themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

38 antiviirust üheskoos?!?

4. märts 2009 kirjutas Jakob Jõgi Vasta »

Viirused on arvutikasutajaid kimbutanud juba pea nelikümmend aastat. Nad võivad väga lühikese ajaga muuta kümneid tuhandeid arvuteid kohutavalt aeglaseks või päris töövõimetuks, edastada konfidentsiaalset infot oma loojatele, kustutada tähtsaid faile. Seetõttu on korraliku antiviiruse olemasolu äärmiselt oluline.

Seekord ei tule juttu ühestki konkreetsest programmist – sest praktika näitab, et ükski antiviirus ei taga süsteemi 100%-list turvalisust. Juttu tuleb vastavatest põhjustest ning sellest, kuidas ikkagi teha kindlaks, kas kahtlase programmi näol on tegemist viirusega või mitte.

1

Antiviirus ei ole põhimõtteliselt midagi muud kui programm, mis kontrollib kogu arvuti infovahetust. Niipea, kui avastatakse nakatunud või kahtlane andmejupp – olgu selleks fail, e-mail või mõni skript mälus – rakendatakse sellele teatud protseduur: kustutatakse, keelatakse ligipääs või oodatakse kasutaja juhiseid. Avastamiseks on kaks põhimõtteliselt erinevat meetodit:

  • Kõigi liikuvate andmejuppide võrdlemine teatud andmebaasiga (virus signatures database). Kokkulangevuse korral on ilmselt tegu viirusega. Andmebaasi eeliseks on see, et koheselt on teada, mis viirus see on ning milliseid meetmeid selle vastu rakendada.
  • Heuristic scan, selle meetodi aluseks on (käivitatava) faili võimete analüüsimine ja võrdlemine teatud kahjuliku käitumise mustritega. Näiteks kui programm „oskab” kõvakettast formaatida, on tegemist tõenäoliselt ohtliku programmiga ja kasutajalt küsitakse, mida sellega teha. Samas võib tegemist olla ka täiesti ohutu uue kettahaldustarkvaraga.

Niisiis esimene meetod võrdleb infot konkreetsete viirusenäidistega, teine püüab leida teatud käitumismustrit.

Kui keskmine antiviirus uuendab enda andmebaasi kuskil korra-kaks päevas, aga iga päev avastatakse umbes 15 uut viirust, siis on üsna loomulik, et statistiliselt leidub iga hetk mõni viirus, mida ükski antiviirus ei suuda tuvastada. Vähemalt esimese meetodi abil. Kui viirusetõrje on kaks-kolm päeva uuendamata, leidub kuni 50 potentsiaalset turvariski – seetõttu on äärmiselt oluline viirusetõrjet regulaarselt uuendada.

Heuristiline meetod on tunduvalt keerulisem – raske on öelda, kustmaalt on tegu ohtliku programmiga, mida üks hea programm üleüldse teha võib jne. Ka pahalastel on sellest raskem mööda hiilida, võimatu see aga ei ole. Sagedasimad võtted on maskeerumine mõneks kasulikuks protsessiks või siis laialt levinud programmide (näiteks Internet Explorer) turvaaukude ärakasutamine. Ja siinkohal näitab praktika, et ükskõik kui palju neid turvaauke ka ära ei lapita, ikka leitakse peatselt midagi uut. Maksimaalse turvalisuse saavutamiseks tuleks seega ka teisi programme regulaarselt uuendada.

Just nendel lihtsatel põhjustel ei saa ükski antiviirus olla 100% efektiivne.

Mida aga ikkagi teha, kui sõber (välismaalt) saatis mingi huvitava programmi või presentatsiooni? Tahaks nagu vaadata, aga samas päris ei julge ka enam? Antiviirus on siiamaani truult leiba teeninud, aga mis siis kui täna „ei ole tema päev”?

Kindlasti ei tohiks hakata paigaldama kümneid erinevaid antiviiruseid. Põhjus on lihtne – juba kahe antiviiruse samaaegne jooksutamine tekitab suure tõenäosusega mitmesuguseid konflikte ja kahju on enamasti suurem kui kasu. Lahenduseks pakun välja mõned internetis pakutavad tasuta teenused, mis kontrollivad teie faili kümnete erinevate antiviirustega:

  • Virus.Org
    Üleslaetud faili uuritakse 24 erineva antiviirusega.
    Maksimaalne lubatud failimaht on 5MiB.

    2

  • Jotti’s malware scan
    Üleslaetud faili uuritakse 20 erineva antiviirusega.
    Maksimaalne lubatud failimaht on 10MiB.

    3

  • VirusTotal
    Üleslaetud faili uuritakse 38 erineva antiviirusega. Lisaks kolm erinevat programmi faili pakkimis- ja teiste parameetrite analüüsimiseks.
    Maksimaalne lubatud failimaht on 20MiB.

    4

    Erinevalt teistest pakutakse ka väikest installeeritavat programmi VirusTotal Uploader, millega saab faile arvutist automaatselt uurimiseks saata (parem klõps failil avab järgneva menüü). Peale faili üleslaadimist avatakse automaatselt brauser analüüsitulemustega.

    5

Kõik mainitud teenusepakkujad jätavad endale õiguse/kohustuse üleslaetud failid viirustõrjefirmadele edastada. Keegi ei võta endale vastutust tulemuste õigsuse eest. Lihtne reegel – kui mõni üksik toode väidab, et tegu on kahtlase failiga, siis võib, aga tõenäoliselt ei pruugi olla tegemist viirusega, kui aga juba mõned tooted väidavad, et tegemist on viirusega, siis ilmselt ka on. Kriitilistel juhtudel tuleks maksimaalselt korrektse tulemuse saamiseks peale esimest analüüsi mõni päev oodata ja siis kordusanalüüs sooritada. Selleks ajaks on see fail juba päris põhjalikult läbi uuritud. Millist neist kolmest eelistada, on aga juba rohkem maitse asi.

Reklaam

2 kommentaari

  1. Buntu ütleb:

    Siiamaani töötab ubuntu mul vaikselt ja mõnusalt ning pole vaja lisaaega kulutada mingi viiruste otsimiste peale.

    Kõik töötab nagu õlitatult. Ka ID kaardiga..

  2. Buntu ütleb:

    Muidugi tuleb arvestada, et kas kõik draiverid sobivad 2.6.x.x kerneliga. Aga kui juba töötab, siis töötab kõik.

    Firefox 2.0.0.20 peale olen jäänud.

    Linuxi kerneli süsteemilogi vahest jälgin ka. Kõik on ok.

    Nagu Prantsuse politseil.

Lisa kommentaar