Антивирусная программа

Антивирусы и антивредоносные программы. Оба этих термина относятся к программным продуктам для киберзащиты, но каковы их особенности, чем они отличаются и как они реагируют на современные цифровые угрозы?

Одним из главных приоритетов компании Malwarebytes является точность, особенно если речь заходит о двух концепциях кибербезопасности – антивирусном и антивредоносном ПО, – они развиваются параллельно друг другу, но их нередко путают между собой. Оба термина относятся к программным продуктам для киберзащиты, но каковы их особенности, чем они отличаются, а главное – пригодны ли обе эти концепции для противодействия современным цифровым угрозам?

Предлагаем по очереди детально проанализировать основные особенности этих концепций и разобраться в значении ряда терминов, используемых в сфере кибербезопасности.

Чем антивирусы отличаются от антивредоносных программ?

В целом термины «антивирус» и «антивредоносная программа» означают одно и то же. Они обозначают ту или иную программу, предназначенную для защиты от вредоносного ПО, а также для его обнаружения и удаления из системы. Сам термин «антивирус» на сегодняшний день немного устарел, поскольку антивирусные программы противостоят не только вирусам, а их функции гораздо шире, чем предполагает название. Антивредоносные программы разрабатываются в том числе и для защиты от вирусов. Они обозначаются более современным термином, который охватывает все виды вредоносного ПО, включая вирусы. То есть антивредоносные программы могут предотвращать проникновение вируса на компьютер или удалять зараженные файлы. Вместе с тем, антивредоносное ПО может не обладать функциями, позволяющими восстанавливать файлы, модифицированные или замененные вирусом. Антивирусы и антивредоносные программы обозначаются более общим термином – «средства кибербезопасности».

Что такое кибербезопасность?

Кибербезопасность (или компьютерная безопасность) – это общий термин, обозначающий стратегию защиты системы от вредоносных атак злоумышленников, которые стремятся похитить деньги, персональные данные, системные ресурсы (например, для криптоджекинга или организации ботнета), а также выполнить ряд других вредоносных операций. Атака может осуществляться как аппаратными, так и программными средствами или методами социальной инженерии.

На сегодняшний день существует множество разновидностей киберугроз и мер противодействия им, однако в сфере коммерции неизменно наблюдается тенденция к упрощению всяких классификаций, если речь заходит о взаимодействии с клиентами. По этой причине многие склонны думать, что «вирусы» представляют наибольшую опасность для компьютера. В действительности вирусы – лишь один из видов киберугроз, который был распространен на заре развития компьютерной отрасли. Сейчас вирусы встречаются не столь часто, однако рядовые пользователи привыкли употреблять этот термин для обозначения любых киберугроз. Однако это неправильно, как и неправильно называть любое заболевание простудой.

«В целом термины “антивирус” и “антивредоносная программа” означают одно и то же. Они обозначают ту или иную программу, предназначенную для защиты от вредоносного ПО, а также для его обнаружения и удаления из системы».

Что такое компьютерный вирус?

Компьютерный вирус – это (обычно) вредоносное программное обеспечение, которому свойственны две характеристики:

  • Для запуска вируса нужны действия ничего не подозревающего пользователя. Для этого может быть достаточно открыть вложение в неблагонадежном электронном письме (вредоносный спам) или запустить зараженную программу. После этого вирус начинает пытаться проникнуть на другие устройства, подключенные к сети или занесенные в список контактов пользователя.
  • Вирус должен обладать способностью самокопирования. Если программный объект не создает копии самого себя, то это не вирус. Самокопирование может, например, осуществляться путем модификации или полной замены других файлов в системе пользователя. Так или иначе, конечный файл должен демонстрировать то же поведение, что и исходный файл вируса.

