software pro ochranu před viry, jejich detekci a odstranění From Wikipedia, the free encyclopedia
Antivirový program (zkráceně antivir) je počítačový software, který slouží k identifikaci, odstraňování a eliminaci počítačových virů a jiného škodlivého softwaru (malware). K zajištění této úlohy se používají dvě odlišné techniky:
Úspěšnost závisí na schopnostech antivirového programu a aktuálnosti databáze počítačových virů. Aktuální virové databáze se dnes nejčastěji stahují z Internetu. V poslední době ale odborníci pochybují o užitečnosti antivirových nástrojů,[1] když se účinnost detekce malwaru v e-mailech odhaduje jen 25%.[2] I hodnocení efektivnosti jsou nyní zpochybňována.[3] Podle některých odborníků antivirové programy vytvářejí další zranitelnou vrstvu a bezpečnost naopak zhoršují.[4] Oslabují i šifrování (například protokol HTTPS) tím, že posílají a ukládají data nezabezpečeně.[5] Navíc se odhaduje, že počítačová bezpečnost (antiviry, firewally a další techniky) bude v roce 2020 spotřebovávat 1 EJ energie za rok.[6] (v roce 2008 byla celková světová spotřeba elektřiny zhruba 73 EJ a v ČR zhruba 0,2 EJ)
Při kontrole souboru antivirový program zjišťuje, zda se nějaká jeho část neshoduje s některým ze známých virů, které má zapsány v databázi. Pokud je nalezena shoda, má program tyto možnosti:
K dosažení trvalého úspěchu ve středním a dlouhém období vyžaduje virová databáze pravidelné aktualizace, které obsahují informace o nových virech. Pokud je antivirový program neaktualizovaný, představují viry přinejmenším stejné nebezpečí, jako kdyby antivir v počítači vůbec nebyl. Uživatelé mohou sami zaslat svůj infikovaný soubor výrobcům antivirových programů, kteří informaci o novém viru začlení do databáze virů.
Antivirový program fungující na platformě databáze virů kontrolují soubory v momentě, kdy je operační systém počítače vytvoří, otevře, zavře nebo je zasílá/přijímá emailem. V takovém případě je virus možné zjistit ihned po přijmutí souboru. Nutno podotknout, že uživatel může naplánovat kontrolu celého systému (pravidelně, nebo na určitý čas). Lze tedy plánovat opakované kontroly všech/části souborů, které se na jednotlivých discích nacházejí. Velmi často je antivirová kontrola naplánována ihned po startu počítače.
Ačkoli lze při kontrole za pomoci virových databází virus spolehlivě zničit, tvůrci virů se vždy snaží být o krok napřed v psaní virových softwarů pomocí „oligomorfních“, „polymorfních“ a stále častěji „metamorfních“ virů, které šifrují část sami sebe nebo jinak upravují vlastní kód jako metodu zamaskování před rozpoznáním virovými databázemi. Dalo by se říci, že jde o jakési dynamické mutace klasických virů, které není vždy jednoduché rozpoznat.
Metoda zjištění nebezpečného chování se oproti virovým databázím nesnaží najít známé viry, namísto toho sleduje chování všech programů. Pokud se takový program pokusí zapsat data do spustitelného programu, antivirus například označí toto nebezpečné chování a upozorní uživatele, který je antivirovým programem vyzván k výběru dalšího postupu.
Výhodu má tento postup zjištění nových virů v tom, že ačkoli je virus zcela nový, neznámý ve virových databázích, může ho snadno odhalit. Nicméně i tato metoda má své nevýhody. Stává se, že antivirový program hlásí spoustu falešných „nálezů“ viru. To může mít za výsledek, že uživatel postupem času přestane vnímat ta „pravá“ varování. Pokud tedy uživatel automaticky povolí pokračování programu, je jasné, že v takovém případě antivirus neplní dále svoji funkci varovat uživatele před možným nebezpečím. Z tohoto důvodu tento postup stále více moderních antivirových programů využívá méně a méně.
Určité antivirové programy používají další typy heuristických analýz. Například se může pokusit napodobit začátek kódu každého nového spustitelného souboru tak, že ho systém vyvolá ještě před přenosem do tohoto souboru. Pokud se program chová tak, že použije „samo-modifikační“ kód nebo se jeví jako virus (pokud například začne hledat další spustitelné soubory), můžeme předpokládat, že virus nakazil další spustitelné soubory. Nicméně i tato metoda může hlásit falešné pozitivní nálezy.
Další metoda detekce virů se týká užití tzv. sandboxu. Sandbox, neboli pískoviště, napodobuje systém a spouští .exe soubory v jakési simulaci. Po ukončení programu software analyzuje sandbox, aby zjistil nějaké změny, ty mohou ukázat právě přítomnost virů. Tato metoda může taky selhat a to pokud jsou viry nedeterministické a výsledek nastane za různých akcí nebo akce nenastanou při běhu – to způsobí, že je nemožné detekovat virus pouze z jednoho spuštění.[7]
Existují také antiviry, které varují uživatele před viry na základě toho, jakého typu soubor je.
Perspektivní metoda, která si obvykle poradí s malwarem, je tzv. „whitelisting“. Spíše než vyhledávání jen známého zákeřného softwaru tato technika předchází spouštění všech kódů kromě těch, které byly již dříve označeny jako důvěryhodný administrátorem (uživatelem). Navíc aplikace v počítači, které jsou označeny jako malware, mají automaticky zakázáno spouštění, jakmile nejsou na „whitelistu“, tedy seznamu povolených programů. Dnes již existuje velké množství aplikací vytvořených velkými organizacemi, které jsou široce používané a „whitelist“ je tedy tvořen především administrátory, kteří software rozpoznávají. Možné provedení této techniky zahrnuje nástroje pro automatické zálohy a whitelist procesy údržby.
Testy antivirů jsou prováděny zpravidla nejméně jednou ročně nezávislými testovacími agenturami. Mezi nejznámější patří agentury AV-TEST nebo AV-Comparatives. Samotné testy antivirových programů pak probíhají vždy současně na nejnovější databázi dostupných virů. Od ukončení sběru virů a dalších škodlivých programů pak mají antiviry přibližně týden na svou aktualizaci. Poté je spuštěn ostrý test. Ten měří hned několik vlastností antivirového programu,[8] předně:
Dále je pak možné zohledňovat i:
Jsou známa konkurenční tvrzení, kdo vlastně vymyslel antivirový software. Pravděpodobně první veřejně známé neutralizování rozšířeného viru byla provedena Evropanem Berntem Fixem na počátku roku 1987. Bernd Fix neutralizoval takzvaný Vienna virus. Na podzim roku 1988 vznikl také antivirový software jménem Solomons's Anti-Virus Toolkit (vydal Briton Alan Solomon).
V roce 1989 bylo publikováno, že se osmnáctiletému japonskému studentovi Koičimu Masaokovi z města Imabari podařilo napsat program, který detekoval virus, upozornil uživatele a provedl základní kroky k ochraně systému. Příprava programu trvala měsíc, v té době byla známa existence celkem 40 počítačových virů a v době publikace byl Masaokův postup ověřen v několika zemích.[9] V prosinci 1990 bylo na trhu už devatenáct jednotlivých produktů ke koupi, mezi nimi také Norton AntiVirus a VirusScan od McAfee.
Tippett vytvořil několik příspěvků k nadějnému řešení detekce virů. Byl to ambulantní doktor, který zároveň vedl počítačovou softwarovou firmu. Po přečtení článku o tom, že Lehighovy viry byly první, které se vyvinuly, se Tippett zajímal o Lehigha a ptal se, jestli budou mít stejné charakteristiky virů jako ty, jež napadají lidi. Z epidemiologického pohledu byl schopen říci, jak budou tyto viry napadat systémy v počítačích (Boot sektor byl zasažen tzv. Brain virem, .com soubory zase Lehigh virem a .com i .exe soubory virem jménem Jerusalem virus). Tippettova společnost Certus International Corp poté začala vytvářet vlastní antivirové softwarové programy.
Společnost se prodala v roce 1992 společnosti Symantec Corp., a Tippett pro ně začal pracovat. Včleňováním softwaru vyvinul produkt Symantecu, dnes velmi známý Norton AntiVirus.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.