Ez most az-e vagy mégsem?
A víruskeresők legnagyobb rákfenéje a detektálás helyessége. Jobb esetben azt ugyan kiírja, hogy ez most őnagysága szerint az xy nevű vírus, de épp elégszer derült már ki: ja, mégsem! Ezt nevezik fals pozitív, vagy magyarul téves riasztásnak.

Ennél rosszabb a helyzet, ha a kereső egyáltalán nem jelez. A radar alatt ilyenkor lopakodó üzemmódban elkúsznak a vírusos fájlok. Ennek két oka lehet, az egyik, hogy a vírus az úr a rendszerünkön – ez már rég rossz – a másik pedig sajnos a víruskereső adatbázisa. Ha túlságosan új,az a baj, ha túl régi, az a baj, esetleg célpontra külön írt - az is baj. Ilyen esetekben lehet, hogy még inaktív állapotában sem ismeri fel a kereső.

Heurisztika, mi is az?
Erre találták ki a heurisztikus analízist, amely köznyelvre lefordítva annyit jelent, hogy a vírusirtó belekukkant a célpontba és megnézi, mégis mit akarna cselekedni, ha valaki futtatná. Elsőre jól hangzik, azonban – az analízis mélységét növelve – egyre több fals pozitív riasztást is ad.

Ha eggyel nem megy, próbáld kéttucattal!
A fals pozitív – illetve gyanúsnak ítélt, de átcsúszott – fájlok ellenőrzését emiatt ajánlott nem egy, hanem több vírusirtóval megismételni. Azonban a vírusirtókra sajnos az esetek többségében igaz a mondás, mi szerint „két dudás nem fér meg egy csárdában”. A legtöbb meg is kér arra, hogy mielőtt telepítjük, legyünk szívesek a másikat eltávolítani!

Emiatt aztán több operációs rendszerre vagy gépre lenne szükségünk, vagy sorra járhatnánk az online keresővel rendelkező honlapokat és mindenhova tölthetnénk fel a gyanús fájlt. Szerencsére  van erre jobb megoldás is. A neten ugyanis nem egy olyan honlap működik, amely pontosan erre a feladatra összpontosít: a feltöltött fájlokat szó szerint 1-2 tucatnyi víruskeresőn is átfuttatja.

Sajnos, a szolgáltatások hátránya, hogy csupán 1 darab fájlt lehet egyszerre elküldeni, így egy teljes merevlemez átvizsgálása egy örökkévalóságig (pluszmínusz pár év) eltartana, főleg a mai 1-2 terabájtosak esetén.

Ezért tehát e szolgáltatások igazán csak arra használhatóak, ha valami gyanús. Mondjuk ha MSN-en, vagy e-mailen keresztül kapunk egy-egy – például .ppt vagy .pdf – fájlt. Ezeket aztán nyugodtan bedobhatjuk az analizátorokba.

Két példa az automatizált keresőkre (mindkettő maximum húsz megás fájlokat fogad):
VirusTotal
Jotti's malware scan

Akinek azonban nem egy fájlt, hanem mondjuk a teljes rendszerét kell átvizsgálnia, az kénytelen lesz megvárni amíg a megannyi ingyenes online keresők közül az egyik betölt. Csak egy tipp: ha rootkit fertőzte rendszerünket, talán jobban járunk egy teljesen friss telepítéssel!

Homokozzunk!
Manapság egyre több helyen jelenik meg a „sandbox” (homokozó) kifejezés. A kifejezés egy elkülönített futtatási környezetet takar, amelyből normális körülmények közt nem képes kitörni a kártékony kód. Ilyet telepítettek nem egy böngésző köré is, hogy megvédjék az esetleges támadásoktól. Azonban a technológia másra is használható.

Több vírusellenes cég is működtet ugyanis online elérhető sandbox szolgáltatást. Ezek lényege, hogy az ember feltölt egy fájlt, majd a virtuális környezetben azt automatikusan elindítják. Várnak valamennyit, majd megírják, mit tett futása közben a program.

Így aztán megtudjuk, hogy hová is dobálja szét fájljait, a regisztrációs adatbázisban milyen galibát okoz, illetve azt, hogy milyen futó Windows programba szeretné beásni magát. Ehhez azonban elengedhetetlen a minimális angol tudás és a szaknyelv ismerete. Ezekkel már azonnal szemet szúrhat például az, hogy „Modified OS kernel function code in process "spoolsv.exe"”; azaz a fájl módosította a spoolsv.exe (Windows nyomtatásisor kezelője) bizonyos kódrészleteit.

Újabb két példa az ingyenesen használható online sandbox rendszerekre
Norman Sandbox
Sunbelt Sandbox

Az utak felperzselése
A következő eszköz nem egy fájl fertőzésének eldöntésére való, hanem az esetleges fertőzés megelőzésére, illetve a már kialakult enyhítésére való. A rosszindulatú programok közül ugyanis elég sok található weboldalakon, amelyekre igazából pontosan zéró szüksége van az átlagembernek.

Emiatt is indított több vírusellenes vállalat saját DNS – névfeloldó – szolgáltatást. Ezek feladata, hogy ha a felhasználó bepötyögi – vagy egy programja keresi – mondjuk a www.hűdegonoszvírustkapszinnen.hu-t , akkor annak nevét átkonvertálja a gépek által is felhasználható címmé.

Elég sok olyan cím létezik, amelyet csak és kizárólag a vírusok terjesztéséhez használnak. Emiatt pedig a legjobb az, ha el sem érjük őket. A vírusirtók gyártói is így gondolják, és egyre több indít ingyenes szolgáltatást, amely a lejelentett rosszindulatú címeket át sem engedi, helyettük egy figyelmeztető oldalt jelenít meg.


Ezek beállítása két szinten lehetséges. Egyfelől beállíthatjuk a gépen, másfelől pedig az otthoni routeren. Első esetben például a havernál is a biztonságos(abb) szolgáltatást használja, második esetben azonban otthon minden gép részesül az extra védelemben, külön beállítás nélkül.

A szolgáltatások azonban nem száz százalékosak. Jómagam többször is találkoztam már olyan – általam ismert – oldallal, amely biztonságos volt, de mégis valamiért kiverte a biztosítékot. Plusz természetesen amíg a cég észre nem veszi, hogy egy oldal rosszindulatú, a szolgáltatás nem védhet tőle.

Egy másik hátránya ezen szolgáltatásoknak, hogy egyre több vírus immáron nem weboldalakat felhasználva frissítik magukat, hanem elosztott módon, kliens gépek hálózatáról, pont mint egy fájlcserélő hálózatnál. Így hát nincs mit letiltani.

Sunbelt ClearCloud (magyar nyelvű, részletes használati útmutatóval, tegnap jelentették be)
Comodo Secure DNS

A Google is elindította saját DNS szolgáltatását, ez azonban nem elsősorban a vírusmentesebb, hanem a stabilabb netezést hivatott megvalósítani. Erről bővebben itt olvashatnak.

Kapcsolódó anyagaink:
Már nem a Microsoft a leglustább javító
Felvásárolja az Intel a McAfee biztonsági céget
Feltörték a bankkártya-leszívók szerverét