Компьютерные вирусы сопровождают нас на протяжении десятилетий. Теоретическое осмысление «самовоспроизводящихся автоматов» (т. е. вирусов) было сформулировано Джоном фон Нейманом в статье, опубликованной в конце 1940-х годов. Самые ранние вирусы стали появляться в 1970-х годах на платформах, предшествующих персональным компьютерам. Вместе с тем, история современных вирусов начинается с программы Elk Cloner, которая поразила системы Apple II в 1982 году. Этот вирус, переносчиком которого были зараженные дискеты, не причинял никакого вреда. Однако он проникал на все носители, подключаемые к системе, и распространялся столь стремительно, что многие эксперты в области компьютерной безопасности считают данный случай первой в истории крупномасштабной эпидемией компьютерного вируса.

Первые вирусы, подобные Elk Cloner, были в большинстве своем не более чем шуткой. Их создавали для того, чтобы прославиться и приобрести повод для гордости. Однако к 1990-м годам невинная забава молодежи превратилась в серьезную вредоносную деятельность. Пользователи ПК столкнулись с наплывом разнообразных вирусов, стремящихся уничтожить данные, замедлить работу системы и отследить нажатия клавиш (такие вирусы также называют клавиатурными шпионами). Необходимость разработать меры противодействия обусловила появление первых антивирусных программ.

Их ранние версии действовали только реактивно. Они могли обнаруживать вирусы лишь после их проникновения в систему. Более того, первые антивирусные программы выявляли вирусы на основе относительно примитивного алгоритма, стремясь обнаружить соответствия заранее заданным сигнатурам. Например, если программа «знает», что существует вирус с именем файла «PCdestroy», то при обнаружении этого имени она нейтрализует угрозу. Но если вирус изменит свое имя, то его обнаружение может быть затруднено. Нельзя не отметить, что ранние антивирусы действительно могли распознавать специфическое поведение вирусов и их цифровые признаки, например последовательности кода в сетевом трафике или известные вредоносные последовательности команд, тем не менее, их работа была похожа на игру в догонялки.

Ранние антивирусы использовали сигнатурные технологии поиска, которые могли без проблем обнаружить известные вирусы, но оказывались бессильными перед атаками еще не изученных объектов. Для этого новые вирусы приходилось изолировать и анализировать, чтобы определить их сигнатуры, которые затем вносились в список известных вирусов. Пользователю антивирусной программы приходилось регулярно загружать растущий как на дрожжах файл базы данных с сотнями тысяч сигнатур. Но даже в этом случае многие устройства оставались уязвимыми перед атаками вирусов, появившихся до очередного обновления базы данных. Такое положение вещей означало постоянную гонку: по мере того, как в сети появлялись новые вирусы, разработчики пытались создать антивирусное средство, способное охватить весь постоянно меняющийся ландшафт угроз.

Текущее состояние вирусов и антивирусных программ

На сегодняшний день вирусы для ПК считаются устаревшим типом компьютерных угроз и почти не представляют опасности для пользователей. Они сопровождают нас на протяжении десятилетий, но не слишком изменились за это время. В действительности последний «истинно новый» вирус, который воспроизводил себя в ходе взаимодействия с пользователем, появился в 2011 или 2012 году.

В связи с этим возникает вопрос: если компьютерные вирусы уже давно не представляют серьезной угрозы, почему люди продолжают называть свои защитные программы антивирусами?

Все сводится к узнаваемости названия. В 1990-е годы вспышки компьютерных вирусов производили сенсационные заголовки, так что компании, занимающиеся производством средств защиты, начали использовать термин «вирус» для обозначения любых киберугроз. Отсюда появился и термин «антивирус». И сейчас по прошествии многих лет он продолжает использоваться в маркетинговых кампаниях программных продуктов. На лицо замкнутый круг. Потребители считают, что термин «вирус» – это обозначение любой киберугрозы, поэтому компании называют антивирусными программами свои продукты в области кибербезопасности, в результате чего потребители полагают, что вирусы все еще представляют опасность.

