Компания «Доктор Веб» выпустила новое средство защиты, обходящееся без вирусных сигнатур. Dr.Web Katana – поведенческий анализатор с поддержкой облачной проверки. Он защищает компьютеры с ОС Windows от наиболее опасных изменений, которые могут выполнить на компьютере вредоносные программы. «Катана» совместима с другими антивирусами, фаерволами и минимально влияет на производительность компьютера.
Системные требования «Катаны» по современным меркам скромные: i686-совместимый процессор (Pentium II и старше), свободная оперативная память от 512 МБ, свободное место на диске от 150 МБ и экран с разрешением от 800 x 600. Поддерживаются 32-разрядные ОС (от Windows XP SP2 до Windows 10) и 64-битные (Windows Vista SP2 и выше).
Классической связки антивирусный сканер + резидентный монитор давно не хватает для эффективной защиты. Оба компонента используют базы, содержащие сигнатуры известных вредоносных программ. Обновление баз происходит по несколько раз в день, но скорость появления новых зловредов тоже неуклонно растёт. Время от времени появляются принципиально новые угрозы и механизмы их распространения, к которым традиционные антивирусы оказываются не готовы.
Последний раз так было с троянами-шифровальщиками, которые использовали легитимные криптографические программы для вымогательства, и с троянцем ModPOS, маскировавшимся в платёжных системах целых три года.
Скрытое и даже явное присутствие вредоносных программ становится возможным потому, что перед выпуском в сеть новой версии зловреда продвинутые вирусописатели проверяют реакцию на него у популярных антивирусных сканеров. Если хотя бы один срабатывает на уровне эвристики, то они совершенствуют технологию обфускации кода. Поэтому первое время новые трояны, руткиты и прочие угрозы свободно распространяются по сети. Они гарантированно не детектируются сигнатурными антивирусами поначалу.
Обнаружить факт заражения можно только по их подозрительной активности, чем и занимаются поведенческие анализаторы, вроде Dr.Web Katana. В нём используется технология Dr.Web Process Heuristic, которая анализирует поведение каждой запущенной программы, сверяясь с обновляемыми шаблонами активности через фирменный облачный сервис.
Другим направлением противодействия сигнатурным антивирусам становится использование распространённых уязвимостей. Обычно эксплоиты нацелены на встроенные компоненты системы, популярные браузеры, плагин Adobe Flash и среду выполнения Java. Используя злонамеренно модифицированные файлы можно вызвать ошибку обработки кода и заразить компьютер, даже если на нём установлен антивирус с актуальными базами и включён контроль учётных записей. Своевременная установка обновлений снижает риск применения эксплоитов, но не устраняет его полностью, так как остаётся возможность использовать ещё неизвестную уязвимость и провести атаку нулевого дня.
Dr.Web Katana препятствует использованию эксплоитов за счёт компонента Dr.Web ShellGuard. Это часть технологии Dr.Web Process Heuristic, которая защищает системные компоненты и наиболее уязвимые программы – такие как браузеры, приложения MS Office и медиаплееры. Он же контролирует все приложения, использующие Java, обрабатывающие Flash-контент и файлы PDF.
Настройки по умолчанию подойдут большинству пользователей, но при желании их всегда можно изменить. Помимо предустановленных режимов мониторинга есть возможность вручную задать правила контроля любого приложения.
Утверждается, что за счёт анализа поведения процессов при минимальном потреблении ресурсов достигается эффективное противодействие попыткам вредоносных программ инфицировать компьютер и произвести нежелательные изменения в его работе. Перед покупкой Dr.Web Katana есть возможность бесплатно попробовать программу в течение месяца, которой мы и хотим воспользоваться для проверки «Катаны» боем в одной из следующих статей.