Antivirové programy, část první

Zatímco všechny výše uvedené typy antivirů, včetně antivirových systémů, lze při troše štěstí získat legálně zadarmo, za komplexní antivirová řešení se musí snad ve všech případech zaplatit. Cena se může zdát vysoká, ale v řadě případů je jen zlomkem částky, kterou je potřeba investovat to odstranění škod způsobených řáděním počítačové infiltrace.

Součásti antivirového systému pro stanice

Jak už bylo řečeno, antivirový systém se skládá s částí, které sledují všechny nejpodstatnější vstupní místa, kterými by se případná infiltrace mohla do počítačového systému proniknout a jde o komplexní řešení pro stanice.

Antivirový systém se tak obvykle skládá z části:

Mezi další části, které již nejsou tak běžné může patřit například:

Absence řady uvedených částí v antivirovém systému nemusí nijak ovlivnit celkovou kvalitu antivirového systému. Nutným minimem je ovšem on-access skener (bod 1) a část udržující antivirový systém v aktuální podobě (stahování aktualizací z Internetu - bod 3). Pokud antivirový systém tyto části neobsahuje, bude bezpečnější se mu velkým obloukem vyhnout.

Nyní již podrobněji o jednotlivých částech antivirového systému. Seřazeny jsou tak, aby text co nejvíce navazoval.

Aktualizace (update) antivirového systému

V předchozím textu byla zmíněna pouze aktualizace antivirového systému prostřednictvím Internetu. V začátcích se aktualizace k uživateli distribuovaly prostřednictvím papírového vydání různých počítačových časopisů, kde se objevovaly dlouhé seznamy detekčních řetězců (sekvencí), které si musel uživatel sám do svého antivirového programu přepsat a seznámit ho tak s viry, které před nedávnem spatřily světlo světa. Později se běžně aplikovala aktualizace prostřednictvím disket či cédéček. Ty rozesílaly antivirové firmy obvykle každý měsíc, popřípadě jednou za čtvrt či půl roku. V dnešní době Internetu je však nutností aktualizovat antivirový systém právě skrze tuto celosvětovou počítačovou síť. Důvodem jsou viry, popřípadě červi, které se po celém světě dokážou rozšířit prostřednictvím sítě Internet za několik hodin. Část, která se stará o stahování aktualizace antivirového systému z Internetu je tak důležitou strategickou součástí každého antivirového systému. Důležitou práci v tomto směru hrají i antivirové společnosti, které tyto aktualizace vydávají a umisťují je na své servery. Důležitým parametrem je v tomto případě především rychlost, z jakou dokáží antivirové firmy zareagovat na nově objevený virus. Tj. jak dlouho jim trvá, než vydají aktualizaci a zajistí tak ochranu uživatelů, používajících jejich antivirový systém. K úplné dokonalosti je nutné ještě zajistit, aby uživatel stáhl tuto aktualizaci co možná nejdříve od jejího vydání. Proto by měl být antivirový systém vybaven automatickou aktualizací, která v co možná nejkratších intervalech stahuje ze serveru výrobce nejaktuálnější verze jejího antivirového produktu.

Souhrnně lze tedy prohlásit, že pro efektivní činnost aktualizace je nutné zajistit:

Zatímco první bod av společnosti obvykle dodržují, v druhém bodě to již tak růžové není. Některé dnešní antiviry nejsou v tomto směru optimálně standardně nastaveny, jde především o:

Nízkou četností pokusů o stažení aktualizace lze v dnešní době považovat například stahování aktualizace jednou za týden. Viry se dokážou rozšířit po světě za několik hodin a proto je nutné stejně často aktualizovat i antivirový systém !

Některé antivirové společnosti se "chlubí" ve svých materiálech s vydáváním aktualizací každý den (tzv. daily updates) s dodatečným textem typu "jen antivirus s každodenní aktualizací dokáže zajistit maximální ochranu před viry". Nezkušený uživatel se tímto nechá velice snadno ovlivnit při rozhodování o koupi svého budoucího antivirového systému. Praxe již několikrát dokázala, že toto tvrzení je pouze velký nesmysl a slouží jen a jen k nalákání ke koupi. To že antivirová společnost vydává aktualizace pouze jednou za čtrnáct dní, vůbec neznamená, že během této doby "spí na vavřínech". Pouze to svědčí o tom, že světlo světa nespatřilo nic, co by si zasloužilo patřičnou pozornost (tj. nevznikl virus, šířící se významně v reálu). Pokud se objeví něco významného, zareagují velice rychle všechny schopné antivirové společnosti (i do několika minut od obdržení vzorku).

Majitelé s pomalejším připojením do sítě Internet (prostřednictvím modemu - dialup apod.) jistě bude zajímat rychlost, s jakou se aktualizace ze serveru výrobce antiviru stáhne do počítače uživatele. V dnešní době se antivirové společnosti snaží zajistit co možná nejrychlejší proces stahování aktualizace. Rychlost ovlivňuje nepochybně velikost aktualizace. Z jednou metod, jak snížit velikost aktualizace je její rozdělení na dvě nezávislé části, obvykle záleží na konkrétním antivirovém systému:

Druhý bod je naprostou nutností (vysvětleno výše), první není v některých případech do antiviru vůbec zaimplementován. V takovém případě lze aktualizaci programové části provádět pouze ruční návštěvou serveru výrobce antiviru a stažením kompletní nové instalace.

To jakým způsobem se aktualizují virové databáze je opět závislé na konkrétním antiviru. Obecně existují dva způsoby:

Poznámka: Část, starající se o stahování aktualizací z Internetu je v případě všech známých antivirových systémů natolik "inteligentní", že při každém pokusu stahuje pouze nové aktualizace, nikoliv znovu ty, které se vyskytují na stanici uživatele.

Virová databáze

V předchozích odstavcích byl nakousnut problém "virová databáze". Nyní tedy přesněji, o co se jedná.

Virová databáze je souhrn informací, na základě kterých dokáže antivirový skener vyhledávat známé viry. Virová databáze je obvykle označena datem vydání. Antivirový skener dokáže na základě informací z virové databáze detekovat většinu známých virů, které vznikly před datem vydání virové databáze. Pravidelnou aktualizací lze zajistit, že rozdíl mezi současným datem a datem vydání bude co nejmenší a budou tak detekovány i nejnovější přírůstky mezi viry.

Virová databáze obsahuje obvykle následující minimum:

=== TATO ČÁST BUDE DOPLNĚNA ===

Informace o virové databázi jsou dalším místem, na které se snaží některé antivirové společnosti nalákat budoucí majitele antivirového systému. Jde především o hodnotu, která v některých antivirech vyjadřuje množství detekovaných virů. Nezkušený uživatel si může nesprávně domyslet, že čím vyšší číselná hodnota, tím lepší antivirus. Realita může být (a často i je) zcela odlišná. Odlišnosti mohou být způsobeny především díky generické detekci, která umožňuje detekovat například i celé "rodiny" podobných virů pomocí několika málo sekvencí či za užití jiné metody.

Antivirové skenery

Antivirové skenery (od slova "scanner") jsou nejstarší součástí každého antiviru. Umožňují vykonávat proces skenování (scanning), během kterého jsou vyhledávány počítačové viry. V předchozí části bylo řečeno, že skener vyhledává viry na základě informací z virové databáze. Pokud virová databáze informace o daném viru neobsahuje, "obyčejný" skener ho nedokáže detekovat. Proto postupem času vznikly metody detekce, které dokážou odhalit i doposud neznámé viry a tohoto nedostatku se tak částečně zbavit. O těchto metodách bude řeč později. Skenery lze rozdělit na hlavní dvě skupiny:

On-demand skener je takový, který vyhledává viry (skenuje) až po vydání požadavku uživatelem (proto on-demand). Požadavek tak musí být vydán manuálně, obvykle vybráním požadované oblasti pro test (adresáře, pevný disk, disketa atd.) a stiskem tlačítka "start" v antivirovém programu. On-demand skenery se hojně využívaly především v době operačního systému MSDOS, v dnešní době přijde vhod obvykle pouze v momentě, kdy těžce infikovaný počítač "mele z posledního". On-demand skener dokáže v řadě případů prohlížet i zkomprimované soubory at už interně, tak pomocí archivačních programů (RAR, ZIP apod.).

Provoz on-demand skeneru je tak zjevně pro běžného uživatele až příliš komplikovaná, proto jsou dnes všechny antivirové systémy vybaveny on-access skenerem. On-access skener zcela automaticky a neustále vyhledává viry v datech (nejčastěji v souborech), se kterými přichází uživatel do styku. On-access skener tak může testovat:

Hledat viry ve spouštěných souborech je nutným minimem pro on-access skener. Z principu je zřejmé, že on-access skener provede antivirovou kontrolu souboru ještě před okamžikem, než dojde k jeho spuštění. Pokud by kontrolovaný soubor čistě náhodou obsahoval virus, on-access skener k danému souboru zablokuje přístup do doby, než se uživatel rozhodne, co s ním provede (viz. níže). "Otevírání" souborů je velice širokým pojmem, dochází k němu například i při přesouvání či kopírování. Běžný on-access skener tak dokáže ohlídat před spuštěním i případné infikované přílohy elektronické pošty. Antivirový systém bez kontroly elektronické pošty tak není nutné ihned zatracovat, on-access skener ji na poslední chvíli nahradí (tj. těsně před spuštěním přílohy). Kontrolování ukládaných souborů již není zdaleka tak běžné, občas bývají testovány pouze takové soubory, které jsou ukládány odjinud ze sítě do nasdílených disků či adresářů.

On-access skenery se začaly běžně vyskytovat až s nástupem operačního systému Microsoft Windows 95. Důvodů bylo několik:

Oba typy skenerů provádějí antivirovou kontrolu pouze na těch souborech či systémových oblastech, které jsou pro viry nějak zajímavé. Bohužel je velice těžké zjistit, zda je, či není daný soubor pro virus zajímavý. Antivirové skenery tento problém řeší následovně:

Skenery uvnitř

Na počátku éry skenerů byla využívána metoda, vyhledávající viry na základě skupiny (sekvence, řetězec) instrukcí, které byly pro daný virus typické. Jednoduše řečeno, virová databáze byla naplněna sekvencemi známých virů a skener tyto sekvence vyhledával v jednotlivých souborech, popřípadě systémových oblastech disku. Pokud byla sekvence z virové databáze totožná se sekvencí v souboru, skener ho považoval za infikovaný, což oznámil i uživateli. Pro spolehlivější detekci s minimem falešných poplachů používaly některé antivirové programy více sekvencí pro detekci jednoho viru. Vedlejším efektem je v tomto případě i vyšší schopnost rozpoznat novou, dosud neznámou variantu existujícího viru. Rychlost stoupla od chvíle, kdy antiviry vyhledávaly tyto sekvence pouze v místech souboru, kde se daly očekávat (na konci, na začátku). Na druhé straně toho využívali i autoři virů, kteří se snažili umístit tělo viru někam, kde by ho antivirus nenašel (obvykle do středu souboru). Významné snížení množství falešných poplachů přinesla tzv. exaktní identifikace, kdy po nalezení sekvence ještě skener spočítá kontrolní součty konstantních oblastí v těle viru, porovná je s informacemi ve virové databázi a pak teprve upozorní uživatele na téměř jistou přítomnost viru. Exaktní identifikace umožňuje i jemné rozlišování variant jednotlivých virů, o tomto v části věnované pojmenování virů. Výběr spolehlivé sekvence býval relativně snadnou záležitostí. Autoři virů se proto pokoušeli znesnadnit detekci svých dílek tím, že začali psát zakódované viry. V takovém případě je možné sekvenci vybrat pouze z velmi malé části kódu - dekryptovací smyčky. Zbytek těla viru je v každém exempláři jiný. Opravdová legrace ovšem začíná až s příchodem polymorfních virů, které umí generovat různé tvary dekryptovacích smyček. Pro některé z nich je sice možné stvořit sekvence (nebo několik sekvencí), která virus zachytí, ale ta už obsahuje tolik variabilních částí, že se často najdou i zdravé programy, ve kterých nějaký fragment kódu nebo dat takové sekvenci vyhovuje. Většina polymorfních virů ale generuje takové dekryptory, že nelze hledání podle sekvencí použít. Skenery se nějaký čas snažily o rozpoznávání polymorfních virů pomocí jednoúčelových funkcí, ale to byl vlastně krok zpět. Moderní skenery proto obsahují emulátor strojového kódu, kterým se pokouší emulovat provedení smyčky, a pak mohou hledat sekvence až v dekryptovaném těle viru. Dnešní emulátor kódu bývá natolik propracovaným systémem, že za jeho asistence není větším problémem detekovat jakýkoliv, například i ten nejsložitější polymorfní virus. Emulátor kódu znamenal i příchod kvalitnější heuristické analýzy.

Heuristická analýza

Heuristická analýza je další z mnoha kouzelných termínů, které věrně doprovázejí moderní antivirové programy. V podstatě jde o rozbor kódu hledající postupy pro činnost virů typické nebo nějak podezřelé. Tímto způsobem lze odhalit i dosud neznámé viry. Heuristická analýza měla odjakživa své zastánce i odpůrce. Zatímco zastánce těšila možnost detekce neznámých virů, odpůrce strašila zvýšená hladina falešných poplachů. Dnešní heuristická analýza bývá často natolik propracovaná, že výskyt falešného poplachu je spíše náhodou. To však nic nezměnilo na tom, že odpůrci existují i nadále... Starší heuristické analýzy by bylo možné označit za "pasivní". První z nich byla použita v antivirech F-PROT a TBAV. Pasivní heuristika prohledávala soubory a hledala v nich typické příznaky (sekvence znaků) pro virus. Pokud bylo takových příznaků (často označovány jako flags) nalezeno dostatečné množství, byl takový soubor považován za napadený. Příznakem mohlo byt např. volání nějaké služby INT 21h apod. Nevýhodou bylo, že pasivní heuristika nedokázala proniknout pod "povrch" kódovaných či polymorfních virů a tak složitější nedokázala detekovat. Neaktivní heuristiku mohly viry snadno oklamat. Pokud například heuristická analýza využívala sekvenci v hexadecimálním tvaru: B440CD21 (vyjadřuje souhrn instrukcí mov ah,40; int 21h), mohl virus stejnou činnost vyvolat jinou sekvencí: B43FFEC4CD21 (mov ah,3f; inc ah; int 21h). V dnešní době je ve všech známých případech využita "aktivní" heuristická analýza. Základem je emulátor kódu a s ním spojená existence virtuálního prostředí počítače. Emulátor kódu dokáže spustit soubor a jeho část "odemulovat" podobně, jako by ho spustil sám uživatel. Emulátor kódu ovšem veškerou činnost provádí ve virtuálním prostředí a skutečný počítač uživatele tak v případě "spuštění" infikovaného souboru nemůže ohrozit. Pokud by byl zpracovávaný soubor infikován, emulátor v podstatě vykoná i činnost viru, proemuluje dekódovací smyčku (dekryptor) a dostane se tak přímo na povrch viru. Emulátor vykoná i činnost případného viru - proemuluje dekódovací smyčku (decryptor) a dostane se tak přímo k "vnitřnostem" viru, kde už může skener pokojně vyhledávat podle sekvencí. Pokud jsou během emulace sbírány informace o aktivitách programu (např. proces přesměrování vektorů přerušení...), může být do akce zapojena i aktivní heuristická analýza, která na základě získaných informací vyhodnotí, zda se ne/jedná o virus. Jelikož emulace programu probíhá pomaleji než při skutečném spuštění programu, má emulátor nastaven tzv. timeout - tj. čas (či počet instrukcí), po kterém se chod emulátoru na aktuálním souboru zastaví. Tohoto časového limitu některé viry dokážou využít pro svůj prospěch, viz. techniky virů - EPO.

Poznámka: Heuristická analýza dokáže detekovat pouze takové typy virů, pro které je navržena (makroviry, souborové viry pro Windows, viry pro DOS apod.). Pokud světlo světa spatří nový typ viru (šířící se v jiném prostředí), je podle toho nutné upravit i stávající heuristickou analýzu.

Falešné poplachy

Již od začátku doprovázejí všechny skenery tzv. falešné poplachy (false positives). Za falešný poplach označujeme situaci, kdy antivirus detekuje virus i když ve skutečnosti o žádný nejde. Následuje výpis některých okolností, které mohou vést k falešným poplachům a zároveň k znehodnocení celého antiviru:

Pokračování příště...

Použité zdroje informací: