Додаткова інформація - Евристичний аналізатор AVZ

Евристичний аналізатор AVZ

Антивірусна програма здійснює пошук вірусів та шкідливих об'єктів на підставі порівняння досліджуваної програми зі своєю базою даних з описами вірусів. При виявленні відповідності антивірус може проводити лікування знайденого вірусу, причому правила та методики лікування зазвичай зберігаються у тій же базі даних.

Однак ця база даних стає вразливим місцем антивіруса - він може виявляти лише віруси, описані у його базі даних. Частково усунути цю проблему дозволяє евристичний аналізатор – спеціальна підсистема антивірусу, яка намагається виявити нові різновиди вірусів, які не описані в базі даних. Окрім вірусів евристичний аналізатор AVZ намагається виявити шпигунське ПЗ, Hijacker та троянські програми.

Робота евристичного аналізатора заснована на пошуку характерних для вірусів та шпигунських програм особливостей (фрагментів програмного коду, певних ключів реєстру, файлів та процесів). Крім того, евристичний аналізатор намагається оцінити ступінь схожості об'єкта, що досліджується, на відомі віруси.

Для пошуку шпигунського ПЗ, RootKit та Hijacker найбільш ефективний евристичний аналіз не окремо взятих файлів на диску, а всієї системи загалом. При цьому аналізується сукупність даних у реєстрі, файлів на диску, процесів і бібліотек у пам'яті, портів, що прослуховуються TCP і UDP, активних сервісів і завантажених драйверів.

Особливістю евристичного аналізу є досить високий відсоток помилок – евристик може повідомити про виявлення підозрілих об'єктів, але ця інформація потребує перевірки фахівцями-вірусологами. В результаті перевірки об'єкт визнається шкідливим і включається до баз або фіксується хибнеспрацьовування та алгоритми евристичного аналізатора вводиться поправка.

У більшості антивірусів (в тому числі і в AVZ) є можливість регулювання чутливості евристичного аналізатора. У цьому завжди виникає суперечність - що вище чутливість, то вище ймовірність виявлення евристикою невідомого шкідливого об'єкта. Але при збільшенні чутливості зростає вірогідність помилкових спрацьовувань, тому потрібно шукати "золоту середину".

Евристичний аналізатор має кілька ступенів чутливості та два особливі режими:

• блокування роботи евристичного аналізатора. При цьому аналізатор повністю виключається із роботи. В AVZ крім регулювання рівня чутливості евристичного аналізатора є можливість включати та вимикати евристичний аналіз системи;

• "параноїдальний" режим - у цьому режимі включається максимально можлива чутливість і попередження виводяться за найменшої підозри. Цей режим природно неприйнятний через дуже високу кількість помилкових спрацьовувань, але іноді корисний.

Основні повідомлення евристичного аналізатора AVZ наведено в наступному списку:

• " Ім'я файлу ">>> Дані в дужках дозволяють розробнику знайти в базі антивіруса запис, який привів до видачі цього повідомлення;

• "Ім'я файлу >>> PE файл з нестандартним розширенням" - це означає, що виявлено програмний файл, але замість типового розширення EXE, DLL, SYS він має інше, нестандартне розширення. Це не небезпечно, але багато вірусів маскують свої PE файли, даючи їм розширення PIF, COM. Цеповідомлення виводиться у будь-якому рівні евристики для PE файлів з розширенням PIF, COM , решти - лише за максимальному рівні евристики;

• "Ім'я файлу >>> В імені файлу більше 5 пробілів" - безліч пробілів в імені файлу - це рідкість, проте багато вірусів застосовують пробіли для маскування реального розширення, створюючи файли з іменами типу "photo.jpeg .exe";

• "Ім'я файлу >>> Виявлено маскування розширення" - аналогічно попередньому повідомленню, але видається при виявленні більше 15 пробілів в імені;

• "Ім'я файлу >>> файл не має видимого імені" - видається для файлів, що не мають імені (тобто ім'я файлу має вигляд ".exe" або ".pif");

• "Процес Ім'я файлу може працювати з мережею" - виводиться для процесів, які використовують бібліотеки типу wininet.dll, rasapi32.dll, ws2_32.dll – тобто. системні бібліотеки, що містять функції для роботи з мережею або керування процесом набору номера та встановлення з'єднання. Ця перевірка проводиться лише за максимального рівня евристики. Факт використання мережевих бібліотек природно перестав бути ознакою шкідливості програми, але звернути увагу до незрозумілі процеси у цьому списку варто;

Після повідомлення може виводитися цифра, яка є ступенем небезпеки у відсотках. На файли, для яких видано ступінь небезпеки більше 30, слід звернути особливу увагу.