Обновление сигнатур что это

Сигнатуры вирусов — важное понятие в компьютерной защите

На этот раз поговорим о том, что такое сигнатуры вирусов. Эта информация поможет вам узнать больше о том, как маскируется вредительское ПО. И насколько эффективно с ним борются антивирусы.

Сигнатура: объяснение и виды

Латинское слово «signature» переводится на русский язык как «указывать». В нашем случае указываются характерные признаки вируса, по которым защитные программы могут обнаружить их на вашем компьютере.

Сигнатуры вирусов бывают двух типов:

1. Взяты из тела вредоносного файла. Это может быть, к примеру, его цифровая подпись или код. Поэтому такие сигнатуры еще называют синтаксическими.
2. Основанные на агрессивном поведении зараженного ПО, то есть в атаке определенного порта, необычной активности электронной почты и пр.

Процесс создания

Сигнатура вируса — это результат кропотливого анализа разработчиков антивирусов. Причем он не может быть полностью автоматизирован.

Так что программисты вручную выявляют исключительные свойства того или иного вируса. Ведь важно, чтобы они не пересекались с поведением или синтаксисом обычных программ во избежание ложных срабатываний антивирусов.

Эффективность сигнатур

Учитывая то, как создаются сигнатуры, обнаружение вредоносного софта по ним является одним из самых эффективных способов. Но чтобы он соответствовал этому званию, необходимо своевременно обновлять защитное ПО, когда его базы устарели (обычно в антивирусах функция обновления работает автоматически). Ведь с каждым разом разработчики добавляют новые сигнатуры.

Также выявление вирусов по сигнатурам обладает такими преимуществами:

• Поиск вредителей осуществляется гораздо быстрее, чем при выполнении антивирусом побайтного сканирования каждого файла;
• Базы данных сигнатур занимают мало места, поэтому легко обновляются даже при малой скорости интернет-соединения.

Все же бывают случаи ложных тревог. Шифровальщики вирусов тоже работают не покладая рук, чтобы незаметно проникать в наши компьютеры. Так что хорошо, когда антивирусы используют в работе еще метод. Он называется эвристическим анализом (тоже учитывает характеристики вирусов) и проактивной защиты (предотвращает их попадание).

Вот, собственно, вся информация, которую стоит знать обычному пользователю о том, что такое сигнатуры вирусов.

Но если вы увлеклись чтением, моего блога, то для вас найдется еще множество интересных и полезных статей.

Обновление сигнатур угроз

После запуска антивирус сообщит, что нужно обновить антивирусные базы данных (рис. 9.1).

Рис. 9.1. Антивирус Касперского: пора обновить базы данных

Щелкните по надписи Сигнатуры устарели – антивирус предложит обновить антивирусные базы данных прямо сейчас. Откроется окно обновления (рис. 9.2), в котором вы сможете наблюдать за процессом обновления, а также узнать, сколько трафика понадобилось для обновления антивируса.

Рис. 9.2. Обновление баз данных

Помните, что для качественной защиты вашего компьютера нужно всегда поддерживать сигнатуры угроз (так нынче называются антивирусные базы) в актуальном состоянии. Лучше всего настроить автоматическое обновление – антивирус сам будет обновлять себя, вам не придется об этом заботиться. Нажмите кнопку Настройка. Перейдите в раздел Обновление, затем выберите Режим запуска, установите значение Автоматически (рис. 9.3).

Рис. 9.3. Настройка автоматического обновления

Обновление не запускается? Такое может произойти, если у вас несколько подключений к Интернету (например, ADSL и модемное) и сейчас вы подключены через подключение, которое не является подключением по умолчанию. Для этого отключитесь от Интернета, откройте папку Сетевые подключения (Пуск, Настройка, Сетевые подключения), после чего или подключитесь к подключению по умолчанию или сделайте другое соединение, которое вы хотите использовать, подключением по умолчанию (рис. 9.4).

Рис. 9.4. Соединение по умолчанию

Данный текст является ознакомительным фрагментом.

