-
Миф №1 "Антивирус достаточно обновлять ежедневно"
Нередко приходится видеть, что пользователи обновляют свои антивирусные программы (это же касается обновлений систем обнаружения атак, антиспамовых систем и т.п.) один раз в день, как правило, утром в момент загрузки компьютера. Достаточно ли этого? Можно с уверенностью сказать, что нет. Ежедневно появляется 30-50 новых вирусов, которые начинают распространяться по сетям и заражать все новые и новые жертвы. Если вы обновляете свою антивирусную базу один раз в день, то вероятность заражения компьютера между обновлениями возрастает многократно. Особенно опасно такое бездействие во время эпидемий, когда вредоносная программа распространяется по Интернет с огромной скоростью. Уже математически доказан факт создания червя (Warholl Worm), способного заразить все узлы Интернет (при современном развитии информационных технологий) всего за 15 минут! Даже при ежечасном обновлении антивируса такой червь 4 раза "обогнет" всю Сеть, прежде чем его "засекут" антивирусные сторожа.
дальше http://bankir.ru/news/experts/lukatsky/502/165853
P.S. Неплохие статьи там же в рамках книги "Мифы и заблуждения информационной безопасности" http://bankir.ru/news/experts/lukatsky/
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Как раз практика показывает обратное, что обновлений раз в день более чем достаточно. А эта статья не более чем еще одна рекламная акция.
Kaspersky Internet Security 2013 и Windows 8 Профессионал с Media Center
Стандартный пользователь + Политики ограниченного использования программ
-
-
Автор статьи немного не учел того факта, что говорить о зависимости между защищенностью ПК и качеством защиты с одной стороны, и частотой обновления баз с другой - мягко говоря глупо. Дело в том, что оно справедливо только для лобового сигнатурного искателя. Для современного антивируса картина совершенно иная, и выглядит так:
1. Частота выхода обновлений действительно является важным показателем, именно потому, что сигнатура детекта зверя или подпись чистого объекта позволяет антивирусу моментально, однозначно и без раздумий принять решения по объекту
2. Современный антивирус может в случае надобности и наличия Инет канала обратиться к серверу своих создателей, передать данные по вызывающему у него подозрение файлу (размер, имя, хеш ...) и попросить совета. В терминах KIS2009 это называется Urgent Detection System (UDS). Логика проста - такой запрос антивирус может послать, когда он изучает новую, никогда ранее не запускавшуюся программу, не обнаруженную в базе чистых и не имеющую ЭЦП доверенного производителя типа Adobe или Microsoft/ Достоинство технологии - ответ будет получен сразу, независимо от того, свежие у антивируса базы или устаревшие, и как легко догадаться делается это редко, трафик будет очень небольшой ... и позволит антивирусу принять решение тогда, когда это надо, а не тогда, когда ему обновят базы
3. У современного антивируса есть масса технологий детектирования и ограничения вредоносных программ несигнатурного типа. Если брать тот-же KIS за пример, то там есть эмулятор + рейтинг опасности SR, есть база чистых, если эвристический детект (подозрительные пакеры, всякая поведенческая и сигнатурная эвристика и т.п.), есть HIPS и PDM, Firewall с блокиратором заразных URL... Каждая из таких технологий далеко не панацея от всех бед, но прибавляет определенный процент к вероятности блокировки неизвестного зловреда. Поэтому рассуждения о "черве, который может позаразить всех за 15 минут" немного непонятно
-
-
Junior Member
- Вес репутации
- 60
Может быть я неправ, но (ИМХО) если антивирус при встрече с неизвестным врагом не справился с ним, то с ним разберутся специалисты производителя и обновят сигнатуры, но...за полчаса и даже , может быть за день, спецы не подготовят обновление, посему есть ли смысл обновляться каждые 15-20 минут, как это реализовано, скажем, в NAV 2009?
-
Сообщение от
gorill
Может быть я неправ, но (ИМХО) если антивирус при встрече с неизвестным врагом не справился с ним, то с ним разберутся специалисты производителя и обновят сигнатуры, но...за полчаса и даже , может быть за день, спецы не подготовят обновление, посему есть ли смысл обновляться каждые 15-20 минут, как это реализовано, скажем, в NAV 2009?
Обновление на новую заразу могут и за 5 минут подготовить ... причем возможны же разные методы. Возможен например "метод тупых автоматических сигнатур", т.е. например прилетел в вирлаб семпл (или как вариант данные о нем с десятка разных машин), робот видит, что это скорее всего зло, в базу можно немедленно запихать скажем MD5 этого зверя -> апдейт юзерам - получаем оперативную блокировку его запуска еще до нормальной обработки семпла. В такой ситуации базы можно и раз в 5 минут обновлять... и некоторый эффект от этого будет. Поэтому самое хорошее - это обновление антивируса в автоматическом режиме, если таковой у него есть. В этом случае антивирус сам будет обновляться с той периодичностью, которую его создатели считают наиболее оптимальной. В любом случае частые апдейты лучше редких - так как повышается вероятность детекта новой заразы ... однако нужно четко понимать, что
1. Обновлять базы нужно не чаще, чем выпускает апдейты вирлаб. Т.е. если апдейты идут раз в 2 часа, то обновляться раз в 15 минут совершенно никакого смысла нет (хотя и вреда от этого не будет, кроме доп. нагрузки на сервера производителя антивируса - апдейт то инкрементный)
2. Обновляться реже, чем идет выпуск баз при наличии технической возможности тоже особого смысла нет - чем актуальнее базы, тем выше качество защиты
-
-
Сообщение от
Зайцев Олег
1. Обновлять базы нужно не чаще, чем выпускает апдейты вирлаб. Т.е. если апдейты идут раз в 2 часа, то обновляться раз в 15 минут совершенно никакого смысла нет (хотя и вреда от этого не будет, кроме доп. нагрузки на сервера производителя антивируса - апдейт то инкрементный)
+1000
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Сообщение от
gorill
если антивирус при встрече с неизвестным врагом не справился с ним, то с ним разберутся специалисты производителя и обновят сигнатуры
вот совсем недавно столкнулся. По почте пришел якобы XLS файл с расширением SCR. На VirusTotal был довольно низкий уровень детекта 6/38. Не определили ни касперский, ни drWeb.
Через 6 часов drWeb стал детектировать вирус. Однако, проведя опыты в виртуальной машине XP, обнаружил, что вирус создает и запускает файл
c:\Recycled\System Volume\svhost.exe
который опять таки почти не детектировался на VirusTotal.
На виртуальной машине, в ближайшем рассмотрении, я действия вируса не заметил, хотя вирус не создает просто так файл в скрытой папке...
Это говорит о том, что даже если антивирус обновлять с периодом выхода обновлений - нет 100% гарантии, что подхваченный вирус сам собой уйдет после его детектирования. Т.е. как всегда - полагаться прежде всего надо на себя. В этом конкретном случае не сыграло бы большой роли, с какой частотой обновлялся антивирус - что день, что пять минут...
-
Сообщение от
Damien
вот совсем недавно столкнулся. По почте пришел якобы XLS файл с расширением SCR. На VirusTotal был довольно низкий уровень детекта 6/38. Не определили ни касперский, ни drWeb.
Через 6 часов drWeb стал детектировать вирус. Однако, проведя опыты в виртуальной машине XP, обнаружил, что вирус создает и запускает файл
c:\Recycled\System Volume\svhost.exe
который опять таки почти не детектировался на VirusTotal.
На виртуальной машине, в ближайшем рассмотрении, я действия вируса не заметил, хотя вирус не создает просто так файл в скрытой папке...
Это говорит о том, что даже если антивирус обновлять с периодом выхода обновлений - нет 100% гарантии, что подхваченный вирус сам собой уйдет после его детектирования. Т.е. как всегда - полагаться прежде всего надо на себя. В этом конкретном случае не сыграло бы большой роли, с какой частотой обновлялся антивирус - что день, что пять минут...
Ну так нахрена всякую гадость, что приходит по почте открывать? Ведь ясно же, что исполняемый файл, пришедший невесть откудова, ничего хорошего содержать в себе не может. В быту-то Вы гигиеной не пренебрегаете, а при работе с компьютером многоие пользователи "компьютерной гигиеной" как раз пренебрегают. А всего-то надо не открывать почтовые вложения от неизвестных адресатов, а лучше - в настройках Аутлука заблокировать открытие потенциально опасных вложений, не ходить по ссылкам в подозрительных письмах и Асе, не лазить по порнухам, кряковарезам, халявным файлообменникам, не покупать диски типа "150 лучших компьютерных программ 2008 года", пользоваться только лицензионнной ОС и настроить регулярное автообновление. Правила простые, но благодаря им можно снизить угрозу заражения до разумного минимума. А вопрос о том, насколько часто надо обновлять базу сигнатур вообще лишен смысла - это зависит даже не от того, насколько часто выпускаются обновления баз сигнатур вендорами, сколько от того, как используется компьютер. Поясню: локальный компьютер, не подключенный к сети, компьютер входящий в домен и настроенный согласно групповым политикам на максимально безопасное использование, и компьютер, подключенный непосредственно к Интернет - требуют разного подхода к частотео обновления. На первом можно обновлять не так уж и часто, но поставить полифаг с хорошим эвристиком, чтобы спать спокойнее, во втором случае - все зависит от того, как развернута защита домена - зачастую достаточно обновления раз в 2-3 дня (можете бросить в меня ботинком), и на третьем - обновление должно быть, естетственно, частым. Однако есть и то, что объединяет наши три случая - обновление должно производиться регулярно.
-