Ce inseamna …?

Pornind de la acest comentariu si cum Radu nu prea are timp m-am decis sa raspund eu acelor intrebari.

Antivirus: un program proiectat sa detecteze toate formele de malware (virusi, viermi, troieni, spyware, adware, rootkituri etc),  sa le impiedice sa se instaleze si sa dezinfecteze daca este cazul.

Firewall: un program care monitorizeaza traficul internet si aplicatiile care accepta sau executa conexiuni din afara computerului, blocand accesul neautorizat.
Cele mai multe aplicatii filtreaza conexiunile intrare-iesire si sunt numite bidirectionale.


Antispyware: programe menite sa detecteze si sa elimine spyware.
Spyware sunt troieni folositi in a spiona victima cu posibilitatea de a sustrage informatii personale din PC acesteia. Un exemplu cunoscut de spyware este keyloggerul care intercepteaza cuvintele introduse la tastatura.
Un antispyware bun ar trebui sa aiba scanare in timp real.

HIPS reprezinta un sistem de detectie al activitatii malitioase din retea sau PC pe care incearca sa o blocheze si sa o raporteze.

SandBox reprezinta un mediu virtualizat proiectat sa ruleze aplicatiile nesigure si a le studia comportamentul.
Unii antivirusi includ aceasta componenta; din pacate nu toti. Puteti folosi SandBoxie

Removal Tool sunt utilitare specializate pe indepartarea unui anumit virus. Unele permit detectia si eliminarea unui numar mai mare de malware.


Cloud Computing reprezinta o tehnologie de scanare a fisierelor pe serverele producatorului, reducand consumul de resurse al clientului. ‘Norul’ poate include si o baza de date cu hashuri de fisiere malware (blacklist) dar si cu aplicatii sigure (whitelist).
Un antivirus exclusiv cloud are probleme in a detecta virusii mai vechi de aceea un produs care imbina Cloud Computing cu semnaturile traditionale este net superior.

Anti-Trojan sunt programe specializate pe detectia in timp real a activitatatii specifice troienilor pe care incearca sa ii stopeze.

Anti-Malware este un scanner menit sa detecteze si sa elimine o gama larga de malware. Nu este un substitut pentru antivirus dar se pot completa reciproc pentru o detectie mai mare.
La ora actuala Malwarebytes Anti-Malware este programul cu cea mai inalta rata a detectiei.

Detectia euristica este o semnatura a antivirusului prin care acesta poate detecta variatii ale unui anumit virus (familii de virusi).

Pentru alte intrebari va stau la dispozitie.

Security Evangelist

33 responses to “Ce inseamna …?”

  1. minuzio.com

    Salut, am eu senzatia sau de astazi avem un nou autor pe FaraVirusi.com ? 😛

    Am zis nou desi pe Gigi cred ca il stie toata lumea.

    Multe “succesuri” si articole cat mai interesante !

  2. minuzio.com

    L-am citit, dar sincer nu am observat de cine era scris.

  3. punzzer

    un articol bun 🙂

  4. Alin

    Detectia euristica nu este o semnatura a antivirusului prin care acesta poate detecta variatii ale unui anumit virus (familii de virusi). Mai invata domnu’ expert in devirusari.

    1. Catalin(Malwarewiki)

      lol

    2. Gigi

      Poate am fost prea scurt.
      Sunt doua feluri de euristici: pasive si active.
      Cele pasive sunt semnaturi care acopera cele mai multe variante ale unui virus.
      Cea activa virtualizeaza procesul si observa comportamentul fisierului, stabilind daca este curat sau malitios.

      Nu am nevoie de definitii de termeni pentru a devirusa un PC. 😉

  5. tipo

    dar ce este alin? ca si eu tot asa stiam…nu ai vrea sa ne luminezi?
    parerea mea, care este…

  6. Pala

    Asta-i celebru Gigi (autorul articolului) de pe http://blogger-warning.blogspot.com ?

    1. Gigi

      Da.

  7. yo9fah

    Intenția autorilor este foarte bine venită (Gigi și Radu), meritați toată stima … numai că aici (la unii comentatori mă refer) sunt prea mulți “experți” care le știu deja !

  8. Radu FaraVirusi(com)

    Frumoasa initiativa Gigi. Iti multumim. Poate vom reusi sa facem si partea a doua si eventual a treia si sa dezvoltam anumiti termeni.

    1. Catalin(Malwarewiki)

      +1

  9. zame77

    Va salut domnilor GIGI si Radu ! As dori sa ne explicati cum un om obisnuit, care nu are treaba cu PC-ul, poate folosi intr-un mod eficient in firewall free.Acest om nu are bani ca majoritatea romanilor ,pentru a achizitona o suita de securitate cu firewall care nu intreaba utilizatorul ce sa faca.In rest super articolul!

