Heuristická analýza

Antivirové společnosti tak měly spoustu času na vydání

patřičné aktualizace, navíc ji uživatelům zasílali klasickou poštou na disketě

či cédéčku jednou za čtvrt roku. Teoreticky tak mohla nastat situace, kterou by

si jistě každý dnes přál. Uživatel totiž mohl v některých případech „čekat“ na

to, až za několik měsíců po aktualizační disketě či cédéčku dorazí i samotný

virus, který je zmiňovanou aktualizací detekován.

A dnes? Dnes člověk ani nestíhá včas stahovat aktualizace přes rychlý internet.

Dnešní viry, červi a ostatní havěť jsou díky internetu natolik rychlí, že

antivirový systém nemůže klasickou metodou detekce (vyhledávání známé

infiltrace) včas zareagovat a vždy zde vznikne několikaminutová až hodinová

mezera mezi objevením nové infekce a momentem, kdy je tato nová havěť detekována

antivirovým systémem. Další věc souvisí s tím, že ne každá nová havěť může

způsobit globální problém jako např. některé viry, které se šíří elektronickou

poštou. Především různé infiltrace spadající pod nebo se blížící kategorii

„trojský kůň“ (tyto programy se nedokáží šířit samy) mohou představovat pouze

miniaturní problém několika uživatelů po celém světě. Může trvat věčnost (v

lepším případě několik měsíců), než některému z těchto jedinců dojde, že s jeho

PC není něco v pořádku a dodá antivirové společnosti podezřelé soubory k

zajištění detekce do budoucna. V horším případě ani zmiňovaní jedinci nepoznají,

že s jejich PC něco není v pořádku (trojský kůň může např. sloužit pouze jako

„brána“ na odesílání spamu a uživatele nijak trápit nemusí). Toto vysvětluje i

případy, kdy uživatel používal léta antivirus A, později na chvíli vyzkoušel

antivirus B a ten i přes přítomnost antiviru A našel spoustu havěti. Není to v

drtivém množství případů rozhodně způsobeno tím, že by antivirová společnost

produkující antivirus A kašlala na své zákazníky a „spala na vavřínech“, ale

nezodpovědným přístupem uživatele k PC a zároveň skutečností, která byla uvedena

výše. Otázkou je i to, co vlastně antivirus B zachytil. Antivirus nemusí nutně

zachytávat pouze nákazu jako takovou, ale i různé „vtípky“ – Jokes apod., ale i

kategorie, které nemusí být antivirem A vůbec detekovány (nikde není psáno, že

antivirus musí najít i spyware, adware a další software).

Antivirové společnosti se snaží zajistit co možná nejkvalitnější detekci v čase

mezi objevením nové havěti a vydáním patřičné aktualizace pro antivirový systém

– tedy v době, kdy není nová infiltrace klasickým antivirovým „skenerem“

detekována („díra“). Je omylem, že antivirová společnost vydávající aktualizace

několikrát za den (třeba i každou hodinu) musí poskytnout vyšší úroveň

zabezpečení než společnost, která jich produkuje několik za týden. Pokud se

objeví globální problém, dokážou obě společnosti zareagovat stejně rychle a

patřičná aktualizace „jde ven“ v podobném čase. Spíše je důležité, jak často se

o stažení aktualizace pokouší antivirus na straně uživatele. Obecně platí, že

čím častěji, tím lépe. A třeba každých 15 minut není luxusem.

Moderní antivirové systémy se tak snaží soustředit i na detekci dosud neznámé

infiltrace. Výše zmiňovanou „díru“ se snaží vyplnit metody detekce, mezi než

patří především heuristická analýza a generická detekce. Heuristic-

ká analýza je založena na schopnosti „porozumění“ programového kódu ze strany

antiviru a rozumném vyhodnocení získaných informací (může být infikován/je

„čistý“). Generická detekce vychází z toho, že spousta nové havěti je vytvořena

modifikací starších kousků, popř. že je pro některé techniky využíván tentýž

nebo mírně upravený programový kód. O schopnostech těchto metod u jednotlivých

antivirů se lze dočíst v tzv. „Retrospective/Proactive“ srovnávacích testech na

stránkách www.av-comparatives.org. Vzhledem ke všem výše uvedeným skutečnostem

nelze ze slabších výsledků v této kategorii usuzovat na celkovou kvalitu

antivirového systému. Existuje mnoho dalších a velice důležitých měřítek, ale o

tom třeba až někdy příště.



Igor Hák pracuje ve společnosti Eset software.