Почему антивирус видит вирус там где его нет

Обновлено: 06.07.2024

Все дело в том, что все современные антивирусы могут обнаруживать как уже известные им вирусы, так и неизвестные вирусы (правда, с определенной долей точности).

Известные вирусы обнаруживаются используя сигнатурное сканирование. Вкратце, суть этого метода заключается в выявлении уникальных свойств каждого вируса, создание базы этих уникальных свойств (сигнатурной базы) и поиске вирусов методом сравнения свойств сканируемых файлов с уже выявленными свойствами известных антивирусов сохраненных в сигнатурной базе. Главное достоинство этого метода - это практически 100% точность определения известных ему вирусов, независимо от используемого антивируса.

Неизвестные вирусы (вирусы, свойства которых не описаны в сигнатурной базе) таким способом не обнаружить. Для этого авторы антивирусов придумали способ обнаружения, называемый эвристическим анализом. Если описать этот метод простыми словами, то суть его заключается в том, что авторы антивирусных программ, используя свой богатый опыт, составляют список самых распространенных действий вирусов. Для каждого из этих действий устанавливают определенную важность. При эвристическом анализе файла, антивирус сравнивает действия анализируемой программы и список действий, который заложен в эвристическую базу антивируса. Таким образом, по количеству совпавших действий и их важности (с точки зрения авторов антивируса) антивирус определяет вероятность того, насколько данный файл может быть вирусом (или заражен вирусом). Из-за этих особенностей, точность данного метода зависит от множества факторов: квалификации, опыта и знания авторов антивируса с одной стороны и умением обходить эти методы авторами вирусов с другой стороны. Также нужно учитывать, что данный метод не точно определяет вирус, а только вычисляет вероятность того насколько сканируемый файл может им быть. А вот решение, какую вероятность считать подозрением на вирус, а какую нет - решают авторы антивируса при реализации этой самой эвристики.

А теперь подумаем, какие действия производят трейнеры для игр. Как правило, это программы без окон, после запуска они висят в памяти и перехватывают нажатия клавиш, они редактируют память других приложений (а как вы думали еще добавляются деньги в игре?). Для некоторых "параноидальных" эвристических анализаторов этого вполне достаточно чтобы поставить на такую программу клеймо вируса. В случае, если файл не есть вирусом, а антивирус распознал его как вирус, говорят о false positive срабатывании или ложном срабатывании. Как правило, этим грешат молодые и не очень известные антивирусные программы.

Все эти факторы (особенно в совокупности) говорят о том, что на вашем компьютере есть нежелательное ПО ( вирусы , рекламные скрипты, трояны и т.д.) .

Собственно, в этой статье хочу порекомендовать небольшой рецепт очистки как раз для таких случаев, когда не совсем понятно, как вернуть компьютер к нормальной работе (когда по всем признакам компьютер заражен вирусом, но обычный антивирус их не видит. ).

ускорение ПК

Удаление невидимого вредоносного ПО

(очистка Windows от классических вирусов, тулбаров, adware, и пр.)

«Первая» помощь:

ШАГ 1: проверка системы с помощью «онлайн» антивируса

Многие разработчики знаменитых антивирусных программ в последнее время выпускают онлайн-версии своих продуктов. Принцип работы с ними достаточно простой: загрузив к себе "относительно"-небольшой файл и запустив его, он автоматически проверит вашу систему на вирусы.

Причем, подобные продукты не конфликтуют с установленным антивирусом в системе, работают во всех современных версиях Windows, не требуют установки, и у них всегда актуальная антивирусная база.

Работа сканера ESET’s Free Online Scanner

Работа сканера ESET’s Free Online Scanner

F-Secure - вредоносные элементы не найдены

F-Secure - вредоносные элементы не найдены

Dr.Web Cureit - обнаружена 1 угроза

Dr.Web CureIt - обнаружена 1 угроза

В общем, какой бы продукт вы не выбрали — рекомендую полностью прогнать им свою систему. Нередко, удается найти десятки угроз, которые пропустил штатный установленный антивирус.

ШАГ 2: удаление рекламных надстроек с помощью AdwCleaner

Причем, избавиться от этого рекламного ПО (во многих случаях) — сложнее чем от классических вирусов. Как правило, обычный антивирус не находит ничего подозрительного и сообщает, что у вас все в порядке.

К счастью, для очистки Windows от этих вредоносных скриптов — есть свои программы, и одну из них я порекомендую ниже. Работает она параллельно вашему антивирусу (т.е. удалять его не нужно) и способна избавить от "львиной" доли проблем.

AdwCleaner: главное окно (кнопка начала сканирования

AdwCleaner: главное окно (кнопка начала сканирования "Scan Now")

Время проверки Windows на "среднем" по сегодняшним меркам компьютере - составит всего лишь 3-5 мин. (а то и быстрее). Всё потенциально нежелательное ПО, что найдется при сканировании - будет автоматически удалено и изолировано (т.е. от пользователя не нужно знать абсолютно ничего, этим, собственно, она мне и нравится).

Примечание!

После проверки вашего компьютера, он будет автоматически перезагружен . После загрузки Windows вам будет предоставлен отчет о его проверки.

Перед началом сканирования системы - рекомендую закрыть все другие приложения и сохранить все открытые документы.

ШАГ 3: проверка с помощью Malwarebytes Anti-Malware

В рамках этой статьи не могу не порекомендовать еще одну замечательную утилиту - Malwarebytes Anti-Malware (кстати, сравнительно недавно в нее встроена AdwCleaner, которую я рекомендовал чуть выше).

Malwarebytes Anti-Malware / Лого

  • - сканирование всех дисков в системе;
  • - обновление базы в ежедневном режиме (для противодействия даже только-только появившемся вирусам);
  • - эвристический анализ (позволяет обнаруживать большое числе вредоносных файлов, которых еще нет в базе);
  • - все изолированные файлы помещаются в карантин (если программа ошиблась - вы можете восстановить любой из них);
  • - список исключений файлов (которые не требуется сканировать);
  • - благодаря технологии Chameleon, программа может запуститься даже тогда, когда все аналогичные программы блокируются вирусом;
  • - поддержка русского языка;
  • - поддержка все популярных ОС Windows: Vista, 7, 8, 10, 11.

Полная проверка системы с помощью Malwarebytes Anti-Malware

Кстати, по своему опыту могу сказать, что Malwarebytes Anti-Malware отлично справляется со своей задачей. После его сканирования и очистки, большинство мусорного ПО - будет обезврежено и удалено. В общем, рекомендую к ознакомлению!

Также рекомендую ознакомиться со статьей об удалении вирусов из браузера (ссылка ниже).

ШАГ 4: восстановление системных настроек

Ее я неоднократно рекомендовал на страницах блога, сейчас же порекомендую три шага, которые в ней необходимо сделать для ликвидации проблем (если они еще остались).

AVZ, кстати говоря, позволяет восстановить некоторые системные настройки Windows, доступ к диспетчерам, и пр. моменты (которые могли испортить вирусы при заражении).

  • Троянских программ;
  • Надстроек и тулбаров в веб-браузере;
  • SpyWare и AdWare модулей;
  • BackDoor модулей;
  • Сетевых червей и т.д.

Как просканировать на вирус компьютер в AVZ

После запуска программы, выберите системный диск (хотя бы его, желательно все). Обычно он всегда помечен характерным значком .

После этого в правой части экрана нажмите кнопку " Пуск " для начала сканирования (кстати, над кнопкой " Пуск " можно сразу же выбрать, что делать с вредоносным ПО, например, удалять ).

Начало проверки в AVZ

Начало проверки в AVZ | Кликабельно

Как правило, проверка системного диска с Windows на наличие вирусов проходит достаточно быстро (5-10 мин.). Кстати, рекомендую перед такой проверкой, на время, выключить свой основной антивирус (это несколько ускорит сканирование).

Как закрыть дыры в настройках в Windows

Не секрет, что в Windows есть некоторые параметры, которые не отвечают оптимальным требованиям безопасности. Например, среди прочих, авто-запуск вставляемых дисков и флешек. И, разумеется, некоторые виды вирусов, как раз этим пользуются.

Файл - мастер поиска и устранения проблем (в AVZ)

Файл - мастер поиска и устранения проблем (в AVZ)

Далее выбрать категорию проблемы (например, " Системные проблемы "), степень опасности (рекомендую выбрать " Проблемы средней тяжести ") и начать сканирование.

Мастер поиска проблем

Мастер поиска проблем

Как восстановить системные настройки в Windows

После заражения компьютера вирусами, рекламным ПО и пр. - многие параметры и системные настройки в Windows изменяются. Например, у вас могут быть заблокированы для просмотра некоторые сайты, возможно, что будет стоят запрет на открытие редактора реестра, изменены настройки Internet Explorer и т.д.

