Proaktivní detekce virů

Část obecná:



• Jsou dodržována základní bezpečnostní pravidla.



• Je využit personální firewall s vhodným nastavením a uživatel se je schopen rozhodnout, jaká komunikace je korektní a jaká nikoliv.



• Používají se poslední verze programů, které souvisí (ať už přímo nebo nepřímo) s internetem, odkud v dnešní době přichází nejvíce „havěti“. Pokud budeme hovořit o Internet Exploreru a operačním systému MS Windows, pak by měl uživatel stahovat pravidelně bezpečnostní záplaty např. pomocí služby windows-update.microsoft.com.







Část antivirová:



• Používá se aktuální antivirový systém s poslední aktualizací.



• Antivirový systém je optimálně konfigurován, v provozu je rezidentní štít (on-access skener), kontrola elektronické pošty, automatická aktualizace apod.



• Je prováděna občasná kontrola veškerých dat na pevném disku.







Pokud se budeme bavit o konkrétních metodách proaktivní detekce ve smyslu detekce dosud neznámých virů, pak je v dnešní době k vidění především:







Heuristická analýza



Heuristická analýza je další z mnoha kouzelných termínů, které věrně doprovázejí některé antivirové systémy. V podstatě jde o rozbor kódu a hledání postupů typických pro činnost virů nebo nějak jinak podezřelých.



Heuristická analýza měla odjakživa své zastánce i odpůrce. Zatímco příznivce těšila možnost detekce neznámých virů, odpůrce strašila zvýšená hladina falešných poplachů.



V dnešní době je situace taková, že heuristická analýza je až na několik světlých výjimek (viz níže) v podstatě mrtvou záležitostí. U řady dalších antivirů přežívá heuristická analýza už pouze jako „pojem“ z dob MS-DOS, nikoliv jako metoda detekce. S příchodem Windows se totiž jejich další vývoj často zastavil a v dnešní době, kdy vzniká více méně pouze 32bitová „havěť“ (hostující v souborech PE EXE, resp. je napadající), ztrácí smysl.



Pokud budeme hovořit o výjimkách z výše uvedeného, musíme rozhodně zmínit antivirový systém Norman Virus Control s technolo-

gií Sandbox a Eset NOD32 (Advanced Heuristics), které nabízejí opravdu špičkovou heuristickou detekci i nejnovějších a dosud neznámých virů.







Generická detekce



Také generická detekce dokáže odhalit doposud neznámé viry. Vychází z toho, že řada virů může být v jistých směrech především z hlediska programové struktury podobná. Generickou detekci tak lze uplatnit především při detekci virů z jedné „rodiny“ (v poslední době šlo o viry Win32/Bagle nebo Win32/Netsky) a obecně u trojských koní, které jsou generovány pomocí nějakého nástroje, popř. vznikají po drobné úpravě starších verzi (jako mutace trojanů Agobot, Rbot, Sdbot…). Pokud jde o zcela nový přírůstek, který nebyl vyvíjen na základě již existujícího škodlivého softwaru, jde spíše o práci pro heuristickou analýzu a generická detekce nemusí mít takovou úspěšnost.



Využití obou zmíněných metod může dovést antivirový systém k velice dobrým výkonům, o čemž mohou svědčit i výsledky „Retrospective/ProActive Test“, pravidelně publikované na nezávislém serveru.







Igor Hák pracuje ve společnosti Eset