Антивирус с последними версиями вирусных баз может не обнаружить вредоносный файл, потому что

Обновлено: 21.11.2024

Перевод приложения в полнофункциональный режим. Активация программы осуществляется пользователем во время или после установки программы. Для активации приложения у пользователя должен быть код активации.

Антивирусные базы

Базы, содержащие информацию об угрозах компьютерной безопасности, известных «Лаборатории Касперского» на момент выпуска антивирусных баз. Записи в антивирусных базах позволяют обнаруживать вредоносный код в проверяемых объектах. Антивирусные базы создаются специалистами "Лаборатории Касперского" и обновляются ежечасно.

Модули приложений

Файлы, входящие в состав инсталляционного пакета "Лаборатории Касперского", отвечающие за выполнение основных задач соответствующей программы. Каждому типу задач, выполняемых программой (защита, проверка, обновление баз и модулей программы), соответствует отдельный модуль программы.

Резервное копирование и восстановление

Создает резервные копии данных, хранящихся на компьютере. Резервные копии создаются для предотвращения потери данных в результате кражи, сбоя оборудования или хакерских атак.

Блокировка объекта

Запрет доступа к объекту из сторонних приложений. Заблокированный объект нельзя прочитать, выполнить, изменить или удалить.

Сжатый файл

Сжатый исполняемый файл, содержащий программу распаковки и инструкции для операционной системы по ее выполнению.

Хранилище данных

Хранилище данных — это специальное хранилище данных, в котором файлы хранятся в зашифрованном виде. Для доступа к таким файлам необходим пароль. Хранилища данных предназначены для предотвращения несанкционированного доступа к пользовательским данным.

База данных вредоносных веб-адресов

Список веб-адресов, содержание которых может считаться опасным. Созданный специалистами «Лаборатории Касперского», список регулярно обновляется и входит в состав пакета программы «Лаборатории Касперского».

База данных фишинговых веб-адресов

Список веб-адресов, которые специалисты «Лаборатории Касперского» определили как фишинговые веб-адреса. Базы регулярно обновляются и входят в состав программного комплекса «Лаборатории Касперского».

Цифровая подпись

Зашифрованный блок данных, встроенный в документ или приложение. Цифровая подпись используется для идентификации автора документа или приложения. Для создания ЭЦП автор документа или приложения должен иметь цифровой сертификат, удостоверяющий личность автора.

Цифровая подпись позволяет проверить источник данных и их целостность, а также защитить себя от подделок.

Загрузочный сектор диска

Загрузочный сектор – это специальная область на жестком диске компьютера, гибком диске или другом устройстве хранения данных. Он содержит информацию о файловой системе диска и программе-загрузчике, отвечающей за запуск операционной системы.

Существует ряд вирусов, поражающих загрузочные секторы, которые называются загрузочными вирусами. Программа «Лаборатории Касперского» позволяет проверять загрузочные сектора на наличие вирусов и лечить их в случае обнаружения заражения.

Использование

Код программного обеспечения, использующий уязвимость в системе или программном обеспечении. Эксплойты часто используются для установки вредоносных программ на компьютер без ведома пользователя.

Ложное срабатывание

Ситуация, когда программа «Лаборатории Касперского» считает незараженный объект зараженным, потому что код объекта похож на код вируса.

Маска файла

Представление имени файла с помощью подстановочных знаков. Стандартными подстановочными знаками, используемыми в масках файлов, являются * и ?, где * представляет собой любое количество любых символов, а ? обозначает любой одиночный символ.

Эвристический анализатор

Технология обнаружения угроз, информация о которых еще не добавлена ​​в базы «Лаборатории Касперского». Эвристический анализатор выявляет объекты, поведение которых в операционной системе может представлять угрозу безопасности. Объекты, обнаруженные эвристическим анализатором, считаются потенциально зараженными. Например, объект может считаться вероятно зараженным, если он содержит типичные для вредоносных объектов последовательности команд (открыть файл, записать в файл).

Гипервизор

Приложение, поддерживающее параллельную работу нескольких операционных систем на одном компьютере.

Технология iChecker

Технология, позволяющая увеличить скорость антивирусной проверки за счет исключения объектов, оставшихся неизменными с момента их последней проверки, при условии, что параметры проверки (базы и настройки) не были изменены. Информация о каждом файле хранится в специальной базе данных. Эта технология используется как в режимах защиты в реальном времени, так и в режимах проверки по требованию.

Например, у вас есть файл архива, который был проверен программой "Лаборатории Касперского" и получил статус не заражен.В следующий раз программа пропустит этот архив, если архив не был изменен или не были изменены параметры проверки. Если вы изменили содержимое архива, добавив в него новый объект, изменили параметры проверки или обновили базы программы, архив будет проверен повторно.

Ограничения технологии iChecker:

  • Эта технология не работает с большими файлами, так как быстрее просканировать файл, чем проверить, был ли он изменен с момента последнего сканирования.
  • Эта технология поддерживает ограниченное количество форматов.
Несовместимое приложение

Антивирусная программа стороннего разработчика или программа «Лаборатории Касперского», не поддерживающая управление через Kaspersky Security Cloud.

Зараженный объект

Объект, часть кода которого полностью совпадает с частью кода известного вредоносного ПО. "Лаборатория Касперского" не рекомендует обращаться к таким объектам.

Kaspersky Security Network (KSN)

Облачная база знаний «Лаборатории Касперского», содержащая информацию о репутации приложений и веб-сайтов. Использование данных Kaspersky Security Network обеспечивает более быструю реакцию программ «Лаборатории Касперского» на угрозы, повышает производительность некоторых компонентов защиты и снижает вероятность ложных срабатываний.

