Как я распространял компьютерные вирусы...

Опубликовано: 7 июля 2021

Компьютерные вирусыЭто уже не первая заметка на тему компьютерных вирусов и не один десяток раз мне приходилось объясняться в комментариях на моем блоге и канале на YouTube.

Тем не менее, как показывает практика, вирусы и антивирусы до сих пор будоражат умы пользователей и вызывают у них претензии ко мне, как к автору обзорных материалов по работе в разнообразных (в основном бесплатных) программах.

Почему я решил вновь поднять тему вирусов

Итак, в прошлой заметке я сделал обзор утилиты Ventoy и под видео на YouTube появился вот такой комментарий:

Комментарий на YouTube

Подобные комментарии регулярно всплывают и под другими моими роликами. При этом меня часто открыто обвиняют в попытках заразить кого-то чем-то, а это означает, что по-прежнему далеко не все пользователи понимают суть работы антивирусов.

Поэтому я посчитал своим долгом еще раз разъяснить ситуацию.

Как работает антивирус

Уже давно прошли те времена, когда антивирусы действовали точечно, сверяясь с базой. Антивирусные базы остались и они по-прежнему регулярно пополняются, но разнообразие и скорость распространения компьютерных угроз настолько высоки, что ни один антивирус не может быть эффективным при работе только с базой существующих, то есть ранее обнаруженных и задокументированных угроз.

Уже много лет разработчики антивирусного программного обеспечения бьются над созданием анализатора, который бы позволил обнаруживать любые, в том числе и ранее неизвестные угрозы.

Такой анализатор называют эвристическим.

Зайдем на Википедию и ознакомимся с определением эвристического алгоритма:

Эвристический алгоритм

Ключевым здесь является фраза — не являющийся гарантированно точным.

Тоже самое мы можем обнаружить и на сайтах разработчиков антивирусного программного обеспечения, например, у Касперского.

Эвристический анализатор

Здесь ключевая фраза — МОГУТ СОДЕРЖАТЬ. То есть это лишь предположение, основанное на каких-то предпосылках.

По такой же схеме работают все современные антивирусные программы.

У каждого разработчика антивируса свой эвристический анализатор и это ноу-хау каждой такой компании. Чем больше ресурсов у компании, то есть чем больше у нее финансовых возможностей и выше профессионализм разработчиков, тем более интеллектуальным будет ее эвристический анализатор.

Отличия в эвристических анализаторах различных антивирусов и объясняет то, что одни антивирусы находят угрозу, а другие нет. При этом объединяет эвристические анализаторы всех разработчиков только одно — они ПЫТАЮТСЯ обнаружить угрозу, но НЕ ГАРАНТИРУЮТ, что обнаруженный ими код действительно является вредоносным. Как, впрочем, они не могут гарантировать и то, что не пропустят вновь созданный вирус или троян.

Лучший антивирус во все времена

Из всего вышесказанного следует, что лучший антивирус сидит перед компьютером.

Только пользователь может сопоставить факторы и принять правильное решение. К этим факторам может относиться например то, из каких источников вы скачали файл или какой именно антивирус обнаружил угрозу. Ведь есть агрегаторы вроде онлайн-сервиса virustotal.com, которые объединяют десятки антивирусов и позволяют вам одновременно проверять файл ими всеми.

Если один из десятков антивирусов говорит об угрозе, а остальные молчат, то это не означает, что файл действительно опасен. Просто эвристический анализатор данного антивируса сработал, но у десятков других нет.

VirusTotal

При этом такое срабатывает отнюдь не делает данный антивирус лучше других, а возможно даже наоборот. Ну а если принять во внимание, что файл скачивался с официального сайта популярной утилиты (в данном случае это архив с программой Ventoy), которая в свою очередь имеет открытый исходный код, то совокупность этих факторов как раз указывает на безопасность файла и на ложное срабатывание конкретного антивируса.

Поэтому только анализ ситуации со стороны пользователя может обезопасить от заражения вирусом или трояном.

Элементарные правила компьютерной гигиены всем хорошо известны — не скачивайте что попало с непонятных сайтов и не переходите по ссылкам из непонятных электронных сообщений.

С моей точки зрения, этого вполне достаточно, чтобы обеспечить минимальный уровень безопасности.