Zatφmco vÜechny v²Üe uvedenΘ typy antivir∙, vΦetn∞ antivirov²ch systΘm∙, lze p°i troÜe Üt∞stφ zφskat legßln∞ zadarmo, za komplexnφ antivirovß °eÜenφ se musφ snad ve vÜech p°φpadech zaplatit. Cena se m∙₧e zdßt vysokß, ale v °ad∞ p°φpad∙ je jen zlomkem Φßstky, kterou je pot°eba investovat to odstran∞nφ Ükod zp∙soben²ch °ßd∞nφm poΦφtaΦovΘ infiltrace.

SouΦßsti antivirovΘho systΘmu pro stanice

Jak u₧ bylo °eΦeno, antivirov² systΘm se sklßdß s Φßstφ, kterΘ sledujφ vÜechny nejpodstatn∞jÜφ vstupnφ mφsta, kter²mi by se p°φpadnß infiltrace mohla do poΦφtaΦovΘho systΘmu proniknout a jde o komplexnφ °eÜenφ pro stanice.

Antivirov² systΘm se tak obvykle sklßdß z Φßsti:

Mezi dalÜφ Φßsti, kterΘ ji₧ nejsou tak b∞₧nΘ m∙₧e pat°it nap°φklad:

Absence °ady uveden²ch Φßstφ v antivirovΘm systΘmu nemusφ nijak ovlivnit celkovou kvalitu antivirovΘho systΘmu. Nutn²m minimem je ovÜem on-access skener (bod 1) a Φßst udr₧ujφcφ antivirov² systΘm v aktußlnφ podob∞ (stahovßnφ aktualizacφ z Internetu - bod 3). Pokud antivirov² systΘm tyto Φßsti neobsahuje, bude bezpeΦn∞jÜφ se mu velk²m obloukem vyhnout.

Nynφ ji₧ podrobn∞ji o jednotliv²ch Φßstech antivirovΘho systΘmu. Se°azeny jsou tak, aby text co nejvφce navazoval.

Aktualizace (update) antivirovΘho systΘmu

V p°edchozφm textu byla zmφn∞na pouze aktualizace antivirovΘho systΘmu prost°ednictvφm Internetu. V zaΦßtcφch se aktualizace k u₧ivateli distribuovaly prost°ednictvφm papφrovΘho vydßnφ r∙zn²ch poΦφtaΦov²ch Φasopis∙, kde se objevovaly dlouhΘ seznamy detekΦnφch °et∞zc∙ (sekvencφ), kterΘ si musel u₧ivatel sßm do svΘho antivirovΘho programu p°epsat a seznßmit ho tak s viry, kterΘ p°ed nedßvnem spat°ily sv∞tlo sv∞ta. Pozd∞ji se b∞₧n∞ aplikovala aktualizace prost°ednictvφm disket Φi cΘdΘΦek. Ty rozesφlaly antivirovΘ firmy obvykle ka₧d² m∞sφc, pop°φpad∞ jednou za Φtvrt Φi p∙l roku. V dneÜnφ dob∞ Internetu je vÜak nutnostφ aktualizovat antivirov² systΘm prßv∞ skrze tuto celosv∞tovou poΦφtaΦovou sφ¥. D∙vodem jsou viry, pop°φpad∞ Φervi, kterΘ se po celΘm sv∞t∞ dokß₧ou rozÜφ°it prost°ednictvφm sφt∞ Internet za n∞kolik hodin. ╚ßst, kterß se starß o stahovßnφ aktualizace antivirovΘho systΘmu z Internetu je tak d∙le₧itou strategickou souΦßstφ ka₧dΘho antivirovΘho systΘmu. D∙le₧itou prßci v tomto sm∞ru hrajφ i antivirovΘ spoleΦnosti, kterΘ tyto aktualizace vydßvajφ a umis¥ujφ je na svΘ servery. D∙le₧it²m parametrem je v tomto p°φpad∞ p°edevÜφm rychlost, z jakou dokß₧φ antivirovΘ firmy zareagovat na nov∞ objeven² virus. Tj. jak dlouho jim trvß, ne₧ vydajφ aktualizaci a zajistφ tak ochranu u₧ivatel∙, pou₧φvajφcφch jejich antivirov² systΘm. K ·plnΘ dokonalosti je nutnΘ jeÜt∞ zajistit, aby u₧ivatel stßhl tuto aktualizaci co mo₧nß nejd°φve od jejφho vydßnφ. Proto by m∞l b²t antivirov² systΘm vybaven automatickou aktualizacφ, kterß v co mo₧nß nejkratÜφch intervalech stahuje ze serveru v²robce nejaktußln∞jÜφ verze jejφho antivirovΘho produktu.

