Злоумышленники делают все, чтобы их присутствие на компьютерах жертв как можно дольше оставалось тайной для антивирусных компаний. Если их выявят, то придется разрабатывать новый способ атаки и снова вступать в гонку с антивирусами — успеть заработать, пока их не обнаружили.


Анти-руткит

Для того, чтобы обмануть антивирус, вредоносные программы подменяют данные об устройствах, о работе операционной системы и приложений. В результате антивирус не может увидеть заражение.

Проблема усугубляется тем, что иногда вредоносные программы работают с более высоким уровнем привилегий, чем у антивируса. Вредоносная программа отдает для антивирусного анализа данные, которые были изменены так, чтобы выявить заражение стало невозможно.

При подключении к Cezurity Sensa информация о работе компьютера собирается на разных уровнях системы, даже на уровне, близком к аппаратному. Поэтому злоумышленники не могут обмануть антивирус, подменив передаваемые в облако данные — Sensa сравнивает информацию, полученную разными способами.



Анализ каждого компьютера

Злоумышленники хорошо знают, что как только созданная ими вредоносная программа попадет в сигнатурные базы, ее работа начнет блокироваться антивирусами. Поэтому они выбирают для атак узкие группы людей и стараются сделать так, чтобы ущерб от работы вредоносной программы как можно дольше оставался незаметен для жертв. В результате им удается получить необходимое для заработка временное окно — когда компьютер уже заражен, но антивирусы об этой угрозе еще не знают.

Антивирусные лаборатории обычно обмениваются коллекциями вирусов, иногда пользователи сообщают о заражении (если видят ущерб), в некоторых случаях при установке антивирусной программы вызывающие подозрения файлы автоматически передаются в вирусную лабораторию. Так антивирусная лаборатория узнает о десятках миллионов вредоносных программ, которые распространяются по всему миру. Но если злоумышленники атаковали узкую группу пользователей, а ущерб от работы вредоносной программы незаметен, то вредоносная программа может оставаться неизвестной на протяжении нескольких недель или даже месяцев.

Облачной системе Sensa не нужно обладать информацией обо всех существующих вредоносных программах. Как только новый компьютер подключается к Sensa, информация о его работе начинает анализироваться. Если в системе будут обнаружены файлы, которые никогда раньше не встречались, Sensa сопоставит их характеристики между собой и с другими объектами на этом и остальных подключенных компьютерах. Анализ не завершится до тех пор, пока Sensa не сможет сделать точный вывод о том, опасны неизвестные файлы или нет.

Подключение к Sensa позволит выявить атаку даже в том случае, если злоумышленники хотели атаковать небольшое число компьютеров.


Узнайте больше о том, как происходит анализ в Cezurity Sensa

Партнерство с VK. Как узнать о том, что новая программа — вредоносная?

Антивирусная программа не всегда может узнать сам пользователь совершил какое-то действие или за него это сделала вредоносная программа. Злоумышленники хорошо знают о такой особенности антивирусов. Поэтому вредоносные программы зачастую не имеют каких-то особенностей поведения, по которым антивирус способен был бы их распознать.

Иногда злоумышленники создают вредоносные программы так, чтобы заметить вред от них было трудно. Например, установленное для скачивания музыки из социальной сети расширение браузера незаметно делает что-то еще.

С одной стороны, облачная система Sensa знает о том, как работает операционная система и приложения на каждом из подключенных компьютеров. С другой, в Sensa поступает информация от агентов технической поддержки ВКонтакте о том, с какими проблемами столкнулись пользователи социальной сети. В Sensa каждая из возникших проблем сопоставляется с происходящим на компьютере, что позволяет быстро выявить ответственное за нее приложение.

Чтобы найти и вылечить заражения, которые пропустили антивирусы,
подключите компьютер к Cezurity Sensa с помощью сканера Cezurity

Установить сканер