżnić unikalną sekwencję bajtów, tzw. sygnaturę, dzięki której możliwe jest
odnalezienie wirusa w pamięci lub w zarażonej ofierze. Skuteczność skanera
antywirusowego zależy od tego, jak bardzo charakterystyczna jest dana sekwencja.
Najlepiej, jeżeli wirus zawiera w sobie jakiś bardzo specyficzny napis lub ciąg bajtów.
Wraz z pojawieniem się wirusów polimorficznych znaczenie skanerów trochę zmalało,
jednak nadal jest to najważniejsza metoda walki z wirusami. Wirusy polimorficzne są
trudne do wykrycia, gdyż ich różne próbki nie wyglądają tak samo. Często dwie próbki
danego wirusa nie mają ze sobą nic wspólnego. Polimorfizm może być osiągnięty poprzez
zakodowanie ciała wirusa. W przypadku tych wirusów również używa się skanera, choć
dopiero w późniejszej fazie wykrywania.
•
Skaner poczty elektronicznej
•
Skaner poczty elektronicznej jest częścią programu antywirusowego, umożliwia
sprawdzanie poczty przychodzącej i wychodzącej.
Moduł filtrowania zawartości poczty elektronicznej
•
Funkcja filtrowania zawartości poczty elektronicznej ma za zadanie wyeliminować
niechciane wiadomości, określane jako spam.
•
W tym celu sprawdza zawartość pól : "Od„ , "Nadawca X„ , "Nadawca„ w nagłówku
wiadomości. Jeżeli wartości tych pól znajdują się na liście znanych nadawców
spamu(RBL), wiadomość zostaje odrzucona.
•
Kolejną metodą jest odrzucanie wiadomości w oparciu o adres IP nadawcy.
•
Inna metoda polega na analizie treści listu przy wykorzystaniu słownika spamu,w którym
każde słowo ma statystyczną wagę odzwierciedlającą częstość występowania w spamie.
Wyszukiwanie tych słów i sumowanie ich wskaźników pozwala uzyskać minimalny poziom
błędnej klasyfikacji wiadomości jako spam.
Moduły programów antywirusowych - monitory
•
Monitory-to program antywirusowy zainstalowany jako TSR (ang. Terminate but Stay
Resident) lub sterownik SYS, który – poprzez monitorowanie odpowiednich funkcji DOS i
BIOS – pozwala na wykrywanie wszystkich wykonywanych za pomocą tych funkcji
odwołań do dysków. To, czy monitor będzie działał prawidłowo zależy często od
momentu, w którym przejął on kontrolę nad systemem (przed działaniem wirusa, czy już
po) oraz od tego, jak głęboko wnika on w system operacyjny. Jak widać autorzy
programów antywirusowych muszą korzystać z metod podobnych do tych, które stosują
twórcy wirusów. Dużą wadą programów monitorujących jest to, że powodują one często
fałszywe alarmy. Niekiedy zdarza się tak, że użytkownik po kolejnym potwierdzeniu jakiejś
zwykłej operacji dyskowej staje się mniej uważny i nawet usuwa program antywirusowy z
pamięci.
Moduły programów antywirusowych - szczepionki
•
Szczepionki - Są to programy skierowane przeciwko konkretnym wirusom. Na podstawie
posiadanego czy wykrytego egzemplarza wirusa można, po odpowiedniej analizie jego
kodu, zdefiniować tzw. sygnatury, na podstawie których wykrywa się kolejne kopie wirusa
w systemie. Dokładna analiza kodu wirusa pozwala niekiedy odnaleźć w nim oryginalne
wartości pewnych parametrów, które mogą posłużyć do wyleczenia plików. Większość z
istniejących szczepionek to rozbudowane programy, które potrafią wykryć i usunąć kilka
tysięcy określonych wirusów. Tylko w przypadkach nowych wirusów szczepionki nie są
wcale efektywne.
Moduł aktualizacji
•
Moduł ten pozwala na pobieranie uaktualnień baz sygnatur wirusów.
•
Pobieranie najczęściej odbywa się metodą przyrostową, co oznacza, że bazy sygnatur wirusów
na serwerze producenta porównywane są z bazą na komputerze klienta i ściągane są tylko
brakujące definicje wirusów. Metoda ta pozwala zmniejszyć obciążenie łącza zarówno serwera
z aktualizacjami, jak i łącza klienta.
•
Funkcja umożliwia również aktualizację plików programu/silnika antywirusowego.
•
Funkcja automatycznego pobierania aktualizacji,
•
opcja wyłączająca automatyczną aktualizację,
•
ręczne przeprowadzanie aktualizacji na życzenie, bądź ustalenie harmonogramu aktualizacji
bez udziału użytkownika,
•
w przypadku jednego komputera możliwy jest tylko scenariusz aktualizacji bezpośredniej z
serwera z uaktualnieniami do programu(nowe definicje wirusów, pliki programu).
•
WLAN - tak jak dla pojedynczego komputera lub pobieranie aktualizacji za pośrednictwem
dedykowanego serwera do pobierania aktualizacji.
Moduł raportów i statystyk
•
Podaje raporty o incydentach, wykrytych wirusach oraz działaniu automatycznej ochrony.
Ponadto generuje statystyki po zakończeniu skanowania na żądanie.
•
Statystyka generowana po zakończonym skanowaniu podaje ,co zostało przeskanowane i
w jakiej ilości, oraz informację o obiektach zainfekowanych ,wyleczonych i którym
zmieniono nazwy.
Moduły programów antywirusowych - autoweryfikacja
•
Programy autoweryfikujące - Programy te służą do sprawdzania czy dany program nie
został w jakiś sposób zmieniony przez wirusa. Sprawdzanie to jest możliwe poprzez
dodanie do wskazanego pliku określonego, krótkiego programu. Dodawany kod dopisuje
się do pliku wykorzystując te same mechanizmy co wirusy, i pozwala on na
autoweryfikację, czyli automatyczne sprawdzanie czy dany program nie został
zmodyfikowany. Niestety, programy tego typu najczęściej nie są odporne na technikę
ukrywania kodu wirusa stealth i w systemie zainfekowanym przez wirusa używającego tej
techniki okażą się całkowicie nieefektywne.
Programy zliczające sumy kontrolne-Działanie tego typu programów polega na obliczaniu
odpowiednich sum kontrolnych dla zadanego pliku lub plików. Zliczane sumy kontrolne są
przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu.
Jeżeli pliki te istniały już wcześniej, program antywirusowy wykorzystuje dane w nich
zawarte aby porównać bieżąco wyliczoną sumę, z sumą poprzednio zachowaną w pliku.
Istnieje szereg algorytmów do tworzenia sum kontrolnych dla plików. Ogromną wadą
programów tego typu jest to, że pliki przechowujące obliczone sumy kontrolne nie są
wcale chronione.
Moduły programów antywirusowych – zliczanie sum
kontrolnych
•
Działanie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla
żądanego pliku lub plików. Zliczane sumy kontrolne są przechowywane w osobnych
plikach, tworzonych po pierwszym uruchomieniu programu. Jeżeli pliki te istniały już
wcześniej, program antywirusowy wykorzystuje dane w nich zawarte aby porównać
bieżąco wyliczoną sumę, z sumą poprzednio zachowaną w pliku.
•
Istnieje szereg algorytmów do tworzenia sum kontrolnych dla plików. Ogromną wadą
programów tego typu jest to, że pliki przechowujące obliczone sumy kontrolne nie są
wcale chronione. Dzięki znajomości wielu algorytmów stosowanych przez programy
antywirusowe, niektóre wirusy potrafią zarazić określony plik i obliczyć dla niego nową
sumę kontrolną.
Moduły programów antywirusowych – blokery
Są to jedyne programy, próbujące przeciwdziałać inwazji. Zasadą ich działania jest
monitorowanie poczynań uruchamianych programów i w przypadku odkrycia "podejrzanych"
operacji alarmowanie użytkownika i pozostawianie mu decyzji o dalszym działaniu. Jest to
znakomita metoda, ale jak każda posiada oczywiście swoje wady. Jedną z nich jest przede
wszystkim mała skuteczność, gdyż nowe wirusy bardzo często posiadają mechanizmy
uniemożliwiające wyodrębnienie z nich operacji "podejrzanych". Kolejną wadą jest
zajmowanie części zasobów komputera - pamięci operacyjnej oraz obciążanie w jakimś
stopniu procesora.
Moduł kwarantanny
•
Zadaniem tego modułu jest -bezpieczne dla systemu -przechowywanie obiektów
zainfekowanych lub podejrzanych o infekcję. Mechanizmy zaimplementowane w Module
kwarantanny uniemożliwiają uruchomienie takiego pliku oraz blokują dostęp do niego
wszystkim użytkownikom i programom poza programem antywirusowym.
Moduły programów antywirusowych – diagnostyka
oraz leczenie
•
Programy diagnostyczno-leczące
Ta grupa programów opiera się na poszukiwaniu na dysku i w pamięci znanych już wirusów i
w przypadku wykrycia (na podstawie charakterystycznych algorytmów zawartych w plikach) usuwaniu skutków infekcji. Są to programy najczęściej stosowane i chyba najbardziej
przydatne w profilaktyce. Niestety są nieskuteczne w przypadku zainfekowania nieznanym
wirusem bądź wtedy, gdy wirus zadziała natychmiast po zainfekowaniu komputera i dokona
nieodwracalnych zniszczeń. Do programów tego typu zaliczamy, już chyba legendę
programów antywirusowych - Mks_Vir-a, autorstwa Marka Sella
Moduł naprawczy, to część programu antywirusowego odpowiedzialna za usunięcie
złośliwego programu z pliku oraz przywrócenie go do stanu sprzed infekcji lub
nieodwracalnego skasowania pliku.
Moduł filtrowania zawartości stron internetowych
•
sprawdzanie zawartości strony www pod kątem występowania na niej słów
uznanych za niepożądane przez nas i w przypadku ich wystąpienia blokuje do niej
dostęp. Możemy również wspomóc się listami "zakazanych" stron
internetowych, prowadzonymi przez niezależne organizacje. Istnieje też opcja
zabraniająca wyświetlania pewnych elementów strony, na przykład grafiki, bądź stron
znajdujących się pod konkretnymi adresami
•
Wykorzystanie tej funkcji pozwala kontrolować wydajność pracowników,
poprzez zablokowanie niewłaściwego wykorzystania Internetu. Możemy w ten sposób
ograniczyć, na przykład dostęp do prywatnych kont e-mail dostępnych przez www,
wirtualnych sklepów lub stron o treściach pornograficznych.
PAKIET BEZPIECZEŃSTWA
•
Antywirus
•
Firewall
•
Ochrona tożsamości
•
Antyspam
•
Ochrona rodzicielska
•
Badanie reputacji (chmura)
•
Dodatkowe moduły
Który pakiet zabezpieczający
uważasz za najlepszy?
•
Kaspersky Internet Security 2009 21,07% - 518
•
ESET Smart Security 3.0 17,33% - 426
•
ArcaVir 2009 System Protection 16,48% - 405
•
nie stosuję pakietów zabezpieczających 11,88% - 292
•
Norton Internet Security 2009 9,68% - 238
•
AVG Internet Security 8.0 PL 5,00% - 123
•
Panda Internet Security 2009 2,56% - 63
•
BitDefender Internet Security 2009 2,32% - 57
•
G DATA Internet Security 2009 1,91% - 47
•
F-Secure Internet Security 2009 1,67% - 41
•
McAfee Internet Security 2009 1,22% - 30
•
Outpost Security Suite 2009 0,61% - 15
•
Trend Micro Internet Security PRO 2009 0,33% - 8
NAJLEPSZE PAKIETY 11/2010
•
Polska wersja językowa
•
Norton Internet Security 2011
•
Interfejs prosty i zaawansowany
•
Kaspersky Internet Security2011
•
Blokada na hasło
•
Panda Internet Security 2011
•
Antywirus
•
BitDefender Internet Security 2011
•
Zapora sieciowa
•
avast 5 Internet Security
•
Ochrona tożsamości i prywatności
•
G Data InternetSecurity 2011
•
ESET Smart Security 4.2
•
AVG Internet Security 2011
•
Sprawdzanie reputacji witryn
internetowych
•
Kopie zapasowe online
•
Tryb gry (lub analogiczny)
•
Kontrola rodzicielska
•
Piaskownica
Najlepsze pakiety wg pcworld
9/2010
• BitDefender Internet Security 2010.
• Kaspersky Internet Security 2010
• Norton Internet Security na rok 2010.
Zapora/firewall
najlepsi pcworld IX/2010
PC world ranking (X/09)
Skanery antywirusowe online
•
niewielkie aplikacje uruchamiane z poziomu przeglądarki internetowej.
•
skanowanie plików na dysku w poszukiwaniu zagrożeń. (PCWorld 01/11)
•
Większość aplikacji współpracuje tylko z Internet Explorerem z włączoną obsługa
ActiveX.
Skanery antywirusowe online
Bezpłatne antywirusy online
•
Kaspersky.com
•
Skaner.mks.com.pl
•
Bitdefinder.com
•
Panda Cloud Antyvirus (www.cloudantyvirus.com) – „pierwszy w „chmurze”
•
Housecall.trendmicro.com
•
Security.symantec.com
•
eset.pl/onlinescan
Przykładowe programy antywirusowe
Kaspersky
•
Kaspersky Anti-Virus (dawniej AntiViral Toolkit Pro) – program antywirusowy firmy
Kaspersky Lab, zapewniający ochronę przed zagrożeniami płynącymi z sieci Internet
(wirusy, robaki, konie trojańskie, adware, programy szpiegujące). Kaspersky Anti-Virus
pracuje z systemami Windows 98/Me oraz Windows NT, 2000, XP, Vista, Windows 7
Cechy programu Kaspersky Anti-Virus:
•
skaner poczty elektronicznej (MailChecker)
•
ochrona przed wirusami skryptowymi
•
heurystyczny system wykrywania nieznanych zagrożeń
•
zapora chroniąca przed atakami z sieci
•
częsta automatyczna aktualizacja baz danych
•
Proaktywna ochrona w czasie rzeczywistym przed wirusami i programami typu spyware
•
Skanowanie stron internetowych i wiadomości e-mail w poszukiwaniu szkodliwego kodu
•
Całkowita ochrona Twojej tożsamości cyfrowej
•
Skanowanie systemu operacyjnego i aplikacji w poszukiwaniu słabych punktów
•
Gadżet pulpitu umożliwiający szybki dostęp do głównych funkcji i ustawień programu
Kaspersky
AVG antywirus
•
System AVG 2011 wykorzystuje najnowsze technologie zapobiegania zagrożeniom.
Metody wykrywania
•
Efektywność systemu AVG w wykrywaniu zainfekowanych plików i exploitów opiera się na wielowarstwowej ochronie. Pliki są
wstępnie przetwarzane, a obszary uznane za niepotrzebne dla analizy antywirusowej zostają wykluczone ze skanowania,
aby je przyspieszyć.
•
Wykrywanie oparte na sygnaturach
Ta technika dopasowuje pliki do znanych sygnatur wirusów, tj. sekwencji bajtów charakterystycznych dla danego wirusa.
Następnie wykonywana jest szczegółowa analiza, aby móc dokładnie zidentyfikować infekcję.
•
Wykrywanie polimorficzne
To popularna metoda wykrywania znanych wirusów używana do rozpoznawania ich nowych wariantów. Wykrywanie
polimorficzne wyszukuje sekwencje typowe dla określonych wirusów. Takie sekwencje zwykle nie zmieniają się w obrębie
jednej rodziny wirusów w momencie powstania nowego wariantu, nawet jeśli jego zachowanie jest inne. Metoda ta jest
szczególnie efektywna w przypadku wykrywania wirusów w makrach oraz skryptach.
•
Analiza heurystyczna
Trzecia warstwa wykrywania wirusów to analiza heurystyczna, która bada zachowanie oprogramowania, aby określić, czy nie
jest ono szkodliwe. Umożliwia to wykrywanie wirusów niedostępnych w wewnętrznej bazie danych. Wykorzystywane są dwie
główne metody:
•
•
•
statyczna analiza heurystyczna wyszukuje podejrzane konstrukcje danych;
•
dynamiczna analiza heurystyczna emuluje kod w środowisku ochronnym wirtualnej maszyny wewnątrz systemu AVG.
Analiza behawioralna
Czwartą warstwę wykrywania wirusów stanowi analiza behawioralna. Ta technologia (oczekująca na przyznanie patentu)
analizuje zachowanie oprogramowania podczas jego uruchamiania. Korzystając z różnorodnych wskaźników i
zaawansowanych algorytmów, określa szkodliwe zachowanie plików i zapobiega ich uruchomieniu.
AVG
•
Zapora systemu AVG zapewnia ochronę przed szkodliwymi atakami, analizując komunikację na
wszystkich portach sieciowych. Natychmiast blokuje wszystkie nieautoryzowane próby dostępu,
a teraz dodatkowo zawiera funkcję inteligentnego zapobiegania atakom, aby domowe i firmowe
sieci — zarówno przewodowe, jak i bezprzewodowe — były jeszcze bezpieczniejsze. Zapora
systemu AVG chroni tak przed atakami przychodzącymi, jak i wychodzącymi, gdy szkodliwe
oprogramowanie przejmuje kontrolę nad komputerem i próbuje wyrządzić szkody na
pozostałych maszynach w sieci.
