Programa antivirus

El programa antivirus ( antivirus, herramienta de protección antivirus [1] , herramienta de detección de malware [1] ) es un programa especializado para detectar virus informáticos , así como programas no deseados (considerados maliciosos ) y recuperar archivos infectados (modificados) por dichos programas y prevención - prevenir infecciones (modificaciones) de archivos o del sistema operativo por código malicioso.

Historia

Los primeros antivirus aparecieron a fines de la década de 1980, es difícil establecer de manera inequívoca el momento de su aparición. Los pioneros fueron AntiVir y Dr. Solomon's Anti-Virus Toolkit , creado en 1988, y Symantec antivirus para Macintosh , lanzado un año después.

Métodos de protección antivirus

Se utilizan tres grupos de métodos para protegerse contra los virus [2] :

  1. Métodos basados ​​en el análisis del contenido de archivos (tanto archivos de datos como archivos con códigos de comando). Este grupo incluye el análisis de firmas de virus, así como la comprobación de integridad y el análisis de comandos sospechosos.
  2. Métodos basados ​​en el seguimiento del comportamiento de los programas durante su ejecución. Estos métodos consisten en registrar todos los eventos que amenazan la seguridad del sistema y ocurren durante la ejecución real del código que se está verificando o durante su emulación de software.
  3. Métodos de regulación del orden de trabajo con archivos y programas. Estos métodos son medidas administrativas de seguridad.

El método de exploración de firmas ( análisis de firmas, método de firmas [1] ) se basa en la búsqueda de archivos para una secuencia única de bytes, una característica de firma de un virus en particular. Para cada virus recién descubierto, los especialistas del laboratorio antivirus analizan el código, en base al cual se determina su firma. El fragmento de código resultante se coloca en una base de datos especial de firmas de virus con las que trabaja el programa antivirus. La ventaja de este método es una proporción relativamente baja de falsos positivos, y la principal desventaja es la imposibilidad fundamental de detectar un nuevo virus en el sistema para el cual no hay firma en la base de datos del programa antivirus, por lo tanto, la actualización oportuna de la Se requiere una base de datos de firmas [2] .

El método de control de integridad se basa en el hecho de que cualquier cambio inesperado e irracional de datos en el disco es un evento sospechoso que requiere una atención especial del sistema antivirus. El virus necesariamente deja constancia de su presencia (cambios en los datos de los archivos existentes (especialmente del sistema o ejecutables), aparición de nuevos archivos ejecutables, etc.). El hecho del cambio de datos ( violación de integridad  ) se establece fácilmente al comparar la suma de verificación (resumen), calculada de antemano para el estado inicial del código bajo prueba, y la suma de verificación (resumen) del estado actual del código bajo prueba. Si no coinciden, la integridad se rompe y hay muchas razones para realizar una verificación adicional de este código, por ejemplo, escaneando las firmas de virus. Este método funciona más rápido que el método de escaneo de firmas, ya que el cálculo de las sumas de verificación requiere menos cálculos que las operaciones de comparación byte a byte de fragmentos de código, además, le permite detectar rastros de la actividad de cualquier virus, incluso desconocido. ones, para los que aún no hay firmas en la base de datos [2] .

El método de escaneado de comandos sospechosos ( escaneo heurístico, método heurístico [1] ) se basa en la detección de varios comandos sospechosos y/o signos de secuencias de código sospechosas en el archivo escaneado (por ejemplo, un comando de formato de disco duro o una función para inyectar en un proceso en ejecución o código ejecutable). Después de eso, se hace una suposición sobre la naturaleza maliciosa del archivo y se toman medidas adicionales para verificarlo. Este método tiene buena velocidad, pero muy a menudo no es capaz de detectar nuevos virus [2] .

El método de monitorear el comportamiento de los programas es fundamentalmente diferente de los métodos de escanear el contenido de los archivos mencionados anteriormente. Este método se basa en el análisis del comportamiento de los programas en ejecución, comparable a la captura de un criminal "de la mano" en la escena del crimen. Las herramientas antivirus de este tipo requieren a menudo de la participación activa del usuario, al que se le pide que tome decisiones en respuesta a numerosas advertencias del sistema, una parte importante de las cuales pueden convertirse posteriormente en falsas alarmas. La frecuencia de falsos positivos (sospechar de un virus para un archivo inofensivo u omitir un archivo malicioso) cuando se supera un cierto umbral hace que este método sea ineficaz y el usuario puede dejar de responder a las advertencias o elegir una estrategia optimista (permitir todas las acciones a todos los que se ejecutan). programas o desactivar esta característica de la herramienta antivirus). Cuando se utilizan sistemas antivirus que analizan el comportamiento de los programas, siempre existe el riesgo de ejecutar comandos de código de virus que pueden dañar la red o el equipo protegido. Para eliminar esta deficiencia, más tarde se desarrolló un método de emulación (imitación) que le permite ejecutar el programa bajo prueba en un entorno creado artificialmente (virtual), que a menudo se denomina caja de arena ( sandbox ), sin el peligro de dañar el entorno de información . El uso de métodos para analizar el comportamiento de los programas ha demostrado su alta eficiencia en la detección de programas maliciosos tanto conocidos como desconocidos [2] .

Antivirus falsos

En 2009, comenzó la distribución activa de antivirus falsos.  : software que no es antivirus (es decir, no tiene una funcionalidad real para contrarrestar el malware), pero pretende serlo. De hecho, los antivirus falsos pueden ser programas diseñados para engañar a los usuarios y obtener ganancias en forma de pagos por "tratar el sistema de virus" y software malicioso común.

Antivirus especiales

En noviembre de 2014, la organización internacional de derechos humanos Amnistía Internacional lanzó el programa antivirus Detect , diseñado para detectar malware distribuido por agencias gubernamentales para espiar a activistas civiles y opositores políticos. El antivirus, según sus creadores, realiza un análisis más profundo del disco duro que los antivirus convencionales [3] [4] .

Eficacia de los antivirus

La empresa de análisis Imperva publicó un estudio [5] [6] como parte del proyecto Hacker Intelligence Initiative , que muestra la baja eficiencia de la mayoría de los antivirus en condiciones reales.

Según los resultados de varias pruebas sintéticas, los antivirus muestran una eficiencia promedio de alrededor del 97%, pero estas pruebas se realizan en bases de datos de cientos de miles de muestras, la gran mayoría de las cuales (quizás alrededor del 97%) ya no se utilizan para ataques

La pregunta es qué tan efectivos son los antivirus contra las amenazas más apremiantes. Para responder a esta pregunta, Imperva y estudiantes de la Universidad de Tel Aviv obtuvieron 82 muestras del último malware de foros clandestinos rusos y lo probaron contra la base de datos VirusTotal, es decir, contra 42 motores antivirus. El resultado fue desastroso.

  1. La eficacia de los antivirus contra el malware recién compilado resultó ser inferior al 5 %. Este es un resultado completamente lógico, ya que los creadores de virus siempre los comparan con la base de datos de VirusTotal.
  2. Desde la aparición del virus hasta el comienzo de su reconocimiento por parte de los antivirus, transcurren hasta cuatro semanas. Tal indicador lo logran los antivirus "elite", y para otros antivirus, el período puede alcanzar hasta 9-12 meses. Por ejemplo, al comienzo del estudio el 9 de febrero de 2012, se probó una muestra nueva de un instalador falso de Google Chrome. Tras la finalización del estudio el 17 de noviembre de 2012, solo 23 de los 42 antivirus lo detectaron.
  3. Los antivirus con mayor porcentaje de detección de malware también tienen un alto porcentaje de falsos positivos.
  4. Aunque el estudio difícilmente puede llamarse objetivo, dado que la muestra de malware fue demasiado pequeña, se puede suponer que los antivirus son completamente inadecuados contra las amenazas cibernéticas nuevas.

Clasificaciones de programas antivirus

Los programas antivirus se dividen según su ejecución (herramientas de bloqueo) [1] en:

Sobre la base de la ubicación en la memoria de acceso aleatorio [1] asigne:

Según el tipo (método) de protección contra virus, existen:

Principales tipos de programas antivirus

Notas

  1. ↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 Yazov Yu. K., Solovyov S. V. Protección de la información en los sistemas de información contra el acceso no autorizado. Beneficio. - Voronezh: Quarta, 2015. - S. 357. - 440 p. - 232 copias.  - ISBN 978-5-93737-107-2 .
  2. ↑ 1 2 3 4 5 Olifer VG, Olifer N.A. Red de computadoras. Principios, tecnologías, protocolos: un libro de texto para universidades. - 4ª ed. - San Petersburgo. : Pedro, 2010. - S. 871-875. — 944 pág. - 4500 copias.  - ISBN 978-5-49807-389-7 .
  3. AI ha desarrollado un programa que salvará a los periodistas de la vigilancia cibernética . Consultado el 14 de mayo de 2015. Archivado desde el original el 18 de mayo de 2015.
  4. BBC: "Cómo evitar que los gobiernos te espíen" . Consultado el 23 de noviembre de 2014. Archivado desde el original el 23 de noviembre de 2014.
  5. investigación . Consultado el 13 de junio de 2017. Archivado desde el original el 24 de noviembre de 2017.
  6. Imperva: los antivirus son una pérdida de dinero - "Hacker" . Fecha de acceso: 13 de junio de 2017.