Souhrnn∞ lze tedy prohlßsit, ₧e pro efektivnφ Φinnost aktualizace je nutnΘ zajistit:

Zatφmco prvnφ bod av spoleΦnosti obvykle dodr₧ujφ, v druhΘm bod∞ to ji₧ tak r∙₧ovΘ nenφ. N∞kterΘ dneÜnφ antiviry nejsou v tomto sm∞ru optimßln∞ standardn∞ nastaveny, jde p°edevÜφm o:

Nφzkou Φetnostφ pokus∙ o sta₧enφ aktualizace lze v dneÜnφ dob∞ pova₧ovat nap°φklad stahovßnφ aktualizace jednou za t²den. Viry se dokß₧ou rozÜφ°it po sv∞t∞ za n∞kolik hodin a proto je nutnΘ stejn∞ Φasto aktualizovat i antivirov² systΘm !

N∞kterΘ antivirovΘ spoleΦnosti se "chlubφ" ve sv²ch materißlech s vydßvßnφm aktualizacφ ka₧d² den (tzv. daily updates) s dodateΦn²m textem typu "jen antivirus s ka₧dodennφ aktualizacφ dokß₧e zajistit maximßlnφ ochranu p°ed viry". NezkuÜen² u₧ivatel se tφmto nechß velice snadno ovlivnit p°i rozhodovßnφ o koupi svΘho budoucφho antivirovΘho systΘmu. Praxe ji₧ n∞kolikrßt dokßzala, ₧e toto tvrzenφ je pouze velk² nesmysl a slou₧φ jen a jen k nalßkßnφ ke koupi. To ₧e antivirovß spoleΦnost vydßvß aktualizace pouze jednou za Φtrnßct dnφ, v∙bec neznamenß, ₧e b∞hem tΘto doby "spφ na vav°φnech". Pouze to sv∞dΦφ o tom, ₧e sv∞tlo sv∞ta nespat°ilo nic, co by si zaslou₧ilo pat°iΦnou pozornost (tj. nevznikl virus, Üφ°φcφ se v²znamn∞ v reßlu). Pokud se objevφ n∞co v²znamnΘho, zareagujφ velice rychle vÜechny schopnΘ antivirovΘ spoleΦnosti (i do n∞kolika minut od obdr₧enφ vzorku).

MajitelΘ s pomalejÜφm p°ipojenφm do sφt∞ Internet (prost°ednictvφm modemu - dialup apod.) jist∞ bude zajφmat rychlost, s jakou se aktualizace ze serveru v²robce antiviru stßhne do poΦφtaΦe u₧ivatele. V dneÜnφ dob∞ se antivirovΘ spoleΦnosti sna₧φ zajistit co mo₧nß nejrychlejÜφ proces stahovßnφ aktualizace. Rychlost ovliv≥uje nepochybn∞ velikost aktualizace. Z jednou metod, jak snφ₧it velikost aktualizace je jejφ rozd∞lenφ na dv∞ nezßvislΘ Φßsti, obvykle zßle₧φ na konkrΘtnφm antivirovΘm systΘmu:

Druh² bod je naprostou nutnostφ (vysv∞tleno v²Üe), prvnφ nenφ v n∞kter²ch p°φpadech do antiviru v∙bec zaimplementovßn. V takovΘm p°φpad∞ lze aktualizaci programovΘ Φßsti provßd∞t pouze ruΦnφ nßvÜt∞vou serveru v²robce antiviru a sta₧enφm kompletnφ novΘ instalace.