Восстановление системы (в AVZ)

Восстановление системы (в AVZ)

Восстановление настроек системы (AVZ)

Восстановление настроек системы (AVZ)

Как правило, после проведенного восстановления, компьютер начинает работать в штатном режиме.

Если вдруг вышеперечисленное не помогло, обратите внимание на еще несколько советов в шаге 5.

ШАГ 5: еще несколько советов, если предыдущие не помогли

1. Сканирование системы в безопасном режиме

В некоторых случаях очистить компьютер от вирусов без безопасного режима - нереально! Дело в том, что в безопасном режиме Windows загружает самый минимальный набор ПО, без которого невозможна ее работа (т.е. многое нежелательное ПО в этом режиме просто не работает!).

Таким образом, многое из того, что нельзя удалить в обычном режиме, легко удаляется в безопасном.

Если у вас не получается запустить утилиты, которые я рекомендовал выше, попробуйте их запустить в безопасном режиме. Вполне возможно они не только откроются, но и найдут все, что от них "прячется".

Чтобы зайти в безопасный режим — при загрузке компьютера нажмите несколько раз кнопку F8 — в появившемся соответствующем меню выберите данный режим.

2. Восстановление системы

Если у вас есть контрольная точка восстановления, которая была создана до заражения вашего компьютера вирусами и рекламным ПО, вполне возможно, что, откатившись к ней, вы исправите ситуацию.

3. Переустановка Windows

Вообще, я не сторонник по каждому "чиху" переустанавливать систему. Но в некоторых случаях, гораздо проще и быстрее переустановить систему, чем мучиться с вредоносным ПО.

Галерный Искусственный Интеллект (108556) Да ну? 404 - Запрашиваемая страница не найдена.

Файл не страшный, т. к. внутри никаких троянов и прочих опасных.
Касперу не понравились некоторые вызываемые приложением функции, это мелочь.
Просто "подозрительный объект".

каспер всегда особо отличался обнаружением черной кошки в тёмной комнате при том что её там собственно и нет.

Николай Спасский Мастер (1412) больше 5 лет пользуюсь AVG притом бесплатной его неполной версией, еще не одного вируса не схватил. а на работе заставили всем каспера поставить так та еще как. лезет во все процессы всех компов по локальной сети, суёт нос везде и всюду и ужасно тянет ресурсы компов как бы я его не ограничивал. так что я знаю на сколько он неудобный и тяжелый. Лучший антивирус сидит в 50 сантиметрах от экрана, ибо нефиг тыкать во всякой вирусне в нете, зачастую вирусы за километр видать

Что мешает погуглить и прочитать описание вируса?
Это троян. Я бы не запускал.
Бывает антивирусы реагируют на неопасные вещи. Но это троян, как я понял.

UDS: DangerousObject.Multi.Generic классифицируется как троянские атаки, которая является Kaspersky Security Network (KSN) обнаружения. Обычно UDS: DangerousObject.Multi.Generic может быть распределен во вложениях электронной почты или в комплекте с другого программного обеспечения для взлома компьютерных систем. Будучи вредоносных инфекций, УДС: DangerousObject.Multi.Generic широко перераспределяются, чтобы отключить все программы, связанные с драйвером, установленным на компьютере, чтобы защитить себя от попыток взлома.

Хотел предложить проверить файл на [ссылка заблокирована по решению администрации проекта] , а в комментарии вижу, что это уже кто-то сделал.
Если в поведении ничего опасного не найдено, то можно рискнуть, но полной уверенности быть не может. Следите за тем, что будет дальше.
Если первое обнаружение - 1 год, 3 месяцев назад, то, видимо, программа не опасна, иначе ее бы уже "раскусили".

Сведения об устранении неполадок в этой статье могут помочь вам, если вы столкнулись с какой-либо из указанных ниже проблем при обнаружении и удалении вредоносных программ с помощью антивирусной программы в Microsoft Defender, Microsoft Security Essentials или других антивредоносных решений Майкрософт:

Если проверки занимают слишком много времени или выполняются очень медленно, попробуйте сделать следующее:

Убедитесь, что на диске достаточно места

Антивирусной программе в Microsoft Defender требуется место на диске для удаления файлов вредоносных программ и помещения их в карантин. Если на компьютере недостаточно места, особенно на системном диске (обычно на диске C), программа не сможет полностью удалить угрозу. Справку по освобождению места см. в следующих разделах:

После освобождения некоторого места выполните обновление, а затем повторно запустите проверку.

Полная проверка объемного диска с большим количеством файлов занимает много времени. Крупные файлы, особенно архивы, такие как ZIP-файлы, проверяются дольше.