Серверы обновлений Касперского
Кейлоггер

Программа, предназначенная для скрытой регистрации информации о нажатых пользователем клавишах. Кейлоггеры действуют как перехватчики нажатий клавиш.

Фишинг

Разновидность интернет-мошенничества, направленная на получение несанкционированного доступа к конфиденциальным данным пользователей.

Возможный спам

Сообщение, которое нельзя однозначно считать спамом, но которое имеет несколько спамовых признаков (например, определенные виды рассылок и рекламных сообщений).

Вероятно, зараженный объект

Объект, код которого содержит фрагменты измененного кода известной угрозы, или объект, поведение которого похоже на поведение угрозы.

Защищенный браузер

Выделенный режим работы стандартного браузера, предназначенный для финансовой деятельности и покупок в Интернете. Использование Защищенного браузера обеспечивает сохранность конфиденциальных данных, которые вы вводите на сайтах банков и платежных систем, таких как номера банковских карт или пароли, используемые для интернет-банкинга, а также предотвращает кражу платежных средств при совершении онлайн-платежей.

Компоненты защиты

Неотъемлемые части Kaspersky Security Cloud, предназначенные для защиты от определенных типов угроз (например, Анти-Спам и Анти-Фишинг). Каждый из компонентов относительно независим от других и может быть отключен или настроен индивидуально.

Протокол
Карантин

Выделенное хранилище, в котором программа размещает резервные копии файлов, измененных или удаленных при лечении. Копии файлов хранятся в специальном, безопасном для компьютера формате.

Руткит

Программа или набор программ для сокрытия следов злоумышленника или вредоносного ПО в операционной системе.

В операционных системах на базе Windows под руткитом обычно понимается программа, которая проникает в операционную систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций являются основными методами, позволяющими этим программам сделать свое присутствие в операционной системе довольно скрытным. Руткит обычно также может маскировать наличие любых процессов, папок и файлов, хранящихся на диске, помимо ключей реестра, если они описаны в конфигурации руткита. Многие руткиты устанавливают в операционной системе свои собственные драйверы и службы (они также являются «невидимыми»).

Скрипт

Небольшая программа для ЭВМ или самостоятельная часть программы (функция), которая, как правило, разрабатывалась для выполнения определенной задачи. Чаще всего используется с программами, встроенными в гипертекст. Скрипты запускаются, например, при открытии некоторых веб-сайтов.

Если включена постоянная защита, приложение отслеживает выполнение скриптов, перехватывает их и проверяет на наличие вирусов. В зависимости от результатов сканирования вы можете заблокировать или разрешить выполнение скрипта.

Уровень безопасности

Уровень безопасности определяется как предопределенный набор параметров для компонента приложения.

Нежелательные массовые рассылки по электронной почте, чаще всего содержащие рекламу.

Автозапуск объектов

Набор программ, необходимых для запуска и корректной работы операционной системы и программного обеспечения, установленных на вашем компьютере. Эти объекты выполняются каждый раз при запуске операционной системы. Существуют вирусы, способные заражать именно объекты автозапуска, что может привести, например, к блокировке запуска операционной системы.

Функции программы «Лаборатории Касперского» реализованы в виде задач, таких как: задача «Полная проверка» или задача «Обновление».

Настройки задачи

Настройки приложения, специфичные для каждого типа задач.

Уровень угрозы

Показатель, показывающий вероятность того, что приложение представляет угрозу для операционной системы. Уровень угрозы рассчитывается с помощью эвристического анализа на основе двух типов критериев:

  • Статические (например, информация об исполняемом файле приложения: размер, дата создания и т. д.)
  • Динамические, которые используются при имитации работы приложения в виртуальной среде (анализ системных вызовов приложения).

Уровень угрозы позволяет выявить поведение, характерное для вредоносных программ. Чем ниже уровень угрозы, тем больше действий программа может выполнять в операционной системе.

Следы

Запуск приложения в режиме отладки; после выполнения каждой команды приложение останавливается и отображается результат этого шага.

Сканирование трафика
Группа доверия

Группа, в которую Kaspersky Security Cloud относит приложение или процесс в зависимости от следующих критериев: наличие цифровой подписи, репутация в Kaspersky Security Network, уровень доверия к источнику приложения и потенциальная опасность действий, выполняемых приложение или процесс. В зависимости от группы доверия, к которой принадлежит программа, Kaspersky Security Cloud может ограничить действия, которые программа может выполнять в операционной системе.

В Kaspersky Security Cloud приложения принадлежат к одной из следующих групп доверия: Trusted, Low Restricted, High Restricted или Untrusted.

Надежный процесс

Программный процесс, файловые операции которого не ограничиваются программой «Лаборатории Касперского» в режиме постоянной защиты. При обнаружении подозрительной активности в доверенном процессе Kaspersky Security Cloud удаляет этот процесс из списка доверенных и блокирует его действия.

Неизвестный вирус

Новый вирус, о котором нет информации в базах. Как правило, неизвестные вирусы обнаруживаются программой в объектах с помощью эвристического анализатора. Эти объекты классифицируются как вероятно зараженные.

Обновить

Процедура замены/добавления новых файлов (баз или модулей программы), полученных с серверов обновлений "Лаборатории Касперского".

Пакет обновлений

Пакет файлов, предназначенный для обновления баз и модулей программы. Программа "Лаборатории Касперского" копирует пакеты обновлений с серверов обновлений "Лаборатории Касперского", автоматически устанавливает и применяет их.

Вирус

Программа, которая заражает другие программы, добавляя к ним свой код, чтобы получить контроль при запуске зараженных файлов. Это простое определение позволяет определить основное действие любого вируса: заражение.

Уязвимость

Недостаток в операционной системе или приложении, который может быть использован создателями вредоносного ПО для проникновения в операционную систему или приложение и нарушения его целостности. Наличие большого количества уязвимостей в операционной системе делает ее ненадежной, поскольку вирусы, проникшие в операционную систему, могут вызвать сбои в работе самой операционной системы и установленных приложений.

Windows Server 2022, все выпуски
Windows Server 2019, все выпуски
Windows Server 2016, все выпуски
Windows Server 2012 R2, все выпуски
Windows Server 2012, все выпуски
Windows Server 2008 R2 SP1, все выпуски
Windows 11, все выпуски
Windows 10, все выпуски
Windows 8.1, все выпуски
Windows 7, все выпуски

Введение

Эта статья содержит рекомендации, которые помогут администратору определить причину потенциальной нестабильности в следующем сценарии:

Проблема возникает на компьютере под управлением версии Windows или Windows Server, указанной в разделе "Относится к".

Локальная система используется вместе с антивирусным программным обеспечением в среде домена Active Directory или в управляемой бизнес-среде.

Симптомы

На вашем компьютере под управлением Windows или Windows Server возникают следующие проблемы:

Высокая загрузка ЦП или повышенная загрузка ЦП

Утечки памяти ядра

Копировать файл при использовании проводника Windows

Копирование файла при использовании консольного приложения (например, cmd.exe)

Доступ к общему сетевому ресурсу или подключенному диску

Проводник Windows временно не отвечает

Приложение перестает отвечать

Удаленный вызов процедуры (RPC)

Утечка памяти приватных байтов

Утечка памяти виртуальных байтов

Фрагментация памяти виртуальных байтов

Проблемы с надежностью операционной системы

Система перестает отвечать на запросы (необходим принудительный перезапуск для восстановления)

Утечки невыгружаемого пула

Утечки из выгружаемого пула

Стоп-ошибки (также называемые проверкой ошибок)

Подробнее

Информация о системе

ОС и антивирус

В Windows 10 и более поздних версиях антивирус Microsoft Defender встроен

Не требует исключений для файлов операционной системы, упомянутых в следующих разделах.

В Windows Server 2016 и более поздних версиях антивирус Microsoft Defender встроен

Не требует исключений для файлов операционной системы, упомянутых в следующих разделах.

Антивирусная программа Defender в Windows Server 2016 и более поздних версиях автоматически включает вас в определенные исключения, определенные вашей ролью сервера. Эти исключения не отображаются в стандартных списках исключений, отображаемых в приложении для обеспечения безопасности Windows. (См. раздел Настройка исключений антивирусной программы Microsoft Defender в Windows Server.)

Windows Server 2012 R2 с использованием антивируса Microsoft Defender, установленного с помощью Microsoft Defender for Endpoint

Не требует исключений для файлов операционной системы, упомянутых в следующих разделах.

Windows Server 2012 R2 с System Center Endpoint Protection (SCEP)

Требуются исключения для файлов операционной системы, упомянутых в следующих разделах.

Windows Server 2008 R2 SP1 с System Center Endpoint Protection (SCEP)

Требуются исключения для файлов операционной системы, упомянутых в следующих разделах.

Для получения дополнительной информации см. следующие статьи:

Разрешение

Прежде чем добавлять антивирусные исключения, выполните следующие действия:

Обновите определения сторонней антивирусной программы. Если проблема не устранена, отправьте ложное срабатывание (fp) в службу поддержки стороннего антивирусного поставщика.

Убедитесь, что вы не настроили конкретную функцию в усиленном или агрессивном режиме, который вызывает следующие симптомы:

Проблемы совместимости приложений

Увеличенное использование ресурсов (например, высокая загрузка ЦП (пользовательский режим или режим ядра) или большой объем памяти (пользовательский режим или режим ядра)

Приложения перестают отвечать

Система перестает отвечать

Обновите версию стороннего антивируса. Или для тестирования см.
Как временно деактивировать драйвер фильтра режима ядра в Windows

Обратитесь к стороннему поставщику антивирусных программ для дальнейшего устранения неполадок. Возможно, вам понадобятся дополнительные данные следующего типа, чтобы сузить круг проблем:

Временное решение

Важно! В этой статье содержится информация о том, как снизить настройки безопасности или временно отключить функции безопасности на компьютере. Вы можете внести эти изменения, чтобы понять природу конкретной проблемы. Прежде чем вносить эти изменения, мы рекомендуем вам оценить риски, связанные с реализацией этого обходного пути в вашей конкретной среде. Если вы реализуете этот обходной путь, примите соответствующие дополнительные меры для защиты компьютера.

Мы не рекомендуем этот обходной путь. Однако мы предоставляем эту информацию, чтобы вы могли реализовать этот обходной путь по своему усмотрению. Используйте этот обходной путь на свой страх и риск.

Это временное решение может сделать компьютер или сеть более уязвимыми для атак злоумышленников или вредоносных программ, таких как вирусы.

Мы рекомендуем временно применить эти настройки для оценки поведения системы.

Мы осознаем риск исключения определенных файлов или папок, упомянутых в этой статье, из сканирования, выполняемого вашим антивирусным программным обеспечением. Ваша система будет в большей безопасности, если вы не будете исключать какие-либо файлы или папки из сканирования.

При сканировании этих файлов могут возникнуть проблемы с производительностью и надежностью операционной системы из-за блокировки файлов.

Не исключайте ни один из этих файлов на основе расширения имени файла. Например, не исключайте все файлы с расширением .dit. Microsoft не контролирует другие файлы, которые могут использовать те же расширения, что и файлы, описанные в этой статье.

В этой статье указаны имена файлов и папки, которые можно исключить. Все файлы и папки, описанные в этой статье, защищены разрешениями по умолчанию, разрешающими доступ только СИСТЕМЕ и администратору, и они содержат только компоненты операционной системы. Исключение всей папки может быть проще, но может не обеспечить такой защиты, как исключение определенных файлов на основе имен файлов.

Добавление антивирусных исключений всегда должно быть последним средством, если никакие другие варианты невозможны.

Отключить сканирование файлов, связанных с Центром обновления Windows или автоматическим обновлением

Отключите сканирование файла базы данных Центра обновления Windows или Автоматического обновления (Datastore.edb). Этот файл находится в следующей папке:

Отключите сканирование файлов журнала, расположенных в следующей папке:

%windir%\SoftwareDistribution\Datastore\Logs В частности, исключите следующие файлы:

Подстановочный знак (*) означает, что файлов может быть несколько.

Отключить сканирование файлов безопасности Windows

Добавьте следующие файлы в путь %windir%\Security\Database списка исключений:

Примечание. Если эти файлы не будут исключены, антивирусное программное обеспечение может предотвратить соответствующий доступ к этим файлам, и базы данных безопасности могут быть повреждены. Сканирование этих файлов может помешать использованию файлов или применить к ним политику безопасности. Эти файлы не следует сканировать, поскольку антивирусное программное обеспечение может неправильно интерпретировать их как проприетарные файлы базы данных.

Это рекомендуемые исключения. Могут быть другие типы файлов, которые не включены в эту статью, и их следует исключить.

Отключить сканирование файлов, связанных с групповой политикой

Информация реестра пользователей групповой политики. Эти файлы находятся в следующей папке:

%allusersprofile%\ В частности, исключите следующий файл:

Файлы настроек клиента групповой политики. Эти файлы находятся в следующей папке:

%SystemRoot%\System32\GroupPolicy\Machine\
%SystemRoot%\System32\GroupPolicy\User\ В частности, исключите следующие файлы:

Отключить сканирование файлов профилей пользователей

Информация о реестре пользователей и вспомогательные файлы. Файлы находятся в следующей папке:

В частности, исключите следующие файлы:

Запуск антивирусного программного обеспечения на контроллерах домена

Поскольку контроллеры домена предоставляют клиентам важные услуги, необходимо свести к минимуму риск нарушения их работы из-за вредоносного кода, вредоносных программ или вирусов. Антивирусное программное обеспечение является общепринятым способом снижения риска заражения. Установите и настройте антивирусное программное обеспечение, чтобы максимально снизить риск для контроллера домена и как можно меньше повлиять на производительность. В следующем списке содержатся рекомендации, которые помогут вам настроить и установить антивирусное программное обеспечение на контроллере домена Windows Server.

Предупреждение. Мы рекомендуем вам применить указанную ниже конфигурацию к тестовой системе, чтобы убедиться, что в вашей конкретной среде она не создает неожиданных факторов и не ставит под угрозу стабильность системы. Риск чрезмерного сканирования заключается в том, что файлы будут неправильно помечены как измененные. Это вызывает слишком большую репликацию в Active Directory. Если тестирование подтвердит, что следующие рекомендации не влияют на репликацию, вы можете применить антивирусное программное обеспечение к производственной среде.

Примечание. Конкретные рекомендации от поставщиков антивирусного программного обеспечения могут иметь приоритет над рекомендациями в этой статье.

Антивирусное программное обеспечение должно быть установлено на всех контроллерах домена предприятия. В идеале попробуйте установить такое ПО на все остальные серверные и клиентские системы, которые должны взаимодействовать с контроллерами домена. Оптимально обнаруживать вредоносное ПО на самом раннем этапе, например, на брандмауэре или в клиентской системе, куда внедряется вредоносное ПО. Это предотвращает проникновение вредоносного ПО в инфраструктурные системы, от которых зависят клиенты.

Используйте версию антивирусного программного обеспечения, предназначенную для работы с контроллерами домена Active Directory и использующую правильные интерфейсы прикладного программирования (API) для доступа к файлам на сервере. Старые версии программного обеспечения большинства поставщиков ненадлежащим образом изменяют метаданные файла при его сканировании. Это заставляет механизм службы репликации файлов распознавать изменение файла и, следовательно, планировать репликацию файла. Более новые версии предотвращают эту проблему.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

815263Программы защиты от вирусов, резервного копирования и оптимизации диска, совместимые со службой репликации файлов

Не используйте контроллер домена для работы в Интернете или для выполнения других действий, которые могут привести к внедрению вредоносного кода.

Мы рекомендуем свести к минимуму нагрузку на контроллеры домена. По возможности избегайте использования контроллеров домена в роли файлового сервера. Это снижает активность сканирования файловых ресурсов на наличие вирусов и снижает нагрузку на производительность.

Не размещайте базу данных Active Directory или FRS и файлы журналов на сжатых томах файловой системы NTFS.

Отключить сканирование Active Directory и файлов, связанных с Active Directory

Исключите основные файлы базы данных NTDS. Расположение этих файлов указано в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Файл базы данных Расположение по умолчанию — %windir%\Ntds. В частности, исключите следующие файлы:

Исключите файлы журнала транзакций Active Directory. Расположение этих файлов указано в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
Расположение по умолчанию — %windir%\Ntds. В частности, исключите следующие файлы:

Исключите файлы в рабочей папке NTDS, указанной в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Рабочий каталог. В частности, исключите следующие файлы:

Отключить сканирование файлов SYSVOL

Отключите сканирование файлов в рабочей папке службы репликации файлов (FRS), указанной в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Расположение по умолчанию — %windir%\Ntfrs. Исключите следующие файлы, существующие в папке:

Ntfrs.jdb в папке %windir%\Ntfrs\jet

*.log в папке %windir%\Ntfrs\jet\log

Отключите сканирование файлов в файлах журнала базы данных FRS, указанных в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Каталог файлов журналов Расположение по умолчанию — %windir%\Ntfrs. Исключить следующие файлы.

Примечание. Для полноты изложения здесь задокументированы настройки для конкретных исключений файлов. По умолчанию доступ к этим папкам разрешен только Системе и Администраторам. Убедитесь, что установлены правильные средства защиты. Эти папки содержат только рабочие файлы компонентов для FRS и DFSR.

Edb*.log (если раздел реестра не задан)

Рабочий каталог FRS\Jet\Log\Edb*.jrs

Отключите сканирование промежуточной папки NTFRS, как указано в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage По умолчанию промежуточное размещение использует следующее расположение:

Отключить сканирование промежуточной папки DFSR, как указано в атрибуте msDFSR-StagingPath объекта CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC= Имя домена в AD DS. Этот атрибут содержит путь к фактическому местоположению, которое репликация DFS использует для промежуточных файлов. В частности, исключите следующие файлы:

Отключите сканирование файлов в папке Sysvol\Sysvol или в папке SYSVOL_DFSR\Sysvol.

Текущее расположение папки Sysvol\Sysvol или SYSVOL_DFSR\Sysvol и всех вложенных папок является целью повторной обработки файловой системы корня набора реплик. Папки Sysvol\Sysvol и SYSVOL_DFSR\Sysvol по умолчанию используют следующие расположения:

Путь к текущему активному SYSVOL указан в общем ресурсе NETLOGON и может быть определен по имени значения SysVol в следующем подразделе:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Сегодняшнее антивирусное программное обеспечение довольно сложное, но вирусописатели часто на шаг опережают программное обеспечение, и постоянно выпускаются новые вирусы, которые современные антивирусные программы не могут распознать. Ключом к антивирусному программному обеспечению является обнаружение. После обнаружения зараженного файла иногда его можно восстановить. Если нет, файл можно по крайней мере поместить в карантин, чтобы вирусный код не выполнялся. Трудность здесь заключается в том, что стандартное обнаружение вирусов неадекватно для текущих и новых вирусов, поэтому антивирусное программное обеспечение должно постоянно обновляться новыми списками вирусов. В настоящее время при обнаружении нового вируса (к сожалению, только при выполнении) образцы отправляются в центры вирусного анализа. Эти центры анализируют вирус и извлекают из вируса уникальную строку, которая идентифицирует его. Эта и другая информация о вирусе добавляется в базу данных, которую пользователи могут затем загрузить. Однако, если общее обнаружение вирусов когда-либо станет эффективным на 100 %, другие шаги (удаление/восстановление) должны быть значительно упрощены.

Методы обнаружения вирусов Вверх
Сегодня используются четыре основных метода обнаружения вирусов: сканирование, проверка целостности, перехват и эвристическое обнаружение. Из них сканирование и перехват очень распространены, а два других распространены только в менее широко используемых антивирусных пакетах. К сожалению, хотя сканирование очень эффективно против известных вирусов, оно совершенно неспособно бороться с новыми вирусами, что вынуждает центры антивирусного анализа занимать реактивную позицию.

Сканирование
Определение. Сканер ищет во всех файлах в памяти, в загрузочном секторе (секторе на диске, где находится загрузочная информация) и на диске фрагменты кода, которые однозначно идентифицирует файл как вирус. Очевидно, для этого требуется список уникальных сигнатур, которые будут обнаружены в вирусах, а не в безобидных программах. Для предотвращения ложных срабатываний большинство сканеров также проверяют код подозрительного файла либо на код самого вируса, либо на его контрольную сумму. (Контрольная сумма — это метод, который часто используется для определения того, были ли данные изменены, и включает в себя суммирование всех битов в файле.) Это наиболее распространенный доступный метод обнаружения вирусов, который реализован во всех основных пакетах антивирусного программного обеспечения. . Существует два типа сканирования: при доступе и по требованию. Сканирование при доступе сканирует файлы, когда они загружаются в память перед выполнением.Сканирование по требованию сканирует всю оперативную память, загрузочный сектор, а также дисковую память и запускается пользователем по его желанию. Сканирование при доступе в последнее время стало более агрессивным: сканирование на вирусы происходит, даже если файлы выбраны, но не загружены.
Преимущества. Сканеры могут находить вирусы, которые еще не запущены. Это очень важно для червей электронной почты, которые могут быстро распространяться, если их не остановить. Кроме того, с доступным сегодня программным обеспечением ложные срабатывания стали крайне редкими. Наконец, сканеры также очень хорошо обнаруживают вирусы, для которых у них есть сигнатуры.
Недостатки. Методы сканирования имеют два основных недостатка. Во-первых, если программное обеспечение использует строку сигнатуры для обнаружения вируса, все, что может сделать вирусописатель, — это изменить строку сигнатуры для разработки нового вируса. Это наблюдается у полиморфных вирусов. Вторым и гораздо большим недостатком является ограничение, заключающееся в том, что сканер может сканировать только то, что имеет сигнатуру. Вирус мальтийской амебы был очень разрушительным вирусом, который активировался 11 ноября 1991 года и мог быстро распространяться до своей активации, не будучи обнаруженным. Согласно Virus Bulletin за 1991 год: «До 2 ноября 1991 года ни один коммерческий или условно-бесплатный сканер (копии которого есть у VB) не обнаруживал вирус Maltese Amoeba. Тесты показали, что НИ ОДИН из основных используемых коммерческих сканеров не обнаружил этот вирус. " Хотя обновления вирусов сегодня происходят чаще из-за Интернета, вирусы по-прежнему не могут быть обнаружены до тех пор, пока один из них не будет запущен.

Проверка целостности
Определение. Средство проверки целостности записывает информацию о целостности важных файлов на диске, обычно путем подсчета контрольной суммы. Если файл изменится из-за вирусной активности или повреждения, файл больше не будет соответствовать записанной информации о целостности. Пользователю предлагается, и обычно ему может быть предоставлена ​​​​возможность восстановить файл в его предповрежденное / зараженное состояние. Это сложный процесс, и сегодня его используют немногие антивирусные программы. Norman Virus Control, однако, является одним из них.
Преимущества. Проверка целостности — единственный способ определить, не повредил ли файл вирус, и он достаточно надежный. Большинство сегодняшних средств проверки целостности также могут обнаруживать другие повреждения данных, такие как повреждение, и также могут восстанавливать их.
Недостатки. Основная проблема с проверкой целостности заключается в том, что недостаточно компаний предлагают комплексное программное обеспечение для проверки целостности. Большинство антивирусных пакетов, которые его предлагают, недостаточно защищают файлы, а те, которые они защищают, могут вообще не повреждаться новыми вирусами. Более простые средства проверки целостности не смогут отличить ущерб, нанесенный повреждением, от ущерба, нанесенного вирусом, что дает пользователю нечеткую информацию о том, что происходит. Наконец, этот процесс просто довольно громоздкий — на современных компьютерах многие важные файлы изменяются всего лишь при загрузке и выключении, поэтому для максимальной эффективности обнаружения вирусов средства проверки целостности необходимо использовать вместе со сканерами.

Эвристическая проверка на вирусы
Определение: Это общий метод обнаружения вирусов. Производители антивирусного программного обеспечения разрабатывают набор правил, позволяющих отличить вирусы от невирусов. Если программа или сегмент кода соответствуют этим правилам, они помечаются как вирусы и с ними обращаются соответствующим образом. Это позволяет обнаруживать любой вирус, и теоретически должно быть достаточно для борьбы с любыми новыми вирусными атаками. Вирусное программное обеспечение F-secure использует этот метод в дополнение к сканированию, хотя не так много программных пакетов, доступных сегодня, используют эвристический поиск вирусов.
Преимущества: Универсальная защита от вирусов сделает все другие антивирусные сканеры устаревшими, и ее будет достаточно, чтобы остановить любой вирус. Пользователю больше не нужно загружать еженедельные обновления вирусов, потому что программное обеспечение может обнаруживать все вирусы.
Недостатки: Несмотря на огромные преимущества эвристической проверки на вирусы, сегодняшней технологии недостаточно. Вирусописатели могут легко создавать вирусы, которые не подчиняются правилам, что делает текущий набор правил обнаружения вирусов устаревшим. Изменения в эти правила должны быть загружены, и, следовательно, эти антивирусные программы должны быть обновлены и не будут останавливать многие новые вирусы, что дает им характеристики, аналогичные сканерам. Кроме того, вероятность ложных срабатываний и невозможности обнаружения известного вируса выше при использовании эвристических средств проверки, чем при использовании сканеров.

Перехват
Определение: Программное обеспечение для перехвата обнаруживает вирусоподобное поведение и предупреждает пользователя об этом. Как обнаружить вирусоподобное поведение? Снова используйте эвристику. Многие вирусы будут выполнять некоторые подозрительные действия, например перемещаться в памяти и устанавливать себя как резидентные программы. Многие программные пакеты имеют эту опцию, хотя большинство людей обычно отключают ее.
Преимущества: Перехват — хороший общий метод для остановки логических бомб и троянских коней.Логические бомбы запускают (обычно деструктивную) последовательность действий при наступлении события, например, при установке даты на определенную дату. Программное обеспечение для перехвата, если оно не обнаружено сканерами, обычно обнаруживает разрушительные и необычные последовательности событий, вызванные логическими бомбами и троянскими программами.
Недостатки: К сожалению, перехватчики не очень хорошо обнаруживают что-либо еще. У перехватчиков также есть все недостатки эвристических систем — сложность отличить вирус от невируса и простота программирования. Кроме того, большинство перехватчиков очень легко отключить, поэтому многие вирусы часто отключают их перед запуском. Из-за характера перехватчика это программное обеспечение не может обнаруживать вирусы до их запуска, и уже может быть нанесен большой ущерб. Наконец, перехватчики доставляют неудобства и часто предлагают пользователю разрешить/запретить действия во время установки программного обеспечения и обновления системы, что делает описанное выше очень утомительным. В сочетании с их ограниченной полезностью большинство программных пакетов отключают или сильно ограничивают перехват по умолчанию.

Предстоящие улучшения в программном обеспечении Top
Symantec недавно выпустила нечто под названием «Цифровая иммунная система» вместе с Norton AntiVirus Corporate Edition. Эта система, доступная в настоящее время только для корпораций, автоматизирует большую часть процесса обнаружения вирусов/вакцин. Образец автоматически загружается в центр анализа, когда система обнаруживает вирусоподобную активность. Если вирус соответствует известному вирусу, то на зараженный компьютер загружается вакцина, и программа очищает ее. Если это новый вирус, образец отправляется аналитикам для разработки вакцины. Это значительно сокращает время, необходимое для удаления вируса с компьютера, что значительно снижает способность вируса заражать другие компьютеры. К сожалению, вирусная активность выявляется с помощью эвристики, которая, как было сказано выше, не совсем точна. Network Associates имеет аналогичный процесс в своем программном обеспечении VirusScan. К сожалению, других улучшений антивирусного программного обеспечения не предвидится, и улучшения в этой области полностью зависят от улучшенного ИИ для обнаружения вирусов.

