Детектировать вирусы будут сами пользователи

В следующем году от «зловредов» уже не спасут старые-добрые сигнатуры и хваленая эвристика, искусственный интеллект пасует перед полиморфизмом. Выручать антивирусы, как считают в Symantec, будут сами пользователи, с помощью рейтингования кода, - сообщает InfoWorld. Пользователи будут собирать статистику по хорошим программам, остальное ПО можно будет считать подозрительным.

Засомневаться в возможностях сигнатурного и эвристического методов Symantec заставила неутешительная статистика. В рамках исследовательского проекта за одну лишь неделю ноября из Интернета было загружено около 65 тысяч различных программ. «Зловредов» среди них оказалось не меньше 60%. И дело не только в стремительном количественном росте вредоносного ПО, о котором уже рассказывал TelNews. Хуже то, что большинство свежих троянов проходят антивирусные фильтры незамеченными, и это при том, что антивирусные компании тратят значительные средства на регулярное обновление сигнатур.

«Действительность такова, что большинство «зловредов» не детектируется коммерческими продуктами, и не только производства Symantec, нужно признать, что практически все антивирусы пропускают значительное количество такого кода», - констатирует Кэри Наченберг (Carey Nachenberg) из Symantec. По его словам, компания ежедневно добавляет в базу сигнатур сотни образцов, однако многие из них никогда не используются для детектирования. Вирусописатели перешли от массированных атак с помощью одной и той же программы к точечным ударам с использованием полиморфного кода.

«Сегодня сочетание использования эвристического и сигнатурного методов обнаружения вредоносного ПО оправдано и дает неплохие результаты, - прокомментировал Григорий Васильев, технический директор компании ESET. -Дело в том, что сигнатурный метод у всех разработчиков работает примерно одинаково, однако эвристика достаточно сильно отличается». Он привел результаты ноябрьского тестирования антивирусов с устаревшими сигнатурными базами лабораторией Андреаса Клименти AV-Comparatives.

Тогда ESET NOD 32 выявил 71% вредоносных программ.

Союзника в извечном машинном противостоянии брони и меча Symantec ищет в стане пользователей. Спасением от «пропусков» должен стать глобальный «белый список» ПО, который поможет антивирусу принять правильное решение. Опираться он будет не на «отпечатки пальцев» или подозрительные действия приложения, а на отзывы пользователей – подобные тем, что они оставляют в интернет-магазинах или на сайтах онлайновых аукционов.

Так, если ту или иную программу считают полезной лишь несколько человек из многомиллионной армии пользователей, значит, есть основания для подозрений. Предполагается, что такое «комментирование» используемого софта станет доступно уже в ближайших релизах Norton AntiVirus и Internet Security 2008. Разумеется, такая обратная связь будет полностью добровольной, и пользователи всегда смогут отключить эту опцию.

«Если «хорошего ПО» для анализа становится меньше, имеет смысл тратить время на поиск «хороших программ» и информирование пользователей о них, чтобы они избегали всего остального», - резюмирует Кэри Наченберг.

В ESET сообщили, что практиковать «белые списки» в своих продуктах не планируют. «Причины очевидны: пользователь фактически не сможет контролировать работу программ из списка доверия, а вредоносное ПО, попавшее в «белый список», не будет обнаружено антивирусом», - сообщил Григорий Васильев.

Понятно, что идея – «черных», «серых», «белых» списков – совсем не нова, она давно используется в антиспам-фильтрах. Тем не менее, сам подход кажется интересным. Зачем отлавливать пытающихся проскочить «зловредов», если можно навесить ярлычки на полезные программы? С другой стороны, в этом случае мы снова возвращаемся к антивирусу, который будет казнить и миловать.

Источник: http://www.telnews.ru/event/15858

0
1129
0