Но есть один нюанс. Хотя вирусы и антивирусы еще не стали анахронизмами, современные киберугрозы еще более коварны, чем их предшественники-вирусы. Они скрываются в недрах компьютерных систем и умеют ускользать от средств обнаружения. Безобидные по современным меркам вирусы вчерашнего дня заложили основу для множества изощренных угроз, в числе которых шпионские программы, руткиты, троянские программы, эксплойты и программы-вымогатели.

По мере появления и развития этих новых видов угроз, дополняющих традиционные вирусы, производители антивирусных программ включались в борьбу с ними. Вместе с тем, у этих компаний возникли сомнения относительно того, как им стоит позиционировать себя. Нужно было решить, продолжать ли обозначать свои продукты как антивирусы, рискуя упростить их значимость в глазах пользователей. Или выработать другой термин (возможно, также с приставкой «анти», например «антишпионская программа»), чтобы более метко и емко представлять выпускаемые программы на рынке? Или лучше было бы использовать обобщающий подход, который учитывал бы все особенности единого продукта, направленного против всех угроз? Каждый производитель антивирусов сам выбирал ответы на эти вопросы.

Компания Malwarebytes придерживается концепции, согласно которой «продукт для кибербезопасности» является самой обширной категорией. Следовательно, имеет смысл обозначить наши продукты термином, отражающим борьбу со всеми компьютерными угрозами, а не только с вирусами. Поэтому мы используем термин «антивредоносные программы» – он наилучшим образом описывает то, что мы делаем.

«Потребители считают, что термин “вирус” – это обозначение любой киберугрозы, поэтому компании называют антивирусными программами свои продукты в области кибербезопасности, в результате чего потребители полагают, что вирусы все еще представляют опасность».

Если вирусы уже не представляют особой опасности, зачем нужны средства кибербезопасности?

Вирусы являются далеко не единственным видом вредоносного ПО. Помимо вирусов, существуют и другие формы вредоносного ПО, которые встречаются намного чаще. Например, вот несколько распространенных угроз, которые может нейтрализовать программа Malwarebytes:

  • Рекламное ПО – это нежелательная программа, написанная для того, чтобы забрасывать экран компьютера рекламными сообщениями. Чаще всего это происходит во время использования браузера, но иногда рекламное ПО внедряется и в мобильные приложения. Как правило, подобные объекты обманным путем принуждают пользователя установить их на ПК, планшетный компьютер или мобильное устройство: они выдают себя за обычные программы или проникают в систему в качестве «дополнительной нагрузки» при установке других приложений.
  • Шпионские программы – это вредоносное ПО, которое скрытно наблюдает за действиями пользователя компьютера и пересылает накопленные данные своим разработчикам.
  • Вирусы – это вредоносное ПО, которое прикрепляется к другой программе и при ее запуске начинает самовоспроизводиться и модифицировать другие приложения на компьютере, внедряя в них элементы своего кода.
  • Черви – это тип вредоносного ПО, напоминающий вирусы, однако для активации этим объектам не требуется взаимодействие с пользователем.
  • Троянские программы, также обозначаемые как вредоносные программы типа «троянский конь», представляют собой скорее средство доставки вредоносного кода, нежели собственно угрозу. Троянская программа обычно маскируется под полезную программу, стремясь обмануть пользователя и заставить его запустить ее. Она может принести в систему вредоносное ПО любого вида, включая вирусы, шпионские программы и программы-вымогатели.
  • Программы-вымогатели – это вредоносное ПО, которое блокирует Ваше устройство и/или шифрует Ваши файлы, а затем заставляет Вас заплатить выкуп за их возврат. Программы-вымогатели считаются излюбленным оружием киберпреступников, поскольку они дают им возможность быстро получить значительную прибыль в криптовалюте, операции с которой сложно отследить. Код, на котором основываются атаки программ-вымогателей, можно без проблем получить на черном интернет-рынке, а защититься от него всегда непросто.
  • Руткиты – это вредоносное ПО, которое активно скрывается от пользователя и предоставляет злоумышленникам права администратора на зараженном компьютере. Руткиты стараются оставаться незамеченными и для других программ, даже для самой операционной системы.
  • Клавиатурные шпионы – это вредоносное ПО, которое записывает, на какие клавиши нажимают пользователи, сохраняет накопленную информацию и отправляет ее своим авторам, которые извлекают из полученных данных важные сведения, например имена пользователей, пароли или реквизиты кредитных карт.
  • Программы для теневого вредоносного майнинга, также иногда обозначаемые как программы для криптоджекинга, – это тип вредоносного ПО, который получает все более широкое распространение. Данные объекты проникают в систему множеством способов, например с помощью вредоносного спама, теневой загрузки, мошеннических приложений или расширений для браузеров. В результате посторонние лица могут использовать ресурсы центрального процессора или графического процессора, чтобы добывать криптовалюты, например биткоин или монеро. Не давая Вам зарабатывать деньги на мощности Вашего компьютера, криптомайнеры отправляют полученные «монеты» на собственные счета. Программы для вредоносного майнинга фактически крадут ресурсы чужих систем с целью получения прибыли.
  • Эксплойты – это объекты, которые используют ошибки и уязвимости в системе для внедрения в нее вредоносного ПО. Как и другие угрозы, эксплойты часто распространяются посредством вредоносной рекламы, которая может отображаться даже на законных веб-сайтах. В ряде случаев Вам даже не нужно нажимать на рекламный баннер, чтобы заразить свой компьютер, поскольку эксплойты и связанное с ними вредоносное ПО могут проникать в систему посредством теневой загрузки. Достаточно просто посетить вполне благонадежный веб-сайт в неудачный день.

Как работают антивредоносные программы?

Старая добрая сигнатурная технология обнаружения угроз остается в известной степени эффективной, однако современные антивредоносные программы также обнаруживают угрозы с помощью более новых методов, которые основаны на поиске вредоносного поведения приложений. Сигнатурная технология обнаружения напоминает поиск отпечатков пальцев преступника. Это может быть действенным способом выявить угрозу, однако только в том случае, если известно, как выглядят нужные отпечатки. Современные антивредоносные программы выводят поиск угроз на новый уровень, позволяя обнаруживать ранее не изученные объекты. Анализируя структуру и поведение приложений, эти программы могут выявлять подозрительную активность. Если продолжить аналогию, то они действуют подобно детективу, который находит в кармане у подозреваемого отмычку или замечает, что подозреваемый по какой-то причине появляется в определенном месте в одно и то же время.    

Эта более современная и более эффективная технология кибербезопасности называется эвристическим анализом. Термин «эвристика» позаимствован из научной области и обозначает комплекс методов, позволяющих обнаруживать угрозы путем анализа структуры приложений, их поведения и ряда других параметров.

Проверяя исполняемый файл, эвристическая антивредоносная программа тщательно анализирует общую структуру приложения, логику программирования и другие данные. При этом она ищет различные отклонения, например необычные команды или ненужный код. Так программа оценивает, с какой вероятностью то или иное приложение может содержать вредоносное ПО.

Более того, еще одним преимуществом эвристического анализа является возможность обнаруживать вредоносное ПО в файлах и загрузочных записях, прежде чем оно сможет запуститься и заразить компьютер. То есть эвристическая антивредоносная программа действует проактивно, а не реактивно. Некоторые антивредоносные продукты запускают подозрительные приложения в песочнице – контролируемом окружении, где можно определить, является ли исследуемое приложение безопасным для установки. Запуская вероятное вредоносное ПО в песочнице, программа анализирует, какие действия оно выполняет, пытается ли скрыться или нанести вред компьютеру.

Кроме того, эвристическая технология позволяет анализировать характеристики веб-сайтов и выявлять опасные страницы, которые могут содержать эксплойты, что является дополнительным фактором, обеспечивающим безопасность пользователей. Теперь при малейших признаках фишинга программа блокирует подозрительный сайт.

Таким образом, антивирус, применяющий сигнатурную технологию, работает как вышибала у дверей ночного клуба, в руках у него – черный список, и если он видит перед собой кого-то, кто занесен в этот список, он сразу вышвыривает непрошеного гостя прочь. Если же вышибала действует методом эвристического анализа, то он обращает внимание на подозрительное поведение посетителей, обыскивает их и отправляет домой тех, кто решил заявиться в клуб с оружием.

«Термин “эвристика” позаимствован из научной области и обозначает комплекс методов, позволяющих обнаруживать угрозы путем анализа структуры приложений, их поведения и ряда других параметров».

Совершенствование программ в области кибербезопасности

Как ни странно, прогрессу в разработке новых бессигнатурных технологий поспособствовали две относительно новые формы вредоносного ПО: эксплойты и программы-вымогатели. Несмотря на то что эти угрозы во многом похожи на все остальные, их отличительной особенностью является то, что их чрезвычайно сложно обнаружить. Более того, очистка зараженного компьютера в ряде случаев оказывается вовсе невыполнимой.

Эксплойты получили свое название благодаря тому, что для внедрения вредоносного кода они различным образом «эксплуатируют» уязвимости в системе, браузерах или других приложениях. В этом случае меры противодействия основываются на блокировании самой возможности совершить атаку, что позволяет защитить пользователей, например, от flash-эксплойтов и других объектов, использующих бреши в программном коде браузеров, а также от новых эксплойтов или от уязвимостей, для которых еще не выпущены исправления.

Появление программ-вымогателей в 2013 году было действительно эффектным. Эти вредоносные объекты снискали себе дурную славу: они похищали и зашифровывали данные на компьютерах, требовали выкуп за их расшифровку и даже угрожали безвозвратно удалить всю информацию, если платеж не поступит вовремя.

Обе эти угрозы вынудили разработчиков всерьез взяться за дело и наладить выпуск специализированных продуктов, направленных на борьбу с эксплойтами и программами-вымогателями. В декабре 2016 года компания Malwarebytes включила защиту от эксплойтов и программ-вымогателей в premium-версию программы Malwarebytes for Windows. С тех пор технологии противодействия программам-вымогателям постоянно совершенствуются, являясь неотъемлемой составляющей всех наших антивредоносных решений.

Будущее программ в области кибербезопасности (которое уже наступило)

Искусственный интеллект (AI) и машинное обучение (ML) считаются сейчас наиболее перспективными направлениями развития технологий борьбы с вредоносным ПО.

Благодаря искусственному интеллекту машины могут решать задачи, на выполнение которых они не были изначально запрограммированы. Искусственный интеллект позволяет не просто слепо выполнять ограниченный набор команд. С его помощью программа может «анализировать ситуацию» и предпринимать действия для достижения поставленной цели, например выявлять признаки активности программ-вымогателей.

Машинное обучение – это метод программирования, который позволяет распознавать те или иные параметры новых данных, а затем классифицировать их особым образом, чтобы «научить машину учиться».

Другими словами, технологии искусственного интеллекта сосредоточены на производстве умных машин, а технологии машинного обучения используют алгоритмы, с помощью которых машины могут учиться на собственном опыте. Оба этих направления отлично подходят для сферы кибербезопасности, ведь сегодня неуклонно растет как общее количество угроз, так и многообразие их видов, в результате чего сигнатурные и другие ручные методы просто не в состоянии охватить весь ландшафт угроз. Искусственный интеллект и машинное обучение все еще находятся в стадии разработки, однако они обещают стать крайне эффективными.

Компания Malwarebytes уже использует в своем программном продукте компонент машинного обучения, способный выявлять вредоносное ПО, которое еще никогда не встречалось на просторах всемирной паутины, – угрозы такого типа называют угрозами нулевого дня. Другие компоненты нашего программного обеспечения осуществляют эвристический анализ на основе поведения приложений: и хотя они не распознают напрямую тот или иной код как вредоносный, им под силу определить, что конкретный файл или веб-сайт ведут себя странным образом. Методы работы этих компонентов основываются на технологиях искусственного интеллекта и машинного обучения и доступны нашим пользователям как в рамках защиты в реальном времени, так и при выполнении проверок по требованию.

Если же речь идет о корпоративном секторе и занятых в нем IT-специалистах, которым приходится обеспечивать безопасность значительного количества компьютеров в сети, то эвристический подход становится чрезвычайно важным. Мы не можем знать наверняка, каков будет характер следующей крупной угрозы со стороны вредоносного ПО. Поэтому эвристический анализ, искусственный интеллект и машинное обучение являются неотъемлемыми компонентами защиты Malwarebytes Endpoint Protection. Вместе они формируют многоуровневую защиту, которая способна противостоять всем этапам цепи атак, предпринимаемых известными или неизвестными вредоносными объектами.

Болезнь легче предупредить, чем лечить

От настольных ПК и ноутбуков до планшетных компьютеров и смартфонов – все устройства уязвимы перед вредоносным ПО. Если у Вас есть выбор, зачем тратить лишние усилия на устранение последствий атаки, когда можно предотвратить ее?

«Как показывают газетные заголовки, регулярно сообщающие об очередной успешной кибератаке, традиционный антивирус не в состоянии самостоятельно справиться с этой задачей».

Что нужно делать, чтобы оставаться в безопасности? Какой тип программного обеспечения для кибербезопасности – антивирус или антивредоносную программу – следует выбрать для противодействия разнообразному ландшафту угроз, который составляют как устаревшие вирусы, так и новейшее вредоносное ПО?  

Следует признать: как показывают газетные заголовки, регулярно сообщающие об очередной успешной кибератаке, традиционный антивирус не в состоянии самостоятельно справиться с этой задачей. В ряде случаев ему не под силу остановить угрозы нулевого дня или даже полностью очистить систему от вредоносного ПО, так что программы-вымогатели продолжают успешно захватывать компьютеры. Поэтому Вам нужна более совершенная программа, которая способна обеспечить Вашу кибербезопасность, являясь достаточно универсальной и умной, чтобы предвидеть характер самых изощренных современных угроз.

Всем этим критериям полностью соответствует Malwarebytes for Windows (а также Malwarebytes for Mac, Malwarebytes for Android и решения Malwarebytes для бизнеса). Программные продукты Malwarebytes защищают от вредоносного ПО, хакерских атак, вирусов, программ-вымогателей и других постоянно совершенствующихся угроз, обеспечивая оптимальные условия для спокойной работы в сети Интернет. Наша технология эвристического анализа, использующая элементы искусственного интеллекта, блокирует даже те угрозы, которые нередко обходят защиту привычных антивирусных приложений.

Обозреватели отрасли отметили программу Malwarebytes for Windows за ее особый многоуровневый подход, который позволяет организовать эффективную защиту, не снижая производительность системы. Эта программа удаляет из системы все следы вредоносного ПО, блокирует новейшие угрозы и быстро выполняет проверки.

Какое бы средство кибербезопасности Вы ни выбрали, первой линией обороны от угроз всегда будут оставаться Ваши знания. Регулярно читайте блог Malwarebytes Labs – и Вы будете получать самую актуальную информацию о новейших угрозах и средствах защиты.

Информация о кибербезопасности, без которой невозможно обойтись

Хотите быть в курсе последних новостей в области кибербезопасности? Подпишитесь на нашу рассылку и узнайте, как защитить свой компьютер от киберугроз.

Выберите язык