Co se děje se soubory, když je skenuje antivir?

V kostce soubor prohledává na obsah známých sekvencí nebezpečných kódů a porovnává se svojí virovou databází. Když najde shodu, označí soubor jako nakažený (a případně provede další akci, kupříkladu ho zablokuje do karantény).

Prosím nikoho tu neposlouchejte. Funguje to dočista jinak. Naprosto každý soubor, každá informace na PC může být virus. Obzvláště právě spuštěné procesy atp. Právě proto je 90 % antivirů a lidských pokusů marných, jelikož buď si zničíte výkon tím, že použijete antivirus, který prohledává veškerou dostupnou paměť – tedy i spuštěné procesy a jejich HW, nebo jednoduše zadáte pravidelnou kontrolu ve speciálním režimu po vypnutí PC, který nedovolí spustit žádné běžné procesy, jen ty bezpečně zamčené mimo dosah daného operačního systému. V tomto režimu tedy může prohledat snadnou celou dostupnou paměť, aniž by dovolil viru schovat se za nějakým procesem nebo tak.

Nyní k tomu, co je virus a co se děje při živém scanování. Virus může být pasivní, nebo aktivní program. Pasivní se snadno odhalí a skutečně nebývají takové hrozby – bývají to programy součástí nějakých médií – třeba fotek, videí, … Co je video/fotka? Je to seznam pozic pixelů a dalších údajů. Právě daný způsob vykreslování je problém – HW se musí dozvědět, kde bude jaká barva atp. – tedy v příslušném souboru je vždy nějak zaznamenáno, jak se má dosáhnout daného obrazu/videa a právě tady může být nějaký program, využívající procesu zpracování k vlastnímu spuštění. Po spuštění se z něj už může stát velmi nebezpečný virus, který se schová za spuštěné procesy a bude se různě přeukládat, či si dostahuje/dopíše kamarády.

Oproti tomu aktivní virus je ten, který si sami spustíte – samostatně spustitelný soubor.

Při scanování PC za reálného běhu se musí každý soubor izolovat, vytracuje se jeho působnost a poměřují se jeho parametry. Ano, může se použít velká databáze existujících vzorků virů, která se pokusí najít sekvenci odpovídající danému viru. Ale to je jen zlomek úkonů. Dále se poměří, zda program zasahuje do míst, do kterých běžně nezasahoval, zda nedávno nenabyl velikosti, zda nevytěžuje PC nad míru, … Dále se především prověří na databázi flaw – mezer v programech umožňujících život virů – právě hlavně prohledání a ověření slabin prokáže, zda se tudy dostal nějaký program. Při sebemenším podezření se využije karanténního procesu, který byl zahájen na počátku scanování – jak jsem popsal prve – od počátku je sledována veškerá aktivita tak, že by mělo být proveditelné zpětné odmazání nových úkonů a přesměrování veškeré činnosti do umělého prostředí, ve kterém virus nemůže aktivně škodit. I tento proces může být napaden a nelze se spoléhat na řádné odmazání viru. Nejčastěji dojde jen k odříznutí aktivní větve hybernujícího viru – který se právě snaží nenechat se chytit při činu. Proto ochrana v reálném čase nemůže poskytnout to, co se dělalo dříve a velké firmy to pořád dělají – jak jsem psal, pravidelný operativní režim PC, ve kterém se viry prohledávají v celé dostupné paměti a izolace programů je snadná, protože běží jen ty povolené a udržované v chráněném prostoru.

Ve fotce ani ve videu žádný škodlivý kód nebude. Virus může být třeba v aplikaci.

Mohlo by se zdát, že v obrázcích žádný vir nemůže být, ale opak je pravdou. Může se tam schovávat například kus vícedílného viru, v obrázkových souborech (typicky JPG) je spousta míst kam se dá něco schovat aniž by to na obrázek mělo nějaký vliv. A nakonec je zdáný případ jistého obrázku, který byl uměle zkontruován tak, aby při použití jistého prohlížeče zablokoval mobil.