Запускайте проверку, пока компьютер не используется, закрыв все другие программы

Проверка использует системные ресурсы, такие как процессор и память. Если у вас запущены другие программы, они могут создавать своего рода затор трафика, который может замедлить проверку вредоносных программ, даже если вы не используете их активно. Попробуйте закрыть ненужные приложения во время проверки.

Совет: Для достижения наилучших результатов попробуйте перезагрузить компьютер и сразу выполнить проверку, не открывая другие приложения.

Если в антивирусной программе в Microsoft Defender регулярно происходят ошибки во время проверок или удаления вредоносных программ, попробуйте сделать следующее:

Отправьте нам свой отзыв, чтобы мы как можно быстрее выпустили исправление. По умолчанию Windows автоматически собирает сведения об ошибках, но описание ошибки в приложении "Центр отзывов" может помочь нам быстрее устранить ошибку.

Совет: Вы можете быстро запустить приложение "Центр отзывов о Windows" в Windows 10, нажав клавишу Windows + F.

Запустите Центр обновления Windows, чтобы применить исправления и обновить компоненты до последних версий.

Если в антивирусной программе в Microsoft Defender регулярно происходят ошибки во время обновления, попробуйте установить последние обновления безопасности вручную.

Для обнаружения новейших угроз используйте эффективное антивредоносное ПО, например антивирусную программу в Microsoft Defender, встроенную в Windows. Перед проверкой убедитесь, что важнейшие компоненты безопасности включены и что антивирусная программа в Microsoft Defender обновлена до последней версии.

Используйте антивирусную программу в Microsoft Defender с функцией облачной защиты

По умолчанию включены следующие дополнительные функции. Если вы их отключили, рекомендуется включить их для обеспечения наилучшей защиты:

Автоматическая отправка образцов

Чтобы включить эти функции, сделайте следующее:

Выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Защита от вирусов и угроз.

В разделе Параметры защиты от вирусов и угроз выберите Управление параметрами.

Убедитесь, что параметры Облачная защита и Автоматическая отправка образцов установлены в положение Вкл.

Эти параметры значительно повышают вероятность обнаружения неизвестных вредоносных программ и обеспечивают автоматическое создание новых обновлений системы безопасности, помогающих защитить все другие компьютеры с антивирусной программой в Microsoft Defender от новых обнаруженных угроз.

Обновление антивирусной программы в Microsoft Defender перед проверкой

По умолчанию антивирусная программа в Microsoft Defender автоматически обновляет определения не менее раза в день. Наличие обновлений можно также проверять вручную:

Выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Защита от вирусов и угроз.

В разделе Обновления защиты от вирусов и угроз выберите Проверить наличие обновлений.

В разделе Определения угроз выберите Проверить наличие обновлений.

Если вы продолжаете сталкиваться с подозрительными файлами, которые не обнаруживает антивирусная программа в Microsoft Defender, отправьте их Майкрософт для анализа.

Даже после удаления вредоносные программа может вернуться на компьютер, если вы посетите веб-сайт, на котором она размещена, или снова получите ее по электронной почте. Избегайте веб-сайтов, на которых могут быть вредоносные программы, например сайты для незаконного скачивания файлов.

Для защиты от угроз с вредоносных веб-сайтов используйте современный браузер, такой как Microsoft Edge, который использует фильтр SmartScreen в Microsoft Defender для выявления сайтов с плохой репутацией. Выполните обновление до последней версии Windows, чтобы воспользоваться целым рядом встроенных улучшений системы безопасности.

В некоторых случаях повторное обнаружение одних и тех же вредоносных программ происходит из-за того, что необнаруженный вредоносный компонент постоянно незаметно переустанавливает обнаруженную вредоносную программу. Как правило, вредоносная программа переустанавливается и повторно обнаруживается сразу после перезапуска компьютера. Чтобы решить эту проблему, попробуйте выполнить проверку с помощью автономного Microsoft Defender для выявления скрытых угроз

Проверка с помощью автономного Защитника Windows

Если одни и те же вредоносные программы продолжают заражать ваш компьютер, воспользуйтесь автономным Защитником Windows для поиска и удаления повторяющихся вредоносных программ. Автономный Microsoft Defender — это средство проверки, функционирующее за пределами Windows, что позволяет ему обнаруживать и удалять вредоносные программы, которые скрываются во время работы Windows.