Продолжение на ЛитРес

Читайте также

8.9.2 Обновление таблиц RIP

8.9.2 Обновление таблиц RIP Как видно на рис. 8.5, маршрутизатор А пересылает трафик в сеть 136.10.0.0 через маршрутизатор B. А получил изменения от своего соседа D, который объявил о более коротком маршруте, и А изменил свою таблицу маршрутизации. Отметим, что количество попаданий от

Обновление

Обновление Настройку выхода в интернет мы закончили, идём дальше. Многие на этом этапе локализуют (загружают поддержку русского языка), но я придерживаюсь мнения, что сначала необходимо обновить нашу операционную систему.Это делается очень просто. Для этого идём в

3.3.3.5. Обновление пакета

3.3.3.5. Обновление пакета Пакет уже установлен, но вы скачали в Интернете его новую версию, поэтому вам его нужно обновить. Для обновления пакета используется опция -U. Данную опцию можно использовать вместе с опциями hv, если вы хотите видеть индикатор процесса обновления:rpm —

14.1. Обновление определений

14.1. Обновление определений Защитник Windows в своей работе использует специальную таблицу определений, которая содержит описание кусков кода всех существующих вирусов, троянов и других подобных программ. И если эта таблица не будет содержать актуальных данных, программа

Автоматическое обновление

Автоматическое обновление Служба предназначена для автоматического скачивания из Интернета и установки обновлений операционной системы и стандартных компонентов Windows XP. При этом сведения об уже установленных обновлениях берутся из реестра. Для этого предназначены

Защита от оптимизаторских угроз

Защита от оптимизаторских угроз Самым очевидным способом защиты от перечисленных ранее действий оптимизаторов представляется схема оплаты, в которой ее размер зависит не от позиций или трафика, а от продаж. На деле реализовать эту схему не удается практически никому,

Автоматическое обновление

Автоматическое обновление Любой программный продукт постоянно дорабатывается и совершенствуется (если, конечно, он не снят с обслуживания и поддержки ввиду появления новых версий или по иным причинам). Это касается и операционной системы Windows 7: разработчики постоянно

10.1.2. Обновление файла

10.1.2. Обновление файла Чтобы открыть файл для чтения и записи, достаточно добавить знак плюс (+) в строку указания режима (см. раздел 10.1.1):f1 = File.new("file1", "r+")# Чтение/запись, от начала файла.f2 = File.new("file2", "w+")# Чтение/запись; усечь существующий файл или создать новый.f3 = File.new("file3", "а+")#

1.4. Классификация угроз безопасности веб-серверов

1.4. Классификация угроз безопасности веб-серверов Многие из читателей наверняка обратили свое внимание на то, какую важную роль в анализе рисков (см. разд. 1.2) играет такой фактор, как угроза. В этой связи будет более чем уместно ознакомиться с перечнем типичных угроз,

2.5.3. Установка или обновление

2.5.3. Установка или обновление Далее нужно решить, хотите ли вы обновить уже установленную версию Windows (если такая имеется) или произвести полную установку Windows 7 (рис. 2.8). Если вы загрузились с установочного диска Windows, то вы можете выбрать только полную установку. Чтобы

Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений

Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую

Отслеживать возникновение других угроз электронной почте

Отслеживать возникновение других угроз электронной почте Как ни печально сообщать, но возможность чтения вашей почты другими людьми является не единственным риском, которому вы подвергаетесь как пользователь электронных средств информации. Вы можете подвергнуться

Восемь угроз вашему мобильному банку. Советы, как не потерять деньги Максим Букин

Восемь угроз вашему мобильному банку. Советы, как не потерять деньги Максим Букин Опубликовано 13 марта 2013 Управлять своими деньгами с помощью компьютера и смартфона достаточно просто — из экзотической новинки такие сервисы превратились в

Антивирус Касперского 6.0 для Windows Workstations. Локальная установка и управление

Сигнатурные методы обнаружения вирусов являются наиболее точными и эффективными, однако, для поддержания этой эффективности, крайне необходимо наличие актуальных антивирусных баз. Поэтому обновление антивирусных баз является одной из самых критичных задач обеспечения антивирусной безопасности.

Учитывая частоту появления новых вирусов и высокую скорость их распространения, действительно эффективным сигнатурный метод становится только в случае оперативного выпуска сигнатур этих вирусов и доставки сигнатур на защищаемые компьютеры. Кроме сигнатур могут доставляться также измененные модули антивирусных продуктов: для исправления критических ошибок, для внедрения новых алгоритмов обнаружения и т.д. Именно этот процесс доставки и установки сигнатур и модулей называется обновлением.

Интервал между появлением нового вируса и доставкой на клиентские компьютеры сигнатуры этого вируса зависит от двух факторов:

• Времени реакции на появление вируса компании-разработчика
• Параметров работы системы обновления

В отношении реакции на появление новых вирусов Лаборатория Касперского является одним из лидеров в антивирусной индустрии, что выражается в ежечасном размещении на серверах компании обновлений сигнатур угроз.

Веб-Антивирус, Проактивная защита, Анти-Шпион, Анти-Спам и Система обнаружения вторжений также используют специальные базы при осуществлении функций защиты.

Все базы данных Антивируса Касперского для Windows Workstations, используемые для выявления опасных объектов, объединены в единую базу — сигнатуры угроз.

Лаборатория Касперского выпускает три набора сигнатур угроз (антивирусных баз):

• Стандартный — набор антивирусных баз, достаточный для обнаружения и лечения (в тех случаях, когда это возможно) всех известных на момент выпуска вредоносных программ (вирусов, троянов , червей)
• Расширенный — включает в себя стандартный набор, а также базы для обнаружения таких потенциально нежелательных программ, как рекламные ( adware ), шпионские ( spyware ) и другие модули
• Параноидальный — по сравнению с расширенным набором содержит также базы для обнаружения хакерских утилит

Стандартный набор используется всегда, дополнительные базы расширенного набора используются при включении опции Шпионское, рекламное ПО, программы скрытого дозвона, а параноидальный — при дополнительном включении опции Потенциально опасное ПО (riskware).

Задачи обновления делятся на два типа:

• Задачи обновления сигнатур угроз и модулей приложения — назначение задачи следует из ее названия — обновление сигнатур угроз, для обеспечения эффективной работы Антивируса Касперского для Windows Workstations, а также обновление модулей продукта, для устранения ошибок и расширения функционала
• Откат обновления — задача отката к предыдущей версии сигнатур угроз. Используется в случае, если новая версия сигнатур приводит к сбоям в работе приложения или ложным срабатываниям

Сами антивирусные базы хранятся в папке Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases .

Источник обновлений

Источником обновлений могут выступать:

• Сервера обновлений Лаборатории Касперского — в этом случае обновление происходит по протоколам HTTP/FTP
• Сервер Администрирования — в качестве источника обновления выступает Сервер администрирования, само обновление осуществляется средствами Агента администрирования
• HTTP-, FTP-сервер или сетевой каталог — источником является задаваемый сетевой ресурс, HTTP, FTP либо UNC

Настроить параметры доступа к сетевым HTTP/FTP ресурсам можно, нажав кнопку Параметры LAN. По нажатию открывается окно Настройка параметров LAN, в котором предлагается указать режим доступа к FTP-ресурсам (пассивный либо активный), тайм-аут соединения (промежуток ожидания ответа на запрос к серверу), а также задать параметры настройки доступа к прокси-серверу.

Обновляемые компоненты

Ниже приведена таблица с описанием баз, которые используются различными компонентами Антивируса Касперского для Windows Workstations .

Компонент	Используемая база
Поиск вирусов	Антивирусная база — предназначена для проверки файлов с помощью сигнатурного анализа . Включает сигнатуры угроз вирусов, троянских и других вредоносных программ
Файловый Антивирус
Почтовый Антивирус
Веб-Антивирус (при проверке с буферизацией)
Веб-Антивирус (при потоковой проверке)	Специальная сокращенная антивирусная база, содержащая сигнатуры вредоносных программ предназначенные для потоковой проверки.
Проактивная защита (Анализ активности приложений)	Критерии выявления опасной и подозрительной активности , а также подозрительных значений в реестре
Анти-Шпион (Анти-Фишинг)	Список адресов фишинг-сайтов
Анти-Шпион (Анти-Баннер)	Список масок запрещенных баннеров
Анти-Хакер (Система обнаружения вторжений)	Сигнатуры сетевых угроз
Анти-Спам	База контрольных сумм изображений, которые являются спамом.

При выполнении задачи обновления, новая версия сигнатур может быть загружена с серверов Лаборатории Касперского или из локального каталога.

Откат обновления антивирусных баз

Откат обновления антивирусных баз необходим в двух случаях. Во-первых, если новые базы и обновления сканирующего ядра вызывают сбои в работе Антивируса Касперского или всей системы в целом. Во-вторых, если с новыми базами заведомо чистая программа обнаруживается как вирус.

Работа с инфицированными и подозрительными объектами

Во избежание потери важной информации, перед выполнением каких бы то ни было действий с зараженными объектами, будь то попытка лечения или удаление, они помещаются в специальное Резервное хранилище, откуда по необходимости могут быть извлечены. Отдельный статус подозрительных объектов — не зараженных, а лишь подозреваемых в инфицировании, предполагает выделение для них отдельного хранилища — Карантина и периодических проверок этого хранилища с целью определения окончательного статуса файлов при помощи новых наборов антивирусных баз.

Во избежание заражения инфицированными и подозрительными объектами, все помещаемые на Карантин и в Резервное хранилище файлы шифруются и, таким образом, перестают быть запускаемыми, в таком же виде объекты отправляются на исследование в Лабораторию Касперского.

Основанное на сигнатурах Обнаружение

Обнаружение, основанное на сигнатурах — метод работы антивирусов и систем обнаружения вторжений, при котором программа, просматривая файл или пакет, обращается к словарю с известными атаками, составленному авторами программы. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в словаре, программа антивирус может заняться выполнением одного из следующих действий:

1. Удалить инфицированный файл.
2. Отправить файл в «карантин» (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
3. Попытаться восстановить файл, удалив сам вирус из тела файла.

Для достижения достаточно продолжительного успеха, при использовании этого метода необходимо периодически пополнять словарь известных вирусов новыми определениями (в основном в онлайновом режиме). Обладающие чувством гражданского долга и технически искушённые пользователи, обнаружив «живьём» новый вирус, могут выслать заражённый файл разработчикам антивирусных программ, которые включат затем новый вирус в словарь.

Антивирусные программы, созданные на основе метода соответствия определению вирусов в словаре, обычно просматривают файлы тогда, когда компьютерная система создаёт, открывает, закрывает или посылает файлы по электронной почте. Таким образом, вирусы можно обнаружить сразу же после занесения их в компьютер и до того, как они смогут причинить какой-либо вред. Надо отметить, что системный администратор может составить график для антивирусной программы, согласно которому могут просматриваться (сканироваться) все файлы на жёстком диске.

Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части участки кода перезаписываютсся, модифицируются, шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.

Создание и распределение сигнатур

Сигнатуры антивирусов создаются в результате кропотливого анализа нескольких копий файла, принадлежащего одному вирусу. Сигнатура должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывания — главный приоритет любой антивирусной компании.

Разработка сигнатур — ручной процесс, тяжело поддающийся автоматизации. Несмотря на массу исследований, посвящённых автоматической генерации сигнатур, [1] [2] нарастающий полиморфизм (и «метаморфизм») вирусов и атак делают синтактические сигнатуры бессмысленными. Антивирусные компании вынуждены выпускать большое количество сигнатур для всех вариантов одного и того же вируса, и если бы не закон Мура, ни один современный компьютер уже не смог бы закончить сканирование большого числа файлов с такой массой сигнатур в разумное время. Так, в марте 2006 года сканеру Norton Antivirus было известно около 72 131 вирусов, а база программы содержала порядка 400 000 сигнатур. [3]

В нынешнем виде, базы сигнатур должны пополняться регулярно, так как большинство антивирусов не в состоянии обнаруживать новые вирусы самостоятельно. Любой владелец ПО, основанного на сигнатурах, обречён на регулярную зависимость от обновления сигнатур, что составляет основу бизнес-модели производителей антивирусов и СОВ.

Своевременная доставка новых сигнатур до пользователей также является серьёзной проблемой для производителей ПО. Современные вирусы и черви распостраняются с такой скоростью, что к моменту выпуска сигнатуры и доставки её на компьютер пользователей, эпидемия уже может достигнуть своей высшей точки и охватить весь мир. По опубликованным данным, доставка сигнатуры занимает от 11 до 97 часов в зависимости от производителя, [4] в то время как теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд. [5]

В большинстве ПО по безопасности база сигнатур является ядром продукта, наиболее трудоёмкой и ценной частью. Именно поэтому большинство вендоров предпочитает держать свои сигнатуры закрытыми — хотя и в этой области существует ряд открытого ПО (напр., ClamAV), а также исследования по обратной разработке закрытых сигнатур. [6] Журнал Virus Bulletin [7] регулярно публиковал сигнатуры новых вирусов вплоть до 2000 года.

Недостатки и достоинства синтактических сигнатур

• Позволяют определять конкретную атаку с высокой точностью и малой долей ложных вызовов
• Неспособны выявить какие-либо новые атаки
• Беззащитны перед полиморфическими вирусами и изменёнными версиями той же атаки
• Требуют регулярного и крайне оперативного обновления
• Требуют кропотливого ручного анализа вирусов

Метод эвристического сканирования призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100%. [8] Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.