Strażnicy systemu

Programy antywirusowe nadążają za zmieniającymi się zagrożeniami, jednak głęboko ingerują w system operacyjny. Techniki heurystyczne nie są tak skuteczne, jak chcieliby spece od marketingu, podstawą bezpieczeństwa jest połączenie antywirusa z zaporą sieciową.

Programy antywirusowe nadążają za zmieniającymi się zagrożeniami, jednak głęboko ingerują w system operacyjny. Techniki heurystyczne nie są tak skuteczne, jak chcieliby spece od marketingu, podstawą bezpieczeństwa jest połączenie antywirusa z zaporą sieciową.

W wypadku infekcji antywirus powinien podać nie tylko nazwę pliku, ale i rodzaj zagrożenia.

W wypadku infekcji antywirus powinien podać nie tylko nazwę pliku, ale i rodzaj zagrożenia.

Testowanie programów antywirusowych przypomina chodzenie z zamkniętymi oczami po polu minowym. Są to jedne z najbardziej skomplikowanych aplikacji, jakie instalujemy na domowym komputerze. Antywirus musi chronić przed różnymi typami zagrożeń, co wymaga przejmowania wielu zadań systemu, np. sprawdzanie każdego pliku przed jego odczytem przez inną aplikację. Kłopot sprawia nawet badanie wykrywalności wirusów. Jeden program może przecież uznać dany plik za niegroźny, podczas gdy inny zaliczy go do zainfekowanych (choćby zagrożenie było nikłe). Konkurencja między antywirusami trwa, a program wykrywający więcej zagrożeń często jest automatycznie uznawany za lepszy. Zamieszanie potęguje fakt, że produkty różnych firm stosują odmienne sposoby raportowania o zagrożeniach, np. wymieniając kilka sygnatur wykrytych w jednym pliku lub przeciwnie, podając tylko nazwę zainfekowanego. Brak ujednoliconej formy raportowania dodatkowo utrudnia porównanie konkurencyjnych programów. Bywa, że liczba przeskanowanych plików różni się o ponad 5 procent. W zawyżaniu liczby skanowanych plików przoduje Norton AntiVirus. Na krążku zawierającym 8837 plików antywirus Symanteca przeskanował... 9398.

Skanowanie to za mało

Antywirusy wyświetlają informacje o infekcjach i generują raporty, które trudno wzajemnie porównywać.

Antywirusy wyświetlają informacje o infekcjach i generują raporty, które trudno wzajemnie porównywać.

Tymczasem skuteczny antywirus to taki, który uchroni przed stratami związanymi z działalnością wirusów, robaków, szpiegów i sieciowych przestępców. Jak widać, taki program w wersji klasycznej to dzisiaj zdecydowanie za mało. Jeśli nie masz pakietu typu "Internet security", koniecznie zainstaluj zaporę sieciową (zobacz nasz test zapór, także bezpłatnych), przyda się również program antyszpiegowski oraz filtr antyspamowy. Dwa ostatnie narzędzia często są wbudowane w antywirusa, nawet jeśli nie są wymienione na pudełku z programem.

Jak testować antywirusy?

W naszym teście sprawdziliśmy funkcje dostępnych na rynku programów antywirusowych, a także modułów będących częścią większych pakietów typu "Internet security". Pod uwagę wzięliśmy kilka aspektów pracy. Zmierzyliśmy szybkość skanowania twardego dysku, sprawdziliśmy dokładność wykrywania wirusów na przykładowej próbce blisko 9 tysięcy zainfekowanych plików. Zmierzyliśmy również obciążenie pamięci i spowolnienie pracy systemu przy włączonym monitorze antywirusowym. Dodatkowo zbadaliśmy również, jak działają mechanizmy heurystyczne wbudowane w poszczególne produkty. Analiza heurystyczna teoretycznie powinna antywirusowi pozwolić wykrywać nieznane jeszcze zagrożenia. Test heurystyki był skomplikowany - nie uruchamialiśmy groźnych programów, lecz sprawdziliśmy, czy antywirus rozpozna nowe zagrożenia podczas rutynowego skanowania folderu. Wirusy i robaki użyte do testu analizy heurystycznej przygotowane zostały dostępnymi w Internecie narzędziami do generowania robaków wykorzystujących pocztę elektroniczną, sieci P2P oraz kanały IRC, w próbce znalazły się także nowe typy makrowirusów i niebezpiecznych skryptów VBS.

Dlaczego tyle uwagi poświęciliśmy analizie heurystycznej? W wypadku ataku nowego wirusa lub robaka o globalnym zasięgu czas rozprzestrzeniania się infekcji na cały świat to najczęściej kwestia kilkunastu minut! Żaden producent nie zdoła przygotować szczepionki w tak krótkim czasie. Program ochronny musi zareagować poprawnie - zablokować lub usunąć podejrzany proces, gdy tylko pojawi się w komputerze.

Pogromcy antywirusów

Firma F-Secure proponuje oprogramowanie antywirusowe do telefonów komórkowych.