Примечание: Перед запуском проверки с помощью автономного Microsoft Defender сохраните свою работу. Перед выполнением проверки компьютер перезапустится.

Для запуска автономной проверки в Windows:

Выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Защита от вирусов и угроз.

В разделе Текущие угрозы выберите Параметры проверки.

Выберите Проверка с помощью автономного Защитника Windows, а затем — Проверить сейчас.

В Windows 8.1 потребуется скачать автономный Microsoft Defender как отдельный инструмент. Дополнительные сведения см. в статье Защита компьютера с помощью автономного Microsoft Defender.

Вредоносная программа привела к необратимым изменениям

Если вредоносная программа привела к необратимым изменениям на компьютере, попробуйте вернуть компьютер в исходное состояние. Эта процедура может включать в себя восстановление данных из резервной копии.

Возврат компьютера в исходное состояние, восстановление или переустановка системы

Создайте резервную копию всех файлов и параметров, которые требуется сохранить, чтобы восстановить их в дальнейшем. Windows предоставляет несколько вариантов возврата компьютера в исходное состояние или его восстановления. Если вы решите выполнить переустановку вручную, вам потребуется подготовить установочные диски, ключи продуктов и файлы настройки.

Примечание: Если возможно, восстановите файлы из резервных копий, созданных до заражения и хранящихся вне компьютера, например в хранилище OneDrive, которое регулярно создает облачные резервные копии с ведением журнала версий. Резервные копии, находившиеся на компьютере в момент заражения, могли быть изменены вредоносной программой.

Дополнительные сведения о переустановке или восстановлении Windows см. в следующих статьях:

Обновление программного обеспечения

Сразу после восстановления компьютера обновите программное обеспечение до последних версий. Последние версии программного обеспечения включают доступные исправления известных проблем безопасности. Это поможет защитить компьютер от вредоносных программ, использующих уязвимости в системе безопасности.

Дополнительные сведения об обновлении программного обеспечения Майкрософт и сторонних приложений см. в следующих статьях:

Отправка отзыва в Майкрософт

Майкрософт постоянно работает над улучшением взаимодействия пользователей со всеми текущими продуктами, включая антивирусную программу "Защитник Windows". Рекомендуется всем пользователям применять указанные ниже каналы обратной связи в составе Windows.

Настройте Windows на автоматический запрос отзывов. По умолчанию Windows уже настроена на автоматический запрос отзывов. Чтобы проверить, включена ли эта функция, перейдите в меню Пуск > Параметры > Конфиденциальность > Диагностика и отзывы. Убедитесь, что в разделе Частота формирования отзывов параметр настроен таким образом, чтобы Windows автоматически запрашивала отзывы.

Если у вас есть вопросы о параметрах конфиденциальности и отзывов, ознакомьтесь с разделом Диагностика, отзывы и конфиденциальность в Windows 10.

Почему на внешне безобидные программы ругаются антивирусы? Стоит ли доверять на 100% антивирусным программам? Как определяются новые вредоносные программы? Что делать, если происходят ложные срабатывания антивируса? На эти и другие вопросы вы найдёте ответ в данной статье.

Раньше деревья были выше и пиво вкуснее…


Прежде всего, стоит задать вопрос, что же, собственно, такое — компьютерный вирус? Это обычная компьютерная программа, способная к самовоспроизведению. То есть, умеющая распространять и запускать свои копии. Никакой мистики. К слову, вирус совершенно необязательно должен приносить какой-то вред. Он может просто распространяться и не удалять или воровать важные данные, либо блокировать работу компьютера.

Когда-то, когда самой массовой операционной системой была DOS, компьютерные сети существовали, но не были так сильно развиты, как сейчас, проблема компьютерных вирусов существовала, но решалась достаточно просто.

Нужно было загрузить с "чистой" дискеты (это означало, что загрузочный сектор диска не содержал BOOT-вирусов) и запустить какой-нибудь антивирусный сканер: AidsTest или Dr.WEB. И после этого запускать сканирование или лечение. Обычно, программа-сканер работала достаточно быстро даже на маломощных компьютерах и, как правило, при нахождении вирусов даже "лечила" программу, которая была инфицирована вредоносным кодом.

В то время разнообразных вирусов было не такое чудовищное количество, как сейчас, да и технологии внедрения были, хотя и весьма изощрёнными, но немногочисленными. Нужно также сказать, что квалификация авторов вирусов была гораздо выше, что давало более-менее качественный код без грубых ошибок. Соответственно, и авторы антивирусов могли написать алгоритмы "лечения" инфицированных EXE и COM-программ, которые могли корректно удалить код из программы-донора, позволив ей корректно работать после исправления.

Вообще говоря, можно было обойтись и без антивируса вовсе, если строго придерживаться определённых правил и иметь резервные копии важных данных. Это правило справедливо и сейчас, однако следовать ему становится всё сложнее.

Бурное развитие IT-технологий дало мощнейшее развитие и технологиям компьютерных вирусов. Итак, что же происходит сейчас?

Наши дни

В силу большой распространённости IT-технологий уровень общей компьютерной грамотности пользователей падает. И падает с каждым годом. С одной стороны, офисные программы становятся понятнее и доступнее, а с другой, технологии работы усложняются.

Конечно, можно настроить операционную систему соответствующим образом, работать не под администратором, а под пользователем с ограниченными правами. Настроить правильным образом встроенный в Windows файрвол, придерживаться определённых правил при работе и тогда можно не бояться вирусной угрозы. Потому что лучший антивирус — это думающий пользователь. Но, как правило — это утопия.
Получается, что сделать из обычного пользователя гуру технической безопасности не представляется возможным.

С одной стороны, чем пользователю удобнее и проще работать — тем больше возможностей проникновения в компьютер вредоносного ПО. С другой стороны, превращая компьютер в бронированный дот, мы делаем невыносимой работу обычного человека, вынужденного постоянно вводить пароли, нажимать на разные кнопки в открывающихся окошках системы защиты и т.п.

Апологеты Linux могут тут злорадно улыбнуться, дескать, это в ваших Windows такое творится, у нас же вирусов вообще нет. Не хочу разводить холивары (Holy Wars), но могу возразить:

  1. Windows можно настроить правильным образом. Но тогда перестают работать либо работают плохо огромное количество программ, которые были разработаны для более старых версий Windows. И эти программы работают, так как Microsoft старается выдерживать совместимость с большинством старого ПО.
  2. Распространённость системы Windows в десятки, если не в сотни раз выше, чем Linux. Соответственно, и вредоносного ПО для неё создаётся больше всего. Потому что это массовая операционная система. Писать компьютерный вирус, который будет поражать 2% компьютеров, смысла не имеет.

Свято место пусто не бывает


Ситуация с доступностью и незащищённостью самой массовой операционной системы дала мощнейший толчок производителям антивирусного программного обеспечения.

Это яркий пример того, что стоить выпустить хороший удобный продукт, но понадеяться на "авось" в вопросах безопасности и дать обычному пользователю сразу после установки системы неограниченные права администратора, как компьютер будет "заражен" через 15 минут активного серфинга по всемирной паутине.

Сейчас производители антивирусов — это серьёзные компании с большим штатом специалистов. Тут не место одиночкам-энтузиастам. Обновления для антивирусов выходят с частотой до нескольких раз в сутки, а сами антивирусы превратились в огромных монстров.
Продаются хорошие антивирусы, как горячие пирожки, потому что они, по сути, выполняют работу администраторов, думают за пользователей и закрывают все возможные бреши в настройке операционных систем.

Количество вирусных сигнатур, которые определяет хороший антивирус, исчисляется десятками тысяч. Теперь антивирус — это не просто программа, которая запускается по требованию. Сейчас это целый комплекс: антивирусный монитор, работающий непрерывно и находящийся в памяти загруженным постоянно, сканер, сетевой брандмауэр и много чего ещё.

Коммунизм почему-то всё равно не наступил


Как же так? Ведь разработкой антивирусов занимаются огромные компании с большим штатом сотрудников. Тратится куча денег на новые технологии. Обновления выходят чуть ли не каждый час.. СТОП.

Что такое обновления антивирусных баз?

Если говорить простым языком — это новые способы определения новых компьютерных вирусов. То есть, злой и нехороший программист Василий Пупкин взял и написал новый вирус. И нашёл способ запустить его в Интернет, заражая компьютеры других пользователей. Самое интересное то, что этот вирус не найдёт ни один, даже самый крутой и дорогой антивирус!

Я пишу, конечно, утрированно, в реальности ситуация гораздо сложнее и есть много нюансов, о части которых ещё мы будем говорить. Но суть остаётся той же.

Абсолютно новые вирусы плохо определяют либо не определяют вообще все антивирусы

То есть, мы получаем ситуацию: распространяется новый вирус, заражается некоторое количество компьютеров, потом этот вирус спустя какое-то время попадает в руки вирусологов-исследователей. И только потом делается очередная "заплатка" к антивирусным базам. Базы обновляются на компьютерах пользователей и — вуаля, антивирус "уже" ловит новый вирус. Но вред вирус "уже" причинил.

Выходит, беря деньги с людей за подписку на обновления антивирусных баз, производители антивирусного ПО попадают в неловкую ситуацию. Да, своевременное обновление антивирусных сигнатур уменьшает скорость распространения новых вредоносных программ. Это хорошо.
Но новые вирусы — есть новые вирусы. Они сначала распространяются, и только затем их ловят. Ни один антивирус не даст гарантии защиты.

Таких гарантий просто не существует.

Ситуация патовая, впрочем, разработчики антивирусов её стараются решать.

Эвристические технологии

Суть данных технологий проста. Если создаётся вредоносная программа, то она, вероятно, будет делать какие-то определённые действия, несвойственные или мало свойственные обычной программе, которая вреда не приносит.

Значит, можно выявить некоторые закономерности, и потом, анализируя новую программу, с какой-то вероятностью решить: да, эта программа — потенциальный вирус.


Звучит очень здорово. Антивирус может поймать абсолютно новый вирус, ничего не зная о его сигнатуре. В реальности же всё намного хуже. Ключевое слово в этой технологии "вероятность". То есть, абсолютно точно сказать, что эта неизвестная программа - вирус, не может никто.
Более того, зачастую на вполне обычные программы антивирусы разных производителей ругаются, дескать, у вас гадость завелась. "Вероятно".

Пользователи же, в силу природной лени, недостаточной компьютерной грамотности, незнания основ английского языка (нужное подчеркнуть) - видят только красную табличку антивируса, в которой он сомневается, что ему делать, и просит пользователя принять (за него!) соломоново решение. Ответственность антивирус на себя брать не хочет. Мало ли, а вдруг — промах? (вероятность же). И, не читая, отправляют программу на расстрел. Антивирус же сказал, что это вирус! (а диалоговых окон мы не читаем, мы "Ок" нажимать обучены).

Итог — в лучшем случае, люди пишут в службу поддержки разработчиков софта, что, мол, ваша программа заражена вирусом. Разработчики божатся, что всё прекрасно, и пишут в службы поддержки антивирусов, доказывая, что их программы не вредоносны. И так по бесконечному кругу.

В худшем случае — софт просто удаляют, бесконечно доверяя антивирусу.

Вопрос доверия к разработчику


Согласитесь, что устанавливая для работы любую программу, вы не знаете, что в ней внутри. Это может быть чат, текстовый редактор, музыкальный проигрыватель. Что угодно. И, начиная работать с программой, человек считает, что это просто программа, которая выполняет возложенные на неё функции.

Однако, программисты, которые писали эту программу, могли вложить в неё не только полезные функции, но и вредоносные. Любые. Функции для воровства личных данных, уничтожения важных документов, получения паролей и так далее, насколько хватит фантазии.
Формально — да. На самом деле — конечно нет. Почему? Да потому что если будет зафиксирован факт деструктивных действий или воровства личных данных — доверие к разработчику программы у людей пропадёт. Его программу удалят и о данном инциденте узнает весь мир. Благо, Интернет распространён очень сильно.

Итог — испорченная репутация, проблемы с судом, отсутствие продаж, банкротство. Такой исход событий не нужен ни одному разработчику ПО. Соответственно, ни при каких условиях, разработчик коммерческого программного обеспечения не будет встраивать в свою программу вредоносный код. Это просто глупо и бессмысленно.

Доверяй, но проверяй


Итак, мы верим разработчику программы, что в его софт не встроен вредоносный код. Качаем инсталлятор с сайта и устанавливаем у себя. Как проверить, что у нас именно этот дистрибутив, который распространяет разработчик? Что в процессе закачки не произошло подмены, что у нас на компьютере после закачки активный вирус не внедрился в дистрибутив?

Для этого существует понятие контрольной суммы, например, MD5. Достаточно посчитать контрольную сумму полученного файла и сравнить её с той, которая указана на сайте разработчика. Если эти строки совпадают — то да, у нас именно тот дистрибутив, который находится у разработчика программы.

Если в дистрибутиве изменился хотя бы один байт — контрольная сумма будет другая.

Итак, если у вас есть хоть малейшие сомнения по поводу идентичности дистрибутивов — сравните контрольные суммы, это лучший способ.

А что говорят другие антивирусы?


Как правило, на компьютере если и установлен антивирус, то только один. Сами же установщики антивирусов честно предупреждают о невозможности "совместной жизни" с другими антивирусами одновременно.

Выходит, что проверить программу можно одним, двумя антивирусами, которые есть "под рукой". Но, по теории вероятности, если антивирусов больше — шанс определить вирус тоже выше.

К слову, мы сами регулярно проверяем с помощью этого сервиса дистрибутивы MyChat перед выпуском, чтобы увидеть, есть ли ложные срабатывания каких-либо антивирусов или нет, чтобы быть готовыми к возможным вопросам пользователей заранее.

Помимо самого отчёта множества антивирусов, предоставляемого сервисом, будут полезны также контрольные суммы проверяемых файлов (MD5 в том числе).

Итак, если у вас стоит антивирус и "ругается" на файл, как подозрительный, то, проверив файл ещё десятком самых популярных антивирусов, можно получить, как минимум информацию к размышлению. Ошибки эвристических анализаторов антивирусных программ, как уже писалось выше, никто не отменял.

Антивирусы против систем защиты программ


Со взломом программ сложилась очень сложная ситуация. С одной стороны, если программу не защищать — её попросту не будут покупать. Сломают и выложат на огромном количестве сайтов для свободного скачивания. Разработчик не получит с этого ни копейки, соответственно, большое количество времени, усилий и средств будет потрачено зря. Программа не принесёт прибыли. Причём, что интересно, вопрос цены тут не стоит вовсе. Не важно, сколько стоит программа, крякера как правило, это не очень интересует. Ему важен факт взлома. Вопрос нанесения ущерба непосредственно разработчику этого человека, как правило, тоже не волнует.

Следовательно, программы всё же необходимо защищать. И чем более сложной и изощрённой будет система защиты, тем сложнее и дольше её будет взламывать.

Конечно, идеальной защиты, как и идеального антивируса, нет, и быть не может. Но, как правило, надо стремиться к тому, чтобы усилия, потраченные на взлом программы, обходились дороже, чем покупка. То есть — "дешевле купить, чем сломать".


Системы защиты программ от взломщиков всегда развиваются бок о бок с антивирусами и вирусами. Так уж исторически сложилось, что для анализа программ используются отладчики. Вирусам нежелательно обнаруживать своё присутствие, поэтому они стараются всячески скрываться и пользуются всем арсеналом антиотладочных приёмов. Занимаются шифрованием своего кода, чтобы максимально усложнить жизнь вирусологам и так далее. Теми же методами пользуются и системы защиты — только они уже защищаются не от вирусологов, а от взломщиков программ.

Однако, если вирусолог отладчиком анализирует потенциальный вирус — он делает благое дело. А если тем же отладчиком пользуется крякер, чтобы обойти защиту программы — он вор.

В идеале, если система защиты достаточно хороша, анализ её отладчиком становится невозможен. И тут мы получаем ситуацию, когда антивирус, не в силах одолеть систему защиты, просто детектирует разработчика этой защиты и пишет, скажем "ThemidaPacked". И всё. Умываем руки. Формально, там может быть и полезный и вредоносный код, но антивирус этого определить не может. То есть, встаёт опять вопрос доверия к разработчику программы.

Следует учитывать, что паковать навороченной системой защиты вредоносный софт также не имеет смысла. Просто потому, что это будут, как минимум, выброшенные на ветер деньги. И немалые. Упакованную программу разработчик защиты определит очень просто, по той же контрольной сумме, которая уникальна для каждой копии системы защиты.

И разработчик программы, который решит защитить таким образом свой вредоносный код, получит, ко всем прочем финансовым потерям, ещё и потерю лицензии на систему защиты.

А значит, защищать коммерческое ПО серьёзной системой защиты, чтобы никто не узнал, что внутри есть вирус — бессмысленно.

Как сказать разработчику антивируса, что файл не заражен вирусом?

  • Agnitum Outpost Antivirus — http://www.agnitum.ru/support/submit_files.php
  • AVG —http://samplesubmit.avg.com/ww-en/false-detection
  • Avira Antivir — http://analysis.avira.com/samples/index.php?processed=1
  • Comodo Antivirus — http://www.comodo.com/home/internet-security/submit.php
  • Eset NOD32 — http://www.esetnod32.ru/.support/knowledge_base/new_virus/
  • Dr.WEB — https://vms.drweb.com/sendvirus/ (выбрать "категория запроса" - "ложное срабатывание")

Итак, обобщив вышесказанное в свете коммерческого программного обеспечения, стоит сказать, что:

Читайте также: