Вам до сих пор приходиться пользоваться планировщиком заданий для сканирования антивирусными программами?
Знакомый ИТ-профессионал заявил, что вам незачем запускать сканирование на ПК, потому что большинство антивирусов проверяют систему в режиме реального времени. Так ли это?
Несмотря на то, что антивирусы действительно сканируют большинство файлов в известных условиях, определяемых последними установленными сигнатурами, они по-прежнему не «сканируют» файловую систему в реальном времени. Файловая система эффективно отслеживается на попытки доступа и файловые манипуляции, совершаемые таким способом, который антивирусная программа воспринимает как угрозу.
Итак, давайте проанализируем имеющиеся факты. Я присутствовал на нескольких конференциях по информационной безопасности и изучил материалы по техникам взлома и защиты компьютера от несанкционированных вторжений в большем, чем необходимо объёме. Несмотря на то, что по данной проблеме ещё не выработали единую основополагающую доктрину, большинство знакомых мне ИТ-профессионалов, владеющих предметом на достаточно компетентном уровне, согласились с тем, что ни один антивирусный или антиспамовый продукт не способен обнаружить все угрозы.
Например, я не собираюсь ни критиковать Symantec специально, ни приводить типичный пример, но данная ситуация имела место быть. База сигнатур антивируса пополнена 4 часа назад. На сервере установлены самые важные из последних обновлений. И, тем не менее, на данном сервере наблюдался чрезвычайно высокий объём использованной памяти. Только после тщательного анализа данных, полученных при помощи Process Explorer фирмы Systinternals, PsList (также от Sysinternals) Netstat, Диспетчера задач, сеанса удалённого UNC-соединения и удалённого сканирования портов, я смог обнаружить попытку вторжения.
Сервер был пропатчен только через 16 часов после публикации информации о новой уязвимости. Через эту дырку злоумышленником был осуществлён процесс, известный как «атака через повышение привилегий» («elevation of privilege»). После чего на сервер была установлена хакерская утилита и развёрнут руткит.
Руткит скрывает ключи реестра, процессы и файлы. Его удалось удалить при помощи известных инструментов без особого труда после того, как он был обнаружен.
Однако другие проблемы остались нерешёнными (о чём свидетельствовали даты изменения файлов и результаты проверки резервов). Проблемы были вызваны появлением другого, вцепившегося в машину трояна (который антивирус вроде бы обнаружил и удалил). Здесь и начинается самое интересное. На самом деле троян не был удалён. В том, что журналы не были достаточно тщательно исследованы для подтверждения успеха попытки удаления вредоносного файла, был виноват человек. Троян не соответствовал итерации, отображённой в антивирусном пакете. Поскольку сервер проверялся файловым монитором (filemon), программой psexplorer для наблюдения за потоками и Netstat, оригинальная инфекция была переименована.
Копия журнала была анонимно отправлена производителю антивируса, и спустя несколько часов, вышло срочное обновление, позволяющее обнаружить атаку при сканировании в режиме реального времени. Производитель заявил, что это была та же итерация известного вируса, но программист из конкурирующей организации сослался на различия в мутации.
В связи с тем, что это уже произошло, другая система была заражена, и для мониторинга был задействован тот же процесс. Сканер реального времени сработал до выпуска срочного обновления, и файл был успешно помещён на карантин.
Очевидно, что производители антивирусов делают всё от них зависящее для своевременного обновления документации по ходу поступления новых данных, но решение имеет исключительный характер и, как правило, публикуется быстрее. В частности, именно поэтому производители принимают анонимные файлы — чтобы хоть как-то сдерживать вирусы.
По моему мнению, антивирусное сканирование в режиме реального времени не способны обнаружить все угрозы. Честно говоря, запланированные проверки тоже могут упустить тот или иной вирус. Однако если у файла имеются симптомы известного вируса, в нём могут содержаться скрытые от сканера реального времени код или функциональность.
Поэтому мой ответ на вопрос — ДА, в целях надёжной защиты от вирусов, троянов, шпионского и вредоносного программного обеспечения, я рекомендую устанавливать на ПК сканеры-планировщики.