To jak²m zp∙sobem se aktualizujφ virovΘ databßze je op∞t zßvislΘ na konkrΘtnφm antiviru. Obecn∞ existujφ dva zp∙soby:

Poznßmka: ╚ßst, starajφcφ se o stahovßnφ aktualizacφ z Internetu je v p°φpad∞ vÜech znßm²ch antivirov²ch systΘm∙ natolik "inteligentnφ", ₧e p°i ka₧dΘm pokusu stahuje pouze novΘ aktualizace, nikoliv znovu ty, kterΘ se vyskytujφ na stanici u₧ivatele.

Virovß databßze

V p°edchozφch odstavcφch byl nakousnut problΘm "virovß databßze". Nynφ tedy p°esn∞ji, o co se jednß.

Virovß databßze je souhrn informacφ, na zßklad∞ kter²ch dokß₧e antivirov² skener vyhledßvat znßmΘ viry. Virovß databßze je obvykle oznaΦena datem vydßnφ. Antivirov² skener dokß₧e na zßklad∞ informacφ z virovΘ databßze detekovat v∞tÜinu znßm²ch vir∙, kterΘ vznikly p°ed datem vydßnφ virovΘ databßze. Pravidelnou aktualizacφ lze zajistit, ₧e rozdφl mezi souΦasn²m datem a datem vydßnφ bude co nejmenÜφ a budou tak detekovßny i nejnov∞jÜφ p°φr∙stky mezi viry.

Virovß databßze obsahuje obvykle nßsledujφcφ minimum:

=== TATO ╚┴ST BUDE DOPLN╠NA ===

Informace o virovΘ databßzi jsou dalÜφm mφstem, na kterΘ se sna₧φ n∞kterΘ antivirovΘ spoleΦnosti nalßkat budoucφ majitele antivirovΘho systΘmu. Jde p°edevÜφm o hodnotu, kterß v n∞kter²ch antivirech vyjad°uje mno₧stvφ detekovan²ch vir∙. NezkuÜen² u₧ivatel si m∙₧e nesprßvn∞ domyslet, ₧e Φφm vyÜÜφ Φφselnß hodnota, tφm lepÜφ antivirus. Realita m∙₧e b²t (a Φasto i je) zcela odliÜnß. OdliÜnosti mohou b²t zp∙sobeny p°edevÜφm dφky generickΘ detekci, kterß umo₧≥uje detekovat nap°φklad i celΘ "rodiny" podobn²ch vir∙ pomocφ n∞kolika mßlo sekvencφ Φi za u₧itφ jinΘ metody.

AntivirovΘ skenery

AntivirovΘ skenery (od slova "scanner") jsou nejstarÜφ souΦßstφ ka₧dΘho antiviru. Umo₧≥ujφ vykonßvat proces skenovßnφ (scanning), b∞hem kterΘho jsou vyhledßvßny poΦφtaΦovΘ viry. V p°edchozφ Φßsti bylo °eΦeno, ₧e skener vyhledßvß viry na zßklad∞ informacφ z virovΘ databßze. Pokud virovß databßze informace o danΘm viru neobsahuje, "obyΦejn²" skener ho nedokß₧e detekovat. Proto postupem Φasu vznikly metody detekce, kterΘ dokß₧ou odhalit i doposud neznßmΘ viry a tohoto nedostatku se tak ΦßsteΦn∞ zbavit. O t∞chto metodßch bude °eΦ pozd∞ji. Skenery lze rozd∞lit na hlavnφ dv∞ skupiny:

On-demand skener je takov², kter² vyhledßvß viry (skenuje) a₧ po vydßnφ po₧adavku u₧ivatelem (proto on-demand). Po₧adavek tak musφ b²t vydßn manußln∞, obvykle vybrßnφm po₧adovanΘ oblasti pro test (adresß°e, pevn² disk, disketa atd.) a stiskem tlaΦφtka "start" v antivirovΘm programu. On-demand skenery se hojn∞ vyu₧φvaly p°edevÜφm v dob∞ operaΦnφho systΘmu MSDOS, v dneÜnφ dob∞ p°ijde vhod obvykle pouze v moment∞, kdy t∞₧ce infikovan² poΦφtaΦ "mele z poslednφho". On-demand skener dokß₧e v °ad∞ p°φpad∙ prohlφ₧et i zkomprimovanΘ soubory at u₧ intern∞, tak pomocφ archivaΦnφch program∙ (RAR, ZIP apod.).

