Antivirový program

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Antivirový program (zkráceně antivir) je počítačový software, který slouží k identifikaci, odstraňování a eliminaci počítačových virů a jiného škodlivého software (malware). K zajištění této úlohy se používají dvě odlišné techniky:

  • prohlížení souborů na lokálním disku, které má za cíl nalézt sekvenci odpovídající definici některého počítačového viru v databázi
  • detekcí podezřelé aktivity nějakého počítačového programu, který může značit infekci. Tato technika zahrnuje analýzu zachytávaných dat, sledování aktivit na jednotlivých portech či jiné techniky.

Úspěšnost závisí na schopnostech antivirového programu a aktuálnosti databáze počítačových virů. Aktuální virové databáze se dnes nejčastěji stahují z Internetu. V poslední době ale odborníci pochybují o užitečnosti antivirových nástrojů[1], když se účinnost detekce malware v e-mailech odhaduje jen 25%.[2] I hodnocení efektivnosti jsou nyní zpochybňována.[3] Odhaduje se, že počítačová bezpečnost (antiviry, firewally a další techniky) bude v roce 2020 spotřebovávat 1 EJ energie za rok.[4] (v roce 2008 byla celková světová spotřeba elektřiny zhruba 73 EJ a v ČR zhruba 0,2 EJ)

Metody[editovat | editovat zdroj]

Virové slovníky/databáze[editovat | editovat zdroj]

Při kontrole souboru antivirový program zjišťuje, zda se nějaká jeho část neshoduje s některým ze známých virů, které má zapsány v databázi. Pokud je nalezena shoda, má program tyto možnosti:

  1. pokusit se opravit/vyléčit soubor odstraněním viru ze souboru (pokud je to technicky možné)
  2. umístit soubor do karantény (virus se dále nemůže šířit, protože ho nelze dále používat)
  3. smazat infikovaný soubor (i s virem)

K dosažení trvalého úspěchu ve středním a dlouhém období vyžaduje virová databáze pravidelné aktualizace, které obsahují informace o nových virech. Pokud je antivirový program neaktualizovaný, představují viry přinejmenším stejné nebezpečí, jako kdyby antivir v počítači vůbec nebyl! Uživatelé mohou sami zaslat svůj infikovaný soubor výrobcům antivirových programů, kteří informaci o novém viru začlení do databáze virů.

Antivirový program fungující na platformě databáze virů kontrolují soubory v momentě, kdy je operační systém počítače vytvoří, otevře, zavře nebo je zasílá/přijímá emailem. V takovém případě je virus možné zjistit ihned po přijmutí souboru. Nutno podotknout, že uživatel může naplánovat kontrolu celého systému (pravidelně, nebo na určitý čas). Lze tedy plánovat opakované kontroly všech/části souborů, které se na jednotlivých discích nacházejí. Velmi často je antivirová kontrola naplánována ihned po startu počítače.

Ačkoli lze při kontrole za pomoci virových databází virus spolehlivě zničit, tvůrci virů se vždy snaží být o krok napřed v psaní virových softwarů pomocí "oligomorfních", "polymorfních" a stále častěji "metamorfních" virů, které šifrují část sami sebe nebo jinak upravují vlastní kód jako metodu zamaskování před rozpoznáním virovými databázemi. Dalo by se říci, že jde o jakési dynamické mutace klasických virů, které není vždy jednoduché rozpoznat.

Nebezpečné chování[editovat | editovat zdroj]

Metoda zjištění nebezpečného chování se oproti virovým databázím nesnaží najít známé viry, namísto toho sleduje chování všech programů. Pokud se takový program pokusí zapsat data do spustitelného programu, antivirus například označí toto nebezpečné chování a upozorní uživatele, který je antivirovým programem vyzván k výběru dalšího postupu.

Výhodu má tento postup zjištění nových virů v tom, že ačkoli je virus zcela nový, neznámý ve virových databázích, může ho snadno odhalit. Nicméně i tato metoda má své nevýhody. Stává se, že antivirový program hlásí spoustu falešných "nálezů" viru. To může mít za výsledek, že uživatel postupem času přestane vnímat ta "pravá" varování. Pokud tedy uživatel automaticky povolí pokračování programu, je jasné, že v takovém případě antivirus neplní dále svoji funkci varovat uživatele před možným nebezpečím. Z tohoto důvodu tento postup stále více moderních antivirových programů využívá méně a méně.

Další metody[editovat | editovat zdroj]

Určité antivirové programy používají další typy heuristických analýz. Například se může pokusit napodobit začátek kódu každého nového spustitelného souboru tak, že ho systém vyvolá ještě před přenosem do tohoto souboru. Pokud se program chová tak, že použije "samo-modifikační" kód nebo se jeví jako virus (pokud například začne hledat další spustitelné soubory), můžeme předpokládat, že virus nakazil další spustitelné soubory. Nicméně i tato metoda může hlásit falešné pozitivní nálezy.

Další metoda detekce virů se týká užití tzv. sandboxu. Sandbox, neboli pískoviště, napodobuje systém a spouští .exe soubory v jakési simulaci. Po ukončení programu software analyzuje sandbox, aby zjistil nějaké změny, ty mohou ukázat právě přítomnost virů. Tato metoda může taky selhat a to pokud jsou viry nedeterministické a výsledek nastane za různých akcí nebo akce nenastanou při běhu - to způsobí, že je nemožné detekovat virus pouze z jednoho spuštění.[5]

Existují také antiviry, které varují uživatele před viry na základě toho, jakého typu soubor je.

Perspektivní metoda, která si obvykle poradí s malware, je tzv. "whitelisting". Spíše než vyhledávání jen známého zákeřného softwaru tato technika předchází spouštění všech kódů kromě těch, které byly již dříve označeny jako důvěryhodný administrátorem (uživatelem). Navíc aplikace v počítači, které jsou označeny jako malware, mají automaticky zakázáno spouštění, jakmile nejsou na "whitelist", tedy seznamu povolených programů. Dnes již existuje velké množství aplikací vytvořených velkými organizacemi, které jsou široce používané a "whitelist" je tedy tvořen především administrátory, kteří software rozpoznávají. Možné provedení této techniky zahrnuje nástroje pro automatické zálohy a whitelist procesy údržby.

Testy antivirových programů[editovat | editovat zdroj]

Testy antivirů jsou prováděny zpravidla nejméně jednou ročně nezávislými testovacími agenturami. Mezi nejznámější patří agentury AV Test nebo AV Comparatives. Samotné testy antivirových programů pak probíhají vždy současně na nejnovější databázi dostupných virů. Od ukončení sběru virů a dalších škodlivých programů pak mají antiviry přibližně týden na svou aktualizaci. Poté je spuštěn ostrý test. Ten měří hned několik vlastností antivirového programu [6], předně:

  • Počet neodhalených hrozeb – počet virů, které antivirus nebyl schopen odhalit a zabránit mu vniknutí do PC
  • Počet falešných poplachů – počet upozornění na vir, který virem ve skutečnosti není

Dále je pak možné zohledňovat i:

  • Náročnost na systém – kolik antivir vyčerpává paměti, jak zpomaluje celkový běh systému apod.
  • Uživatelskou přívětivost – jak antivir uživatele obtěžuje, jak je obtížné jeho nastavení apod.
  • Aktualizace – jak rychle a často antivir provádí aktualizaci virové databáze

Historie[editovat | editovat zdroj]

Jsou známa konkurenční tvrzení kdo vlastně vymyslel antivirový software. Pravděpodobně první veřejně známé neutralizování rozšířeného viru byla provedena evropanem Berntem Fixem na počátku roku 1987. Bernd Fix neutralizoval takzvaný Vienna virus. Na podzim roku 1988 vznikl také antivirový software jménem Solomons's Anti-Virus Toolkit (vydal Briton Alan Solomon). V prosinci 1990 bylo na trhu už devatenáct jednotlivých produktů ke koupi, mezi nimi také Norton AntiVirus a VirusScan od McAfee.

Tippett vytvořil několik příspěvků k nadějnému řešení detekce virů. Byl to ambulantní doktor, který zároveň vedl počítačovou softwarovou firmu. Po přečtení článku o tom, že Lehighovy viry byly první, které se vyvinuly, se Tippett zajímal o Lehigha a ptal se, jestli budou mít stejné charakteristiky virů jako ty, jež napadají lidi. Z epidemiologického pohledu byl schopen říci, jak budou tyto viry napadat systémy v počítačích (Boot sektor byl zasažen tzv. Brain virem, .com soubory zase Lehigh virem a .com i .exe soubory virem jménem Jerusalem virus). Tippettova společnost Certus International Corp poté začala vytvářet vlastní antivirové softwarové programy. Společnost se prodala v roce 1992 společnosti Symantec Corp., a Tippett pro ně začal pracovat. Včleňováním softwaru vyvinul produkt Symantecu, dnes velmi známý Norton AntiVirus.

Antivirové programy[editovat | editovat zdroj]

  • Trend Micro - Antivirus Americko - Japonské společnosti. Blokují viry, malware, trojany, červy a nebezpečné odkazy v internetu, v emailu či na sociálních sítích. Nabízí i 5GB online šifrované úložiště, Bezpečný a pohodlný správce hesel, Šifrovaný trezor pro citlivé soubory, Rodičovskou ochranu, Nástroje pro optimalizaci výkonu počítače, Podpora Android zařízení, Windows a Mac OS X operačních systémů.
  • Microsoft Security Essentials – bezplatný antivirus i pro menší podniky
  • Avira antivirus – antivirus německé produkce, vydáván v několika verzích včetně FREE verze ke stažení.
  • ClamAV – antivirový program šířený pod licencí GNU GPL
  • AVG – antivirový systém od české firmy AVG Technologies (dříve Grisoft). AVG prochází různými nezávislými testy, pravidelnými certifikacemi a obdržel řadu významných ocenění.
  • Norton AntiVirus – produkt firmy Symantec pro domácí uživatele
  • Symantec EndPoint Security – antivirové a bezpečnostní řešení pro korporátní sféru
  • ESET NOD32 Antivirus – slovenský komerční antivirový program, který byl magazínem Virus Bulletin již mnohokrát oceněn jako nejlepší antivir
  • McAfee Antivirus – klasický antivirový produkt
  • Kaspersky Antivirus – výrobek ruské společnosti Kaspersky Labs
  • BitDefender – kvalitní antivirový produkt rumunské společnosti SoftWin
  • avast! – český antivirový program od firmy ALWIL Software. Pro domácí nekomerční použití freeware. Po nainstalování běží 60denní zkušební doba, po které je nutno program zaregistrovat nebo zakoupit. Program pravidelně získává ocenění VB 100% magazínu. Je však i držitelem ocenění SC Magazine, jako jediný zvítězil v obou částech soutěže (soutěž SC awards se dělí na evropskou a americkou část).
  • Dr.Web – ruský antivirus
  • TrustPort Antivirus – český produkt vyznačující se kvalitní detekcí díky kombinaci více antivirových jader
  • eScan – kvalitní antivirový produkt z Indie
  • Qihoo 360 Internet Security od Qihoo
  • Qihoo 360 Total Security od Qihoo
  • Qihoo 360 Mobile Security od Qihoo
  • Sophos antivirus
  • Norman antivirus
  • F-Secure antivirus
  • eTrust antivirus
  • Zoner AntiVirus - český antivirový systém od společnosti Zoner.

Související články[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Antivirus software na anglické Wikipedii.

  1. http://crypto-world.info/news/index.php?prispevek=20960&sekce=s - Microsoft Security Essentials ztratilo certifikaci AV-testu
  2. http://blogs.computerworld.com/security/20580/how-useful-antivirus-software - How useful is antivirus software?
  3. http://crypto-world.info/news/index.php?prispevek=21519&sekce=s - Jsou hodnocení efektivnosti antivirů férová?
  4. http://www.cs.ucsb.edu/~xun/papers/greensecurity-EASyCoSe13.pdf - A Case for Energy-Aware Security Mechanisms
  5. Raynal, Frederic (2006-05-16). Malicious cryptography, part two
  6. Test nejlepších antivirů - září 2012 [online]. 11.10.2012, [cit. 2012-10-26]. Dostupné online.  

Externí odkazy[editovat | editovat zdroj]

  • Slovníkové heslo antivirus ve Wikislovníku
  • Slovníkové heslo antivir ve Wikislovníku

Kategorie Antivirus software ve Wikimedia Commons