•
Technologia Protective Cloud
W systemie AVG 2011 dostępna jest technologia Protective Cloud, która wykorzystuje kilka
silników skanujących i wykrywanie behawioralne jednocześnie, aby identyfikować najnowsze,
wcześniej nieznane zagrożenia. Po zidentyfikowaniu zagrożeń opracowywane są rozwiązania
problemów, którymi niemal natychmiast aktualizowane są systemy AVG klientów na całym
świecie.
AVG antywirus
Norton antivirus
•
Norton AntiVirus 2011 to szybka ochrona przed wirusami, programami typu spyware oraz innymi
zagrożeniami.
Program zapewnia bezpieczne korzystanie z poczty elektronicznej i rozmów internetowych oraz udostępnianie
plików. Szybka ochrona w sieci - nie trzeba się już obawiać najnowszych zagrożeń. Automatyczne aktualizacje,
łatwe w obsłudze funkcje i bezpłatne wsparcie techniczne w okresie subskrypcji.
•
Najważniejsze funkcje:
System Norton Protection oferuje kilka nakładających się warstw ochrony, które współdziałają ze sobą w
celu powstrzymywania wirusów, programów typu „spyware”, robaków internetowych oraz innych zagrożeń.
•
Usługa oceny reputacji Norton powstrzymuje nowe, niezidentyfikowane programy typu „crimeware” szybciej
niż inne, mniej zaawansowane rozwiązania zabezpieczające.
•
Alerty o wydajności ostrzegają, gdy aplikacje spowalniają działanie komputera, tak aby można było
wprowadzić zmiany w celu podniesienia wydajności.
•
Technologia Norton Insight identyfikuje i skanuje tylko zagrożone pliki, co przyspiesza wykonywanie tych
operacji.
•
Funkcja Download Insight ostrzega o potencjalnych zagrożeniach w nowo pobranych plikach i aplikacjach
przed ich zainstalowaniem lub uruchomieniem.
Norton antivirus
ESET NOD32 antivirus
•
ESET NOD32 Antivirus zapewnia pełną i nieprzerwaną ochronę komputera od momentu
jego uruchomienia. Pracując w tle sprawdza wszystkie uruchamiane, otwierane czy
zapisywane zbiory. W razie wykrycia wirusa czy innego wrogiego programu, natychmiast
blokuje jego działanie i automatycznie usuwa. Dodatkowo, w razie potrzeby istnieje
możliwość uruchomienia skanowania w poszukiwaniu wirusów wybranych zasobów
komputera.
•
Najważniejsze funkcje:
•
Skuteczna ochrona
•
Sztuczna inteligencja
•
Niespotykana szybkość działania
•
Automatyczna aktualizacja
•
Kwarantanna
•
ThreatSense.Net
ESET NOD32 antivirus
•
Maksymalna szybkość skanowania
•
Dzięki nieustannemu doskonaleniu mechanizmów sztucznej inteligencji wersje 4 rozwiązań ESET utrzymują status
najszybszych rozwiązań antywirusowych dostępnych na rynku i nie powodują spowolnienia systemu.
•
Kontrola nośników wymiennych
•
Możliwość zablokowania dostępu do portów USB i stacji dysków CD na stacjach roboczych w celu podniesienia
poziomu bezpieczeństwa w firmie. Według najnowszych raportów firmy ESET zagrożenia przenoszone na nośnikach
wymiennych są obecnie jednymi z najczęściej występujących.
•
Zdalny audyt stacji roboczych
•
Od wersji 4 rozwiązania ESET posiadają zintegrowane narzędzie do analizy systemu operacyjnego - SysInspector.
Dzięki temu administrator ma możliwość przeprowadzania zdalnego audytu stacji roboczych z poziomu konsoli
administratora poprzez jedno kliknięcie. W ten sposób administrator zyskuje narzędzie zbierające szczegółowe
informacje na temat wszystkich działających procesów i usług na każdej stacji roboczej, zainstalowanych bibliotek,
połączeń sieciowych z danej stacji, ważnych wpisów w rejestrze, zainstalowanych sterowników, listy
zainstalowanych aplikacji itd.
•
Wsparcie dla CISCO NAC
•
Ochrona połączeń szyfrowanych
•
Wersje 4 rozwiązań ESET zapewniają również pełną ochronę komunikacji szyfrowanej poprzez skanowanie
protokołów HTTPS oraz POP3S.
•
Zaawansowane skanowanie archiwów
•
Autoochrona
ESET NOD32 ANTIVIRUS
Nowe generacje antywirusów
•
Rezygnacja z przechowywania bazy sygnatur wirusów na komputerze użytkownika i
przeniesienie jej do Internetu.
•
Producenci wykorzystują teraz model przetwarzania w chmurze (cloud computing) do
wykrywania nowych zagrożeń. Rozwiązanie polega na tym, że w walce z malware'em biorą
udział wszyscy użytkownicy danego oprogramowania. Czas nowej szczepionki spadł z godzin
do sekund.
•
Łapanie wirusów w chmurze
- pionierzy Panda Security (rok 2007) oraz McAfee (rok 2008).
•
Serwery online:
– zbierają dane o nowych zagrożeniach użytkowników danego oprogramowania
zabezpieczającego;
– analizują, klasyfikują i przetwarzają próbki szkodliwych kodów, opracowując dla nich
szczepionki;
– wysyłają gotowe szczepionki lub aktualizacje baz sygnatur do poszczególnych klientów
(komputerów użytkowników).
Statystyki firmy panda security
wykorzystania modelu cloud computing
•
Każdego dnia na serwery tej firmy trafia ok. 50 tys. próbek plików, przy czym 35 tys. to
nowe, niesklasyfikowane zagrożenia.
Z tego 99,4% złośliwego oprogramowania jest analizowane automatycznie, natomiast
pozostałe 0,6% trafia do oceny inżynierów. Obecnie baza danych zawiera około 26 min
próbek złośliwego oprogramowania.
Wirusy w komórkach
•
„Cabir” – szkodnik działający pod Symbianem. Rozsiewa się przez Bluetooth, po
włączeniu komórki (głównie Nokie).
•
SEXXXY i Gavno (2KB trojan).
•
Gavno i Camtimer rozsiewane Cabir’em przez Bluetootha.
Antywirus w LAN
•
Administracja programami na poszczególnych komputerach w sieci może odbywać się z
jednego centralnego miejsca w sieci-serwera administracyjnego
•
Redukcja kosztów zarządzania oprogramowaniem antywirusowym
•
czynności administracyjne bez konieczności przerywania pracy użytkownikowi.
•
oprogramowanie instalowane na komputerach-klientach umożliwia użytkownikowi jedynie
wybór skanowania na żądanie wybranych plików, folderów i dysków. Pozostałe możliwości
programu są niedostępne; użytkownik otrzymuje tylko informacje o decyzji odnośnie do
zainfekowanego pliku, jaką podjął administrator
Zainfekowany system: nieskuteczna kuracja
Podczas gdy silniki skanujące są już na tyle dopracowane, że wykazują się wysoką
skutecznością i rzadko wywołują fałszywe alarmy wciąż kuleje inny ważny aspekt działania
antywirusów, czyli oczyszczanie zainfekowanego systemu. Żadnemu narzędziu nie udało się
skutecznie usunąć z systemu wszystkich szkodników. Najskuteczniejszy był pakiet PC Tools
(90%).
Porady
• Używaj programu antywirusowego,
• Uaktualniaj bazę wirusów,
• Wykonuj regularnie pełne skanowanie
• Unikaj otwierania/uruchamiania załączników poczty,
• Uaktualniaj oprogramowanie, szczególnie system operacyjny
• Wyłącz automatyczny podgląd listów
Konsekwencje ochrony
•
Moc komputera
•
Opóźniony start
•
Wolniejsze pobieranie plików
A na koniec…
•
Po prostu najlepsza metoda ustrzeżenia się przed wirusami która polega na sprawdzaniu
nieznanych plików (programów, dokumentów) możliwie najnowszym programem
antywirusowym (jeżeli to możliwe, to kilkoma rożnymi). Bardzo ważnym elementem
działań zapobiegawczych jest także regularne tworzenie kopii awaryjnych, zawierających
najważniejsze pliki, będące zwykle efektami mozolnej pracy. Choć niektórym osobom
może się to wydać niepotrzebne, prędzej czy później kopie te okażą się niezbędne, i to
nie tylko ze względu na wirusy. Nie ma bowiem chyba takiego użytkownika, któremu w
pewnym momencie komputer nie odmówił posłuszeństwa. Pół biedy, gdy usterka jest
trywialna, gorzej, gdy zostanie uszkodzona najważniejsza chyba, poza procesorem, część
komputera: dysk twardy. W takiej sytuacji kopia awaryjna jest jedyną deską ratunku.