Provoz on-demand skeneru je tak zjevn∞ pro b∞₧nΘho u₧ivatele a₧ p°φliÜ komplikovanß, proto jsou dnes vÜechny antivirovΘ systΘmy vybaveny on-access skenerem. On-access skener zcela automaticky a neustßle vyhledßvß viry v datech (nejΦast∞ji v souborech), se kter²mi p°ichßzφ u₧ivatel do styku. On-access skener tak m∙₧e testovat:

Hledat viry ve spouÜt∞n²ch souborech je nutn²m minimem pro on-access skener. Z principu je z°ejmΘ, ₧e on-access skener provede antivirovou kontrolu souboru jeÜt∞ p°ed okam₧ikem, ne₧ dojde k jeho spuÜt∞nφ. Pokud by kontrolovan² soubor Φist∞ nßhodou obsahoval virus, on-access skener k danΘmu souboru zablokuje p°φstup do doby, ne₧ se u₧ivatel rozhodne, co s nφm provede (viz. nφ₧e). "Otevφrßnφ" soubor∙ je velice Üirok²m pojmem, dochßzφ k n∞mu nap°φklad i p°i p°esouvßnφ Φi kopφrovßnφ. B∞₧n² on-access skener tak dokß₧e ohlφdat p°ed spuÜt∞nφm i p°φpadnΘ infikovanΘ p°φlohy elektronickΘ poÜty. Antivirov² systΘm bez kontroly elektronickΘ poÜty tak nenφ nutnΘ ihned zatracovat, on-access skener ji na poslednφ chvφli nahradφ (tj. t∞sn∞ p°ed spuÜt∞nφm p°φlohy). Kontrolovßnφ uklßdan²ch soubor∙ ji₧ nenφ zdaleka tak b∞₧nΘ, obΦas b²vajφ testovßny pouze takovΘ soubory, kterΘ jsou uklßdßny odjinud ze sφt∞ do nasdφlen²ch disk∙ Φi adresß°∙.

On-access skenery se zaΦaly b∞₧n∞ vyskytovat a₧ s nßstupem operaΦnφho systΘmu Microsoft Windows 95. D∙vod∙ bylo n∞kolik:

Oba typy skener∙ provßd∞jφ antivirovou kontrolu pouze na t∞ch souborech Φi systΘmov²ch oblastech, kterΘ jsou pro viry n∞jak zajφmavΘ. Bohu₧el je velice t∞₧kΘ zjistit, zda je, Φi nenφ dan² soubor pro virus zajφmav². AntivirovΘ skenery tento problΘm °eÜφ nßsledovn∞:

Skenery uvnit°

Na poΦßtku Θry skener∙ byla vyu₧φvßna metoda, vyhledßvajφcφ viry na zßklad∞ skupiny (sekvence, °et∞zec) instrukcφ, kterΘ byly pro dan² virus typickΘ. JednoduÜe °eΦeno, virovß databßze byla napln∞na sekvencemi znßm²ch vir∙ a skener tyto sekvence vyhledßval v jednotliv²ch souborech, pop°φpad∞ systΘmov²ch oblastech disku. Pokud byla sekvence z virovΘ databßze toto₧nß se sekvencφ v souboru, skener ho pova₧oval za infikovan², co₧ oznßmil i u₧ivateli. Pro spolehliv∞jÜφ detekci s minimem faleÜn²ch poplach∙ pou₧φvaly n∞kterΘ antivirovΘ programy vφce sekvencφ pro detekci jednoho viru. VedlejÜφm efektem je v tomto p°φpad∞ i vyÜÜφ schopnost rozpoznat novou, dosud neznßmou variantu existujφcφho viru. Rychlost stoupla od chvφle, kdy antiviry vyhledßvaly tyto sekvence pouze v mφstech souboru, kde se daly oΦekßvat (na konci, na zaΦßtku). Na druhΘ stran∞ toho vyu₧φvali i auto°i vir∙, kte°φ se sna₧ili umφstit t∞lo viru n∞kam, kde by ho antivirus nenaÜel (obvykle do st°edu souboru). V²znamnΘ snφ₧enφ mno₧stvφ faleÜn²ch poplach∙ p°inesla tzv. exaktnφ identifikace, kdy po nalezenφ sekvence jeÜt∞ skener spoΦφtß kontrolnφ souΦty konstantnφch oblastφ v t∞le viru, porovnß je s informacemi ve virovΘ databßzi a pak teprve upozornφ u₧ivatele na tΘm∞° jistou p°φtomnost viru. Exaktnφ identifikace umo₧≥uje i jemnΘ rozliÜovßnφ variant jednotliv²ch vir∙, o tomto v Φßsti v∞novanΘ pojmenovßnφ vir∙. V²b∞r spolehlivΘ sekvence b²val relativn∞ snadnou zßle₧itostφ. Auto°i vir∙ se proto pokouÜeli znesnadnit detekci sv²ch dφlek tφm, ₧e zaΦali psßt zak≤dovanΘ viry. V takovΘm p°φpad∞ je mo₧nΘ sekvenci vybrat pouze z velmi malΘ Φßsti k≤du - dekryptovacφ smyΦky. Zbytek t∞la viru je v ka₧dΘm exemplß°i jin². Opravdovß legrace ovÜem zaΦφnß a₧ s p°φchodem polymorfnφch vir∙, kterΘ umφ generovat r∙znΘ tvary dekryptovacφch smyΦek. Pro n∞kterΘ z nich je sice mo₧nΘ stvo°it sekvence (nebo n∞kolik sekvencφ), kterß virus zachytφ, ale ta u₧ obsahuje tolik variabilnφch Φßstφ, ₧e se Φasto najdou i zdravΘ programy, ve kter²ch n∞jak² fragment k≤du nebo dat takovΘ sekvenci vyhovuje. V∞tÜina polymorfnφch vir∙ ale generuje takovΘ dekryptory, ₧e nelze hledßnφ podle sekvencφ pou₧φt. Skenery se n∞jak² Φas sna₧ily o rozpoznßvßnφ polymorfnφch vir∙ pomocφ jedno·Φelov²ch funkcφ, ale to byl vlastn∞ krok zp∞t. Modernφ skenery proto obsahujφ emulßtor strojovΘho k≤du, kter²m se pokouÜφ emulovat provedenφ smyΦky, a pak mohou hledat sekvence a₧ v dekryptovanΘm t∞le viru. DneÜnφ emulßtor k≤du b²vß natolik propracovan²m systΘmem, ₧e za jeho asistence nenφ v∞tÜφm problΘmem detekovat jak²koliv, nap°φklad i ten nejslo₧it∞jÜφ polymorfnφ virus. Emulßtor k≤du znamenal i p°φchod kvalitn∞jÜφ heuristickΘ anal²zy.

Heuristickß anal²za

Heuristickß anal²za je dalÜφ z mnoha kouzeln²ch termφn∙, kterΘ v∞rn∞ doprovßzejφ modernφ antivirovΘ programy. V podstat∞ jde o rozbor k≤du hledajφcφ postupy pro Φinnost vir∙ typickΘ nebo n∞jak podez°elΘ. Tφmto zp∙sobem lze odhalit i dosud neznßmΘ viry. Heuristickß anal²za m∞la odjak₧iva svΘ zastßnce i odp∙rce. Zatφmco zastßnce t∞Üila mo₧nost detekce neznßm²ch vir∙, odp∙rce straÜila zv²Üenß hladina faleÜn²ch poplach∙. DneÜnφ heuristickß anal²za b²vß Φasto natolik propracovanß, ₧e v²skyt faleÜnΘho poplachu je spφÜe nßhodou. To vÜak nic nezm∞nilo na tom, ₧e odp∙rci existujφ i nadßle... StarÜφ heuristickΘ anal²zy by bylo mo₧nΘ oznaΦit za "pasivnφ". Prvnφ z nich byla pou₧ita v antivirech F-PROT a TBAV. Pasivnφ heuristika prohledßvala soubory a hledala v nich typickΘ p°φznaky (sekvence znak∙) pro virus. Pokud bylo takov²ch p°φznak∙ (Φasto oznaΦovßny jako flags) nalezeno dostateΦnΘ mno₧stvφ, byl takov² soubor pova₧ovßn za napaden². P°φznakem mohlo byt nap°. volßnφ n∞jakΘ slu₧by INT 21h apod. Nev²hodou bylo, ₧e pasivnφ heuristika nedokßzala proniknout pod "povrch" k≤dovan²ch Φi polymorfnφch vir∙ a tak slo₧it∞jÜφ nedokßzala detekovat. Neaktivnφ heuristiku mohly viry snadno oklamat. Pokud nap°φklad heuristickß anal²za vyu₧φvala sekvenci v hexadecimßlnφm tvaru: B440CD21 (vyjad°uje souhrn instrukcφ mov ah,40; int 21h), mohl virus stejnou Φinnost vyvolat jinou sekvencφ: B43FFEC4CD21 (mov ah,3f; inc ah; int 21h). V dneÜnφ dob∞ je ve vÜech znßm²ch p°φpadech vyu₧ita "aktivnφ" heuristickß anal²za. Zßkladem je emulßtor k≤du a s nφm spojenß existence virtußlnφho prost°edφ poΦφtaΦe. Emulßtor k≤du dokß₧e spustit soubor a jeho Φßst "odemulovat" podobn∞, jako by ho spustil sßm u₧ivatel. Emulßtor k≤du ovÜem veÜkerou Φinnost provßdφ ve virtußlnφm prost°edφ a skuteΦn² poΦφtaΦ u₧ivatele tak v p°φpad∞ "spuÜt∞nφ" infikovanΘho souboru nem∙₧e ohrozit. Pokud by byl zpracovßvan² soubor infikovßn, emulßtor v podstat∞ vykonß i Φinnost viru, proemuluje dek≤dovacφ smyΦku (dekryptor) a dostane se tak p°φmo na povrch viru. Emulßtor vykonß i Φinnost p°φpadnΘho viru - proemuluje dek≤dovacφ smyΦku (decryptor) a dostane se tak p°φmo k "vnit°nostem" viru, kde u₧ m∙₧e skener pokojn∞ vyhledßvat podle sekvencφ. Pokud jsou b∞hem emulace sbφrßny informace o aktivitßch programu (nap°. proces p°esm∞rovßnφ vektor∙ p°eruÜenφ...), m∙₧e b²t do akce zapojena i aktivnφ heuristickß anal²za, kterß na zßklad∞ zφskan²ch informacφ vyhodnotφ, zda se ne/jednß o virus. Jeliko₧ emulace programu probφhß pomaleji ne₧ p°i skuteΦnΘm spuÜt∞nφ programu, mß emulßtor nastaven tzv. timeout - tj. Φas (Φi poΦet instrukcφ), po kterΘm se chod emulßtoru na aktußlnφm souboru zastavφ. Tohoto ΦasovΘho limitu n∞kterΘ viry dokß₧ou vyu₧φt pro sv∙j prosp∞ch, viz. techniky vir∙ - EPO.

Poznßmka: Heuristickß anal²za dokß₧e detekovat pouze takovΘ typy vir∙, pro kterΘ je navr₧ena (makroviry, souborovΘ viry pro Windows, viry pro DOS apod.). Pokud sv∞tlo sv∞ta spat°φ nov² typ viru (Üφ°φcφ se v jinΘm prost°edφ), je podle toho nutnΘ upravit i stßvajφcφ heuristickou anal²zu.

FaleÜnΘ poplachy

Ji₧ od zaΦßtku doprovßzejφ vÜechny skenery tzv. faleÜnΘ poplachy (false positives). Za faleÜn² poplach oznaΦujeme situaci, kdy antivirus detekuje virus i kdy₧ ve skuteΦnosti o ₧ßdn² nejde. Nßsleduje v²pis n∞kter²ch okolnostφ, kterΘ mohou vΘst k faleÜn²m poplach∙m a zßrove≥ k znehodnocenφ celΘho antiviru:

PokraΦovßnφ p°φÜt∞...

Pou₧itΘ zdroje informacφ: