# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Метод борьбы с компьютерными вирусами

## SDA

Количество вирусов все увеличивается, и базы сигнатур, используемые традиционными вирусными сканерами, все пополняются. Если так пойдет и дальше, общее число различных вирусов и троянов может легко превысить количество исполняемых файлов, входящих в приложения. В связи с этим предлагается заменить используемый сейчас метод "все, что не запрещено, - разрешено" на противоположный: "все, что не разрешено, - запрещено". То есть заносить в базу не сигнатуры вирусов, а контрольные суммы допустимых исполняемых файлов и библиотек. Запуск исполняемого файла при этом разрешен, только когда сигнатура есть в базе. Софтверные компании могли бы при выпуске нового продукта пополнять общую базу контрольных сумм для своих исполняемых файлов, а пользователи - скачивать обновления. При таком подходе исчезает необходимость быстрой реакции на появление нового вируса или трояна - ведь по умолчанию его запуск будет запрещен. В заявке приведена даже структура запросов и ответов, но, полагаю, общая идея понятна и без них.
Источник: "Компьютерра"

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## anton_dr

А чем этот способ отличается от UAC в висте, только более строгого?

----------


## Ego1st

впринципе не чем, только список обнавляеться антивирусными компаниями постоянно.. я не считаю такой вариант удобным, количество программ превосходит количество malware. базы и скорость проверки будет не на много выше а то и меньше..

----------


## Зайцев Олег

Это "влоб" не сработает, так как:
1. база будет гиганской, о ее загрузке и обновлении речи быть не может -для работы с ней придется делать нечто типа DNS службы (распределенную базу + протокол). Если эту службу не сделать сильно распределенной, то ее легко будет DDOS-ить
2. Что такое "софтверная компания" !? Как отличить софтверную компанию по разработке троянов от аналогичной по разработке легитимного ПО (для примера - каждая вторая порнозвонилка имеет цифровую подпись).
3. Где гарантия того, что за некоторую денежку от имени легитимной компании в базу не попадут данные троянов ?! Инсайдеры всегда бывают ...

----------


## rav

Ой, кто-то открыл whitelisting! Тут всё расписано: http://anti-virus-rants.blogspot.com...paradigms.html

----------


## Jolly Rojer

Ерунда все это.... не приживется!(да и вообще врятли будет этот проект осуществляться) Согласен с Олегом!

----------


## Geser

Правильная идея. Я её высказал еще года 2 назад. Жизнеспособность идеи доказана в АВЗ. База чистых файлов которая ведётся одним человеком на среднестатистическом компьютере знает процентов 80-90 файлов висящих в памяти. Если этим займётся крупная антивирусная фирма то можно быстро довести базу до состояния когда неизвестными остаются считанные файлы.
При этом неизвестные файлы антивирус может не запрещать запускать, а просто запускать с обрезанными правами.
В течении ближайшего года-двух этот механизм скорее всего будет реализован какой-нибудь из крупных АВ компаний.

----------


## rav

Нет- надорвутся. Ты представляешь себе, сколько новых легитимных программ, а также апдейтов старых выпускается в день? А я вот представляю. Кроме того, куча файлов-скриптов, которые могут содержать в себе зловреды- vbs, bat, cmd, hta,... Я уж не говорю о doc, xml и прочих OpenOffice'ах. С ними как быть?

Ты представляешь себе финансовые затраты в день (серверы, траффик, апдейты, защита от DDoS, слежение за старыми прогами и добавление новых), чтобы вести такую базу в относительно актуальном состоянии?

В каком-то урезанном виде оно, скорее всего всё-таки будет реализовано- видимо, подписывать будут всё и вся.

----------


## Rene-gad

> Нет- надорвутся.


и по-моему надорвутся. Когда я купил мой первый виндоуз-ПК (95), попался мне в каком-то журнале один "антивирус" (имя не спрашивайте  :Wink:  ). Эта программа делала при установке ни что иное, как запись в своем логе контольных сумм системных файлов. Если я устанавливал или удалял что-нибудь, поднимался писк типа файл изменен. Я выдержал 2 дня после чего направил этот юмор _фтопку_.

----------


## Geser

> Нет- надорвутся. Ты представляешь себе, сколько новых легитимных программ, а также апдейтов старых выпускается в день? А я вот представляю. Кроме того, куча файлов-скриптов, которые могут содержать в себе зловреды- vbs, bat, cmd, hta,... Я уж не говорю о doc, xml и прочих OpenOffice'ах. С ними как быть?
> 
> Ты представляешь себе финансовые затраты в день (серверы, траффик, апдейты, защита от DDoS, слежение за старыми прогами и добавление новых), чтобы вести такую базу в относительно актуальном состоянии?
> 
> В каком-то урезанном виде оно, скорее всего всё-таки будет реализовано- видимо, подписывать будут всё и вся.


Не знаю что вы прицепились к  DDoS. Сегодня у всех антивирусов есть сервера обновлений. Как то же их от  DDoS защищают. Не вижу какая разница вирусные базы или базы чистых файлов.
Сколько легитимных программ в день выпускается совершенно не интересно. Вопрос сколько программами пользуется пользователями, и насколько они распространены. И речь не идёт обо всех файлах, а только об исполняемых. А уж если остановиться только на файлах прописывающихся в автозапуск, а это подавляющее большинство зловредов, то ситуация вообще простейшая.
И потом, зачем махать руками в воздухе если есть факты. Факт что с базой поддерживаемой одним человеком и никакими расходами АВЗ знает сегодня уж точно более 70% распространённых файлов прописываемых в автозагрузку. Любая крупная АВ фирма может улучшить этот показатель на порядок с небольшими затратами. Да и для работы самой компании это большое подспорье. Не нужно десятки раз анализировать одни и те же чистые файлы, которые пользователи присылают как подозрительные. Так что частично это даже уменьшит нагрузку на аналитиков.
Пару лет назад так же рассказывали сказки что контроль реестра не нужен, знание пакеров не нужно, и еще другие сказки, а сегодня это есть в большинстве антивирусов.

----------


## Зайцев Олег

> Сколько легитимных программ в день выпускается совершенно не интересно.


Вот тут как раз это критично. Если бы база чистых применялась для анализа (как в AVZ - но важно, что AVZ проверяет только запущенное или прописанное в автозапуск, а не все ПК - иначе процент с 70-80 упал бы менее 5%), то процент опознания не очень важен. А вот если применять как замену сигнатурному поиску вирусов, то для защиты ПК нужно проверять, безопасен файл или нет. Если безопасен - разрешаем запуск, а если нет ?? Если задавать юзеру вопрос "а вы желаете запустить ..." - то он нажмет "да" и эффект от защиты упадет до нуля.

----------


## Geser

> Вот тут как раз это критично. Если бы база чистых применялась для анализа (как в AVZ - но важно, что AVZ проверяет только запущенное или прописанное в автозапуск, а не все ПК - иначе процент с 70-80 упал бы менее 5%), то процент опознания не очень важен. А вот если применять как замену сигнатурному поиску вирусов, то для защиты ПК нужно проверять, безопасен файл или нет. Если безопасен - разрешаем запуск, а если нет ?? Если задавать юзеру вопрос "а вы желаете запустить ..." - то он нажмет "да" и эффект от защиты упадет до нуля.


Конечно не как замена, а только как дополнение. 
В корпоративных антивирусах вполне нормально запретить запуск всего что не находится в базе чистых.
В домашних можно обрезать права если файл не в базе чистых, или сначала проводить запуск в песочнице отслеживая подозрительные действия. Да много чего еще можно сделать

----------


## Ego1st

> В корпоративных антивирусах вполне нормально запретить запуск всего что не находится в базе чистых.


в корпоративных в первую очередь нельзя, там на столько экзотические программы могут запускаться.. что от него быстро откажуться..

----------


## Geser

> в корпоративных в первую очередь нельзя, там на столько экзотические программы могут запускаться.. что от него быстро откажуться..


Ну так пусть отправят свои экзотическиее программы АВ компании и они будут включены в базу чистых. Или админам можно дать птаво вносить исключения.

----------


## i_am

имхо база чистых файлов не есть выход, т.к от версии к версии любого ПО будут меняться crc файлов и со временем такая база будет больше, чем база любых сигнатур. А сигнатуры... Возьмем простой пинч... Очень часто даже для обычного сокрытия данного троя от антивируса просто меняется пару байт... Делается или смещение или просто пару байт заменяется на другие... Ояень часто сигнатуры цепляются на текст... Я не говорю даже о упаковке данного файла или его шифровке. Имхо просто для подобных вирусов надо не сигнатуры.

А вообще, есть весьма интересная утилита Safe Launch. Подобную функцию можно было бы внедрить и в антивирусы. Т.е если свежескачанный файл вызывает у человека подозрение, он его запускает с использованием данной функции и получает предупреждение о том, куда и как делает программа. Я думаю это бы снизило риск заражения новыми модификациями или вирусами при скачивании файлов

----------


## ScratchyClaws

> и по-моему надорвутся. Когда я купил мой первый виндоуз-ПК (95), попался мне в каком-то журнале один "антивирус" (имя не спрашивайте  ). Эта программа делала при установке ни что иное, как запись в своем логе контольных сумм системных файлов. Если я устанавливал или удалял что-нибудь, поднимался писк типа файл изменен. Я выдержал 2 дня после чего направил этот юмор _фтопку_.


хм... я не понмю что был за антивирь... но у него тоже была фишка слежения за контрольной суммой... приколы начинались когда после очередного обновления он понимал что у него у самого контрольная сумма изменилась...

----------


## SDA

Наверное ADinf32 http://www.dialognauka.ru/main.phtml...tation/adinf32

----------


## rav

> Ну так пусть отправят свои экзотическиее программы АВ компании и они будут включены в базу чистых.


Многие такие проги являются коммерческой тайной компаний и не подлежат экспорту вообще!




> Или админам можно дать птаво вносить исключения.


А это будет очень плохо- нагрузка на админов возрастает, и достаточно сильно. Да и децентрализация управления базой, в общем, тоже не есть хорошо...




> А вообще, есть весьма интересная утилита Safe Launch.


Примитивная поделка (судя по скриншотам и хелпу), похожая на мой DefenseWall, если она вообще существует- я скачать её не смог.

----------


## i_am

> Примитивная поделка (судя по скриншотам и хелпу), похожая на мой DefenseWall, если она вообще существует- я скачать её не смог.


У нас на сетевом ресурсе валяется. Могу выложить вам куда-нить. Руки не доходили нормально потестить ее еще. 

Но в принципе я ее привел к тому, что на мой взгляд в нынешней ситуации лучше не наращивать базы сигнатур, а больше делать упор на то, чтобы уменьшить риск заражения компьютера, дабы простой пользователь, скачав чтото из сети мог проверить данную программу на то, куда она лезет, что хочет, и.т.д. Лучше предотвратить заражение, чем его потом лечить. И по поводу сетевой активности анализировать ее. 

Возьмем как пример, опять тот же пинч с типичным для него поведением сбора паролей, отсылкой данных через http или почту, установкой backdoor, и.т.д. Почему не сделать этакий модуль, которые на основании безопасного запуска и поведенческого анализа мог бы давать определенные рекомендации, и.т.д. Чем выше сознательность обычного юзера и инструментов в его руках, тем меньше зараженных компьютеров

имхо

----------


## Зайцев Олег

> дабы простой пользователь, скачав чтото из сети мог проверить данную программу на то, куда она лезет, что хочет, и.т.д


Если бы простые пользователи проверяли и изучали то, что скачивают из Инет (и не качали бы сомнительные программы из сомнительных источников), то проблемы вирусни практически не было бы как таковой ...

----------


## i_am

> ли бы простые пользователи проверяли и изучали то, что скачивают из Инет (и не качали бы сомнительные программы из сомнительных источников), то проблемы вирусни практически не было бы как таковой ...


Безусловно. Посему имхо, дабы антивирусные гиганты не наращивали сигнатуры, а делали максимально понятный интерфейс и дополнительные утилиты, которые бы помогали простым пользователям. Возьмем тот же KAV с мониторингом реестра, иньекций, и.т.д...

Ну напишет он во время выполнения пользователю программы, что программа добавит себя в реестр или запустится без видимых окон (и это при том если это еще включено). С точки зрения простого юзера... НУ И ЧТО? Пусть лезет... Может ему туда надо  :Smiley: 

Должен быть антивирус, который бы не ловил вирусы в то время. когда они уже появились или появились в базе сигнатуры или процедуры для определения этого вируса. А должна быть утилита, функция, которая бы помогала проверить юзеру файл и в максимально доступной форме рассказать, что делает файл и чем ему это грозит.

Т.к при обычной проверке файла при новой, неизвестной модификации вируса просто напишет, что все ок. Проактивную защиту многие пользователи просто отключают, т.к многие программы добавляют себя в реестр, многие утили, та же компрессия трафа, и.т.д подключаются к другим процессам

все это имхо конечно

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> А это будет очень плохо- нагрузка на админов возрастает, и достаточно сильно. Да и децентрализация управления базой, в общем, тоже не есть хорошо...


ПОчему-то людям нравится придумывать страшилки. Ну а если сегодня у антивируса будет ложное срабатывание на какой-то самописный софт в какой-то фирме что делают?
Или отправляют в АВ компанию, или, если страшно секретный софт, заносят в исключения. 
Сколько самописных программ может быть в фирме? Десяток? Сотня? И что, один раз занести через центр управления список этих программ или их директории в список исключений страшная нагрузка на админа? Полная ерунда.

----------