Firma F-Secure proponuje oprogramowanie antywirusowe do telefonów komórkowych.

Wredne oprogramowanie i wirusy zawsze wykorzystywały dziury w ochronie peceta, ale ostatnio ich twórcy za cel obierają sobie samo oprogramowanie zabezpieczające. Niektóre szkodniki próbują blokować połączenia aplikacji antywirusowych z macierzystymi serwerami, nawiązywane w celu pobrania aktualizacji, natomiast inne starają się całkowicie wyłączyć narzędzia ochronne. I chociaż Windows nadal ma mnóstwo luk w zabezpieczeniach, badacze odkrywają więcej usterek w programach, które mają nam pomóc, niż w systemie operacyjnym, który chronią.

Według raportu Yankee Group, która przeanalizowała statystyki rządu USA, liczba dziur odkrytych w oprogramowaniu zabezpieczającym przewyższyła podawaną dla Windows pod koniec roku 2004. Od początku 2004 roku do maja 2005 poinformowano o 77 lukach w aplikacjach antywirusowych i innych produktach ochronnych. Co gorsza, mnożą się w tempie znacznie większym niż w Windows.

Wszystkie nowe dziury stanowią wyzwanie dla firm produkujących programy antywirusowe. Gdyby napastnikom udało się dostać do komputerów przez otwarte furtki w aplikacjach zabezpieczających, pogrzebałoby to budowane z takim trudem zaufanie użytkowników do programów antywirusowych.

Dotychczas tylko jeden złośliwy program z powodzeniem i na dużą skalę wykorzystał lukę w narzędziach ochronnych: robak Witty z roku 2004 atakujący produkty firmy Internet Security Systems. Jednak liczba dziur odkrywanych w aplikacjach zabezpieczających szybko wzrasta, a w Windows spada, co czyni z oprogramowania ochronnego jeszcze atrakcyjniejszy cel.

Choć programy antywirusowe nie są doskonałe, wciąż stanowią najważniejszy element tarczy obronnej komputera. Upewnij się tylko, że masz najlepszy z produktów i pamiętaj, że nie daje ochrony absolutnej.

Atak na komunikator

Zapora sieciowa wyświetla komunikaty o programach próbujących nawiązać połączenie internetowe. Należy na nie zezwalać tylko wtedy, gdy masz pewność co do danego programu.

Zapora sieciowa wyświetla komunikaty o programach próbujących nawiązać połączenie internetowe. Należy na nie zezwalać tylko wtedy, gdy masz pewność co do danego programu.

Wiesz już, że należy być ostrożnym wobec załączników do e-maili, nawet pochodzących od przyjaciela bądź znajomego. Dziś jednak trzeba także uważać na załączniki i łącza w komunikatorach internetowych, ponieważ i w nich twórcy wirusów znaleźli pole do popisu.

Poczta elektroniczna jest już w miarę bezpieczna, bo staliśmy się podejrzli-wi, a ponadto pomagają nam narzędzia antywirusowe. Natomiast większość użytkowników nie dostrzega zagrożenia związanego z komunikatorami internetowymi, dlatego napastnicy coraz częściej wykorzystują tę drogę ataku. Liczba przypadków użycia komunikatorów jako nośnika wirusów rośnie w postępie geometrycznym.

Robak komunikatorowy najpierw odczytuje listę kontaktów w kliencie IM użytkownika. Następnie przesyła tym odbiorcom wiadomość np. "hehe, niezły filmik :)" wraz z łączem, które naprawdę służy do pobrania robaka, albo z plikiem, który ma być zabawnym obrazkiem.

Niektóre robaki-hybrydy rozdzielają atak na dwa fronty: przez komunikator i sieć P2P. Jedna z wersji robaka Bropia przesyła wiadomości błyskawiczne i umieszcza się w udostępnionym folderze popularnych aplikacji P2P.

Inny robak, Win32.VB, również może się roznosić przez IM i P2P, ale dodaje jeszcze coś: zmusza swego gospodarza do otwarcia się na Internet i rozesłania robaka. Gdy robak przesyła wiadomość błyskawiczną z łączem, łącze odwołuje się do komputera, z którego nadano komunikat.

Chociaż pewne ataki na IM stają się coraz bardziej pomysłowe, większość z nich jest dość prymitywna - co nie znaczy, że nieefektywna. A twórcy wirusów z czasem opracują znacznie lepsze metody.

Chore komórki

Skanowanie partycji może mieć różny przebieg, np. antywirus może tylko raportować o wykrytych infekcjach.

Skanowanie partycji może mieć różny przebieg, np. antywirus może tylko raportować o wykrytych infekcjach.

Telefony komórkowe jeszcze nigdy nie padły ofiarą ataku wirusa o globalnym zasięgu. To może się jednak zmienić, ślamazarne wirusy komórkowe ewoluują i wkrótce staną się poważnym zagrożeniem.

W roku 2006 liczba zagrożeń urządzeń przenośnych, takich jak telefony komórkowe, palmtopy i małe konsole do gier, ma wzrosnąć trzykrotnie. Tak przynajmniej szacują specjaliści firmy McAfee, producenta znanych pakietów ochronnych. Na atak najbardziej narażeni są posiadacze zaawansowanych telefonów komórkowych, będących w istocie organizerami z funkcją rozmowy.

Wirusy opracowane do komórek istnieją, ich liczba rośnie, mimo to nadal zagrożenie jest niewielkie. Telefony komórkowe wciąż nie mają wystarczającej mocy, aby ukryć działanie wirusa (dla uproszczenia tą nazwą obejmijmy też robaki sieciowe, szpiegów i inne zagrożenia). Aplikacje w języku Java instalowane w telefonach komórkowych mają niewielkie możliwości wpływania na samo urządzenie, np. usuwania plików czy rozsyłania swoich kopii, i wirusy muszą korzystać z funkcji niskopoziomowych, a że modele telefonów różnią się znacznie, utrudnia to opracowanie uniwersalnego wirusa, mogącego atakować wszystkie urządzenia. Najmniej pracy ma twórca wirusów do telefonów pracujących w systemie Symbian. Jak zawsze, uniwersalność systemu operacyjnego ułatwia nie tylko tworzenie aplikacji użytkowych, ale też swobodne rozmnażanie się wirusów. Należy pamiętać, że powszechność telefonii komórkowej potęguje zagrożenie: skuteczny globalny atak takiego komórkowego wirusa, który poradzi sobie z technicznymi niedogodnościami, może spowodować niesłychany zamęt i poważne straty ekonomiczne. Duże niebezpieczeństwo wiąże się też z wymianą plików między telefonem a np. komputerami w biurze. Telefon komórkowy może pozostać nietknięty, ale za to stać się źródłem zakażenia dla np. sieci lokalnej, nawet doskonale chronionej przed atakiem z Internetu.

Zestawienie programów antywirusowych

Zestawienie programów antywirusowych

Na razie "zaobserwowano" około stu gatunków wirusów w telefonach komórkowych. Chyba najbardziej znane przypadki to Cabir.A i Lasco.A. Pierwszy z nich miał udowodnić, że wirusy atakujące komórki naprawdę mogą powstać. I rzeczywiście - Cabir.A grasuje "na wolności", chociaż dość niegroźnie. Lasco.A wydaje się niebezpieczniejszy: potrafi rozprzestrzeniać się w sieciach Wi-Fi, zyskał także podstawową zdolność klasycznych wirusów - umie doklejać swoje kopie do plików i w ten sposób się przenosić. Wymiana plików przez telefony komórkowe to jednak melodia przyszłości i Lasco.A na razie rozmnaża się niemrawo. Ciekawym przypadkiem był Skulls. To właściwie nie wirus, a koń trojański. Podawał się za motyw graficzny do Nokii 7610, ale po uruchomieniu zamieniał różne ikony w symbol czaszki, a dodatkowo starał się wyłączyć wszelkie funkcje aparatu poza wybieraniem głosowym. Dość groźny był Dampig, funkcjonujący w systemie Symbian Series 60. Dezaktywował wiele funkcji telefonu, m.in. menedżer plików, połączenia

Eksmisja antywirusa

Używanie programów antywirusowych to dzisiaj konieczność. Niestety, wiele z aplikacji dobrze chroniących system operacyjny sprawia kłopoty podczas deinstalacji. O tym, że próba zainstalowania dwóch antywirusów różnych producentów najczęściej kończy się kłopotami, wie chyba każdy. Problemy mogą pojawić się jednak także przy usuwaniu pojedynczego programu. Praktycznie żaden z testowanych nie wytrzymywał koegzystencji z innym antywirusem. Niektóre, np. F-Secure Internet Security 2006 czy AntiVirenKit InternetSecurity 2005, sprawiały ogromny kłopot przy próbie instalacji w używanym i lekko zaśmieconym systemie, dlatego decydując się na zmianę pakietu ochronnego, sprawdź, czy poprzedni został na dobre usunięty. Najprostszym rozwiązaniem jest instalowanie programu antywirusowego w "czystym" systemie operacyjnym. Praktyka pokazuje jednak, że antywirus jest najczęściej instalowany w zaśmieconym, długo używanym systemie.

Jak się chronić

  • Zainstaluj najlepsze oprogramowanie antywirusowe.

  • Sprawdzaj dostępność aktualizacji. Kliknij prawym przyciskiem ikonę w zasobniku systemowym i sprawdź datę definicji wirusów. Jeśli jest starsza niż sprzed tygodnia, coś może blokować automatyczne aktualizowanie.

  • Używaj skanera online. Jeśli oprogramowanie nie aktualizuje się, a zauważyłeś inne objawy infekcji, np. programy adware powracające zaraz po usunięciu, uruchom jeden z bezpłatnych internetowych skanerów wirusowych - Kaspersky.com, skaner.mks.com.pl czy Bitdefender.com.


Zobacz również