Често се бъркат понятията евристичен анализ и това, което обикновено е известно като “евристичен вирус”. Евристиката е по-точно описана като евристичен анализ, при който се открива опасен код. Терминът, евристичен вирус, често може да бъде подвеждащ.
Въпреки че терминът евристичен вирус може да бъде посочен като метод, при който се открива злонамерен код, по-добре е да се опише конкретният вирус, например Heur.Invader е зловреден софтуер, предназначен да промени системните настройки.
Евристичният анализ е адаптивна антивирусна защита, която открива злонамерен код чрез образовани предположения. Необходимостта от ръчен преглед понижава мащабируемостта на този тип анализи, тъй като техниките са по-малко точни. Въвеждането на машинно обучение в антивирусния софтуер води до автоматизиране на по-голямата част от процесите и ръчно анализиране за непрекъснато подобрение в останалата по – малка част. Антивирусният софтуер става по-ефективен при това с нулеви рискове от проникването на файлово базирана злонамерена програма.
Евристика: метод за откриване или вирус?
Евристиката обикновено се използва в антивирусен софтуер заедно със сканиращите решения като начин да се прецени има ли и къде е злонамереният код на вашия компютър. Това, което може да се нарече „евристичен вирус“, е откриването на възможни злонамерен софтуер, троянски коне или други заплахи. Това предварително предупреждение може да се появи при сканиране като „HEUR“ и трябва да се счита за подозрителен код за провеждане на по-нататъшна проверка.
Евристичният анализ може да открие потенциални вируси, без да е необходимо конкретно да ги идентифицира. Процесът е гъвкав и непрекъснато се подобрява. Колкото по-дълго протича, толкова по-ефикасен и ефективен става. За съжаление евристичният анализ е трудоемък и често води до фалшиви позитивни резултати, които трябва да бъдат прегледани ръчно.
Какво представлява евристичнияят анализ?
Евристичният анализ се основава на няколко техники. Тези техники изследват изходните кодове на файловете и ги съпоставят с откритите преди това заплахи. В зависимост от съотношението на съвпадението, системата ще открие вероятността от заплаха и код, който е вероятно злонамерен.
Евристичният анализ използва редица техники за анализ на поведението и нивата на заплаха, включително:
- Динамично сканиране: Анализира поведението на файл в симулирана среда.
- Анализ на файла: Анализира намерението, местоназначението и целта на файла.
- Мултикритериен анализ (MCA): Анализира тежестта на потенциалната заплаха.
Евристичното сканиране за вируси използва тези техники за анализ за откриване на вируси в рамките на кода.
Евристично откриване на вируси
Детекцията на базата на сигнатура и сендбокс се използва с евристично откриване на вируси за най-ефективен резултат.
Евристично-базираното откриване може да определи кода като заплаха, ако програмата:
- Се запазва в паметта след изпълнение на задачата си.
- Прави опити за запис на диска.
- Променя необходимите файлове за работа на операционната система.
- Имитира известен зловреден софтуер.
Евристично сканиране
Регулирането на нивото на чувствителност в рамките на евристични сканирания определя нивото на толеранс на подозрителни файлове. При повишено ниво на чувствителност има по-високо ниво на защита, но и по-висок риск от фалшиви положителни резултати.
Активирайте евристичното сканиране и изберете нивата му на чувствителност със следните стъпки:
- Отворете настройките в главния прозорец на програмата.
- Конфигурирайте свойствата на сканиране в секцията за сканиране.
- Поставете отметка в квадратчето, за да активирате сканирането в секцията Heuristic.
- За да промените нивото на чувствителност, отворете настройките и изберете едно от трите нива.
Как да се отървете от евристичен вирус?
Отдалечен сървър контролира вируса Heur.Invader. Когато премахвате вируса Heur.Invader, използвайте антивирусен софтуер, за да стартирате пълно сканиране в save mode. Премахнете заплахата от машината си щом веднъж е открита.
Тази критична заплаха може да деактивира антивирусен софтуер, да инсталира злонамерени програми, да събира чувствителна информация и да променя настройките за сигурност. Когато премахвате вируса Heur.Invader, винаги зареждайте компютъра в safe mode. По този начин компютъра се стартира само с най- необходимите необходимите драйвери и услуги и няма да зареди вируса – което може да деактивира антивирусния софтуер.
- Стартирайте компютъра в safe mode.
- Изпълнете пълно сканиране с антивирусен софтуер.
- След като сканирането обозначи злонамерен код, проверете ръчно елемента за фалшиви положителни резултати.
- Премахнете злонамерения код.
Накратко, евристичният анализ открива несъответствия в приложение и е компонент в повечето съвременни антивирусни софтуерни програми. Недостатъкът на евристичното откриване обаче се състои в необходимостта от ръчен преглед поради чести фалшиви положителни резултати. Комбинирайте този метод на откриване с автоматизация и други инструменти за откриване за получаване на най-точните резултати.
Източник: Panda Security | Techwalla | Wikileaks | IET