Co je to: Antivirový program
Antivirový program (zkráceně antivir) je počítačový software, který slouží k identifikaci, odstraňování a eliminaci počítačových virů a jiného škodlivého software (malware). K zajištění této úlohy se používají dvě odlišné techniky:
1) prohlížení souborů na lokálním disku, které má za cíl nalézt sekvenci odpovídající definici některého počítačového viru v databázi
2) detekcí podezřelé aktivity nějakého počítačového programu, který může značit infekci. Tato technika zahrnuje analýzu zachytávaných dat, sledování aktivit na jednotlivých portech či jiné techniky.
Úspěšnost závisí na schopnostech antivirového programu a aktuálnosti databáze počítačových virů. Aktuální virové databáze se dnes nejčastěji stahují z Internetu. V poslední době ale odborníci pochybují o užitečnosti antivirových nástrojů, když se účinnost detekce malware v e-mailech odhaduje jen 25%. I hodnocení efektivnosti jsou nyní zpochybňována. Odhaduje se, že počítačová bezpečnost (antiviry, firewally a další techniky) bude v roce 2020 spotřebovávat 1 EJ energie za rok.(v roce 2008 byla celková světová spotřeba elektřiny zhruba 73 EJ a v ČR zhruba 0,2 EJ)
Metody – Virové slovníky/databáze
Při kontrole souboru antivirový program zjišťuje, zda se nějaká jeho část neshoduje s některým ze známých virů, které má zapsány v databázi. Pokud je nalezena shoda, má program tyto možnosti:
a) pokusit se opravit/vyléčit soubor odstraněním viru ze souboru (pokud je to technicky možné)
b) umístit soubor do karantény (virus se dále nemůže šířit, protože ho nelze dále používat)
c) smazat infikovaný soubor (i s virem)
K dosažení trvalého úspěchu ve středním a dlouhém období vyžaduje virová databáze pravidelné aktualizace, které obsahují informace o nových virech. Pokud je antivirový program neaktualizovaný, představují viry přinejmenším stejné nebezpečí, jako kdyby antivir v počítači vůbec nebyl! Uživatelé mohou sami zaslat svůj infikovaný soubor výrobcům antivirových programů, kteří informaci o novém viru začlení do databáze virů.
Antivirový program fungující na platformě databáze virů kontrolují soubory v momentě, kdy je operační systém počítače vytvoří, otevře, zavře nebo je zasílá/přijímá emailem. V takovém případě je virus možné zjistit ihned po přijmutí souboru. Nutno podotknout, že uživatel může naplánovat kontrolu celého systému (pravidelně, nebo na určitý čas). Lze tedy plánovat opakované kontroly všech/části souborů, které se na jednotlivých discích nacházejí. Velmi často je antivirová kontrola naplánována ihned po startu počítače.
Ačkoli lze při kontrole za pomoci virových databází virus spolehlivě zničit, tvůrci virů se vždy snaží být o krok napřed v psaní virových softwarů pomocí “oligomorfních”, “polymorfních” a stále častěji “metamorfních” virů, které šifrují část sami sebe nebo jinak upravují vlastní kód jako metodu zamaskování před rozpoznáním virovými databázemi. Dalo by se říci, že jde o jakési dynamické mutace klasických virů, které není vždy jednoduché rozpoznat.
Nebezpečné chování
Metoda zjištění nebezpečného chování se oproti virovým databázím nesnaží najít známé viry, namísto toho sleduje chování všech programů. Pokud se takový program pokusí zapsat data do spustitelného programu, antivirus například označí toto nebezpečné chování a upozorní uživatele, který je antivirovým programem vyzván k výběru dalšího postupu.
Výhodu má tento postup zjištění nových virů v tom, že ačkoli je virus zcela nový, neznámý ve virových databázích, může ho snadno odhalit. Nicméně i tato metoda má své nevýhody. Stává se, že antivirový program hlásí spoustu falešných “nálezů” viru. To může mít za výsledek, že uživatel postupem času přestane vnímat ta “pravá” varování. Pokud tedy uživatel automaticky povolí pokračování programu, je jasné, že v takovém případě antivirus neplní dále svoji funkci varovat uživatele před možným nebezpečím. Z tohoto důvodu tento postup stále více moderních antivirových programů využívá méně a méně.
Další metody
Určité antivirové programy používají další typy heuristických analýz. Například se může pokusit napodobit začátek kódu každého nového spustitelného souboru tak, že ho systém vyvolá ještě před přenosem do tohoto souboru. Pokud se program chová tak, že použije “samo-modifikační” kód nebo se jeví jako virus (pokud například začne hledat další spustitelné soubory), můžeme předpokládat, že virus nakazil další spustitelné soubory. Nicméně i tato metoda může hlásit falešné pozitivní nálezy.
Další metoda detekce virů se týká užití tzv. sandboxu. Sandbox, neboli pískoviště, napodobuje systém a spouští .exe soubory v jakési simulaci. Po ukončení programu software analyzuje sandbox, aby zjistil nějaké změny, ty mohou ukázat právě přítomnost virů. Tato metoda může taky selhat a to pokud jsou viry nedeterministické a výsledek nastane za různých akcí nebo akce nenastanou při běhu – to způsobí, že je nemožné detekovat virus pouze z jednoho spuštění.
Existují také antiviry, které varují uživatele před viry na základě toho, jakého typu soubor je.
Perspektivní metoda, která si obvykle poradí s malware, je tzv. “whitelisting”. Spíše než vyhledávání jen známého zákeřného softwaru tato technika předchází spouštění všech kódů kromě těch, které byly již dříve označeny jako důvěryhodný administrátorem (uživatelem). Navíc aplikace v počítači, které jsou označeny jako malware, mají automaticky zakázáno spouštění, jakmile nejsou na “whitelist”, tedy seznamu povolených programů. Dnes již existuje velké množství aplikací vytvořených velkými organizacemi, které jsou široce používané a “whitelist” je tedy tvořen především administrátory, kteří software rozpoznávají. Možné provedení této techniky zahrnuje nástroje pro automatické zálohy a whitelist procesy údržby.
Testy antivirových programů
Testy antivirů jsou prováděny zpravidla nejméně jednou ročně nezávislými testovacími agenturami. Mezi nejznámější patří agentury AV Test nebo AV Comparatives. Samotné testy antivirových programů pak probíhají vždy současně na nejnovější databázi dostupných virů. Od ukončení sběru virů a dalších škodlivých programů pak mají antiviry přibližně týden na svou aktualizaci. Poté je spuštěn ostrý test. Ten měří hned několik vlastností antivirového programu, předně:
1) Počet neodhalených hrozeb – počet virů, které antivirus nebyl schopen odhalit a zabránit mu vniknutí do PC
2) Počet falešných poplachů – počet upozornění na vir, který virem ve skutečnosti není
Dále je pak možné zohledňovat i:
3) Náročnost na systém – kolik antivir vyčerpává paměti, jak zpomaluje celkový běh systému apod.
4) Uživatelskou přívětivost – jak antivir uživatele obtěžuje, jak je obtížné jeho nastavení apod.
5) Aktualizace – jak rychle a často antivir provádí aktualizaci virové databáze
Historie
Jsou známa konkurenční tvrzení kdo vlastně vymyslel antivirový software. Pravděpodobně první veřejně známé neutralizování rozšířeného viru byla provedena evropanem Berntem Fixem na počátku roku 1987. Bernd Fix neutralizoval takzvaný Vienna virus. Na podzim roku 1988 vznikl také antivirový software jménem Solomons’s Anti-Virus Toolkit (vydal Briton Alan Solomon). V prosinci 1990 bylo na trhu už devatenáct jednotlivých produktů ke koupi, mezi nimi také Norton AntiVirus a VirusScan od McAfee.
Nejpoužívanější antivirové programy v ČR
Microsoft Security Essentials
AVG
Avast!
Norton AntiVirus
Symantec EndPoint Security
ESET NOD32 Antivirus
McAfee Antivirus
Kaspersky Antivirus
Zdroj: www.cs.wikipedia.org