Как бороться с неизвестными вирусами?

Производители антивирусного ПО вновь пытаются использовать некоторые известные приемы для борьбы с компьютерными вирусами, распространяющимися в Internet. Один из методов называется эвристическим и предусматривает для выявления потенциальных вирусов проверку «подозрительных» команд в программах.

Эвристические технологии могут выявлять новые вирусы, никогда ранее не встречавшиеся, и, таким образом, способны предотвращать распространение опасного программного кода. В старом методе, получившей название поиска по сигнатурам (характерным признакам вируса), для идентификации вирусов используются конкретные фрагменты их программного кода.

Оба метода имеют свои недостатки. Эвристические методы нередко дают ложные предупреждения, помечающие «чистый» программный код как подозрительный. Метод поиска по сигнатурам требует, чтобы произошло заражения вирусом (для его изучения) — лишь после этого исследователь может создать для него «вакцину» (антивирусную корректировку). Тем временем вирус будет продолжать распространяться. Большинство производителей антивирусных программ применяют оба метода.

Некоторые специалисты считают, что отрасли пора проанализировать и другие подходы, поскольку прежний метод поиска по сигнатурам недостаточно эффективен при выявлении новых вирусов.

Компания Alladin Knowledge Systems, дополнившая свои антивирусные продукты новой эвристической технологией, заявляет, что ей удалось добиться выявления 85% новых вирусов при незначительном числе «ложных сигналов».

Недавнее распространение вируса Melissa показало, что эвристические методы не дают надежной защиты — некоторым вирусам удается преодолеть антивирусный заслон, и с ними нужно бороться традиционными методами. Вирус Melissa оказался макровирусом, быстро распространяющимся благодаря самотиражированию. Он передавался через электронную почту, рассылаемую всем получателям, которых программа находила в адресной книге. Melissa прекрасно иллюстрирует, почему макровирусы так беспокоят разработчиков антивирусных продуктов.

Аналитики отмечают, что Melissa был тривиален с технической точки зрения, но хорошо продуман стратегически. Он продемонстрировал, какие неприятности может причинить вирус. Для борьбы с такими вирусами эвристические методы незаменимы.

Создать макровирусы очень несложно. Ходят слухи о существовании приложений, автоматически генерирующих макровирусы и предлагаемых на хакерских сайтах. Написать маркровирус или заменить им существующую макрокоманду может даже не очень квалифицированный пользователь. Сегодня разработчики антивирусных продуктов пристально следят за еще одним вирусом, получившим название Pretty Park и распространяющимся во Франции. Он использует пароли и другую идентификационную информацию в чатах Internet. До сих пор он не причинял особых неприятностей, поскольку его функция самотиражирования оказалась не работающей.

Специалисты считают, что большое число макровирусов можно перехватить, однако в этом случае эвристические алгоритмы будут давать большое число «ложных сигналов».