איך תוכנות אנטי וירוס עובדות
לאור מתקפת הוירוסים האחרונה, החלטתי למחזר מאמר ישן שכתבתי בזמנו עבור אתר theNet.co.il, על איך תוכנות אנטי־וירוס עובדות.
למרבה הפלא, למרות שהמאמר כמעט בן שלוש שנים, הוא כמעט ולא נזקק לעדכונים.
וירוסים, תולעים ושאר מזיקים מהווים אחת מהסכנות העקריות למחשוב בימינו. הכלי הטוב ביותר להגנה מפני וירוסים הוא תוכנת האנטי וירוסתוכנות אנטי וירוס הן מהתוכנות הנפוצות ביותר במחשוב הארגוני והאישי. תוכנות האנטי וירוס מגנות על המשתמש מפני וירוס, שכיום הם נפוצים מתמיד. כיום יש קרוב ל 50 אלף סוגים שונים של וירוסים, כשמתוכם רק חלק קטן יחסית נפוץ. וירוסים הצליחו לגרום נזקים במיליוני דולרים. היסטרית הוירוסים גורמת לכך שגם מתיחות קטנות גורמות נזקים עצומים (ראו דוגמא)
בתקופה שבה מרבית המשתמשים הפרטיים וארגונים מחוברים לרשת, הסכנה גדולה מתמיד. וירוסים בדואר, בקבצים ואף בהזרקה ישירה מאתרי אינטרנט יכולים לגרום לנזק בלתי משוער למידע שלכם ואף למחשב עצמו. לפיכך אין פלא שתוכנות האנטי וירוס וכמובן היצרנים עושים חיל, ולמרות שהתחרות גדולה, יש מספיק צרכנים לכולם.
שיטות איתור וזיהוי
תוכנות אנטי וירוס מסוגלות לזהות קבצים נגועים לפני שהם מדביקים את המחשב, וגם מסוגלות הרבה פעמים להסיר וירוס לאחר ההדבקה. כמו שיש סוגים מגוונים של וירוסים, ישנן גם שיטות פעולה מגוונות, בהן משתמשות תוכנות אנטי וירוס, כדי לאתר ולזהות וירוסים. באופן כללי אפשר לחלק את שיטות הפעולה לארבע סוגים, כשלכל שיטה יתרונות וחסרונות משלה.
סריקת קבצים בחיפוש אחרי "חתימות" הספציפיות לוירוסים שונים
בשיטה זו, תוכנת האנטי וירוס מכילה בסיס נתונים המכיל מידע ספציפי על כל וירוס ווירוס. המידע מאפשר לתוכנה לזהות וירוס ולהסירו. לפיכך זוהי השיטה היעילה ביותר בניקוי וירוסים. המידע המפורט הוא גם החסרון העיקרי שלה: וירוס ששונה אך במעט מוירוס קיים לא יזוהה, אלא אם יעודכן בסיס הנתונים, ולכן השיטה מחייבת עדכון התוכנה לעיתים קרובות מאוד.
סריקת קבצים בחיפוש אחרי סימנים האופיינים לוירוסים
במקום להשתמש בבסיס נתונים המכיל את הוירוסים עצמם, בסיס הנתונים מכיל מידע על סוגי וירוסים, ושיטות הפעולה האופייניות לכל סוג. השיטה הזו ידועה בדרך כלל כ-"Heuristic Scanning", אם כי ישנן חברות שקראו לה בשמות אחרים. בעת סריקה, התוכנה מחפשת סוגי התנהגות האופיינים לסוגים שונים של וירוסים. למשל, קובץ VBS המכיל בתוכו קוד לשלוח את עצמו לכל האנשים בפנקס הכתובת, יסומן כחשוד כוירוס. מכיוון שבסיס הנתונים מכיל רק מידע על סוגי וירוסים, ולא מידע ספציפי על הוירוסים עצמם, יש צורך לעדכן אותו רק כשיוצא וירוס מסוג חדש, ולא כשכל וירוס חדש מופיע (הרבה וירוסים חדשים פועלים באופן דומה לוירוסים קיימים). ה עייתיות בשיטה היא אזעקות שווא. זכור לאחרונה מקרה בו אנטי וירוס של מק'אפי, שהשתמש בשיטה הזו, זיהה בטעות מכתב אזהרה מחברת סופוס (גם היא יצרנית תוכנת אנטי וירוס), כנגוע בוירוס התולעת homepage (אתר בית), למרות שהמכתב היה נקי לחלוטין. צפוי שכמות התרעות השווא תרד, ככל ששיטה זו תצבור יותר תאוצה ופיתוחה יתקדם.
הרצה של קוד חשוד בסביבה מוגנת
בשיטה זו, הידועה בשם "Sand Box" (ארגז חול), תוכנת האנטי וירוס מריצה את הקוד החשוד בסביבה מוגנת, תוך כדי שמירת מידע הניתן לשחזור. בזמן ההרצה, תוכנת האנטי וירוס עוקבת אחרי פעילות הקוד החשוד, ואם ההתנהגות היא ויראלית (כגון נסיון לשנות קבצי מערכת מסויימים), תוכנת האנטי וירוס חוסמת או מזהירה את המשתמש, ומאפשרת לו להחליט על הפעולה שתינקט. למרות שהשיטה הזו יעילה למדי, כיום היא עדיין לא ממש פופלרית, למרות שהשימוש בה צובר תאוצה.
מעקב אחרי שינויים של קבצים
שיטה זו הייתה נפוצה בעבר, אך כיום היא נזנחה כמעט לחלוטין, למרות דעתם של כמה מומחי אבטחה, הסוברים כי היא נזנחה שלא בצדק. בשיטה זו, תוכנת האנטי וירוס שומרת מידע על כל קובץ וקובץ במערכת. כשקובץ משתנה, התוכנה מעריכה האם השינוי הוא תמים או שהוא תוצאה של וירוס, ולפי זה היא פועלת. שיטה זו יכולה לאתר וירוסים חדשים וגם וירוסים מסוג חדש לחלוטין, שאינם ידועים עדיין, כמו גם להזהיר על בעיות מערכת אחרות, שאינן בהכרח וירוסים. החסרון העיקרי שלה היא שהיא יכולה להזהיר רק לאחר הדבקת הקבצים, אך לא למנוע הדבקה מראש. אגב, ישנם אפילו וירוסים המנסים לעקוף את ההגנה של שיטת הבדיקה הזו, בכך שהם מדביקים קבצים בזמן שהמשתמש שומר אותם, בתקווה שהמשתמש/תוכנת אנטי וירוס יחשבו שהשינוי לגיטימי ולא פעולה של וירוסים.
עדכון: כיום שיטה זו נזנחה לחלוטין מכמה סיבות- היום, מעטים הוירוסים שמשנים קבצים קיימים. כמעט על הוירוסים הנפוצים מעתיקים את עצמם כקבצים חדשים ולא מדביקים קבצים אחרים (מה שהיה נהוג...)
יכול להיות שהשיקול בהפעלת המנוע יחסית לגודל התופעה מנע מהשיטה להמשיך (אחרי הכל, יותר מדי בדיקות מעמיסות על המערכת)
ותודה ל־rattlehead מפורום אבטחת מידע והגנה בתפוז על המידע.
חברות האנטי וירוס סופגות לאחרונה ביקורת רבה (וראוי לציין אתר "מיתוסי אנטי וירוס" החריף במיוחד), עקב חוסר יכולתן לחסום מבעוד מועד וירוסים פשוטים יחסית מבחינה תכנותית. וירוסים אלו משתמשים בעיקר בתמימות האנושית, כדי להפיץ את עצמם בדואר האלקטרוני. הטענה הנשמעת ביותר היא: יש לי אנטי וירוס של חברה X למה נדבקתי בוירוס Y. חברות האנטי וירוס נותנות בדרך כלל את הפתרון רק לאחר שהוירוס זוהה, למרות שוירוסים רבים שייכים לאותו סוג, וההבדלים ביניהם מזעריים. בעיה נוספת היא הצורך בעדכונים תכופים, שגורמים לכך שמשתמשים פשוטים רבים מריצים אנטי וירוס, שאינו יעיל, היות ובסיס הנתונים שלו לא עודכן, כנגד האיומים האחרונים.
מסיבות כלכליות השיטה העיקרית כיום היא בסיס נתונים המכיל חתימות של כל הוירוסים. עם זאת ובעקבות הביקורת שהוזכרה, המגמה היא להשתמש יותר ויותר בשיטות שלSandbox וזיהוי סימנים האופיינים של סוגי וירוסים. רוב התוכנות העדכניות משתמשות בשילובים שונים של שיטות אלו בכדי לאתר ולזהות וירוסים, ולא בשיטה אחת בלבד, כשהמטרה היא לאזן את היתרונות והחסרונות של כל שיטה.
רכיבי תוכנה בסיסיים
תוכנות האנטי וירוס מורכבות משני רכיבים בסיסיים: סורק בזמן אמת וסורק לפי דרישה.
סורק בזמן אמת
הסורק בזמן אמת רץ ברקע בכל זמן שהמחשב פועל. הסורק בודק רק קבצים שנוצרו או עודכנו בזמן פעולתו. הוא סורק גם את זיכרון המחשב עצמו לראות שאינו מכיל וירוסים. עם זאת, הסורק בזמן אמת אינו בודק קבצים ישנים יותר, שכבר קיימים במחשב, אם לא שונו בעת פעולת הסורק. הסורק הזה שימושי לאיתור קבצים נגועים, לפני שהמערכת עצמה נדבקה.
סורק לפי דרישה
הסורק לפי דרישה סורק את כל המערכת (או חלקים ממנה שהוגדרו מראש) לפי דרישת המשתמש או בזמנים קבועים מראש. המשתמש יכול להגדיר אילו רכיבים במערכת הסורק יסרוק. רכיבים שנסרקים בדרך כלל הם הזיכרון, קבצים קיימים, ואזורי המערכת בכוננים הקשיחים.
מדוע צריך את שני הרכיבים?
שני הסורקים משלימים אחד את השני. הסורק בזמן אמת מאפשר לזהות וירוסים ידועים לפני כניסתם למערכת. הסורק לפי דרישה מאפשר לזהות וירוסים, שכבר קיימים במערכת או וירוסים, שלא זוהו ע"י הסורק בזמן אמת, למשל וירוסים חדשים, שנכנסו למערכת לפני עדכון התוכנה.
הסרת וירוסים
לאחר זיהוי וירוס, התוכנה מנסה להסיר את הוירוס. כדי להסיר את הוירוס כיום, התוכנה משתמשת בבסיס הנתונים, שמכיל הוראות הסרה, לכל וירוס (יש שיטות נוספות, אך הן פחות אמינות). התוכנה אינה מצליחה תמיד להסיר את הוירוס בהצלחה. לעתים נסיון ההסרה פוגע בקובץ עצמו, ולפעמים התוכנה מבקשת למחוק את הקובץ לחלוטין, עקב חוסר יכולתה להסיר את הוירוס ממנו. לכן לפני נסיון ההסרה, מרבית תוכנות האנטי וירוס מגבות את הקובץ או מידע עליו, המאפשר לשחזרו. ישנן מספר סיבות לחוסר יכולתה של התוכנה להסיר את הוירוס:
- זיהוי לא נכון של הוירוס
- הוראות הסרה, שאינן מתאימות לגרסת הוירוס
- וירוס שפוגם בקובץ
- תוכנות אנטי וירוס לא מסוגלות לקרוא את כל סוגי הדחיסה שיש. אם קובץ נגוע דחוס בפורמט שהאנטי וירוס לא מסוגל לקרוא, הוירוס לא יוסר כמו שצריך, ולפעמים לא יזוהה כלל.
שיטה נוספת וחדשה יחסית היא שליחה של הקובץ הנגוע או החשוד כנגוע, למרכז הוירוסים של היצרן. הקובץ עובר בדיקה ע"י מומחי החברה, שמנסים לזהות האם מדובר בוירוס חדש או שהקובץ נקי. במידה ומדובר בוירוס חדש, החברה מוציאה התראה ועדכון לתוכנה שלה.
למרות הכל, עדיין ההתאוששות מוירוסים אינה מושלמת, ולכן נהוג להמליץ לשמור גיבוי נקי של המערכת. גיבוי גם עוזר במקרים של קטסטרופות אחרות, ולא רק וירוסים.
סוגי אנטי וירוס נוספים
שוק האנטי וירוס דינמי מאוד, וכיום בנוסף לאנטי וירוס הבסיסי ישנם אנטי וירוסים, המכילים רכיבים נוספים לאבטחת המחשב, כגון הגנה מיישומוני אינטרנט עויינים, רכיבים להגנה על הפרטיות ואפילו אנטי וירוסים, המשולבים עם firewall (קיר אש. משמש להגנה בפני פריצות למחשב) אישי. ישנם אפילו יישומי אנטי וירוס שיושבים באתרי אינטרנט, המסוגלים לסרוק את המחשב האישי (בעזרת פקד אקטיב X או ישומון ג'אווה), ולזהות אם הוא נגוע בוירוס ואף להסירו.
בנוסף, לא כל תוכנות האנטי וירוס רצות על המחשב האישי עצמו. קיימות תוכנות אנטי וירוס, שרצות על השרתים הארגוניים ובודקות את הקבצים, שעוברים ברשת הארגונית. קיימות גם תוכנות אנטי וירוס ארגוניות, המיועדות לשרתי דואר, שמזהות וחוסמות הודעות דואר נגועות, וגם סוגי קבצים שהוגדרו מראש.
לאור הקלות בה ניתן ליצור וירוסים חדשים, בנוסף לאיומים אחרים, המתרוצצים ברשת, סביר להניח שתוכנות האנטי וירוס לא יעלמו, אלה יהפכו לחבילות אבטחה כלליות יותר, שלא מטפלות רק בוירוסים (מה שכבר מתחיל לקרות עכשיו).
שימו לב! אנטי וירוס אינו תחליף לכללי זהירות פשוטים וידועים. גם האנטי וירוס הטוב ביותר והמעודכן ביותר לא יכול לספק הגנה מושלמת
קישורים להסרת וירוסים:
- מאגר כלי הסרה של סימנטק
- שירות בדיקה והסרת וירוסים אונליין של פנדה
- שירות בדיקה והסרת וירוסים אונליין של RAV
- בדיקת בטיחות דואר אלקטרוני. חשוב בעידן הוירוסים המופצים בדואר
תודה למנשה אליעזר, מנהל מרכז המחקר לקוד מסוכן (Malicious Code Research Center) בחברת פינג'ן על שסייע בכתיבת הכתבה
0 הפניות
Listed below are links to blogs that reference this entry: איך תוכנות אנטי וירוס עובדות.
TrackBack URL for this entry: http://www.xslf.com/mt/xslf-tb.cgi/37
למרות שבדפדפן שלי מוגדר פונט אריאל בגודל 15 הכתבה מופיעה דוקא בפונט דוד/רמת גן ובגודל של כ–12 נקודות.
המלל בתיבת התגובה אפילו קטן יותר.
הכותב משתמש בספארי על Mac OS X 10.2.8
אהלן ניר.
חבל שלא שלחת את הערתך אלי במייל ישירות- היה חוסך לשאר הקוראים כאן בלגן.
עקרונית, האתר מוגדר להשתמש בפונט סריפי, ולכן ספארי משתמש ברמת גן במקום באריאל.
בנוסף, גיליתי שלספארי יש כמה באגים מעצבנים בתצוגה של האתר הזה (למשל, לפעמים הוא לא מעלה את הפאנל בצד, למשל לפעמים הוא עושה דברים מוזרים עם הפונטים), שאין להם פתרון ממש טוב חוץ מזה שאפל יתקנו את הדפדפן שלהם (שהתדרדר מאוד בגירסה האחרונה על 10.3.2).
בדקתי אצלי ובעוד מקינטוש אחד עם מערכת שונה, והכל קריא. מכיוון שאני נגד כתיבת קוד מיוחד לדפדפן ספציפי (במיוחד במקרה הזה שנראה שאין ממש קוד שאוכל לתת לו שיהיה 100% בסדר), שיהיה מיותר כאשר הבאגים יתוקנו, ומכיוון שכל הטקסט קריא (וזה מה שחשוב), אני מעדיפה כרגע להשאיר את האתר as-is ולדווח על הבאגים לאפל (שזה מה שעשיתי).
בכלל, עברית בדפדפנים למק היא סיפור עצוב, שהתדרדר לאחרונה אחרי שיפור ניכר, וכיום אין אף דפדפן מק חסר באגים גדולים בעברית :-( אולי אכתוב על זה כאן פעם בהרחבה.
שושנה, אם תבדקי את קובץ הסגנונות שאת משתמשת בו, תגלי שאת משתמשת בגודל פונט קטן או קטן מאד.
לדעתי גודל הפונט הנכון הוא 1em או 100% לגוף המלל ופונט קטן יותר, 0.8em או 80% לרשימות צדדדיות וכדומה.
את יכולה לפשט מאד את קובץ הסגנונות שלך והאתר יהיה הרבה יותר קריא.
בשלב זה אנ חייב להעלות פעמיים את גודל הפונט כדי שיהיה לי נוח לקרוא, ואז לשנות שו חזרה כשאני עובר לאתר אחר. מאד מעצבן.
ניר- בוא נעביר את הדיון הזה למייל, שם מקומו. אוקי?
אני לא מצליח להסיר את הוירוס Bloodhound.Exploit.6
אודה לכם על העזרה
נעם
לפי האתרים של סימנטק ומקאפי, יש להוריד את הטלאי של חלונות בשביל לטפל במזיק:
http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx
למידע נוסף:
http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.6.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101033
תודה שאתה מציע את עזרתך הייתי מרוצה יותר אם היית מוסיף אנטי וירוס שגולשים אחרים יוכלו להינות מימנו כי ברוב האתרים שאני נכנס אני מותקף ישירות בוירוסים קטלניים אשמח אם תוסיף אנטי וירוס באתר שלך בתודה מראש בני !!!
מאיפה אני יכולה להוריד תוכנת אנטי וירוס 2004 בערבית????
מאיפה ניתן למצוא את תוכנת האנטי וירוס החדשה -2004 בעברית?
וכיצד אני משתמשת בה לראשונה...? האם היא עושה סריקה בכל המחשב אוטומטית?
אני די טירונית בכל נושא המחשב. ההיתי רוצה לדעת איזה אנטי וירוס הכי כדי לקנות. יש לי הודעה במחשב שהתמיכה שלי נגמרת בעוד 18 יום.
תודה!
נאוה
לנאוה: אם את רוצה בחינם יש את AVG. התקנתי לא מזמן, מחליט יותר מדי דברים בשבילי אבל בשביל משתמשת חדשה זה דוקא יהיה דבר טוב.
יש גם את AVAST, אבל הוא על מחשב שאינו שלי (הלפטוף עם האיכספי. יאק) אז אני לא יודעת איך הוא. מה שכן, לקח קטן: צריך להזהיר את המשתמשים שלו מראש שהוא מדבר.
את שניהם אפשר לחפש בגוגל.
נ.ב. האתר על שעון קיץ. גמני רוצה!
איזה אנטי וירוס טוב אני יכולה לקנות או להתקין לWINDOS XP
אשמח לתשובה
מאיפה אפשר להוריד אנטי וירוס חדש בעברית?!?!?!
456496070
כנסוו אלי לאיסי לעזורר לי