  10. Nelu

    Cand descri o notiune pe intelesul incepatorilor,nu introduce alte notiuni fara explicatie(HASH in “cloud computing”).Aceasta e gresala tipica a marilor experti de fapt.In rest,foarte util ce faci.Astept urmarea

  11. Cris

    Să mă bag și eu în seamă relativ la cometariile lui Alin de mai sus:

    Scanarea ”euristică” este un concept destul de abstract. Modul cum este efectiv implementat de o firmă antivirus poate să difere. În general, eu prefer exprimarea ”scanare proactivă” în loc de euristică. Iar scanarea proactivă se bazează pe mai multe tipuri de algoritmi:
    – semături generice – care sunt într-adevăr semnături, însă pot detecta mai multe variații ale aceluiași malware (fie ele variații cunoscute, sau variații noi care respectă același model). Semnăturile generice sunt fix opusul semnăturilor specifice, care sunt semnăturile care ”prind” un singur fișier (un singur malware).
    În general, ”familiile de viruși” sunt detectate de scanare generică.

    – scanare cu motoare de unpacking (despachetare) – incluzând formate arhivate (zip, rar, installere, etc…) sau comprimate (UPX, Themida, PEtite, etc…), dar și packere (comprimatoare) modificate (UPX modificat, spre exemplu) sau chiar packere unice (unii creatori de malware își creează propriile packere, pe care le folosesc pentru malware; dacă acelașipacker este folosit în mai mulți malware diferiți, iar analiștii antivirus descoperă asta, ei pot adăuga în motoarele antivirus un unpacker special pentru acel packer, făcând detecție mult mai facilă)

    – emulare – Gigi a folosit termenul de ”virtualizare”, termen icorect deoarece emularea și virtualizarea sunt concepte diferite (deși se aseamănă într-un anumit punct). Emularea (în cazul antivirușilr) înseamnă simularea rulării unui anumit fișier, pentru a-i da șansa de a se despacheta singur, în special în cazurile în care despachetarea cu motoarele de unpacking (de mai sus) nu reușește. În cazul ăsta, practic, există o șansă destul de mare ca, chiar dacă antivirusul nu are un unpacker potrivit, fișierul să se despacheteze singur, iar datele despachetate să fie detectate de antivirus.
    NOTĂ: Virtualizarea e cam altceva, și se referă la virtualizarea unor anumite zone ale sistemului. Spre exemplu, virtualizarea regiștrilor, sau a sistemului de fișiere. Exemple sunt mașinile virtuale sau aplicații mai mici (precum sandbox, User Account Control din Vista/7, etc…). Emulatoarele simulează o rulare a fișierului (fără să urmeze neapărat un fir logic al execuției), pe când virtualizarea nu simulează nimic (procesul virtualizat funcționează normal, iar anumite cereri sunt redirectate în alte locații).
    În produsele antivirus, virtualizarea este folosită în unele produse în motoarele de scanare comportamentală (behavior scanner/blocker), care este un motor de scanare în timp real, fiind ceva relativ apropiat de un sistem HIPS (Host Intrusion Protection System – că tot n-a specificat Gigi de la ce vine denumirea de HIPS 🙂 ), însă oarecm diferit.

    – mai poate exista de asemenea un modul de criptanaliză, care să încerce să descopere anumite zone de cod malițioase criptate

    – scanare de anumite buffere de memorie (de asemenea, la emulare, sau la scanarea proceselor aflate deja în execuție)

    – scanare pe dumpuri – pentru analiza fișierelor incluse (embedded) în alte fișiere. Spre exemplu, resursele unor fișiere binare (un fișier binar, cum ar fi un EXE sau DLL, pot conține alte fișiere ”atașate”, precum iconițe, poze, etc… dar pot include chiar și alte fișiere binare).

    Și așa mai departe.

    Ideea este că un antivirus din ziua de astăzi este extrem de complex. Nu are doar două motoare (unul cu semnături, și unul ”euristic”), ci are multe motoare, care conlucrează, fiind apelate unele de altele (nu neapărat în aceeași ordine, și nu neapărat o singură dată).

    Gigi a pomenit și de euristică ”activă” și ”pasivă”. Eu n-am auzit niciodată de astfel de termeni, însă uitându-mă la descrierea lui, ”Malware Hunter la Malwarebytes Anti-Malware”, presupun că termenii ăștia i-a auzit la Malwarebytes, sau prin alte cercuri de același gen. Ceea ce nu face decât să dovedească ce am spus mai sus: modul de implementare și categorisire a ”scanării euristice” depinde de la firmă la firmă, pentru că nu există un standard, sau un manual de ”Cum se face o scanare euristică anti-malware”.
    Pornind de la conceptul abstract ”euristică” ( http://en.wikipedia.org/wiki/Heuristic_%28computer_science%29 ), fiecare companie decide cum vrea să abordeze acest concept, și în ce anume vrea să-l împartă.

    ========================================================

    De asemenea, aș mai comenta la definiția spyware-ului:
    ”Spyware sunt troieni folositi in a spiona victima cu posibilitatea de a sustrage informatii personale din PC acesteia. Un exemplu cunoscut de spyware este keyloggerul care intercepteaza cuvintele introduse la tastatura.”

    În două propiziții m-ai ăcut să înțeleg că un spyware e cam tot aia cu un troian sau un keylogger. Iar asta nu prea e așa. Un spyware e un spyware, un troian e un troian, iar un keylogger e un keylogger.
    E adevărat că de mult timp încoace nu mai există specii pure de malware. Cam tot ce există acum sunt malware cu multiple capacități (deci există spyware cu capacitate de keylogging, troian cu capacitate de rootkit, etc…). Iar în general pentru un analist (de profesie, sau de plăcere) nu prea îl interesează exact specia, decât eventual ca să îi poată da un nume pe semnătură.
    Dar dacă vrei să dai o definiție clară pentru novici (că psta am înțeles că era scopul articolului), atunci ar fi mult mai util să nu amesteci speciile între ele. Pentru că dacă faci așa, e ca și cum încerci să explici cuiva ce este o mașină (automobil), dând ca exemplu o mașină submersibilă (de genul ăsta (link oarecare, găsit pe Google adineauri…nici nu l-am citit, deci sper să nu fie chiar SF… 😀 ): http://boingboing.net/2008/02/15/submersible-car.html ), iar ca rezultat persoana cealaltă va înțelege că orice mașină poate să meargă și pe sub apă. 🙂

    ===================================

    Oookkk… iar am scris 5km de comentariu. 😆
    @Happyday: sper să-l savurezi 😆

  12. happyday

    excelenta idee !

    era poate bine sa descrii si ce e aia behavioral blocking ca multa lume nu face distinctia intre asta si hips 🙂 .

    @cris

    pe indelete 🙂 .

  13. DoktorBrrr

    Buna treaba GIGI! As mai dori sa stiu ce inseamna: virus stealth(stiu ca avita detectia, dar ce inseamna asta), si virus fara corp.
    Multumesc!

    1. Cris

      Cred că ar ajuta dacă ai spune în ce context ai găsit denumirile astea.

      1. DoktorBrrr

        Denumirile le-am gasit chiar intr-un articol de pe siteul lui Gigi despre Dr Web:
        Dr. Web CureIt! este un puternic scaner antivirus si antispyware rusesc. Are o rata inalta a detectiei si indeparteaza o gama larga de malware:

        ■ Virusi de e-mail
        ■ Virusi care se raspandesc in retele P2P (peer-to-peer)
        ■ Viermi de internet
        ■ Virusi care afecteaza fisierele
        ■ Troieni
        ■ Virusi stealth (evita detectia)
        ■ Virusi polimorfici
        ■ Virusi ‘fara corp’
        ■ Virusi de macro
        ■ Virusi care exploateaza MS Office
        ■ Scripturi malitioase
        ■ Spyware
        ■ Spyboti
        ■ Troieni care fura parole
        ■ Keyloggere
        ■ Adware
        ■ Riskware
        ■ Utilitare de hack
        ■ Troieni de tip Backdoor
        ■ Programele ‘haioase’
        ■ Alte tipuri de malware

        1. Cris

          Stealth virus – are virus programs taking special measures so as to mask its activities and to hide their presence in the infected objects.

          So called Stealth technology can include:

          – obstacles to the virus detection in RAM
          – obstacles to the tracing and disassembling of the virus
          – masking of the infection process
          – obstacles to the virus detection in infected program and boot sector.

          Sursa: http://vms.drweb.com/virustypes/?lng=en

          ===============================

          Virușii ”fără corp” nu știu la ce se referă. N-am găsit pe-acolo ceva asemănător denumirii ăsteia. Singurul tip de malware cu care aș putea face legătura ar fi cei rezidenți în memorie:
          Memory resident virus – is a virus permanently residing in the memory normally written in Assembler or C languages.

          The viruses are able to infect programs and resist anti-virus programs more effectively. Such virus occupies a little of memory space. It is ready to continue its task before unloading, rebooting or turning off the computer. It is activated and performs actions set by the virus writer when, for example, computer reaches specific state (timer actuation etc.).All boot viruses are resident.

          Gigi ar putea să te lămurească aici.

          1. Gigi

            Win32.SQL.Slammer.376 is an Internet worm. It is the second “bodiless” virus after the infamous Win32.CodeRed.3569. It does not exist as a file on the infected machine, neither spreads it in the form of a file throughout the network. It penetrates the memory context of Microsoft SQL Server and launches its own viral code – an endless cycle which generates a huge network traffic attacking randomly composed IP-addresses.

            Nu are corp deoarece nu este un fisier scris fizic pe disc ci intra direct in memorie.

  14. Nelu

    Eu cred ca Gigi a vrut sa se adreseze incepatorilor,sau incepatorilor avansati,daca am inteles eu bine.Daca unele notiuni pot fi luate din context(ce este Kaspersky,ce este Comodo,etc).problemele cu caracter practic trebuie relatate din experienta,si cu cuvinte proprii.Cineva bun in informatica,cand a fost intrebat cum functioneaza virtualizarea in Sandbox,de ce un program infectat in sandbox nu poate compromite sistemul,unde si cum e el salvat,cum poate totus functiona fiind izolat complet de sistem,nu a putut raspunde ,decat cautand raspunsurile cu Google

    1. Cris

      Depinde ce înțelegi prin ”bun la informatică”. Nu trebuie să dudui în programare ca să știi răspunsurile la întrebările alea, dar nici dacă ești expert în programare nu cunoști neapărat acele informații.

      Ca să știi acele informații, atunci în primul rând trebuie să ai noțiuni destul de avansate despre sistemul de operare – modul de lucru intern, cum funcționează sistemul de fișiere, sistemul de regiștrii, cum funcționează un proces, cum au loc și cum sunt rezolvate cererile de sistem (API-uri), cum lucrează hookurile în sistem, etc… Inutil de spus că pentru majoritatea programatorilor, astfel de informații sunt absolut irelevante și nu este nevoie de ele.

      ”Informatica” mai conține, pe lângă programare (desktop, web, mobile, etc…), și parte de administrare. Cum se ține un server (de orice fel), rețelistică, servicii, etc… Nici ca să poți face lucrurile astea nu e nevoie să știi cum lucrează un sandbox.

      Și multe alte cazuri.

      De asemenea, luând chiar cazul în care știi lucruri despre sistemul de operare, tot nu este obligatoriu să știi cum lucrează un sandbox și de ce este el (mai) sigur. Cu WinAPI poți face multe lucruri, iar dacă nu te interesează/pasionează noțiuni de securitate ale sistemului, atunci cel mai probabil nu le vei cunoaște.

      Deci este perfect normal ca cineva ”bun în informatică” să nu știe lucrurile respective. În caz contrar, ar trebui să ai pretenția ca orice șofer de curse (deci un foarte bun șofer, care știe să controleze mașina în condiții limită) și poată să îți explice până la cele mai mici detalii cum funcționează combustia internă și alte bazaconii ale motorului (care nu sunt treaba lui, ci treaba mecanicilor).

      Pe de altă parte…
      – un program rulat în sandbox ar putea compromite sistemul (sandboxul nu este impenetrabil). Asta depinde de sandbox și de programul care încearcă să-l spargă
      – un program din sandox nu este nicidecum ”complet izolat de sistem”, ci doar parțial. Pentru izolare completă se folosesc sisteme de virtualizare mai puternice (mașini virtuale, spre exemplu).

  15. tzra

    Incearca sa faci un articol si cu un top anti spyware sau antivirus

  16. tzra

    Cei de la ESET cand mai scot ceva nou ?

  17. gabriel

    Informatia de baza de obicei o gasesti in comentariile lui cris; precise, elaborate ,la obiect si frumos spuse sau cum ar spune happyday …pe indelete

  18. Nick

    Articol bun. Comentariile lu’ Cris demonstrează o logică impecabilă şi imparţială (că amu’ nu e vorba de Bitdefender ,neh? 😈 ) 🙄

  19. mascotzel

    ce ar trebui sa existe intr-un PC ,pe langa AV+ FW, pentru o securitate sporita?
    avand in vedere si modul cum actioneaza malware-ul astazi

    1. happyday

      mintea utilizatorului 😆 .

  20. mascotzel

    oamenii sunt diferiti
    vreau sa stiu ce poate face software-ul

    1. Gigi

      Poti instala extensii de securitate pentru browser (WOT, AdBlock Plus, NoScript etc). Poti rula programele suspecte intr-un SandBox si din cand in cand sa scanezi cu programe anti-malware si anti-spyware.

      Tine cont si de ce a spus happyday. 🙂

Leave a Reply