Przejdź do głównej zawartości

Zalety i wady multi skanerów antywirusowych.


Skanery antywirusowe (AW) w obecnych czasach są używane bardzo powszechnie. Jednak nie wszyscy użytkownicy są świadomi szans ale i zagrożeń wynikających z ich używania.

Analizy tworzone za pomocą narzędzi online, nie od razu dostarczają nam jednoznacznych informacji i diagnoz.

Rzeczą typową i wspólną dla różnych wirusów i robaków jest to iż mogą pozostać niezauważone, będąc w stanie uśpienia nawet przez kilka tygodni.

Niektórzy użytkownicy mogą chcieć wiedzieć więcej na temat danego, podejrzanego pliku.

Jednym z najprostszych sposobów na to aby zgromadzić minimum potrzebnych informacji jest zastosowanie technologii online multi skanerów.

Gdy znajdziesz na swoim komputerze podejrzany plik, możesz w bardzo prosty sposób wgrać go do systemu skanerów online a plik w ciągu kilku sekund zostanie przeskanowany w poszukiwaniu różnego typu wirusów i robaków. Ten metoda jest już stosowana od wielu lat i daje możliwość niemal natychmiastowego otrzymania konkretnych informacji na temat podejrzanego pliku.

W sieci jest kilka tego typu skanerów. Jednym z najpopularniejszych jest VirusTotal, ale jest ich oczywiście więcej np. Jotti, NoVirusThanks, Metascan, Virscan.

Jak to działa?

Przyjrzyjmy się temu najpopularniejszemu czyli VirusTotal. Możesz wgrać podejrzany plik za pomocą modułu upload’u na stronie internetowej, lub również użyć opcji wysłania go za pomocą maila na odpowiedni, dedykowany do tego adres email.

Opcja online pozwala Ci na bardziej zaawansowane poszukiwania, ponieważ udostępnia opcję szukania za pomocą tzw. hash name (np. sha1, sha256, md5 hash), co umożliwia dowiedzenie się więcej o danym wirusie, nawet jeśli nie posiadasz go w formie zawirusowanego pliku lub po prostu znasz odpowiedni hash name wirusa.

Po wgraniu pliku, jest on skanowany za pomocą różnych metod i silników a wynik skaningu będzie dostępny wszystkim zainteresowanym od razu z linkowaniami do stron, na których będziesz mógł odnaleźć szersze opisy na temat namierzonego wirusa, sposobu jego funkcjonowania etc. (np. przekierowanie do bibliotek ThreatExpert).

Dodatkową ciekawą rzeczą jest wysłanie próbki zawirusowanego pliku do wszystkich zainteresowanych dostawców oprogramowania antywirusowego. Oczywiście cały ten proces zabiera trochę czasu, jednak nic nie stoi na przeszkodzie aby podejrzany plik wysłać od razu do dostawcy Twojego oprogramowania antywirusowego. Użycie skanera pozwoli Ci przynajmniej na pozyskanie podstawowych informacji o zlokalizowanym wirusie.

Jakie informację mogą zawierać raporty skanerów online?

O największej skuteczności mówimy wtedy gdy skaner wskaże iż wszystkie mechanizmy, których użył do przeskanowania przesłanego przez Ciebie pliku, jednoznacznie stwierdzają iż przesłany przez Ciebie plik rzeczywiście jest plikiem stanowiącym potencjalne zagrożenie.

W odróżnieniu do powyższego efektu skaningu, może się zdarzyć iż nie uzyskamy jednoznacznego potwierdzenia iż badany plik stanowi zagrożenie. W takim przypadku jednak i taka, nie do końca jednoznaczna odpowiedź, powinna również zostać potraktowana jako czerwona flaga ostrzegawcza.

W dzisiejszych czasach kompleksowe skanery AW nie skupiają się jedynie na badaniu sygnatur bibliotek wirusów. Aby można było mówić o kompleksowym podejściu do tematu ochrony komputera poprzez stuprocentową skuteczność wykrywania wirusów, potrzebne jest podejście holistyczne (użycie mechanizmów wykorzystujących techniki behawioralne, weryfikowanie i sprawdzanie dostępów oraz praw danych użytkowników, czy też tzw. mechanizmy SandBox ). Wszystkie wymienione mechanizmy są używane w produktach takich jak np. G Data BankGuard, ale nie są stosowane w internetowych, bezpłatnych skanerach online.

Podsumowując, jeśli skanery online sklasyfikowały badany plik jako bezpieczny, wcale nie musi to oznaczać tego iż jest on w stu procentach bezpieczny. Dopiero przebadanie pliku odpowiednio do tego przygotowanym, komercyjnym produktem pozwala mieć niemal stu procentową pewność iż nasz komputer jest bezpieczny.

Jednak ciągle wiele osób, które zajmują się zarówno zapewnianiem bezpieczeństwa jak i Ci którzy łamią zastrzeżone dostępy, nie do końca zdają sobie sprawę z tego, że skanery online nie są idealne. Wielu początkujących twórców wirusów, czy też hakerów używa skanerów online do testowania stworzonych przez siebie wirusów.

Podczas jednej z bardzo znanych, europejskich konferencji dotyczących bezpieczeństwa, jeden z prelegentów (profesor z Wielkiej Brytanii), wykazywał iż ta metoda sprawdzania czy dany plik jest rzeczywiście skuteczny za pomocą skanerów online, daje bardzo wiarygodne wyniki.

Światek hakerów i twórców wrogiego oprogramowania stworzył swoje własne mechanizmy skanerów online. Mechanizmy te wyposażone są w najnowocześniejsze silniki i metody weryfikowania czy dane oprogramowanie jest wrogie czy też nie. Różnica jest jednak zasadnicza: wyniki takich skaningów nie są wysyłane do Twórców oprogramowania antywirusowego! :)

Oczywiście w przypadku takich skanerów, prawdopodobieństwo wykrycia wirusa jest dużo większe, jednak nie możemy zapominać o tym, że te strony zostały stworzone przez osoby, którym wcale nie zależy na naszym bezpieczeństwie, a wręcz przeciwnie!

Czasami twórcy wrogiego oprogramowania używają skanerów offline takich jak np. „Kim Multiscanner” lub „Antivirusmulti”, które od momentu pojawienia się ich na rynku w roku 2006 cały czas są udoskonalane. Oprogramowanie to zostało stworzone na bazie shakowanych produktów służących do sprawdzania bezpieczeństwa danych .

Podsumowanie.

Mechanizmy weryfikujące zachowania użytkowników, podejście heurystyczne, ochrona dostępów, metody sandbox, cloud computing i inne tego typu mechanizmy stosowane np. w G Data BankGuard, zablokują lub zidentyfikują wszystkie wrogie pliki, które będą chciały przedostać się do Twojego oprogramowania lub komputera. W przeciwieństwie do skanerów online, produkty tego typu pozwolą Ci pozyskać niezbędne informacje oraz co bardzo ważne pomogą je w odpowiedni sposób zinterpretować.

pozdrawiam i życzę miłego popołudnia.
Łukasz Nowatkowski

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…