Способы победить антивирусное программное обеспечение Top
Поскольку одни и те же методы антивирусного программного обеспечения используются во всем мире, вирусописатели пытались победить программное обеспечение в своих вирусах, либо отключив программное обеспечение, либо получив вокруг алгоритмов обнаружения. В этом разделе кратко рассматриваются методы, которые вирусописатели используют для обхода программного обеспечения, и насколько они эффективны при этом.
Полиморфные вирусы пытаются нейтрализовать методы поиска вирусов, изменяя код каждый раз, когда вирус заражает новый компьютер. Даже если сигнатура вируса останется неизменной, контрольная сумма вируса останется неизменной, гарантируя, что антивирусное программное обеспечение не обнаружит ее. Однако все современные вирусы, использующие такую ​​технику, довольно неэффективны, потому что генерируемый код слишком похож на исходный вирус. «Наборы инструментов» были разработаны вирусописателями (некоторые с превосходным пользовательским интерфейсом и даже файлами справки) для создания полиморфных вирусов, но даже в этом случае сходство между вирусами, созданными этими наборами инструментов, позволяет антивирусному программному обеспечению легко обнаруживать вирус. . Тем не менее существует вероятность того, что будет разработан полиморфный вирус, способный уклоняться от антивирусных сканеров; такой вирус было бы чрезвычайно трудно сдержать.
Туннельные вирусы пытаются обойти антивирусное программное обеспечение, загружая себя под сканер, ближе к оборудованию. Такие вирусы стремятся получить доступ к обработчикам прерываний и, таким образом, получить прямой доступ к операционной системе. Большинство антивирусных программ могут обнаружить это. При обнаружении антивирусное программное обеспечение устанавливается под вирусом. Затем более умные вирусы пытаются установить себя под антивирусным программным обеспечением, что приводит к битве за обработчики прерываний и системным проблемам, поскольку никому не разрешен доступ к обработчикам прерываний.
Вирусы-невидимки полагаются на загрузку перед антивирусным программным обеспечением, что может произойти, если вирус заразит загрузочный сектор или системный файл, который загружается до антивирусного программного обеспечения. Затем эти вирусы маскируют вносимые ими изменения и, таким образом, обходят любые схемы обнаружения вирусов. Очистить такие вирусы не так уж и сложно - загрузка с чистой дискеты предотвратит загрузку вируса в память, и тогда сканер сможет его очистить.
Быстро заражающие вирусы работают так же, как и вирусы-невидимки: для заражения компьютеров они полагаются на невидимость для сканера вирусов. Эти вирусы обычно используют антивирусные сканеры и заражают файлы всякий раз, когда к ним обращаются. Если вирус не будет обнаружен до того, как антивирусный сканер начнет сканирование файлов, вирус быстро заразит каждый файл на диске. Благодаря сканированию при доступе этот тип вирусов будет распространяться даже без сканирования по требованию.Однако вирусу все еще нужно заразить свой первый файл, и большинство сканеров блокируют вирус, прежде чем он сможет зафиксироваться на сканере вирусов.
Другие методы. Многие разрабатываемые сегодня вирусы используют комбинацию вышеперечисленных методов и добавляют еще несколько собственных. Например, червь MTX загружается в память раньше, чем антивирусное программное обеспечение, и препятствует его правильной работе. Кроме того, вирус использует набирающую популярность технику — блокировку доступа к сайтам производителей антивирусов. Вирус MTX блокирует доступ к Symantec, McAfee и нескольким другим компаниям, которые предоставляют обновления сканера вирусов, чтобы пользователь не мог получить обновление. Другие вирусы будут атаковать программное обеспечение более непосредственно, повреждая библиотеки или файлы кода, которые необходимы антивирусному сканеру для правильной работы. Наконец, многие вирусы загружают обновления и подключаемые модули, что позволяет разработчикам вирусов быть на шаг впереди авторов антивирусных программ.

Восстановление и удаление вирусов В начало
Как антивирусные программы могут устранить ущерб, нанесенный вирусом, после обнаружения вируса? Антивирусные программы довольно плохо восстанавливают данные — вирусы, пытающиеся повредить файлы, а не просто заразить их, преуспеют, если эти файлы не были скопированы. Сканеры вирусов восстанавливают файлы, удаляя код вируса из файла, что в большинстве случаев восстанавливает файл до состояния, предшествующего заражению. Однако для вирусов, которые повреждают системные файлы (например, вирусы, которые блокируют доступ к поставщикам антивирусного программного обеспечения, непоправимо изменяют сетевую библиотеку), антивирусная программа не в состоянии устранить все повреждения. Единственный надежный способ восстановить ущерб, нанесенный вирусом, — очистить все зараженные файлы и восстановить все остальное из резервных копий.

Проблемы с антивирусным программным обеспечением Top
Антивирусное программное обеспечение страдает от большего количества проблем, чем неспособность обнаруживать современные вирусы. Многие копии антивирусного программного обеспечения не способны обнаруживать даже старые вирусы, потому что конечные пользователи часто забывают или просто не обновляют вирусные базы своего антивирусного сканера, пока не становится слишком поздно. Сканирование по запросу выполняется редко, потому что оно медленное и потребляет ресурсы во время работы, поэтому бездействующие вирусы, как правило, живут довольно долго. Сканеры при доступе также не лишены проблем — некоторые из них потребляют слишком много ресурсов, поэтому у многих пользователей возникает соблазн отключить их, если они работают на более медленной машине.
Наконец, несмотря на то, что антивирусное программное обеспечение может стать чрезвычайно эффективным в обнаружении вирусной активности, всегда есть новые дыры в безопасности, которые можно использовать в операционной системе и сетевом программном обеспечении, которые дадут вирусам еще одну точку входа, обходящую антивирусное программное обеспечение. Обнаружение уязвимости в системе безопасности и сообщение о ней на одном из таких сайтов считается честью среди вирусописателей. Примером одного из таких сайтов является SANS, на котором публикуются бюллетени о хакерских и вирусных атаках.

Вывод? Антивирусное программное обеспечение, используемое сегодня, довольно эффективно, но только в том случае, если оно постоянно обновляется и пользователь принимает меры предосторожности (например, не открывает незнакомые документы или программы). Несмотря на все это, антивирусное программное обеспечение не может защитить от совершенно новых вирусов, и пользователи принимают необходимые меры предосторожности. Был проведен опрос пользователей корпоративных компьютеров, который показал, что многие пользователи все еще заражаются, даже если от них требуется соблюдать все необходимые меры предосторожности. (Источник: Обзор распространенности компьютерных вирусов, проведенный ICSA Labs в 2000 г.) Поскольку Интернет с каждым днем ​​становится все больше, маловероятно, что антивирусное программное обеспечение сможет защитить всех подключенных пользователей; однако при надлежащем уходе и внимании люди смогут справиться со всеми вирусами, кроме самых необычных.

Рутрелл Ясин, Управление и безопасность: Вирусы помещаются в карантин. , InternetWeek, 17 мая 1999 г., стр. 25.

Программное обеспечение, созданное специально для обнаружения, предотвращения и удаления вредоносных программ (вредоносных программ).

Антивирус – это программное обеспечение, используемое для предотвращения, сканирования, обнаружения и удаления вирусов с компьютера. После установки большинство антивирусных программ автоматически запускается в фоновом режиме, обеспечивая защиту от вирусных атак в режиме реального времени.

Комплексные программы защиты от вирусов помогают защитить ваши файлы и оборудование от вредоносных программ, таких как черви, троянские программы и программы-шпионы, а также могут предлагать дополнительную защиту, например настраиваемые брандмауэры и блокировку веб-сайтов.

Распространенные типы киберугроз

По мере развития Интернета вещей (IoT) растет и риск киберпреступности для мобильных телефонов и других устройств, подключенных к Интернету, а не только для вашего персонального компьютера. Согласно отчету Symantec об угрозах безопасности в Интернете за 2018 год, количество вредоносных программ для мобильных устройств, включая шпионское ПО, программы-вымогатели и вирусы, в 2017 году увеличилось на 54%; участились случаи утечки данных и кражи личных данных.

Что такое вредоносное ПО?

Вредоносное ПО (сокращение от «вредоносное программное обеспечение») – это общий термин, обозначающий широкий спектр программ, предназначенных для нанесения ущерба компьютеру, серверу или компьютерной сети или совершения других нежелательных действий. Наиболее распространенными примерами являются вирусы, шпионское ПО и троянские программы. лошади. Вредоносное ПО может замедлить или привести к сбою вашего устройства или удалить файлы. Преступники часто используют вредоносное ПО для рассылки спама, получения личной и финансовой информации и даже кражи вашей личности.

Что такое шпионское ПО?

Шпионское ПО – это тип вредоносного ПО, которое прикрепляется и прячется в операционной системе компьютера без вашего разрешения, чтобы вносить нежелательные изменения в ваш пользовательский интерфейс. Его можно использовать для слежки за вашими действиями в Интернете, генерировать нежелательную рекламу или заставлять ваш браузер отображать определенные веб-сайты или результаты поиска.

Что такое фишинг?

Фишинговые атаки используют электронную почту или мошеннические веб-сайты, чтобы попытаться обманом заставить вас предоставить личную или финансовую информацию, чтобы скомпрометировать учетную запись или украсть деньги, выдавая себя за заслуживающую доверия организацию. Они могут заявить, что возникла проблема с платежной информацией или что они заметили активность в учетной записи, и попросить вас щелкнуть ссылку или вложение и предоставить личную информацию.

Антивирусные программы и программное обеспечение для защиты компьютера

Антивирусные программы и программное обеспечение для защиты компьютера предназначены для оценки таких данных, как веб-страницы, файлы, программное обеспечение и приложения, чтобы помочь найти и уничтожить вредоносное ПО как можно быстрее.

Большинство из них обеспечивают защиту в режиме реального времени, которая защищает ваши устройства от входящих угроз. регулярно сканируйте весь компьютер на наличие известных угроз и предоставляйте автоматические обновления; а также выявлять, блокировать и удалять вредоносные коды и программное обеспечение.

Поскольку в настоящее время в Интернете осуществляется так много действий и постоянно появляются новые угрозы, как никогда важно установить защитную антивирусную программу. К счастью, сегодня на рынке есть множество отличных продуктов, из которых можно выбирать.

Как работает антивирус?

Антивирусное программное обеспечение начинает работу, проверяя ваши компьютерные программы и файлы по базе данных известных типов вредоносных программ. Поскольку хакеры постоянно создают и распространяют новые вирусы, он также будет сканировать компьютеры на наличие угроз нового или неизвестного типа вредоносных программ.

Как правило, большинство программ используют три разных устройства обнаружения: специальное обнаружение, которое идентифицирует известное вредоносное ПО; универсальное обнаружение, которое ищет известные части или типы вредоносных программ или шаблонов, связанных общей кодовой базой; и эвристическое обнаружение, которое сканирует неизвестные вирусы, идентифицируя известные подозрительные файловые структуры. Когда программа находит файл, содержащий вирус, она обычно помещает его в карантин и/или помечает для удаления, делая его недоступным и устраняя риск для вашего устройства.

Читайте также: